Посібник користувача opengear ACM7000 Remote Site Gateway

Не підключайте та не відключайте сервер консолі під час грози. Завжди використовуйте обмежувач перенапруги або ДБЖ, щоб захистити обладнання від перехідних процесів.

Попередження FCC:

Цей пристрій відповідає частині 15 правил FCC. Робота цього пристрою регулюється такими умовами: (1) Цей пристрій не може створювати шкідливих перешкод і (2) цей пристрій має приймати будь-які перешкоди, які можуть спричинити небажану роботу.

поширені запитання

З: Чи можу я використовувати шлюз віддаленого сайту ACM7000 під час грози?
- A: Ні, радимо не підключати та не відключати сервер консолі під час грози, щоб запобігти пошкодженню.

З: Якій версії правил FCC відповідає пристрій?
- A: Пристрій відповідає Частині 15 правил FCC.

View Fullscreen

Посібник користувача
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Версія 5.0 – 2023-12

Безпека
Дотримуйтеся наведених нижче заходів безпеки під час встановлення та експлуатації консольного сервера: · Не знімайте металеві кришки. Всередині немає компонентів, які можна обслуговувати оператором. Відкривання або зняття кришки може наразити вас на небезпечну волюtage, що може спричинити пожежу або ураження електричним струмом. Звертайтеся до кваліфікованого персоналу Opengear. · Щоб уникнути ураження електричним струмом, провід захисного заземлення шнура живлення має бути підключений до землі. · Від’єднуючи шнур живлення від розетки, завжди тягніть за вилку, а не за кабель.
Не підключайте та не відключайте сервер консолі під час грози. Також використовуйте обмежувач перенапруги або ДБЖ, щоб захистити обладнання від перехідних процесів.
Попередження FCC
Цей пристрій відповідає частині 15 правил FCC. Експлуатація цього пристрою залежить від наступного
умови: (1) Цей пристрій не може створювати шкідливих перешкод і (2) цей пристрій має приймати будь-які перешкоди, які можуть спричинити небажану роботу.
Слід використовувати належні резервні системи та необхідні пристрої безпеки, щоб захистити від травм, смерті або пошкодження майна через збій системи. Відповідальність за такий захист несе користувач. Цей консольний серверний пристрій не схвалено для використання як системи життєзабезпечення або медичної системи. Будь-які зміни або модифікації, внесені до цього консольного серверного пристрою без явного схвалення чи згоди Opengear, позбавлять Opengear будь-якої відповідальності за травми чи збитки, спричинені будь-якою несправністю. Це обладнання призначене для використання всередині приміщень, і всі комунікаційні проводки обмежені всередині будівлі.
2

Посібник користувача
Авторське право
©Opengear Inc. 2023. Усі права захищено. Інформація в цьому документі може бути змінена без попередження та не є зобов’язанням з боку Opengear. Opengear надає цей документ «як є», без будь-яких гарантій, явних або неявних, включаючи, але не обмежуючись, непрямими гарантіями придатності або комерційної придатності для певної мети. Opengear може в будь-який час удосконалити та/або змінити цей посібник або продукт(и) та/або програму(и), описані в цьому посібнику. Цей продукт може містити технічні неточності або друкарські помилки. В наведену тут інформацію періодично вносяться зміни; ці зміни можуть бути включені в нові видання публікації.\

Глава 1

Цей посібник

ЦЕЙ ПОСІБНИК

У цьому посібнику користувача пояснюється встановлення, робота та керування консольними серверами Opengear. Цей посібник передбачає, що ви знайомі з Інтернетом та IP-мережами, HTTP, FTP, основними операціями безпеки та внутрішньою мережею вашої організації.
1.1 Типи користувачів
Консольний сервер підтримує два класи користувачів:
· Адміністратори, які мають необмежену конфігурацію та права керування консоллю
сервер і підключені пристрої, а також усі служби та порти для керування всіма послідовними підключеними пристроями та мережевими пристроями (хостами). Адміністратори встановлюються як члени групи користувачів адміністратора. Адміністратор може отримати доступ і контролювати консольний сервер за допомогою утиліти конфігурації, командного рядка Linux або консолі керування на основі браузера.
· Користувачі, яким адміністратор налаштував обмеження доступу та повноважень контролю.
Користувачі обмежені view Консолі керування та може отримати доступ лише до авторизованих налаштованих пристроїв і повторноview журнали портів. Ці користувачі налаштовані як члени однієї або кількох попередньо налаштованих груп користувачів, таких як PPTPD, dialin, FTP, pmshell, користувачі або групи користувачів, які міг створити адміністратор. Вони мають право виконувати певні дії лише на певних підключених пристроях. Після авторизації користувачі можуть отримувати доступ і керувати послідовними або мережевими пристроями за допомогою певних служб (наприклад, Telnet, HHTPS, RDP, IPMI, послідовний порт через локальну мережу, керування живленням). Віддалені користувачі — це користувачі, які не знаходяться в тому самому сегменті локальної мережі, що й сервер консолі. Віддалений користувач може перебувати в дорозі, підключаючись до керованих пристроїв через загальнодоступний Інтернет, адміністратор в іншому офісі, підключаючись до консольного сервера через корпоративну VPN, або в тій самій кімнаті чи тому ж офісі, але підключений до окремої VLAN до консолі. сервер.
1.2 Консоль керування
Консоль керування Opengear дозволяє вам налаштовувати та контролювати функції вашого сервера консолі Opengear. Консоль керування працює у браузері та надає a view консольного сервера та всіх підключених пристроїв. Адміністратори можуть використовувати консоль керування для налаштування та керування сервером консолі, користувачами, портами, хостами, пристроями живлення, а також пов’язаними журналами та сповіщеннями. Користувачі, які не є адміністраторами, можуть використовувати консоль керування з обмеженим доступом до меню для керування вибраними пристроями, наприкладview їхні журнали та доступ до них за допомогою вбудованого Web термінал.
Сервер консолі працює під управлінням вбудованої операційної системи Linux і може бути налаштований за допомогою командного рядка. Ви можете отримати доступ до командного рядка через стільниковий зв’язок/дозвон, безпосередньо підключившись до послідовного порту консолі/модему сервера консолі або використовуючи SSH або Telnet для підключення до сервера консолі через локальну мережу (або підключившись за допомогою PPTP, IPsec або OpenVPN) .
6

Посібник користувача
Щоб отримати команди інтерфейсу командного рядка (CLI) і додаткові інструкції, завантажте Opengear CLI and Scripting Reference.pdf з https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Додаткова інформація
Для отримання додаткової інформації зверніться до: · Opengear Products Web Сайт: див. https://opengear.com/products. Щоб отримати найновішу інформацію про те, що включено до вашого консольного сервера, відвідайте розділ Що включено для вашого продукту. · Короткий посібник: щоб отримати короткий посібник для свого пристрою, див. https://opengear.com/support/documentation/. · База знань Opengear: відвідайте https://opengear.zendesk.com, щоб отримати доступ до технічних інструкцій, технічних порад, поширених запитань і важливих повідомлень. · Довідник Opengear CLI та сценаріїв: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Розділ 2:

Конфігурація системи

СИСТЕМНА КОНФІГУРАЦІЯ

У цій главі наведено покрокові інструкції щодо початкової конфігурації вашого консольного сервера та підключення його до керуючої або операційної локальної мережі. Кроки такі:
Активуйте консоль керування. Змініть пароль адміністратора. Встановіть основний порт LAN сервера консолі IP-адреси. Виберіть служби, які потрібно ввімкнути, і права доступу. У цій главі також обговорюються інструменти програмного забезпечення зв’язку, які адміністратор може використовувати для доступу до консольного сервера, а також налаштування додаткових портів LAN.
2.1 Підключення консолі керування
Ваш консольний сервер налаштовано з IP-адресою за замовчуванням 192.168.0.1 і маскою підмережі 255.255.255.0 для NET1 (WAN). Для початкової конфігурації рекомендуємо підключити комп’ютер безпосередньо до консолі. Якщо ви вирішите під’єднати свою локальну мережу до виконання початкових кроків налаштування, переконайтеся, що:
· У локальній мережі немає інших пристроїв з адресою 192.168.0.1. · Консольний сервер і комп'ютер знаходяться в одному сегменті локальної мережі, без проміжного маршрутизатора
побутова техніка.
2.1.1 Налаштування підключеного комп’ютера Щоб налаштувати сервер консолі за допомогою браузера, під’єднаний комп’ютер повинен мати IP-адресу того самого діапазону, що й сервер консолі (наприклад,ample, 192.168.0.100):
· Щоб налаштувати IP-адресу вашого комп'ютера Linux або Unix, запустіть ifconfig. · Для ПК з Windows:
1. Натисніть «Пуск» > «Параметри» > «Панель керування» та двічі клацніть «Мережеві підключення». 2. Клацніть правою кнопкою миші Підключення по локальній мережі та виберіть Властивості. 3. Виберіть Інтернет-протокол (TCP/IP) і натисніть Властивості. 4. Виберіть «Використовувати таку IP-адресу» та введіть такі дані:
o IP-адреса: 192.168.0.100 o Маска підмережі: 255.255.255.0 5. Якщо ви бажаєте зберегти існуючі параметри IP для цього мережевого підключення, клацніть «Додатково» та додайте вищезазначене як додаткове IP-підключення.
2.1.2 Підключення браузера
Відкрийте браузер на підключеному ПК/робочій станції та введіть https://192.168.0.1.
Увійти за допомогою:
Ім'я користувача> пароль root> за замовчуванням
8

Посібник користувача
Перший раз, коли ви входите в систему, ви повинні змінити пароль root. Натисніть Надіслати.
Щоб завершити зміну, введіть новий пароль ще раз. Натисніть Надіслати. З'явиться екран привітання.
Якщо у вашій системі є стільниковий модем, вам буде надано кроки для налаштування функцій стільникового маршрутизатора: · Налаштуйте з’єднання стільникового модему (Система > Сторінка набору номера. Див. Розділ 4) · Дозвольте переадресацію до стільникової мережі призначення (Система > Сторінка Брандмауер. Див. Розділ 4) · Увімкніть IP-маскарадування для стільникового з’єднання (Система > сторінка Брандмауер. Див. Розділ 4)
Після виконання кожного з наведених вище кроків ви можете повернутися до списку конфігурацій, натиснувши логотип Opengear у верхньому лівому куті екрана. ПРИМІТКА Якщо ви не можете підключитися до консолі керування за адресою 192.168.0.1 або якщо стандартний
Ім’я користувача/пароль не приймаються, скиньте сервер консолі (див. Розділ 10).
9

Розділ 2: Конфігурація системи
2.2 Налаштування адміністратора
2.2.1 Змінити стандартний системний пароль адміністратора Під час першого входу на пристрій необхідно змінити пароль адміністратора. Ви можете будь-коли змінити цей пароль.
1. Клацніть «Послідовний номер і мережа» > «Користувачі та групи» або на екрані привітання клацніть «Змінити пароль адміністратора за замовчуванням».
2. Прокрутіть униз і знайдіть запис користувача root у розділі «Користувачі» та натисніть «Редагувати». 3. Введіть новий пароль у поля Пароль і Підтвердження.
ПРИМІТКА. Перевірка параметра «Зберегти пароль» під час стирання мікропрограми зберігає пароль, щоб його не було стерто під час скидання мікропрограми. Якщо цей пароль буде втрачено, потрібно буде відновити мікропрограму пристрою.
4. Натисніть Застосувати. Увійдіть із новим паролем. 2.2.2 Налаштувати нового адміністратора Створіть нового користувача з правами адміністратора та увійдіть як цей користувач для функцій адміністрування, а не за допомогою root.
10

Посібник користувача
1. Натисніть Послідовний порт і мережа > Користувачі та групи. Прокрутіть сторінку донизу та натисніть кнопку «Додати користувача».
2. Введіть ім'я користувача. 3. У розділі Групи поставте прапорець у полі адміністратора. 4. Введіть пароль у поля Пароль і Підтвердження.
5. Ви також можете додати авторизовані ключі SSH і вимкнути автентифікацію пароля для цього користувача.
6. На цій сторінці можна налаштувати додаткові параметри для цього користувача, зокрема параметри телефонного підключення, доступні хости, доступні порти та доступні розетки RPC.
7. Натисніть кнопку «Застосувати» внизу екрана, щоб створити нового користувача.
11

Розділ 2: Конфігурація системи
2.2.3 Додайте назву системи, опис системи та MOTD. 1. Виберіть Система > Адміністрування. 2. Введіть назву системи та опис системи для консольного сервера, щоб надати йому унікальний ідентифікатор і полегшити його ідентифікацію. Ім’я системи може містити від 1 до 64 буквено-цифрових символів і спеціальні символи підкреслення (_), мінус (-) і крапку (.). Опис системи може містити до 254 символів.
3. Банер MOTD можна використовувати для відображення користувачам тексту повідомлення дня. Він відображається у верхньому лівому куті екрана під логотипом Opengear.
4. Натисніть Застосувати.
12

Розділ 2: Конфігурація системи
5. Виберіть Система > Адміністрування. 6. Банер MOTD можна використовувати для відображення користувачам тексту повідомлення дня. Це з'являється на
у верхньому лівому куті екрана під логотипом Opengear. 7. Натисніть Застосувати.
2.3 Конфігурація мережі
Введіть IP-адресу для основного порту Ethernet (LAN/Network/Network1) на сервері консолі або ввімкніть його клієнт DHCP для автоматичного отримання IP-адреси від сервера DHCP. За замовчуванням на сервері консолі ввімкнено клієнт DHCP, і він автоматично приймає будь-яку мережеву IP-адресу, призначену сервером DHCP у вашій мережі. У цьому початковому стані сервер консолі відповідатиме як на свою статичну адресу за замовчуванням 192.168.0.1, так і на адресу DHCP.
1. Клацніть Система > IP і виберіть вкладку Мережевий інтерфейс. 2. Виберіть DHCP або Static для Configuration Method.
Якщо ви виберете «Статичний», введіть IP-адресу, маску підмережі, шлюз і деталі сервера DNS. Цей вибір вимикає клієнт DHCP.
12

Посібник користувача
3. Порт локальної мережі сервера консолі автоматично визначає швидкість з’єднання Ethernet. Використовуйте розкривний список «Медіа», щоб зафіксувати Ethernet на 10 Мбіт/с або 100 Мбіт/с і на повний або напівдуплексний режим.
Якщо ви зіткнулися з втратою пакетів або низькою продуктивністю мережі з налаштуванням Auto, змініть налаштування Ethernet Media на сервері консолі та пристрої, до якого він підключений. У більшості випадків замініть обидва на 100baseTx-FD (100 мегабіт, повний дуплекс).
4. Якщо вибрати DHCP, сервер консолі шукатиме деталі конфігурації на сервері DHCP. Цей вибір вимикає будь-яку статичну адресу. MAC-адресу консольного сервера можна знайти на етикетці на базовій пластині.
5. Ви можете ввести додаткову адресу або список адрес, розділених комами, у нотації CIDR, наприклад 192.168.1.1/24 як псевдонім IP.
6. Натисніть «Застосувати». 7. Повторно підключіть браузер на комп’ютері, підключеному до сервера консолі, ввівши
http://your new IP address.
Якщо ви змінюєте IP-адресу сервера консолі, вам потрібно переналаштувати свій комп’ютер, щоб мати IP-адресу в тому ж діапазоні мережі, що й нова адреса сервера консолі. Ви можете встановити MTU на інтерфейсах Ethernet. Це розширений параметр, який використовується, якщо ваш сценарій розгортання не працює з MTU за замовчуванням 1500 байт. Щоб установити MTU, клацніть Система > IP і виберіть вкладку Мережевий інтерфейс. Прокрутіть вниз до поля MTU та введіть потрібне значення. Дійсні значення: від 1280 до 1500 для 100-мегабітних інтерфейсів і від 1280 до 9100 для гігабітних інтерфейсів. Якщо налаштовано мостове з’єднання або з’єднання, MTU, встановлений на сторінці «Мережевий інтерфейс», буде встановлено для інтерфейсів, які є частиною мосту або з’єднання. . ПРИМІТКА У деяких випадках указаний користувачем MTU може не діяти. Деякі драйвери мережевих карток можуть округляти занадто великі MTU до максимально допустимого значення, а інші повертатимуть код помилки. Ви також можете використовувати команду CLI для керування розміром MTU: configure
# config -s config.interfaces.wan.mtu=1380 перевірка
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode конфігурація без збереження стану .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Розділ 2: Конфігурація системи
2.3.1 Конфігурація IPv6 Інтерфейси Ethernet консольного сервера підтримують IPv4 за замовчуванням. Їх можна налаштувати для роботи IPv6:
1. Натисніть Система > IP. Перейдіть на вкладку Загальні параметри та поставте прапорець «Увімкнути IPv6». Якщо потрібно, установіть прапорець «Вимкнути IPv6 для стільникового зв’язку».
2. Налаштуйте параметри IPv6 на кожній сторінці інтерфейсу. IPv6 можна налаштувати для автоматичного режиму, який використовуватиме SLAAC або DHCPv6 для налаштування адрес, маршрутів і DNS, або для статичного режиму, який дозволяє вводити інформацію про адресу вручну.
2.3.2 Конфігурація динамічного DNS (DDNS) За допомогою динамічного DNS (DDNS) консольний сервер, IP-адресу якого динамічно призначається, можна знайти за допомогою фіксованого імені хоста або домену. Створіть обліковий запис у підтримуваного постачальника послуг DDNS на ваш вибір. Під час налаштування облікового запису DDNS ви обираєте ім’я користувача, пароль і ім’я хоста, які використовуватимете як ім’я DNS. Постачальники послуг DDNS дозволяють вибрати ім’я хоста URL і встановіть початкову IP-адресу, яка відповідає цьому імені хоста URL.
14

Посібник користувача
Щоб увімкнути та налаштувати DDNS для будь-якого підключення Ethernet або стільникової мережі на сервері консолі. 1. Клацніть Система > IP і прокрутіть униз розділ Динамічний DNS. Виберіть свого постачальника послуг DDNS
зі спадного списку Dynamic DNS. Ви також можете встановити інформацію DDNS на вкладці Стільниковий модем у розділі Система > Набір.
2. У полі DDNS Hostname введіть повне ім’я хоста DNS для вашого консольного сервера, наприклад, yourhostname.dyndns.org.
3. Введіть ім’я користувача DDNS і пароль DDNS для облікового запису постачальника послуг DDNS. 4. Вкажіть Максимальний інтервал між оновленнями в днях. Оновлення DDNS буде надіслано, навіть якщо
адреса не змінилася. 5. Вкажіть Мінімальний інтервал між перевірками змінених адрес у секундах. Оновлення будуть
буде надіслано, якщо адреса змінилася. 6. Укажіть максимальну кількість спроб оновлення, тобто кількість спроб оновлення
перш ніж здатися. За замовчуванням це 3. 7. Натисніть Застосувати.
15

Розділ 2: Конфігурація системи
2.3.3 Режим EAPoL для WAN, LAN та OOBFO
(OOBFO застосовується лише до IM7216-2-24E-DAC)
закінченоview EAPoL IEEE 802.1X або PNAC (керування мережевим доступом на основі портів) використовує характеристики фізичного доступу інфраструктури локальної мережі IEEE 802, щоб забезпечити засоби автентифікації та авторизації пристроїв, підключених до порту локальної мережі, який має точку-до- характеристики з’єднання точки та запобігання доступу до цього порту у випадках, коли автентифікація та авторизація не вдаються. У цьому контексті порт є єдиною точкою підключення до інфраструктури локальної мережі.
Коли новий бездротовий або дротовий вузол (WN) запитує доступ до ресурсу локальної мережі, точка доступу (AP) запитує ідентичність WN. До автентифікації WN («порт» закрито або «не автентифіковано») заборонено жодний інший трафік, крім EAP. Бездротовий вузол, який запитує автентифікацію, часто називають Заявником, Запитувач відповідає за відповідь на дані Аутентифікатора, які встановлять його облікові дані. Те саме стосується точки доступу; автентифікатор не є точкою доступу. Натомість точка доступу містить автентифікатор. Автентифікатору не обов’язково бути в точці доступу; це може бути зовнішній компонент. Реалізовано такі методи автентифікації:
· Заявник EAP-MD5 o Метод EAP MD5-Challenge використовує звичайне ім’я користувача/пароль
· EAP-PEAP-MD5 o Метод автентифікації EAP PEAP (захищений EAP) MD5 використовує облікові дані користувача та сертифікат CA
· EAP-TLS o Метод автентифікації EAP TLS (Transport Layer Security) потребує сертифіката CA, сертифіката клієнта та закритого ключа.
Протокол EAP, який використовується для автентифікації, спочатку використовувався для комутованого PPP. Ідентифікацією було ім’я користувача, а для перевірки пароля користувача використовувалася автентифікація PAP або CHAP. Оскільки ідентифікаційні дані надсилаються у відкритому вигляді (не зашифровані), зловмисник може дізнатися особу користувача. Тому використовується «приховування особистості»; справжня ідентифікація не надсилається до того, як зашифрований тунель TLS запрацює.
16

Посібник користувача
Після надсилання посвідчення починається процес автентифікації. Протокол, який використовується між Заявником і Аутентифікатором, — EAP (або EAPoL). Автентифікатор повторно інкапсулює повідомлення EAP у формат RADIUS і передає їх на сервер автентифікації. Під час автентифікації автентифікатор ретранслює пакети між запитувачем і сервером автентифікації. Після завершення процесу автентифікації сервер автентифікації надсилає повідомлення про успішне виконання (або помилку, якщо автентифікація не вдалася). Потім автентифікатор відкриває «порт» для Заявника. Доступ до налаштувань автентифікації можна отримати на сторінці налаштувань заявника EAPoL. Статус поточного EAPoL детально відображається на сторінці «Статистика стану» на вкладці EAPoL:
Абстракція EAPoL для мережевих ролей відображається в розділі «Диспетчер з’єднань» на інтерфейсі приладової панелі.
17

Розділ 2: Конфігурація системи
Нижче показано колишнійampфайл успішної автентифікації:
Підтримка IEEE 802.1x (EAPOL) на портах комутатора IM7216-2-24E-DAC і ACM7004-5: Щоб уникнути петель, користувачі не повинні підключати більше одного порту комутатора до одного комутатора верхнього рівня.
18

Посібник користувача
2.4 Доступ до служби та захист від грубої сили
Адміністратор може отримати доступ до сервера консолі та підключених послідовних портів і керованих пристроїв за допомогою ряду протоколів доступу/служб. Для кожного доступу
· Спершу необхідно налаштувати службу та ввімкнути її для роботи на сервері консолі. · Доступ через брандмауер має бути включений для кожного мережевого підключення. Щоб увімкнути та налаштувати службу: 1. Клацніть «Система» > «Служби» та виберіть вкладку «Параметри служби».

2. Увімкніть і налаштуйте основні служби:

HTTP

За замовчуванням служба HTTP працює, і її неможливо повністю вимкнути. За замовчуванням доступ HTTP вимкнено на всіх інтерфейсах. Ми рекомендуємо залишати цей доступ вимкненим, якщо доступ до сервера консолі здійснюється віддалено через Інтернет.
Альтернативний HTTP дозволяє налаштувати альтернативний порт HTTP для прослуховування. Служба HTTP продовжить прослуховувати TCP-порт 80 для зв’язку CMS і з’єднувача, але буде недоступна через брандмауер.

HTTPS

За замовчуванням служба HTTPS працює та ввімкнена на всіх мережевих інтерфейсах. Рекомендується використовувати лише доступ HTTPS, якщо консольним сервером потрібно керувати через будь-яку публічну мережу. Це забезпечує адміністраторам безпечний доступ у браузері до всіх меню на сервері консолі. Це також дозволяє належним чином налаштованим користувачам безпечний доступ браузера до вибраних меню керування.
Службу HTTPS можна вимкнути або знову ввімкнути, позначивши HTTPS Web Керування та вказано альтернативний порт (порт за замовчуванням 443).

Telnet

За замовчуванням служба Telnet запущена, але вимкнена на всіх мережевих інтерфейсах.
Telnet можна використовувати, щоб надати адміністратору доступ до оболонки командного рядка системи. Ця послуга може бути корисною для доступу локального адміністратора та користувача до вибраних послідовних консолей. Ми рекомендуємо вимкнути цю службу, якщо консольний сервер адмініструється віддалено.
Прапорець Увімкнути командну оболонку Telnet увімкне або вимкне службу Telnet. Альтернативний порт Telnet для прослуховування можна вказати в Alternate Telnet Port (порт за замовчуванням — 23).

Розділ 2: Конфігурація системи

SSH

Ця послуга забезпечує безпечний SSH-доступ до консольного сервера та підключених пристроїв

і за замовчуванням служба SSH запущена та ввімкнена на всіх інтерфейсах. Це є

рекомендовано вибрати SSH як протокол, до якого підключається адміністратор

сервер консолі через Інтернет або будь-яку іншу публічну мережу. Це забезпечить

автентифікований зв’язок між клієнтською програмою SSH на віддаленому пристрої

комп’ютер і сервер SSH на сервері консолі. Для отримання додаткової інформації про SSH

Конфігурація див. Розділ 8 – Автентифікація.

Прапорець Увімкнути командну оболонку SSH увімкне або вимкне цю службу. Альтернативний порт SSH для прослуховування можна вказати в порті командної оболонки SSH (порт за замовчуванням — 22).

3. Увімкніть і налаштуйте інші служби:

TFTP/FTP Якщо флеш-карта USB або внутрішня флеш-карта виявлена на сервері консолі, прапорець Увімкнути службу TFTP (FTP) увімкне цю службу та налаштує tftp і ftp-сервер за замовчуванням на флеш-пам’яті USB. Ці сервери використовуються для зберігання конфігурації files, ведення журналів доступу та транзакцій тощо. FileПередані за допомогою tftp і ftp зберігатимуться в /var/mnt/storage.usb/tftpboot/ (або /var/mnt/storage.nvlog/tftpboot/ на пристроях серії ACM7000). Знявши прапорець Увімкнути службу TFTP (FTP), служба TFTP (FTP) буде вимкнена.

Перевірка DNS Relay Увімкнути DNS-сервер/ретрансляцію вмикає функцію DNS-ретрансляції, щоб клієнти могли налаштувати IP-адресу консольного сервера для своїх налаштувань DNS-сервера, а консольний сервер пересилатиме DNS-запити на справжній DNS-сервер.

Web Увімкнути перевірку терміналу Web Термінал дозволяє web доступ браузера до оболонки системного командного рядка через «Керування» > «Термінал».

4. Укажіть альтернативні номери портів для служб Raw TCP, прямого Telnet/SSH і неавтентифікованих служб Telnet/SSH. Консольний сервер використовує певні діапазони для портів TCP/IP для різного доступу
служби, які користувачі можуть використовувати для доступу до пристроїв, підключених до послідовних портів (як описано в Розділі 3 Налаштування послідовних портів). Адміністратор може встановити альтернативні діапазони для цих служб, і ці додаткові порти використовуватимуться на додаток до стандартних.

Типовою адресою базового порту TCP/IP для доступу Telnet є 2000, а діапазоном для Telnet є IP-адреса: порт (2000 + номер послідовного порту), тобто 2001 2048. Якщо адміністратор встановить 8000 як вторинну базу для Telnet, послідовний до порту №2 на сервері консолі можна отримати доступ через Telnet за IP
Адреса: 2002 та IP-адреса: 8002. Стандартна база для SSH становить 3000; для Raw TCP становить 4000; а для RFC2217 це 5000

5. Інші служби можна ввімкнути та налаштувати в цьому меню, вибравши Натисніть тут, щоб налаштувати:

Nagios Доступ до демонов моніторингу Nagios NRPE

ГАЙКА

Доступ до демона моніторингу NUT UPS

SNMP Вмикає snmp на сервері консолі. SNMP вимкнено за замовчуванням

NTP

6. Натисніть Застосувати. З’явиться повідомлення про підтвердження: Повідомлення Зміни конфігурації успішні

У налаштуваннях доступу до служб можна налаштувати дозвіл або блокування доступу. Це визначає, які ввімкнені служби адміністратори можуть використовувати через кожен мережевий інтерфейс для підключення до консольного сервера та через консольний сервер до підключених послідовних і мережевих пристроїв.

Посібник користувача
1. Виберіть вкладку Доступ до служби на сторінці Система > Служби.
2. Це відображає ввімкнені служби для мережевих інтерфейсів консольного сервера. Залежно від конкретної моделі консольного сервера відображені інтерфейси можуть включати: · Мережевий інтерфейс (для основного з’єднання Ethernet) · Керування локальною мережею / OOB Failover (другі з’єднання Ethernet) · Телефонне з’єднання/стільниковий зв’язок (модем V90 і 3G) · Телефонне підключення (внутрішнє) або зовнішній модем V90) · VPN (з'єднання IPsec або Open VPN через будь-який мережевий інтерфейс)
3. Поставте/зніміть прапорці для кожної мережі, доступ до якої служби потрібно ввімкнути/вимкнути Параметри доступу до служби «Відповідь на відлуння ICMP» (тобто ping), які можна налаштувати на цьомуtagд. Це дозволяє серверу консолі відповідати на вхідні ехо-запити ICMP. Ping увімкнено за замовчуванням. Для підвищення безпеки вам слід вимкнути цю службу після завершення початкової конфігурації. Ви можете дозволити доступ до пристроїв з послідовним портом із визначених мережевих інтерфейсів за допомогою Raw TCP, прямого Telnet/SSH, неавтентифікованих служб Telnet/SSH тощо.
4. Натисніть Застосувати Web Параметри керування. Прапорець «Увімкнути HSTS» вмикає сувору безпеку транспортування HTTP. Режим HSTS означає, що заголовок StrictTransport-Security має надсилатися через транспорт HTTPS. Поступливий web браузер запам’ятовує цей заголовок, і коли його попросять зв’язатися з тим самим хостом через HTTP (простий), він автоматично переключиться на нього
19

Розділ 2: Конфігурація системи
HTTPS перед спробою HTTP, якщо браузер один раз отримав доступ до безпечного сайту та побачив заголовок STS.
Захист від грубої сили Захист від грубої сили (Micro Fail2ban) тимчасово блокує вихідні IP-адреси, які демонструють ознаки зловмисності, наприклад занадто багато помилкових паролів. Це може допомогти, коли мережеві служби пристрою піддаються впливу ненадійної мережі, наприклад загальнодоступної глобальної мережі, і атаки зі сценарієм або програмні черв’яки намагаються вгадати (грубою силою) облікові дані користувача та отримати неавторизований доступ.

Для перелічених служб можна ввімкнути захист від грубої сили. За замовчуванням, коли захист увімкнено, 3 або більше невдалих спроб підключення протягом 60 секунд із певної IP-адреси джерела призводять до заборони підключення протягом настроюваного періоду часу. Ліміт спроб і тайм-аут заборони можна налаштувати. Активні бани також перераховані, і їх можна оновити, перезавантаживши сторінку.

ПРИМІТКА

Під час роботи в ненадійній мережі подумайте про використання різноманітних стратегій, які використовуються для блокування віддаленого доступу. Це включає автентифікацію з відкритим ключем SSH, VPN і правила брандмауера
дозволений список віддаленого доступу лише з довірених вихідних мереж. Докладніше дивіться в базі знань Opengear.

2.5 Комунікаційне програмне забезпечення
Ви налаштували протоколи доступу для використання клієнтом адміністратора під час підключення до сервера консолі. Клієнти користувачів також використовують ці протоколи під час доступу до пристроїв, підключених до послідовного підключення до консольного сервера, і хостів, підключених до мережі. На клієнтському комп’ютері адміністратора та користувача потрібні засоби комунікаційного програмного забезпечення. Для підключення ви можете використовувати такі інструменти, як PuTTY і SSHTerm.

Посібник користувача
Комерційно доступні з’єднувачі поєднують надійний протокол тунелювання SSH із такими популярними інструментами доступу, як Telnet, SSH, HTTP, HTTPS, VNC, RDP, щоб забезпечити безпечний віддалений доступ до всіх систем і пристроїв, якими керують. Інформацію про використання конекторів для доступу браузера до консолі керування консольного сервера, доступу Telnet/SSH до командного рядка консольного сервера та підключення TCP/UDP до хостів, підключених до мережі з консольним сервером, можна знайти в розділі 5. Конектори можна встановлено на ПК з Windows, Mac OS X і на більшості систем Linux, UNIX і Solaris.
2.6 Конфігурація мережі керування
Консольні сервери мають додаткові мережеві порти, які можна налаштувати для забезпечення доступу до локальної мережі керування та/або відновлення після відмови чи позасмугового доступу. 2.6.1 Увімкнути консоль керування локальною мережею Сервери можна налаштувати так, щоб другий порт Ethernet забезпечував шлюз локальної мережі керування. Шлюз має функції брандмауера, маршрутизатора та DHCP-сервера. Вам потрібно підключити зовнішній комутатор локальної мережі до мережі 2, щоб приєднати хости до цієї локальної мережі керування:
ПРИМІТКА. Другий порт Ethernet можна налаштувати як порт шлюзу локальної мережі керування або як OOB/порт відновлення після відмови. Переконайтеся, що ви не виділили NET2 як інтерфейс відновлення після відмови, коли налаштовували основне мережеве підключення в меню Система > IP.
21

Розділ 2: Конфігурація системи
Щоб налаштувати шлюз локальної мережі керування: 1. Виберіть вкладку Інтерфейс локальної мережі керування в меню Система > IP і зніміть прапорець Вимкнути. 2. Налаштуйте IP-адресу та маску підмережі для локальної мережі керування. Залиште поля DNS порожніми. 3. Натисніть Застосувати.
Функцію шлюзу керування ввімкнуто з брандмауером і правилами маршрутизатора за замовчуванням, налаштованими таким чином, що локальна мережа керування доступна лише через перенаправлення портів SSH. Це гарантує безпеку віддалених і локальних з’єднань із керованими пристроями в локальній мережі керування. Порти локальної мережі також можна налаштувати в режимі мосту або зв’язку або вручну з командного рядка. 2.6.2 Налаштування сервера DHCP Сервер DHCP дозволяє автоматично розподіляти IP-адреси на пристрої в локальній мережі керування, на яких запущено клієнти DHCP. Щоб увімкнути сервер DHCP:
1. Натисніть Система > Сервер DHCP. 2. На вкладці «Мережевий інтерфейс» установіть прапорець «Увімкнути сервер DHCP».
22

Посібник користувача
3. Введіть адресу шлюзу, яка буде видана клієнтам DHCP. Якщо це поле залишити порожнім, використовується IP-адреса консольного сервера.
4. Введіть первинну DNS-адресу та вторинну DNS-адресу для надання клієнтам DHCP. Якщо це поле залишити порожнім, використовується IP-адреса консольного сервера.
5. Додатково введіть суфікс імені домену, щоб видавати клієнтам DHCP. 6. Введіть час оренди за умовчанням і максимальний час оренди в секундах. Це кількість часу
що динамічно призначена IP-адреса є дійсною, перш ніж клієнт повинен запитати її знову. 7. Натисніть «Застосувати». DHCP-сервер видає IP-адреси з указаних пулів адрес: 1. Натисніть «Додати» в полі «Пули динамічного розподілу адрес». 2. Введіть початкову та кінцеву адресу пулу DHCP. 3. Натисніть Застосувати.
23

Розділ 2: Конфігурація системи
Сервер DHCP також підтримує попереднє призначення IP-адрес для певних MAC-адрес і резервування IP-адрес для використання підключеними хостами з фіксованими IP-адресами. Щоб зарезервувати IP-адресу для певного хоста:
1. Натисніть «Додати» в полі «Зарезервовані адреси». 2. Введіть ім’я хоста, апаратну адресу (MAC) і статично зарезервовану IP-адресу для
клієнт DHCP і натисніть «Застосувати».
Коли DHCP виділив адреси хостів, рекомендується скопіювати їх у попередньо призначений список, щоб ту саму IP-адресу було перерозподілено у випадку перезавантаження.
24

Посібник користувача
2.6.3 Вибір відмовостійкості або широкосмугового OOB Консольні сервери надають опцію відмовостійкості, тому в разі проблеми з використанням основного з’єднання локальної мережі для доступу до сервера консолі використовується альтернативний шлях доступу. Щоб увімкнути відновлення після відмови:
1. Виберіть сторінку «Мережевий інтерфейс» у меню «Система» > «IP». 2. Виберіть «Інтерфейс відновлення після відмови», який буде використовуватися у разіtage в основній мережі.
3. Натисніть Застосувати. Відмова стає активною після того, як ви вкажете зовнішні сайти, які потрібно перевірити, щоб ініціювати відмову, і налаштуєте порти відмов.
2.6.4 Агрегування мережевих портів За замовчуванням до мережевих портів локальної мережі керування консольного сервера можна отримати доступ за допомогою тунелювання SSH/переадресації портів або шляхом встановлення тунелю IPsec VPN до сервера консолі. Усі порти дротової мережі на серверах консолі можна об’єднати за допомогою мосту або з’єднання.
25

Посібник користувача
· За замовчуванням агрегацію інтерфейсів вимкнено в меню «Система» > «IP» > «Загальні параметри» · Виберіть «Інтерфейси мосту» або «Інтерфейси зв’язку».
o Коли з’єднання ввімкнено, мережевий трафік пересилається через усі порти Ethernet без обмежень брандмауера. Усі порти Ethernet прозоро з’єднані на канальному рівні (рівень 2), тому вони зберігають свої унікальні MAC-адреси
o При з’єднанні мережевий трафік передається між портами, але присутній з однією MAC-адресою
Обидва режими видаляють усі функції інтерфейсу локальної мережі керування та інтерфейсу поза смугою/відмовостійкості та вимикають сервер DHCP · У режимі агрегації всі порти Ethernet спільно налаштовуються за допомогою меню мережевого інтерфейсу
25

Розділ 2: Конфігурація системи
2.6.5 Статичні маршрути Статичні маршрути забезпечують дуже швидкий спосіб маршрутизації даних з однієї підмережі в іншу підмережу. Ви можете жорстко закодувати шлях, який повідомляє консольному серверу/маршрутизатору дістатися до певної підмережі за допомогою певного шляху. Це може бути корисним для доступу до різних підмереж на віддаленому сайті під час використання стільникового OOB-з’єднання.

Щоб додати до статичного маршруту в таблицю маршрутів Системи:
1. Виберіть вкладку Параметри маршруту в меню Система > Загальні параметри IP.
2. Натисніть Новий маршрут
3. Введіть назву маршруту.
4. У полі Destination Network/Host введіть IP-адресу цільової мережі/хосту, до якого маршрут надає доступ.
5. Введіть значення в поле Destination netmask, яке ідентифікує цільову мережу або хост. Будь-яке число від 0 до 32. Маска підмережі 32 визначає маршрут хосту.
6. Введіть Route Gateway з IP-адресою маршрутизатора, який направлятиме пакети до мережі призначення. Це поле можна залишити порожнім.
7. Виберіть інтерфейс, який потрібно використовувати для досягнення пункту призначення, можна залишити значенням «Немає».
8. Введіть значення в поле Метрика, яке представляє метрику цього з’єднання. Використовуйте будь-яке число, що дорівнює або перевищує 0. Це потрібно встановити, лише якщо два чи більше маршрутів конфліктують або мають цілі, що збігаються.
9. Натисніть Застосувати.

ПРИМІТКА

Сторінка деталей маршруту містить список мережевих інтерфейсів і модемів, до яких можна прив’язати маршрут. У випадку модему маршрут буде додано до будь-якого сеансу комутованого доступу, встановленого через цей пристрій. Маршрут можна вказати за допомогою шлюзу, інтерфейсу або обох. Якщо вказаний інтерфейс неактивний, маршрути, налаштовані для цього інтерфейсу, не будуть активними.

Посібник користувача 3. Послідовний порт, хост, пристрій і конфігурація користувача
Сервер консолі забезпечує доступ і керування послідовними пристроями та пристроями, підключеними до мережі (хостами). Адміністратор повинен налаштувати права доступу для кожного з цих пристроїв і вказати служби, які можна використовувати для керування пристроями. Адміністратор також може налаштувати нових користувачів і вказати індивідуальні права доступу та контролю для кожного користувача.
У цьому розділі описано кожен із кроків у налаштуванні підключених до мережі та послідовно підключених пристроїв: · Послідовні порти, налаштування протоколів, які використовують послідовно підключені пристрої · Користувачі та групи, налаштування користувачів і визначення дозволів доступу для кожного з цих користувачів · Автентифікація, про що йдеться далі подробиці в Розділі 8 · Мережні хости, які налаштовують доступ до підключених до локальної мережі комп’ютерів або пристроїв (хостів) · Налаштування довірених мереж – призначають IP-адреси, з яких мають доступ довірені користувачі · Каскадування та перенаправлення послідовних консольних портів · Підключення до джерела живлення (UPS, PDU та IPMI) та пристрої моніторингу навколишнього середовища (EMD) · Перенаправлення послідовного порту за допомогою вікон PortShare та клієнтів Linux · Керовані пристрої – представляє консолідовану view усіх з’єднань · IPSec із підключенням VPN · OpenVPN · PPTP
3.1 Налаштувати послідовні порти
Першим кроком у налаштуванні послідовного порту є встановлення загальних налаштувань, таких як протоколи та параметри RS232, які використовуватимуться для підключення даних до цього порту (наприклад, швидкість передачі даних). Виберіть, у якому режимі працюватиме порт. Кожен порт можна налаштувати для підтримки одного з цих режимів роботи:
· Режим вимкнено за замовчуванням, послідовний порт неактивний
27

Розділ 3:

Конфігурація послідовного порту, хоста, пристрою та користувача

· Режим консольного сервера забезпечує загальний доступ до послідовного консольного порту на послідовно підключених пристроях
· Режим пристрою встановлює послідовний порт для зв’язку з інтелектуальним керованим послідовним блоком живлення, ДБЖ або пристроями моніторингу навколишнього середовища (EMD)
· Режим термінального сервера встановлює послідовний порт на очікування вхідного термінального сеансу входу в систему · Режим послідовного мосту забезпечує прозоре з'єднання двох пристроїв послідовного порту через
мережі.
1. Виберіть «Послідовний і мережевий порт» > «Послідовний порт», щоб відобразити деталі послідовного порту. 2. За замовчуванням кожен послідовний порт налаштовано в режимі консольного сервера. Натисніть Редагувати біля потрібного порту
переналаштований. Або клацніть «Редагувати кілька портів» і виберіть порти, які потрібно налаштувати як групу. 3. Після того, як ви переконфігурували загальні параметри та режим для кожного порту, налаштуйте будь-який віддалений системний журнал (перегляньте наступні розділи для отримання конкретної інформації). Натисніть «Застосувати» 4. Якщо сервер консолі налаштовано з увімкненим розподіленим моніторингом Nagios, скористайтеся параметрами налаштувань Nagios, щоб увімкнути моніторинг призначених служб на хості 3.1.1 Загальні параметри Для кожного послідовного номера можна встановити ряд загальних параметрів порт. Вони не залежать від режиму, у якому використовується порт. Ці параметри послідовного порту мають бути встановлені так, щоб вони відповідали параметрам послідовного порту на пристрої, який ви підключаєте до цього порту:
28

Посібник користувача

· Введіть мітку для порту · Виберіть відповідну швидкість передачі даних, парність, біти даних, стоп-біти та керування потоком для кожного порту

· Встановіть розпіновку порту. Цей пункт меню з’являється для портів IM7200, де контакти для кожного послідовного порту RJ45 можна встановити як X2 (Cisco Straight) або X1 (Cisco Rolled)

· Встановити режим DTR. Це дозволяє вам вибрати, чи DTR затверджуватись завжди чи лише за наявності активного сеансу користувача

· Перш ніж продовжувати конфігурацію послідовного порту, вам слід підключити порти до послідовних пристроїв, якими вони будуть керувати, і переконатися, що вони мають відповідні налаштування

3.1.2

Режим консольного сервера
Виберіть Режим сервера консолі, щоб увімкнути віддалений доступ до послідовної консолі, підключеної до цього послідовного порту:

Рівень реєстрації Це визначає рівень інформації для реєстрації та моніторингу.
29

Розділ 3: Послідовний порт, хост, пристрій і конфігурація користувача
Рівень 0: Вимкнути журналювання (за замовчуванням)
Рівень 1: Реєстрація подій LOGIN, LOGOUT і SIGNAL
Рівень 2: Реєстрація подій LOGIN, LOGOUT, SIGNAL, TXDATA та RXDATA
Рівень 3: Реєстрація подій LOGIN, LOGOUT, SIGNAL і RXDATA
Рівень 4: Реєстрація подій LOGIN, LOGOUT, SIGNAL і TXDATA
Input/RXDATA — це дані, отримані пристроєм Opengear від підключеного послідовного пристрою, а output/TXDATA — це дані, надіслані пристроєм Opengear (наприклад, введені користувачем) на підключений послідовний пристрій.
Консолі пристроїв зазвичай повторюють символи під час їх введення, тому TXDATA, введений користувачем, згодом отримується як RXDATA, що відображається на його терміналі.
ПРИМІТКА. Після запиту пароля підключений пристрій надсилає символи *, щоб пароль не відображався.

Telnet Коли службу Telnet увімкнено на сервері консолі, клієнт Telnet на комп’ютері користувача може підключитися до послідовного пристрою, підключеного до цього послідовного порту на сервері консолі. Оскільки зв’язок Telnet не шифрується, цей протокол рекомендований лише для локальних з’єднань або з’єднань через VPN.
Якщо віддалений зв’язок тунелюється за допомогою з’єднувача, Telnet можна використовувати для безпечного доступу до цих підключених пристроїв.

ПРИМІТКА

У режимі консольного сервера користувачі можуть використовувати з’єднувач для встановлення безпечних з’єднань Telnet, які тунелюються через SSH від їхніх клієнтських комп’ютерів до послідовного порту на сервері консолі. З’єднувачі можна інсталювати на комп’ютерах Windows і більшості платформ Linux, і це дозволяє вибирати захищені з’єднання Telnet за допомогою «вкажи й клацни».

Щоб використовувати з’єднувач для доступу до консолей на послідовних портах сервера консолі, налаштуйте з’єднувач із сервером консолі як шлюз і як хост і ввімкніть службу Telnet на порту (2000 + номер послідовного порту), тобто 2001.

Ви також можете використовувати стандартні комунікаційні пакети, такі як PuTTY, щоб встановити пряме підключення Telnet або SSH до послідовних портів.

ПРИМІТКА У режимі консольного сервера під час підключення до послідовного порту ви підключаєтесь через pmshell. Щоб створити BREAK на послідовному порту, введіть послідовність символів ~b. Якщо ви робите це через OpenSSH, введіть ~~b.

SSH

Рекомендується використовувати SSH як протокол, коли користувачі підключаються до консольного сервера

(або підключитися через сервер консолі до підключених послідовних консолей) через Інтернет або будь-який інший

іншу публічну мережу.

Для доступу SSH до консолей на пристроях, підключених до послідовних портів сервера консолі, можна використовувати конектор. Налаштуйте з’єднувач із консольним сервером як шлюз і як хост і ввімкніть службу SSH на порту (3000 + послідовний порт №), тобто 3001-3048.

Ви також можете використовувати звичайні комунікаційні пакети, такі як PuTTY або SSHTerm, щоб SSH підключатися до адреси порту IP-адреса _ порт (3000 + номер послідовного порту), тобто 3001

Підключення SSH можна налаштувати за допомогою стандартного порту SSH 22. Послідовний порт, до якого здійснюється доступ, ідентифікується шляхом додавання дескриптора до імені користувача. Цей синтаксис підтримує:

Посібник користувача
: : Щоб користувач із іменем chris міг отримати доступ до послідовного порту 2, під час налаштування SSH-клієнта SSHTerm або PuTTY замість введення імені користувача = chris і ssh port = 3002 можна ввести ім’я користувача = chris:port02 (або ім’я користувача = chris: ttyS1) і ssh port = 22. Або ввівши username=chris:serial і ssh port = 22, користувачеві пропонується вибрати порт:

Цей синтаксис дає змогу користувачам налаштовувати SSH-тунелі до всіх послідовних портів з єдиним IP-портом 22, який потрібно відкрити на брандмауері/шлюзі
ПРИМІТКА У режимі консольного сервера ви підключаєтесь до послідовного порту через pmshell. Щоб створити BREAK на послідовному порту, введіть послідовність символів ~b. Якщо ви робите це через OpenSSH, введіть ~~b.

TCP

RAW TCP дозволяє підключення до TCP-сокета. Хоча комунікаційні програми, такі як PuTTY

також підтримує RAW TCP, цей протокол зазвичай використовується спеціальним додатком

Для RAW TCP адресою порту за замовчуванням є IP-адреса _ порт (4000 + номер послідовного порту), тобто 4001 4048

RAW TCP також дає змогу тунелювати послідовний порт до віддаленого консольного сервера, тож два пристрої з послідовним портом можуть прозоро з’єднуватися між собою через мережу (див. розділ 3.1.6 «Послідовний міст»).

RFC2217 Вибір RFC2217 увімкне переспрямування послідовного порту на цьому порту. Для RFC2217 адресою порту за замовчуванням є IP-адреса _ порт (5000 + номер послідовного порту), тобто 5001 5048
Для Windows UNIX і Linux доступне спеціальне клієнтське програмне забезпечення, яке підтримує віртуальні com-порти RFC2217, тому віддалений хост може контролювати та керувати віддаленими пристроями, підключеними послідовно, так, ніби вони підключені до локального послідовного порту (докладніше див. у розділі 3.6 Перенаправлення послідовного порту)
RFC2217 також дозволяє тунелювати послідовний порт до віддаленого консольного сервера, щоб два пристрої з послідовним портом могли прозоро з’єднуватися через мережу (див. Розділ 3.1.6 Послідовне з’єднання)

Unauthenticated Telnet Це дозволяє отримати доступ через Telnet до послідовного порту без облікових даних автентифікації. Коли користувач отримує доступ до консольного сервера Telnet через послідовний порт, йому надається запит на вхід. За допомогою неавтентифікованого Telnet вони підключаються безпосередньо до порту без будь-яких викликів входу на консольний сервер. Якщо клієнт Telnet запитує автентифікацію, будь-які введені дані дозволяють підключення.

Розділ 3: Послідовний порт, хост, пристрій і конфігурація користувача
Цей режим використовується із зовнішньою системою (наприклад, консерватором), яка керує автентифікацією користувача та правами доступу на рівні послідовного пристрою.
Для входу на пристрій, підключений до сервера консолі, може знадобитися автентифікація.
Для неавтентифікованого Telnet адресою порту за замовчуванням є IP-адреса _ порт (6000 + номер послідовного порту), тобто 6001 6048

Неаутентифікований SSH Це дозволяє отримати доступ SSH до послідовного порту без облікових даних автентифікації. Коли користувач отримує доступ до консольного сервера Telnet через послідовний порт, йому надається запит на вхід. За допомогою неавтентифікованого SSH вони підключаються безпосередньо до порту без будь-яких викликів входу на консольний сервер.
Цей режим використовується, коли у вас є інша система, яка керує автентифікацією користувача та правами доступу на рівні послідовного пристрою, але ви хочете зашифрувати сеанс у мережі.
Для входу на пристрій, підключений до сервера консолі, може знадобитися автентифікація.
Для неавтентифікованого Telnet адресою порту за замовчуванням є IP-адреса _ порт (7000 + номер послідовного порту), тобто 7001 7048
The : метод доступу до порту (як описано у вищезазначеному розділі SSH) завжди вимагає автентифікації.

Web Термінал Це дозволяє web доступ браузера до послідовного порту через Manage > Devices: Serial за допомогою вбудованого терміналу AJAX Консолі керування. Web Термінал підключається як поточний автентифікований користувач консолі керування та не виконує повторну автентифікацію. Додаткову інформацію див. у розділі 12.3.

Псевдонім IP

Увімкніть доступ до послідовного порту за допомогою певної IP-адреси, указаної у форматі CIDR. Кожному послідовному порту можна призначити один або кілька псевдонімів IP, налаштованих для кожного мережевого інтерфейсу. Послідовний порт може, напрample, бути доступним як за адресою 192.168.0.148 (як частина внутрішньої мережі), так і за адресою 10.10.10.148 (як частина локальної мережі керування). Також можна зробити послідовний порт доступним для двох IP-адрес в одній мережі (наприклад,ample, 192.168.0.148 і 192.168.0.248).

Ці IP-адреси можна використовувати лише для доступу до певного послідовного порту, доступного за допомогою номерів портів TCP стандартного протоколу служб консольного сервера. наприкладample, SSH на послідовному порту 3 буде доступний на порту 22 псевдоніма IP послідовного порту (тоді як на основній адресі сервера консолі він доступний на порту 2003).

Цю функцію також можна налаштувати на сторінці редагування кількох портів. У цьому випадку IP-адреси застосовуються послідовно, при цьому IP-адреса вводиться для першого вибраного порту, а наступні збільшуються, а номери для будь-яких невибраних портів пропускаються. наприкладample, якщо вибрано порти 2, 3 і 5 і введено псевдонім IP 10.0.0.1/24 для мережевого інтерфейсу, призначаються такі адреси:

Порт 2: 10.0.0.1/24

Порт 3: 10.0.0.2/24

Порт 5: 10.0.0.4/24

Псевдоніми IP також підтримують псевдоніми адрес IPv6. Єдина відмінність полягає в тому, що адреси є шістнадцятковими числами, тому порт 10 може відповідати адресі, яка закінчується на A, а 11 – одній, що закінчується на B, а не 10 або 11 згідно з IPv4.

Посібник користувача
Шифрувати трафік / автентифікувати Увімкнути тривіальне шифрування та автентифікацію послідовних з’єднань RFC2217 за допомогою Portshare (для надійного шифрування використовуйте VPN).
Період накопичення Після встановлення з’єднання для певного послідовного порту (наприклад, переспрямування RFC2217 або підключення Telnet до віддаленого комп’ютера), будь-які вхідні символи на цьому порту пересилаються через мережу посимвольно. Період накопичення вказує проміжок часу, протягом якого вхідні символи збираються перед надсиланням у вигляді пакета через мережу
Escape Character Змініть символ, який використовується для надсилання Escape-символів. За замовчуванням ~. Замінити Backspace Замінити значення Backspace за умовчанням CTRL+? (127) за допомогою CTRL+h (8). Меню живлення Команда для виклику меню живлення ~p і вмикає команду живлення оболонки таким чином: a
користувач може контролювати підключення живлення до керованого пристрою з командного рядка, коли він підключений до пристрою через Telnet або SSH. На керованому пристрої має бути налаштовано підключення до послідовного порту та живлення.
Єдине з’єднання Це обмежує порт до одного з’єднання, тому, якщо кілька користувачів мають права доступу до певного порту, лише один користувач може одночасно отримати доступ до цього порту (тобто стеження за портом заборонено).
33

Розділ 3: Послідовний порт, хост, пристрій і конфігурація користувача
3.1.3 Режим пристрою (RPC, UPS, Environmental) Цей режим налаштовує вибраний послідовний порт для зв’язку з керованим послідовним джерелом безперебійного живлення (UPS), дистанційним контролером живлення/блоками розподілу живлення (RPC) або пристроєм моніторингу довкілля (Environmental)

1. Виберіть потрібний тип пристрою (UPS, RPC або Environmental)
2. Перейдіть до відповідної сторінки конфігурації пристрою (Послідовний і мережевий порт > Підключення ДБЖ, Підключення RPC або Середовище), як описано в Розділі 7.

3.1.4 ·

Режим сервера терміналів
Виберіть режим термінального сервера та тип терміналу (vt220, vt102, vt100, Linux або ANSI), щоб увімкнути getty на вибраному послідовному порту

Getty налаштовує порт і чекає встановлення з’єднання. Активне підключення на пристрої з послідовним портом позначається піднятим контактом виявлення носія даних (DCD) на пристрої з послідовним портом. Коли з’єднання виявлено, програма getty видає підказку login: і викликає програму входу для входу в систему.
ПРИМІТКА. Вибір режиму сервера терміналів вимикає диспетчер портів для цього послідовного порту, тому дані більше не реєструються для сповіщень тощо.

Посібник користувача
3.1.5 Режим послідовного мосту За допомогою послідовного мосту послідовні дані на призначеному послідовному порту на одному консольному сервері інкапсулюються в мережеві пакети та передаються через мережу на другий консольний сервер, де вони представлені як послідовні дані. Два консольні сервери діють як віртуальний послідовний кабель через мережу IP. Один консольний сервер налаштовано як Сервер. Послідовний порт сервера, який потрібно з’єднати, налаштовано в режимі консольного сервера з увімкненим RFC2217 або RAW. Для сервера консолі клієнта послідовний порт, який потрібно з’єднати, має бути встановлено в режимі мосту:
· Виберіть режим послідовного мосту та вкажіть IP-адресу сервера консолі сервера та адресу TCP-порту віддаленого послідовного порту (для мосту RFC2217 це буде 5001-5048)
· За замовчуванням клієнт мосту використовує RAW TCP. Виберіть RFC2217, якщо це режим консольного сервера, який ви вказали на сервері консольного сервера
· Ви можете захистити зв’язок через локальну мережу Ethernet, увімкнувши SSH. Згенеруйте та завантажте ключі.
3.1.6 Системний журнал На додаток до вбудованого журналювання та моніторингу, які можна застосувати до доступу до керування через послідовне та мережеве підключення, як описано в розділі 6, консольний сервер також можна налаштувати для підтримки віддаленого протоколу системного журналу на кожному послідовному порту. основа:
· Виберіть поля Syslog Facility/Priority, щоб увімкнути журнал трафіку на вибраному послідовному порту до сервера системного журналу; а також сортувати та діяти з цими зареєстрованими повідомленнями (тобто перенаправляти їх / надсилати сповіщення електронною поштою.)
35

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
наприкладample, якщо комп’ютер, під’єднаний до послідовного порту 3, ніколи не повинен надсилати нічого через свій послідовний порт консолі, адміністратор може встановити для цього порту значення local0 (local0 .. local7 призначено для локальних значень сайту), а пріоритет — критичний . При такому пріоритеті, якщо сервер системного журналу консольного сервера отримує повідомлення, він створює сповіщення. Див. Розділ 6. 3.1.7 Потокова передача NMEA ACM7000-L може забезпечувати потокову передачу даних GPS NMEA із внутрішнього GPS/стільникового модему. Цей потік даних представлений як послідовний потік даних на порту 5 на моделях ACM.
Загальні налаштування (швидкість передачі даних тощо) ігноруються під час налаштування послідовного порту NMEA. Ви можете вказати частоту фіксації (тобто ця частота фіксації GPS визначає частоту отримання фіксації GPS). Ви також можете застосувати до цього порту всі налаштування режиму консольного сервера, системного журналу та послідовного мосту.
Ви можете використовувати pmshell, webоболонка, SSH, RFC2217 або RawTCP, щоб отримати доступ до потоку:
наприкладample, використовуючи Web Термінал:
36

Посібник користувача

3.1.8 Консолі USB
Консольні сервери з USB-портами підтримують підключення консолі USB до пристроїв від багатьох виробників, включаючи Cisco, HP, Dell і Brocade. Ці USB-порти також можуть функціонувати як звичайні послідовні порти RS-232, якщо підключено USB-послідовний адаптер.

Ці порти USB доступні як звичайні порти диспетчера портів і представлені номерами в web Інтерфейс після всіх послідовних портів RJ45.

ACM7008-2 має вісім послідовних портів RJ45 на задній панелі консольного сервера та чотири порти USB на передній панелі. У розділі Послідовний порт і мережа > Послідовний порт вони вказані як

Роз'єм № порту

RJ45

USB

10 USB

11 USB

12 USB

Якщо конкретний ACM7008-2 є стільниковою моделлю, порт №13 — для GPS — також буде вказано.

7216-24U має 16 послідовних портів RJ45 і 24 порти USB на задній панелі, а також два порти USB на передній панелі та (у стільниковій моделі) GPS.

Послідовні порти RJ45 представлені в розділі «Послідовний порт і мережа» > «Послідовний порт» під номерами портів 1. 16 задніх USB-порти мають номери портів 24, а передні USB-порти вказані під номерами портів 17 і 40 відповідно. І, як і у випадку з ACM41-42, якщо конкретний 7008-2U є стільниковою моделлю, GPS представлений у порту номер 7216.

Загальні параметри (швидкість передачі даних тощо) використовуються під час налаштування портів, але деякі операції можуть не працювати залежно від реалізації базової мікросхеми послідовного порту USB.

3.2 Додавання та редагування користувачів
Адміністратор використовує цей пункт меню для створення, редагування та видалення користувачів, а також для визначення прав доступу для кожного з цих користувачів.

Розділ 3: Послідовний порт, конфігурація пристрою та користувача

Користувачам можна авторизувати доступ до певних служб, послідовних портів, пристроїв живлення та вказаних хостів, підключених до мережі. Цим користувачам також можна надати статус повного адміністратора (з повною конфігурацією, керуванням і правами доступу).

Користувачів можна додавати до груп. За замовчуванням встановлено шість груп:

адмін

Надає необмежену конфігурацію та привілеї керування.

pptpd

Дозволяє доступ до сервера PPTP VPN. Пароль користувачів у цій групі зберігається у відкритому вигляді.

діалін

Дозволяє доступ через модеми. Пароль користувачів у цій групі зберігається у відкритому вигляді.

ftp

Дозволяє доступ до ftp і file доступ до запам'ятовуючих пристроїв.

pmshell

Встановлює оболонку за замовчуванням на pmshell.

користувачів

Надає користувачам базові права керування.

Група адміністратора надає членам повні права адміністратора. Користувач-адміністратор може отримати доступ до сервера консолі за допомогою будь-якої служби, увімкненої в розділі «Система» > «Служби». Він також може отримати доступ до будь-якого з підключених хостів або пристроїв послідовного порту за допомогою будь-якої служби, увімкненої для цих з’єднань. Лише довірені користувачі повинні мати доступ адміністратора
Група користувачів надає членам обмежений доступ до консольного сервера, підключених хостів і послідовних пристроїв. Ці користувачі можуть отримати доступ лише до розділу «Керування» меню «Консоль керування», і вони не мають доступу до сервера консолі через командний рядок. Вони можуть отримати доступ лише до тих хостів і послідовних пристроїв, які були перевірені для них, використовуючи служби, які були ввімкнені
Користувачі в групах pptd, dialin, ftp або pmshell обмежили доступ до командної оболонки призначених керованих пристроїв, але вони не матимуть прямого доступу до сервера консолі. Щоб додати це, користувачі також повинні бути членами груп користувачів або адміністраторів
Адміністратор може налаштувати додаткові групи з певним пристроєм живлення, послідовним портом і правами доступу до хосту. Користувачі в цих додаткових групах не мають доступу ні до меню консолі керування, ні до сервера консолі за допомогою командного рядка.

Посібник користувача
Адміністратор може налаштувати користувачам певний пристрій живлення, послідовний порт і права доступу до хосту, які не є членами жодної групи. Ці користувачі не мають доступу ні до меню консолі керування, ні до командного рядка до сервера консолі. 3.2.1 Створення нової групи Щоб створити нові групи та нових користувачів, а також класифікувати користувачів як членів певних груп:
1. Виберіть Послідовний порт і мережа > Користувачі та групи, щоб відобразити всі групи та користувачів. 2. Натисніть Додати групу, щоб додати нову групу
3. Додайте назву та опис групи для кожної нової групи та вкажіть доступні хости, доступні порти та доступні розетки RPC, до яких користувачі цієї нової групи матимуть доступ
4. Натисніть «Застосувати» 5. Адміністратор може редагувати або видаляти будь-яку додану групу 3.2.2 Налаштування нових користувачів Щоб налаштувати нових користувачів і класифікувати користувачів як членів певних груп: 1. Виберіть Послідовний номер і мережа > Користувачі та групи для відображення усі групи та користувачі 2. Натисніть Додати користувача
39

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3. Додайте ім’я користувача для кожного нового користувача. Ви також можете включити інформацію, пов’язану з користувачем (наприклад, контактні дані), у полі Опис. Ім’я користувача може містити від 1 до 127 буквено-цифрових символів і символи «-», «_» і «.».
4. Укажіть, членом яких груп ви бажаєте, щоб користувач був. 5. Додайте підтверджений пароль для кожного нового користувача. Усі символи дозволені. 6. Можна використовувати автентифікацію за допомогою пароля SSH. Вставте відкритий ключ авторизованого відкритого/приватного
пари ключів для цього користувача в полі Авторизовані ключі SSH 7. Поставте прапорець Вимкнути автентифікацію пароля, щоб дозволити автентифікацію відкритим ключем лише для цього користувача
під час використання SSH 8. Поставте прапорець «Увімкнути зворотній дзвінок» у меню «Параметри підключення», щоб дозволити вихідне з’єднання зі зворотним дзвінком
ініціювати під час входу в цей порт. Введіть Dial-Back Phone Number із номером телефону для зворотного виклику під час входу користувача 9. Поставте прапорець «Доступні хости» та/або «Доступні порти», щоб указати послідовні порти та підключені до мережі хости, до яких користувач має мати права доступу 10. Якщо є налаштовані RPC, позначте Accessible RPC Outlets, щоб вказати, якими розетками користувач може керувати (наприклад, Power On/Off). 11. Натисніть «Застосувати». Новий користувач матиме доступ до доступних мережевих пристроїв, портів і розеток RPC. Якщо користувач є членом групи, він також може отримати доступ до будь-якого іншого пристрою/порту/виходу, доступного групі
40

Посібник користувача
Немає обмежень щодо кількості користувачів, які ви можете налаштувати, або кількості користувачів на послідовний порт чи хост. Кілька користувачів можуть контролювати/контролювати один порт або хост. Немає обмежень щодо кількості груп, і кожен користувач може бути членом кількох груп. Користувачеві не обов’язково бути членом жодної групи, але якщо він є членом групи користувачів за замовчуванням, він не зможе використовувати консоль керування для керування портами. Хоча немає обмежень, час на повторне налаштування збільшується зі збільшенням кількості та складності. Ми рекомендуємо, щоб загальна кількість користувачів і груп не перевищувала 250. Адміністратор також може змінити параметри доступу для будь-яких існуючих користувачів:
· Виберіть «Послідовний і мережевий порт» > «Користувачі та групи» та натисніть «Редагувати», щоб змінити привілеї доступу користувача · Натисніть «Видалити», щоб видалити користувача · Натисніть «Вимкнути», щоб тимчасово заблокувати права доступу
3.3 Автентифікація
Дивіться Розділ 8 для детальної інформації про налаштування автентифікації.
3.4 Мережні хости
Для моніторингу та віддаленого доступу до локального мережевого комп’ютера чи пристрою (іменованого хостом) ви повинні ідентифікувати хост:
1. Вибравши «Послідовний порт і мережа» > «Мережеві хости», відобразяться всі підключені до мережі хости, які було ввімкнено для використання.
2. Натисніть «Додати хост», щоб увімкнути доступ до нового хосту (або виберіть «Редагувати», щоб оновити налаштування існуючого хосту)
41

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3. Якщо хост є пристроєм живлення PDU або UPS або сервером із керуванням живленням IPMI, укажіть RPC (для IPMI та PDU) або UPS і тип пристрою. Адміністратор може налаштувати ці пристрої та вказати, які користувачі мають дозвіл на дистанційне ввімкнення живлення тощо. Див. Розділ 7. В іншому випадку залиште для параметра Device Type значення None.
4. Якщо сервер консолі налаштовано з увімкненим розподіленим моніторингом Nagios, ви також побачите параметри налаштувань Nagios, щоб увімкнути моніторинг призначених служб на хості.
5. Натисніть «Застосувати». Буде створено новий хост, а також новий керований пристрій із такою ж назвою.
3.5 Довірені мережі
Засіб Trusted Networks дає вам можливість призначати IP-адреси, на яких користувачі повинні знаходитися, щоб мати доступ до послідовних портів сервера консолі:
42

Посібник користувача
1. Виберіть Послідовний порт і мережа > Довірені мережі 2. Щоб додати нову надійну мережу, виберіть Додати правило. За відсутності Правил немає доступу
обмеження щодо IP-адреси, за якою можуть знаходитися користувачі.

3. Виберіть доступні порти, до яких буде застосовано нове правило
4. Введіть мережеву адресу підмережі, до якої потрібно надати доступ
5. Укажіть діапазон адрес, які мають бути дозволені, ввівши маску мережі для цього дозволеного діапазону IP-адрес, наприклад
· Щоб дозволити всім користувачам, які мають певне мережеве з’єднання класу C, до призначеного порту, додайте наступне нове правило надійної мережі:

IP-адреса мережі

204.15.5.0

Маска підмережі

255.255.255.0

· Щоб дозволити підключення лише одному користувачеві, який знаходиться за певною IP-адресою:

IP-адреса мережі

204.15.5.13

Маска підмережі

255.255.255.255

· Щоб усім користувачам, які працюють із певного діапазону IP-адрес (скажімо, будь-якої з тридцяти адрес від 204.15.5.129 до 204.15.5.158), було дозволено підключатися до призначеного порту:

Адреса хоста/підмережі

204.15.5.128

Маска підмережі

255.255.255.224

6. Натисніть Застосувати

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3.6 Каскадування послідовного порту
Каскадні порти дають змогу кластеризувати сервери розподіленої консолі, щоб велику кількість послідовних портів (до 1000) можна було налаштувати та отримати доступ через одну IP-адресу та керувати ними через одну консоль керування. Один консольний сервер, основний, керує іншими консольними серверами як вузловими одиницями, і всі послідовні порти на вузлових блоках виглядають так, ніби вони є частиною основного. Кластеризація Opengear з’єднує кожен вузол з основним за допомогою з’єднання SSH. Це робиться за допомогою автентифікації з відкритим ключем, тому Основний може отримати доступ до кожного вузла за допомогою пари ключів SSH (а не за допомогою паролів). Це забезпечує безпечний автентифікований зв’язок між основними та вузлами, дозволяючи розповсюджувати серверні блоки консолі Node локально в локальній мережі або віддалено по всьому світу.
3.6.1 Автоматичне генерування та завантаження ключів SSH Щоб налаштувати автентифікацію відкритого ключа, ви повинні спочатку створити пару ключів RSA або DSA та завантажити їх на сервери основної та вузлової консолі. Це можна зробити автоматично з початкової школи:
44

Посібник користувача
1. Виберіть Система > Адміністрування на консолі керування основного
2. Установіть прапорець Генерувати ключі SSH автоматично. 3. Натисніть Застосувати
Далі ви повинні вибрати, чи генерувати ключі за допомогою RSA та/або DSA (якщо не впевнені, виберіть лише RSA). Для створення кожного набору ключів потрібно дві хвилини, і нові ключі знищують старі ключі цього типу. Поки триває нове покоління, функції, що покладаються на ключі SSH (наприклад, каскад), можуть припинити роботу, доки їх не буде оновлено новим набором ключів. Щоб згенерувати ключі:
1. Установіть прапорці для ключів, які ви хочете створити. 2. Натисніть Застосувати
3. Після створення нових ключів натисніть посилання Натисніть тут, щоб повернутися. Ключі завантажені
до основного та підключеного вузлів.
3.6.2 Вручну генеруйте та завантажуйте ключі SSH Якщо у вас є пара ключів RSA або DSA, ви можете завантажити їх на сервер консолі Primary і Node. Щоб завантажити пару відкритих і закритих ключів на основний сервер консолі:
1. Виберіть Система > Адміністрування на консолі керування основного
2. Перейдіть до місця, де ви зберегли відкритий ключ RSA (або DSA), і завантажте його в SSH відкритий ключ RSA (DSA).
3. Перейдіть до збереженого приватного ключа RSA (або DSA) і завантажте його в SSH приватний ключ RSA (DSA). 4. Натисніть «Застосувати».
45

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
Далі ви повинні зареєструвати відкритий ключ як авторизований ключ на вузлі. У випадку одного основного з кількома вузлами ви завантажуєте один відкритий ключ RSA або DSA для кожного вузла.
1. Виберіть «Система» > «Адміністрування» на консолі керування вузла. 2. Перейдіть до збереженого відкритого ключа RSA (або DSA) і завантажте його в авторизований ключ SSH вузла.
3. Натисніть «Застосувати». Наступним кроком є створення відбитків пальців для кожного нового основного вузла. Цей крок підтверджує, що ви встановлюєте сеанс SSH для того, ким ви себе вважаєте. Під час першого з’єднання вузол отримує відбиток пальця від основного, який використовується для всіх майбутніх з’єднань: щоб встановити відбиток пальця, спершу увійдіть на основний сервер як root і встановіть з’єднання SSH із віддаленим хостом вузла:
# ssh remhost Після встановлення з’єднання SSH вас попросять прийняти ключ. Відповідайте так, і відбиток буде додано до списку відомих хостів. Якщо вас попросять ввести пароль, виникла проблема із завантаженням ключів. 3.6.3 Налаштування вузлів та їх послідовних портів Почніть налаштування вузлів і налаштування послідовних портів вузлів із основного консольного сервера:
1. Виберіть «Послідовні та мережеві порти» > «Каскадні порти» на консолі керування основного пристрою: 2. Щоб додати підтримку кластеризації, виберіть «Додати вузол».
Ви не можете додавати вузли, доки не згенеруєте ключі SSH. Щоб визначити та налаштувати вузол:
46

Посібник користувача
1. Введіть віддалену IP-адресу або ім’я DNS для сервера консолі Node 2. Введіть короткий опис і коротку мітку для Node 3. Введіть повну кількість послідовних портів на пристрої Node у Number of Ports 4. Натисніть Apply. Це встановлює тунель SSH між основним і новим вузлом
У меню «Послідовні та мережеві порти» > «Каскадні порти» відображаються всі вузли та номери портів, які були призначені на основному. Якщо основний консольний сервер має 16 власних портів, порти 1-16 попередньо виділяються для основного, тому першому доданому вузлу призначається номер порту від 17. Після того як ви додасте всі сервери консолі Node, послідовні порти Node і підключені пристрої можна налаштувати та отримати доступ із меню консолі керування основного та через IP-адресу основного.
1. Виберіть відповідний Serial & Network > Serial Port і Edit, щоб налаштувати послідовні порти на
Вузол.
2. Виберіть відповідний Послідовний номер і мережа > Користувачі та групи, щоб додати нових користувачів із правами доступу
до послідовних портів Node (або для розширення привілеїв доступу існуючих користувачів).
3. Виберіть відповідний Послідовний порт і мережа > Довірені мережі, щоб указати мережеві адреси, які
може отримати доступ до призначених послідовних портів вузла. 4. Виберіть відповідні сповіщення та журналювання > сповіщення, щоб налаштувати підключення порту вузла, стан
Сповіщення про відповідність шаблону або зміни. Зміни конфігурації, внесені до основного, поширюються на всі вузли, коли ви натискаєте «Застосувати».
3.6.4 Керування вузлами Основний керує послідовними портами вузла. наприкладampякщо змінити права доступу користувача або змінити будь-які параметри послідовного порту на основному, оновлена конфігурація files надсилаються до кожного вузла паралельно. Кожен вузол вносить зміни до своїх локальних конфігурацій (і вносить лише зміни, які стосуються його конкретних послідовних портів). Ви можете використовувати локальну консоль керування вузлом, щоб змінити параметри будь-якого послідовного порту вузла (наприклад, змінити швидкість передачі даних). Ці зміни перезаписуються наступного разу, коли Основний надсилає конфігурацію file оновлення. Хоча Основний керує всіма функціями, пов’язаними з послідовним портом вузла, він не є основним над з’єднаннями хосту мережі вузла або над системою сервера консолі вузла. Функціями вузла, такими як IP, SMTP і налаштування SNMP, дата і час, DHCP-сервер, потрібно керувати шляхом прямого доступу до кожного вузла, і ці функції не переписуються, коли зміни конфігурації поширюються з основного. Параметри мережевого хосту та IPMI вузла необхідно налаштувати на кожному вузлі.
47

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
Консоль керування основного закладу надає консолідовану інформацію view налаштувань для свого власного та послідовних портів усього Node. Первинний не забезпечує повністю консолідованого view. наприкладample, якщо ви хочете дізнатися, хто ввійшов до каскадних послідовних портів від основного, ви побачите, що Статус > Активні користувачі відображає лише користувачів, активних на портах основного, тому вам може знадобитися написати спеціальні сценарії, щоб забезпечити це view.
3.7 Перенаправлення послідовного порту (PortShare)
Програмне забезпечення Port Share від Opengear надає технологію віртуального послідовного порту, яка необхідна вашим програмам Windows і Linux для відкриття віддалених послідовних портів і читання даних із послідовних пристроїв, підключених до вашого консольного сервера.
PortShare постачається безкоштовно з кожним консольним сервером, і ви маєте ліцензію на встановлення PortShare на одному чи кількох комп’ютерах для доступу до будь-якого послідовного пристрою, підключеного до порту консольного сервера. PortShare для Windows Portshare_setup.exe можна завантажити з сайту ftp. Перегляньте Посібник користувача PortShare і Короткий старт, щоб дізнатися більше про встановлення та роботу. PortShare для Linux Драйвер PortShare для Linux відображає послідовний порт консольного сервера на пробний порт хоста. Opengear випустив portshare-serial-client як утиліту з відкритим кодом для Linux, AIX, HPUX, SCO, Solaris і UnixWare. Цю утиліту можна завантажити з ftp-сайту. Цей засіб переспрямування послідовного порту PortShare дозволяє використовувати послідовний пристрій, підключений до віддаленого сервера консолі, як якщо б він був підключений до вашого локального послідовного порту. Portshare-serial-client створює псевдо-tty-порт, підключає послідовну програму до псевдо-tty-порту, отримує дані з псевдо-tty-порту, передає їх на консольний сервер через мережу та отримує дані від консольного сервера через мережу та передає їх до порту псевдо-tty. .tar file можна завантажити з ftp-сайту. Перегляньте Посібник користувача PortShare і Короткий старт, щоб дізнатися більше про встановлення та роботу.
48

Посібник користувача
3.8 керованих пристроїв
На сторінці «Керовані пристрої» представлено консолідовану інформацію view усіх підключень до пристрою, до якого можна отримати доступ і відстежувати через сервер консолі. до view підключень до пристроїв виберіть Послідовний і мережевий порт > Керовані пристрої
На цьому екрані відображаються всі керовані пристрої з їхнім описом/примітками та списки всіх налаштованих підключень:
· Послідовний порт № (якщо підключено послідовно) або · USB (якщо підключено USB) · IP-адреса (якщо підключено до мережі) · Деталі PDU/розетки живлення (якщо є) і будь-які підключення ДБЖ Пристрої, такі як сервери, можуть мати більше одного підключення до живлення (наприклад, подвійне джерело живлення) і більше одного мережевого підключення (наприклад, для BMC/сервісного процесора). Усі користувачі можуть view ці підключення керованих пристроїв, вибравши Керування > Пристрої. Адміністратори також можуть редагувати та додавати/видаляти ці керовані пристрої та їхні підключення. Щоб відредагувати наявний пристрій і додати нове з’єднання: 1. Виберіть «Редагувати» в розділі «Послідовний і мережевий порт» > «Керовані пристрої» та натисніть «Додати з’єднання». 2. Виберіть тип підключення для нового з’єднання (послідовний, мережевий хост, UPS або RPC) і виберіть
підключення з представленого списку налаштованих нерозподілених хостів/портів/розеток
49

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
Щоб додати новий керований пристрій, підключений до мережі: 1. Адміністратор додає новий керований пристрій, підключений до мережі, використовуючи «Додати хост» у меню «Послідовний і мережевий порт» > «Мережевий хост». Це автоматично створює відповідний новий керований пристрій. 2. Під час додавання нового підключеного до мережі пристрою живлення RPC або UPS ви налаштовуєте мережевий хост і призначаєте його як RPC або UPS. Перейдіть до RPC Connections або UPS Connections, щоб налаштувати відповідне підключення. Відповідний новий керований пристрій із тим самим іменем/описом, що й хост RPC/UPS, не буде створено, доки не буде завершено цей крок підключення.
ПРИМІТКА Назви розеток на щойно створеному PDU: Розетка 1 і Розетка 2. Коли ви підключаєте певний керований пристрій, який отримує живлення від розетки, розетка отримує назву керованого пристрою з живленням.
Щоб додати новий керований пристрій із послідовним підключенням: 1. Налаштуйте послідовний порт за допомогою меню «Послідовний і мережевий порт» > «Послідовний порт» (див. розділ 3.1 «Налаштування послідовного порту») 2. Виберіть «Послідовний і мережевий порт» > «Керовані пристрої» та натисніть «Додати пристрій» 3. Введіть пристрій. Назва та опис керованого пристрою

4. Клацніть «Додати підключення» та виберіть «Послідовний порт» і «Порт», який підключається до керованого пристрою

5. Щоб додати джерело живлення ДБЖ/RPC, мережеве або інше послідовне з’єднання, натисніть «Додати підключення».

6. Натисніть Застосувати

ПРИМІТКА

Щоб налаштувати пристрій ДБЖ або EMD із послідовним підключенням RPC, налаштуйте послідовний порт, призначте його як пристрій і введіть ім’я та опис для цього пристрою в розділі «Послідовний і мережевий порт» > «З’єднання RPC» (або «З’єднання ДБЖ чи середовище»). Це створює відповідний новий керований пристрій із тим же ім’ям/описом, що й хост RPC/UPS. Імена розеток на цьому щойно створеному PDU: Розетка 1 і Розетка 2. Коли ви підключаєте керований пристрій, який отримує живлення від розетки, розетка отримує назву керованого пристрою з живленням.

3.9 IPsec VPN
ACM7000, CM7100 і IM7200 включають Openswan, реалізацію протоколів IPsec (IP Security) у Linux, які можна використовувати для налаштування віртуальної приватної мережі (VPN). VPN дозволяє кільком сайтам або віддаленим адміністраторам безпечно отримувати доступ до сервера консолі та керованих пристроїв через Інтернет.

Посібник користувача
Адміністратор може встановлювати зашифровані автентифіковані з’єднання VPN між консольними серверами, розподіленими на віддалених сайтах, і шлюзом VPN (наприклад, маршрутизатором Cisco, що працює під керуванням IOS IPsec) у своїй мережі центрального офісу:
· Користувачі в центральному офісі можуть безпечно отримувати доступ до серверів віддаленої консолі та підключених послідовних консольних пристроїв і машин у підмережі локальної мережі керування у віддаленому місці так, ніби вони локальні
· Усі ці сервери віддаленої консолі можна контролювати за допомогою CMS6000 у центральній мережі · Завдяки послідовному мосту послідовні дані з контролера на машині центрального офісу можна безпечно передавати
підключений до пристроїв із серійним керуванням на віддалених сайтах. Адміністратор road warrior може використовувати програмний клієнт VPN IPsec для віддаленого доступу до консольного сервера та кожної машини в підмережі локальної мережі керування у віддаленому місці
Конфігурація IPsec досить складна, тому Opengear надає графічний інтерфейс для базового налаштування, як описано нижче. Щоб увімкнути шлюз VPN:
1. Виберіть IPsec VPN у меню Послідовний порт і мережі
2. Клацніть «Додати» та заповніть екран «Додати тунель IPsec». 3. Введіть будь-яке описове ім’я, яке ви хочете ідентифікувати для тунелю IPsec, який ви додаєте, наприклад
WestStOutlet-VPN
51

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
4. Виберіть метод автентифікації, який потрібно використовувати: цифрові підписи RSA або спільний секрет (PSK) o Якщо ви виберете RSA, вам буде запропоновано клацнути тут, щоб згенерувати ключі. Це генерує відкритий ключ RSA для консольного сервера (лівий відкритий ключ). Знайдіть ключ, який потрібно використовувати на віддаленому шлюзі, виріжте та вставте його в правий відкритий ключ
o Якщо вибрано Спільний секрет, введіть попередній спільний секрет (PSK). PSK має відповідати PSK, налаштованому на іншому кінці тунелю
5. У Authentication Protocol виберіть протокол автентифікації, який потрібно використовувати. Виконайте автентифікацію як частину шифрування ESP (Encapsulating Security Payload) або окремо за допомогою протоколу AH (Authentication Header).
52

Посібник користувача
6. Введіть лівий ідентифікатор та правий ідентифікатор. Це ідентифікатор, який локальний хост/шлюз і віддалений хост/шлюз використовують для узгодження та автентифікації IPsec. Кожен ідентифікатор має містити символ @ і може містити повне доменне ім’я (наприклад, left@example.com)
7. Введіть загальнодоступну IP- або DNS-адресу цього VPN-шлюзу Opengear як ліву адресу. Ви можете залишити це поле порожнім, щоб використовувати інтерфейс маршруту за замовчуванням
8. У Right Address введіть загальнодоступну IP або DNS-адресу віддаленого кінця тунелю (тільки якщо віддалений кінець має статичну адресу або адресу DynDNS). Інакше залиште це поле порожнім
9. Якщо VPN-шлюз Opengear працює як VPN-шлюз до локальної підмережі (наприклад, консольний сервер має налаштовану локальну мережу керування), введіть відомості про приватну підмережу в поле Left Subnet. Використовуйте нотацію CIDR (де номер IP-адреси супроводжується скісною рискою та кількістю бітів «один» у двійковій нотації маски мережі). наприкладample, 192.168.0.0/24 вказує на IP-адресу, де перші 24 біти використовуються як мережева адреса. Це те саме, що 255.255.255.0. Якщо доступ VPN здійснюється лише до консольного сервера та до підключених до нього послідовних консольних пристроїв, залиште ліву підмережу пустою
10. Якщо на віддаленому кінці є шлюз VPN, введіть відомості про приватну підмережу в Right Subnet. Використовуйте нотацію CIDR і залиште поле порожнім, якщо є лише віддалений хост
11. Виберіть «Ініціювати тунель», якщо тунельне підключення має бути ініційоване з лівого кінця сервера консолі. Це можна ініціювати лише зі шлюзу VPN (ліворуч), якщо на віддаленій стороні налаштовано статичну (або DynDNS) IP-адресу
12. Натисніть «Застосувати», щоб зберегти зміни
ПРИМІТКА Деталі конфігурації, налаштовані на сервері консолі (називається лівим або локальним хостом), мають відповідати налаштуванням, введеним під час налаштування віддаленого (правого) хоста/шлюзу або програмного клієнта. Дивіться http://www.opengear.com/faq.html, щоб дізнатися більше про налаштування цих віддалених кінців
3.10 OpenVPN
ACM7000, CM7100 і IM7200 із вбудованим програмним забезпеченням версії 3.2 і пізніших включають OpenVPN. OpenVPN використовує бібліотеку OpenSSL для шифрування, автентифікації та сертифікації, що означає, що він використовує SSL/TSL (Secure Socket Layer/Transport Layer Security) для обміну ключами та може шифрувати як дані, так і канали керування. Використання OpenVPN дозволяє створювати міжплатформні мережі VPN типу «точка-точка» з використанням X.509 PKI (інфраструктура відкритих ключів) або спеціальної конфігурації fileс. OpenVPN дозволяє безпечно тунелювати дані через один порт TCP/UDP через незахищену мережу, таким чином забезпечуючи безпечний доступ до кількох сайтів і безпечне віддалене адміністрування на консольному сервері через Інтернет. OpenVPN також дозволяє використовувати динамічні IP-адреси як сервером, так і клієнтом, що забезпечує мобільність клієнта. наприкладampнаприклад, тунель OpenVPN може бути встановлений між роумінговим клієнтом Windows і сервером консолі Opengear у центрі обробки даних. Конфігурація OpenVPN може бути складною, тому Opengear надає графічний інтерфейс для базового налаштування, як описано нижче. Більш детальна інформація доступна на http://www.openvpn.net
3.10.1 Увімкніть OpenVPN 1. Виберіть OpenVPN у меню Послідовний порт і мережі
53

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
2. Клацніть «Додати» та заповніть екран «Додати тунель OpenVPN». 3. Введіть будь-яку описову назву тунелю OpenVPN, який ви додаєте, напр.ample
NorthStOutlet-VPN
4. Виберіть метод автентифікації, який потрібно використовувати. Для автентифікації за допомогою сертифікатів виберіть PKI (сертифікати X.509) або виберіть Custom Configuration, щоб завантажити спеціальну конфігурацію fileс. Спеціальні конфігурації повинні зберігатися в /etc/config.
ПРИМІТКА Якщо ви обираєте PKI, установіть: Окремий сертифікат (також відомий як відкритий ключ). Цей сертифікат File є *.crt file введіть приватний ключ для сервера та кожного клієнта. Цей закритий ключ File є *.key file типу
Сертифікат і ключ первинного центру сертифікації (CA), які використовуються для підпису кожного сервера
та клієнтські сертифікати. Цей кореневий сертифікат ЦС є *.crt file type Для сервера вам також може знадобитися dh1024.pem (параметри Diffie Hellman). Дивіться http://openvpn.net/easyrsa.html, щоб отримати посібник із базового керування ключами RSA. Щоб отримати альтернативні методи автентифікації, див. http://openvpn.net/index.php/documentation/howto.html#auth.
5. Виберіть драйвер пристрою, який потрібно використовувати, Tun-IP або Tap-Ethernet. Драйвери TUN (мережевий тунель) і TAP (мережевий відвод) є драйверами віртуальної мережі, які підтримують IP-тунелювання та тунелювання Ethernet відповідно. TUN і TAP є частиною ядра Linux.
6. Виберіть UDP або TCP як протокол. UDP є стандартним протоколом для OpenVPN. 7. Поставте або зніміть прапорець біля кнопки «Стиснення», щоб увімкнути або вимкнути стиснення. 8. У режимі тунелю вкажіть, чи є це кінець тунелю клієнта чи сервера. При запуску як
сервер, консольний сервер підтримує кілька клієнтів, які підключаються до сервера VPN через один порт.
54

Посібник користувача
3.10.2 Налаштувати як сервер або клієнт
1. Заповніть відомості про клієнта або сервер, залежно від вибраного режиму тунелю. o Якщо вибрано Клієнт, адреса основного сервера – це адреса сервера OpenVPN. o Якщо вибрано сервер, введіть мережеву адресу пулу IP-адрес і мережеву маску пулу IP-адрес для пулу IP-адрес. Мережа, визначена IP-пулом, мережева адреса/маска використовується для надання адрес для підключення клієнтів.
2. Натисніть «Застосувати», щоб зберегти зміни
55

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3. Щоб ввести сертифікати автентифікації та files виберіть Керування OpenVPN Fileвкладка s. Завантажте або знайдіть відповідні сертифікати автентифікації та files.
4. Застосуйте, щоб зберегти зміни. Збережено files відображаються червоним кольором праворуч від кнопки «Завантажити».
5. Щоб увімкнути OpenVPN, відредагуйте тунель OpenVPN
56

Посібник користувача
6. Перевірте кнопку «Увімкнено». 7. Застосувати, щоб зберегти зміни ПРИМІТКА Під час роботи з OpenVPN переконайтеся, що системний час консольного сервера правильний, щоб уникнути
проблеми автентифікації.
8. Виберіть «Статистика» в меню «Стан», щоб переконатися, що тунель працює.
57

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3.10.3 Налаштування клієнта та сервера Windows OpenVPN У цьому розділі описано інсталяцію та конфігурацію клієнта Windows OpenVPN або сервера Windows OpenVPN, а також налаштування підключення VPN до консольного сервера. Консольні сервери автоматично генерують конфігурацію клієнта Windows із графічного інтерфейсу для Pre-shared Secret (Static Key File) конфігурації.
Крім того, програмне забезпечення OpenVPN GUI для Windows (яке включає стандартний пакет OpenVPN плюс графічний інтерфейс Windows) можна завантажити з http://openvpn.net. Після інсталяції на комп’ютері Windows піктограма OpenVPN додається в область сповіщень, розташовану в правій частині панелі завдань. Клацніть правою кнопкою миші на цій піктограмі, щоб запускати та зупиняти з’єднання VPN, редагувати конфігурації та view колоди.
Коли програмне забезпечення OpenVPN починає працювати, C:Program FileПапка sOpenVPNconfig сканується на наявність .opvn fileс. Ця папка повторно перевіряється на наявність нової конфігурації files кожного разу, коли піктограму OpenVPN GUI клацнути правою кнопкою миші. Після встановлення OpenVPN створіть конфігурацію file:
58

Посібник користувача

Використовуючи текстовий редактор, створіть xxxx.ovpn file і збережіть у C:Program FilesOpenVPNconfig. наприкладample, C: Програма FilesOpenVPNconfigclient.ovpn
Колишнійampфайл конфігурації клієнта OpenVPN Windows file показано нижче:
# description: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ключ c:\openvpnkeys\client.key nobind persist-key persist- тун комп-лзо
Колишнійampфайл конфігурації OpenVPN Windows Server file показано нижче:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt ключ c:\openvpnkeys\server. ключ dh c:\openvpnkeys\dh.pem comp-lzo дієслово 1 системний журнал IM4216_OpenVPN_Server
Конфігурація клієнт/сервер Windows file Варіанти:

Параметри #опис: Клієнт-сервер proto udp proto tcp mssfix дієслово
dev tun dev tap

Опис Це коментар, що описує конфігурацію. Рядки коментарів починаються з "#" і ігноруються OpenVPN. Укажіть, чи буде це конфігурація клієнта чи сервера file. У конфігурації сервера file, визначте пул IP-адрес і маску мережі. наприкладample, сервер 10.100.10.0 255.255.255.0 Встановіть протокол на UDP або TCP. Клієнт і сервер повинні використовувати однакові налаштування. Mssfix встановлює максимальний розмір пакета. Це корисно лише для UDP, якщо виникають проблеми.
Встановити журнал file рівень багатослівності. Рівень детальності журналу можна встановити від 0 (мінімум) до 15 (максимум). наприкладample, 0 = мовчазний, за винятком фатальних помилок 3 = середній вихід, добре для загального використання 5 = допомагає у вирішенні проблем із з’єднанням 9 = багатослівний, чудово підходить для усунення несправностей Виберіть `dev tun', щоб створити маршрутизований IP-тунель, або `dev tap', щоб створити тунель Ethernet. Клієнт і сервер повинні використовувати однакові налаштування.

Розділ 3: Послідовний порт, конфігурація пристрою та користувача

дистанційний Порт Keepalive
http-проксі приблизноfile ім'я>
сертfile ім'я>
ключfile ім'я>
dhfile name> Nobind шифр persist-key persist-tun BF-CBC Blowfish (за замовчуванням) шифр AES-128-CBC AES шифр DES-EDE3-CBC Triple-DES comp-lzo syslog

Ім’я/IP-адреса сервера OpenVPN під час роботи як клієнт. Введіть ім’я хоста DNS або статичну IP-адресу сервера. Порт UDP/TCP сервера. Keepalive використовує ping, щоб підтримувати сеанс OpenVPN. «Keepalive 10 120» відправляє пінг кожні 10 секунд і припускає, що віддалений вузол не працює, якщо протягом періоду часу 120 секунд не було отримано пінг. Якщо для доступу до сервера потрібен проксі-сервер, введіть DNS-ім’я або IP-адресу проксі-сервера та номер порту. Введіть сертифікат ЦС file назва та місцезнаходження. Той самий сертифікат ЦС file може використовуватися сервером і всіма клієнтами. Примітка. Переконайтеся, що кожен `` у шляху до каталогу замінено на ` \'. наприкладample, c:openvpnkeysca.crt стане c:\openvpnkeys\ca.crt Введіть сертифікат клієнта або сервера file назва та місцезнаходження. Кожен клієнт повинен мати свій сертифікат і ключ fileс. Примітка. Переконайтеся, що кожен `` у шляху до каталогу замінено на ` \'. Введіть file ім'я та розташування ключа клієнта або сервера. Кожен клієнт повинен мати свій сертифікат і ключ fileс. Примітка. Переконайтеся, що кожен `` у шляху до каталогу замінено на ` \'. Це використовується лише сервером. Введіть шлях до ключа з параметрами Діффі-Хеллмана. `Nobind' використовується, коли клієнтам не потрібно прив'язуватися до локальної адреси або конкретного номера локального порту. Це стосується більшості конфігурацій клієнтів. Цей параметр запобігає перезавантаженню ключів під час перезапуску. Цей параметр запобігає закриттю та повторному відкриттю пристроїв TUN/TAP після перезапусків. Виберіть криптографічний шифр. Клієнт і сервер повинні використовувати однакові налаштування.
Увімкніть стиснення за посиланням OpenVPN. Це має бути включено як на клієнті, так і на сервері. За замовчуванням журнали зберігаються в системному журналі або, якщо він працює як служба у Windows, у програмі FileКаталог sOpenVPNlog.

Щоб запустити тунель OpenVPN після створення конфігурації клієнт/сервер files: 1. Клацніть правою кнопкою миші піктограму OpenVPN в області сповіщень. 2. Виберіть щойно створену конфігурацію клієнта або сервера. 3. Натисніть «Підключитися».

4. Колода file відображається після встановлення з’єднання
60

Посібник користувача
5. Після встановлення піктограма OpenVPN відображає повідомлення про успішне підключення та призначену IP-адресу. Ця інформація, а також час встановлення з’єднання доступні, прокрутивши піктограму OpenVPN.
3.11 PPTP VPN
Консольні сервери включають сервер PPTP (протокол тунелювання точка-точка). PPTP використовується для зв’язку через фізичне або віртуальне послідовне з’єднання. Кінцеві точки PPP визначають собі віртуальну IP-адресу. Маршрути до мереж можуть бути визначені за допомогою цих IP-адрес як шлюзів, у результаті чого трафік надсилається через тунель. PPTP встановлює тунель між фізичними кінцевими точками PPP і безпечно транспортує дані через тунель.
Сильною стороною протоколу PPTP є простота налаштування та інтеграція в існуючу інфраструктуру Microsoft. Зазвичай він використовується для підключення окремих віддалених клієнтів Windows. Якщо ви берете свій портативний комп’ютер у відрядження, ви можете набрати місцевий номер, щоб під’єднатися до свого постачальника послуг доступу до Інтернету (ISP), створити друге з’єднання (тунель) із офісною мережею через Інтернет і отримати такий же доступ до корпоративної мережі так, ніби ви підключилися безпосередньо з офісу. Користувачі, які працюють на роботі, також можуть налаштувати VPN-тунель через кабельний модем або DSL-з’єднання з місцевим провайдером.
61

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
Щоб налаштувати з’єднання PPTP від віддаленого клієнта Windows до вашого пристрою Opengear і локальної мережі:
1. Увімкніть і налаштуйте сервер PPTP VPN на вашому пристрої Opengear 2. Налаштуйте облікові записи користувачів VPN на пристрої Opengear і ввімкніть відповідні
аутентифікація 3. Налаштуйте VPN-клієнти на віддалених сайтах. Клієнт не вимагає спеціального програмного забезпечення, оскільки
сервер PPTP підтримує стандартне клієнтське програмне забезпечення PPTP, що входить до складу Windows NT і пізніших версій 4. Підключіться до віддаленого VPN 3.11.1 Увімкніть сервер PPTP VPN 1. Виберіть PPTP VPN у меню Serial & Networks
2. Установіть прапорець «Увімкнути», щоб увімкнути сервер PPTP. 3. Виберіть «Мінімальна необхідна автентифікація». Віддаленим користувачам, які намагаються це зробити, заборонено доступ
підключитися за схемою автентифікації, слабшою за вибрану. Схеми описані нижче, від найсильнішої до найслабшої. · Зашифрована автентифікація (MS-CHAP v2): найнадійніший тип автентифікації для використання; це
рекомендований варіант · Слабко зашифрована автентифікація (CHAP): це найслабший тип зашифрованого пароля
аутентифікація для використання. Не рекомендується, щоб клієнти підключалися за допомогою цього, оскільки це забезпечує дуже слабкий захист паролем. Також зауважте, що клієнти, які підключаються за допомогою CHAP, не можуть шифрувати трафік
62

Посібник користувача
· Незашифрована автентифікація (PAP): це автентифікація за допомогою простого текстового пароля. При використанні цього типу аутентифікації пароль клієнта передається незашифрованим.
· Немає 4. Виберіть необхідний рівень шифрування. Віддаленим користувачам, які намагаються підключитися, заборонено доступ
які не використовують цей рівень шифрування. 5. У полі «Локальна адреса» введіть IP-адресу, яку потрібно призначити кінцевій частині VPN-з’єднання на сервері. 6. У полі «Віддалені адреси» введіть пул IP-адрес, які потрібно призначити VPN вхідного клієнта.
підключення (наприклад, 192.168.1.10-20). Це має бути вільна IP-адреса або діапазон адрес із мережі, яку призначають віддалені користувачі під час підключення до пристрою Opengear 7. Введіть потрібне значення максимальної одиниці передачі (MTU) для інтерфейсів PPTP у поле MTU (за замовчуванням: 1400) 8. У полі DNS-сервер введіть IP-адресу DNS-сервера, який призначає IP-адреси підключеним PPTP-клієнтам 9. У полі WINS-сервер введіть IP-адресу WINS-сервера, який призначає IP-адреси підключеним PPTP-клієнтам. 10. Увімкніть детальне ведення журналу, щоб допомогти у вирішенні проблем із з’єднанням. 11. Клацніть «Застосувати налаштування». 3.11.2 Додайте користувача PPTP 1. Виберіть «Користувачі та групи» в меню «Послідовні порти та мережі» та заповніть поля, як описано в розділі 3.2. 2. Переконайтеся, що групу pptpd позначено, щоб дозволити доступ до сервера PPTP VPN. Примітка. Користувачі цієї групи зберігають свої паролі у відкритому вигляді. 3. Запам’ятайте ім’я користувача та пароль, щоб підключитися до VPN-з’єднання. 4. Натисніть «Застосувати».
63

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3.11.3 Налаштування віддаленого клієнта PPTP Переконайтеся, що ПК віддаленого клієнта VPN має підключення до Інтернету. Щоб створити VPN-з’єднання через Інтернет, необхідно налаштувати два мережеві з’єднання. Одне з’єднання призначено для провайдера, а інше – для тунелю VPN до пристрою Opengear. ПРИМІТКА Ця процедура налаштовує клієнт PPTP в операційній системі Windows Professional. Сходинки
може дещо відрізнятися залежно від вашого доступу до мережі або якщо ви використовуєте альтернативну версію Windows. Докладніші інструкції можна отримати в Microsoft web сайт. 1. Увійдіть у свій клієнт Windows із правами адміністратора. 2. У Центрі мереж і спільного доступу на панелі керування виберіть «Мережеві підключення» та створіть нове підключення.
64

Посібник користувача
3. Виберіть «Використовувати моє підключення до Інтернету (VPN)» і введіть IP-адресу пристрою Opengear. Щоб підключити віддалених клієнтів VPN до локальної мережі, вам потрібно знати ім’я користувача та пароль для доданого вами облікового запису PPTP, а також IP-адресу Інтернету. адресу пристрою Opengear. Якщо ваш провайдер не виділив вам статичну IP-адресу, розгляньте можливість використання динамічної служби DNS. В іншому випадку вам доведеться змінювати конфігурацію клієнта PPTP кожного разу, коли змінюється IP-адреса в Інтернеті.
65

Розділ 3: Послідовний порт, конфігурація пристрою та користувача

3.12 Подзвонити додому
Усі консольні сервери включають функцію Call Home, яка ініціює налаштування безпечного SSH-тунелю від консольного сервера до централізованого Opengear Lighthouse. Консольний сервер реєструється як кандидат на Lighthouse. Після прийняття там він стає сервером керованої консолі.
Lighthouse відстежує сервер керованої консолі, і адміністратори можуть отримати доступ до віддаленого сервера керованої консолі через Lighthouse. Цей доступ доступний, навіть якщо сервер віддаленої консолі знаходиться за стороннім брандмауером або має приватні IP-адреси, які не підлягають маршрутизації.

ПРИМІТКА

Lighthouse підтримує SSH-з’єднання з автентифікацією відкритого ключа до кожного зі своїх серверів керованої консолі. Ці підключення використовуються для моніторингу, керування та доступу до серверів керованої консолі та керованих пристроїв, підключених до сервера керованої консолі.

Щоб керувати серверами локальної консолі або серверами консолі, доступними з Lighthouse, з’єднання SSH ініціюються Lighthouse.

Щоб керувати віддаленими серверами консолі або серверами консолі, які захищені брандмауером, не маршрутизуються або іншим чином недоступні з Lighthouse, з’єднання SSH ініціюються керованим сервером консолі через початкове з’єднання Call Home.

Це забезпечує безпечні автентифіковані зв’язки та дозволяє розповсюджувати блоки керованих консольних серверів локально в локальній мережі або віддалено по всьому світу.

3.12.1 Налаштування кандидата Call Home Щоб налаштувати сервер консолі як кандидата на керування Call Home на Lighthouse:
1. Виберіть «Дзвінок додому» в меню «Послідовний порт і мережа».

2. Якщо ви ще не створили або не завантажили пару ключів SSH для цього консольного сервера, зробіть це, перш ніж продовжити
3. Натисніть Додати

4. Введіть IP-адресу або ім’я DNS (наприклад, динамічну адресу DNS) Lighthouse.
5. Введіть пароль, який ви налаштували на CMS як пароль для виклику додому.
66

Посібник користувача
6. Натисніть «Застосувати». Ці кроки ініціюють підключення Call Home від консольного сервера до Lighthouse. Це створює порт SSHlistening на Lighthouse та встановлює консольний сервер як кандидат.
Після того, як кандидата прийнято на Lighthouse, тунель SSH до сервера консолі перенаправляється назад через з’єднання Call Home. Консольний сервер став керованим консольним сервером, і Lighthouse може підключатися до нього та контролювати його через цей тунель. 3.12.2 Прийняття кандидата Call Home як керованого консольного сервера на Lighthouse У цьому розділі наведеноview щодо налаштування Lighthouse для моніторингу консольних серверів Lighthouse, підключених через Call Home. Для отримання додаткової інформації дивіться Посібник користувача Lighthouse:
1. Введіть новий пароль виклику додому на Lighthouse. Цей пароль використовується для прийняття
Виклик Homeconnections з потенційних консольних серверів
2. З Lighthouse можна зв’язатися через консольний сервер, він повинен або мати статичну IP-адресу
адресу або, якщо використовується DHCP, бути налаштованим на використання динамічної служби DNS
Екран «Налаштувати» > «Керовані консольні сервери» на Lighthouse показує статус
локальні та віддалені сервери керованої консолі та кандидати.
У розділі «Керовані сервери консолі» показано сервери консолі, які контролюються
Lighthouse. Розділ «Виявлені сервери консолі» містить:
o Розкривне меню «Сервери локальної консолі», у якому перераховано всі сервери консолі, які знаходяться на
та сама підмережа, що й Lighthouse, і не контролюються
67

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
o Розкривне меню «Сервери віддаленої консолі», у якому перераховано всі сервери консолі, які встановили з’єднання Call Home і не контролюються (тобто кандидати). Ви можете натиснути «Оновити», щоб оновити
Щоб додати кандидата на сервер консолі до списку Сервер керованої консолі, виберіть його в розкривному списку Сервери віддаленої консолі та натисніть «Додати». Введіть IP-адресу та порт SSH (якщо ці поля не були заповнені автоматично), а також введіть опис та унікальну назву для сервера керованої консолі, який ви додаєте
Введіть Remote Root Password (тобто системний пароль, встановлений на цьому сервері керованої консолі). Цей пароль використовується Lighthouse для розповсюдження автоматично згенерованих ключів SSH і не зберігається. Натисніть Застосувати. Lighthouse встановлює захищені з’єднання SSH із сервером керованої консолі та отримує його керовані пристрої, дані облікового запису користувача та налаштовані сповіщення 3.12.3 Виклик Home до загального центрального сервера SSH Якщо ви під’єднуєтеся до загального сервера SSH (не Lighthouse) Ви можете налаштувати Додаткові параметри: · Введіть порт сервера SSH і користувача SSH. · Введіть деталі портів SSH, які потрібно створити
Вибравши Listening Server, ви можете створити віддалений порт для переадресації з сервера на цей пристрій або локальний порт для переадресації з цього пристрою на сервер:
68

Посібник користувача
· Укажіть порт прослуховування для пересилання, залиште це поле порожнім, щоб виділити невикористаний порт · Введіть цільовий сервер і цільовий порт, який буде одержувачем переадресованих з'єднань
3.13 IP-прохід
IP Passthrough використовується, щоб модемне з’єднання (наприклад, внутрішній стільниковий модем) виглядало як звичайне Ethernet-з’єднання зі стороннім низхідним маршрутизатором, дозволяючи вихідному маршрутизатору використовувати модемне з’єднання як основний або резервний інтерфейс WAN.
Пристрій Opengear надає IP-адресу модему та дані DNS на вихідний пристрій через DHCP і передає мережевий трафік до та від модему та маршрутизатора.
У той час як IP Passthrough перетворює Opengear на напівміст модем-Ethernet, деякі служби рівня 4 (HTTP/HTTPS/SSH) можуть бути завершені на Opengear (перехоплення послуг). Крім того, служби, що працюють на Opengear, можуть ініціювати вихідні стільникові з’єднання незалежно від маршрутизатора нижньої течії.
Це дозволяє Opengear продовжувати використовуватися для позасмугового керування та оповіщення, а також керувати ним через Lighthouse у режимі IP Passthrough.
3.13.1 Налаштування низхідного маршрутизатора. Щоб використовувати можливість відновлення після відмови на вихідному маршрутизаторі (він же Failover to Cellular або F2C), він повинен мати два або більше інтерфейсів WAN.
ПРИМІТКА Перехід після відмови в контексті IP Passthrough виконується маршрутизатором низхідного потоку, а вбудована логіка позасмугового відновлення після відмови на Opengear недоступна в режимі IP Passthrough.
Підключіть інтерфейс Ethernet WAN на наступному маршрутизаторі до мережевого інтерфейсу Opengear або порту локальної мережі керування за допомогою кабелю Ethernet.
Налаштуйте цей інтерфейс на вихідному маршрутизаторі, щоб отримати його параметри мережі через DHCP. Якщо потрібне перемикання після відмови, налаштуйте вихідний маршрутизатор для перемикання після збою між основним інтерфейсом і портом Ethernet, підключеним до Opengear.
3.13.2 Попередня конфігурація IP Passthrough Передумовами для ввімкнення IP Passthrough є:
1. Налаштуйте мережевий інтерфейс і, де це можливо, інтерфейси локальної мережі керування зі статичними параметрами мережі. · Натисніть Послідовний порт і мережа > IP. · Для параметра «Мережевий інтерфейс» і «Мережева мережа керування», де це можливо, виберіть «Статичний» для «Методу конфігурації» та введіть параметри мережі (докладні інструкції див. у розділі «Конфігурація мережі»). · Для інтерфейсу, підключеного до нижнього маршрутизатора, ви можете вибрати будь-яку виділену приватну мережу, яка існує лише між Opengear і низхідним маршрутизатором і зазвичай недоступна. · Для іншого інтерфейсу налаштуйте його, як зазвичай у локальній мережі. · Для обох інтерфейсів залиште поле Gateway пустим.
2. Налаштуйте модем у режимі Always On Out-of-band.
69

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
· Для стільникового з’єднання клацніть Система > Набір номера: внутрішній стільниковий модем. · Виберіть «Увімкнути вихідний номер» і введіть дані оператора, наприклад APN (див. розділ «Стільниковий модем».
Підключення для детальної інструкції). 3.13.3 Конфігурація IP Passthrough Щоб налаштувати IP Passthrough:
· Клацніть «Послідовний порт і мережа» > «IP Passthrough» і поставте прапорець «Увімкнути». · Виберіть модем Opengear, щоб використовувати його для висхідного підключення. · Додатково введіть MAC-адресу підключеного інтерфейсу нижнього маршрутизатора. Якщо MAC-адреса є
не вказано, Opengear передаватиметься до першого пристрою нижче за течією, який запитує адресу DHCP. · Виберіть інтерфейс Ethernet Opengear для підключення до вихідного маршрутизатора.
· Натисніть Застосувати. 3.13.4 Перехоплення послуг Це дозволяє Opengear продовжувати надавати послуги, напрample, для позасмугового керування в режимі IP Passthrough. З’єднання з адресою модему на вказаних портах перехоплення обробляються Opengear, а не передаються на вихідний маршрутизатор.
· Для необхідної служби HTTP, HTTPS або SSH позначте «Увімкнути» · За бажанням змініть порт перехоплення на альтернативний порт (наприклад, 8443 для HTTPS), це корисно, якщо ви
бажаєте й надалі дозволяти вихідному маршрутизатору залишатися доступним через його звичайний порт. 3.13.5 IP Passthrough Status Оновіть сторінку до view розділ Статус. Він відображає зовнішню IP-адресу модему, через яку передається, внутрішню MAC-адресу вихідного маршрутизатора (заповнюється лише тоді, коли низхідний маршрутизатор приймає оренду DHCP) і загальний стан роботи служби IP Passthrough. Ви можете отримати сповіщення про статус відновлення після відмови нижнього маршрутизатора, налаштувавши перевірку використання маршрутизованих даних у розділі «Сповіщення та журналювання» > «Автовідповідь». 3.13.6 Застереження Деякі нижчі маршрутизатори можуть бути несумісними з маршрутом шлюзу. Це може статися, коли IP Passthrough з’єднує стільникову мережу 3G, де адреса шлюзу є адресою призначення «точка-точка», а інформація про підмережу недоступна. Opengear надсилає маску мережі DHCP 255.255.255.255. Пристрої зазвичай інтерпретують це як єдиний хост-маршрут на інтерфейсі, але деякі старіші вихідні пристрої можуть мати проблеми.
70

Посібник користувача
Перехоплення для локальних служб не працюватиме, якщо Opengear використовує маршрут за замовчуванням, відмінний від модему. Крім того, вони не працюватимуть, якщо послугу не ввімкнено та доступ до неї (див. Система > Служби, на вкладці Доступ до служби знайдіть Dialout/Cellular).
Підтримуються вихідні з’єднання з Opengear до віддалених служб (наприклад, надсилання сповіщень електронною поштою SMTP, перехоплень SNMP, отримання часу NTP, тунелів IPSec). Існує невеликий ризик збою з’єднання, якщо Opengear і вихідний пристрій намагаються одночасно отримати доступ до одного порту UDP або TCP на тому самому віддаленому хості, коли вони випадково вибрали той самий вихідний номер локального порту.
3.14 Конфігурація через DHCP (ZTP)
Пристрої Opengear можна налаштувати під час їх початкового завантаження з сервера DHCPv4 або DHCPv6 за допомогою конфігурації через DHCP. Ініціалізацію в ненадійних мережах можна полегшити, надавши ключі на USB-накопичувачі. Функціональність ZTP також можна використовувати для оновлення мікропрограми під час початкового підключення до мережі або для реєстрації в примірнику Lighthouse 5.
Підготовка Типові кроки для конфігурації через довірену мережу:
1. Налаштуйте пристрій Opengear тієї ж моделі. 2. Збережіть його конфігурацію як резервну копію Opengear (.opg) file. 3. Виберіть Система > Резервне копіювання конфігурації > Віддалене резервне копіювання. 4. Натисніть «Зберегти резервну копію». Резервна конфігурація file — model-name_iso-format-date_config.opg — завантажується з пристрою Opengear у локальну систему. Ви можете зберегти конфігурацію у форматі xml file: 1. Виберіть Система > Резервне копіювання конфігурації > Конфігурація XML. Поле, яке можна редагувати, містить
конфігурація file у форматі XML. 2. Натисніть на поле, щоб зробити його активним. 3. Якщо ви використовуєте будь-який браузер у Windows або Linux, клацніть правою кнопкою миші та виберіть «Вибрати все» з
контекстне меню або натисніть Control-A. Клацніть правою кнопкою миші та виберіть Копіювати в контекстному меню або натисніть Control-C. 4. Якщо ви використовуєте будь-який браузер у macOS, виберіть «Правка» > «Виділити все» або натисніть Command-A. Виберіть «Правка» > «Копіювати» або натисніть Command-C. 5. У текстовому редакторі, якому ви віддаєте перевагу, створіть новий порожній документ, вставте скопійовані дані в порожній документ і збережіть file. Що завгодно file-вибране вами ім’я має містити .xml fileсуфікс імені. 6. Скопіюйте збережений .opg або .xml file до загальнодоступного каталогу на a file сервер, який обслуговує принаймні один із таких протоколів: HTTPS, HTTP, FTP або TFTP. (Тільки HTTPS можна використовувати, якщо з’єднання між file сервер і пристрій Opengear, який потрібно налаштувати, переміщується через ненадійну мережу.). 7. Налаштуйте свій DHCP-сервер, щоб увімкнути опцію `vendor specific' для пристроїв Opengear. (Це буде зроблено у спосіб, специфічний для сервера DHCP.) Спеціальний параметр постачальника має бути встановлено на рядок, що містить URL опублікованого .opg або .xml file на кроці вище. Рядок параметра не має перевищувати 250 символів і має закінчуватися на .opg або .xml.
71

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
8. Під’єднайте новий пристрій Opengear із скиданням до заводських налаштувань або стертою конфігурацією до мережі та ввімкніть живлення. Перезавантаження пристрою може зайняти до 5 хвилин.
Example Конфігурація сервера ISC DHCP (dhcpd).
Нижче наведено прикладample Фрагмент конфігурації сервера DHCP для обслуговування образу конфігурації .opg через сервер DHCP ISC, dhcpd:
option space opengear code width 1 length width 1; параметр opengear.config-url код 1 = текст; клас “opengear-config-over-dhcp-test” {
збігається, якщо параметр vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; параметр opengear.config-url “https://example.com/opg/${class}.opg”; }
Це налаштування можна змінити, щоб оновити образ конфігурації за допомогою opengear.image-url і надання URI для образу мікропрограми.
Налаштування, коли локальна мережа є ненадійною. Якщо з’єднання між file сервер і пристрій Opengear, який потрібно налаштувати, містить ненадійну мережу, підхід двома руками може пом’якшити проблему.
ПРИМІТКА Цей підхід передбачає два фізичні кроки, на яких довіру може бути важко, якщо не неможливо, повністю встановити. По-перше, ланцюжок зберігання від створення USB-накопичувача з даними до його розгортання. По-друге, руки підключають флешку до пристрою Opengear.
· Згенеруйте сертифікат X.509 для пристрою Opengear.
· Об’єднайте сертифікат і його закритий ключ в єдиний file під назвою client.pem.
· Скопіюйте client.pem на флешку.
· Налаштуйте сервер HTTPS таким чином, щоб отримати доступ до .opg або .xml file обмежено клієнтами, які можуть надати сертифікат клієнта X.509, створений вище.
· Помістіть копію сертифіката CA, який підписав сертифікат HTTP-сервера — ca-bundle.crt — на флеш-накопичувач USB із client.pem.
· Вставте флеш-накопичувач USB у пристрій Opengear перед підключенням живлення або мережі.
· Продовжте процедуру з `Копіювати збережений .opg або .xml file до загальнодоступного каталогу на a file сервер» вище за допомогою протоколу HTTPS між клієнтом і сервером.
Підготуйте USB-накопичувач і створіть сертифікат X.509 і закритий ключ
· Створіть сертифікат ЦС, щоб можна було підписати запити на підпис сертифікатів клієнта та сервера (CSR).
# cp /etc/ssl/openssl.cnf. # mkdir -p напрampleCA/нові сертифікати # echo 00 > прampleCA/serial # echo 00 > прampleCA/crlnumber # торкніться напрampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ПрикладampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ця процедура створює сертифікат під назвою ExampleCA, але можна використовувати будь-яку дозволену назву сертифіката. Крім того, ця процедура використовує openssl ca. Якщо ваша організація має безпечний процес генерації ЦС для всього підприємства, замість цього слід використовувати його.
72

Посібник користувача
· Згенеруйте сертифікат сервера.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- ключfile ca.key -policy policy_anything -batch -notext
ПРИМІТКА. Ім’я хоста або IP-адреса мають збігатися з рядком, який використовується під час обслуговування URL. В ексampвище, ім’я хоста demo.example.com.
· Згенерувати сертифікат клієнта.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
- ключfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Відформатуйте USB-накопичувач як один том FAT32.
· Перемістіть client.pem і ca-bundle.crt files у кореневий каталог флешки.
Налагодження проблем ZTP Використовуйте функцію журналу ZTP для налагодження проблем ZTP. Поки пристрій намагається виконати операції ZTP, інформація журналу записується в /tmp/ztp.log на пристрої.
Нижче наведено прикладampле журналу file від успішного запуску ZTP.
# cat /tmp/ztp.log Wed Dec 13, 22:22:17 UTC 2017 [повідомлення 5127] odhcp6c.eth0: відновлення конфігурації через DHCP Wed Dec 13, 22:22:17 UTC 2017 [повідомлення 5127] odhcp6c.eth0: очікування 10 с для мережі для встановлення Wed Dec 13, 22:22:27 UTC 2017 [повідомлення 5127] odhcp6c.eth0: NTP пропущено: сервер відсутній Wed Dec 13, 22:22:27 UTC 2017 [5127 інформація] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Wed Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Wed 13 грудня, 22:22:27 UTC 2017 р. [5127 інформації] odhcp6c.eth0: vendorspec.3 (немає) Ср, 13 грудня, 22:22:27 UTC 2017 р. [5127 інформації] odhcp6c.eth0: vendorspec.4 (немає даних) ) Ср, 13 грудня, 22:22:27 UTC 2017 [5127 інформація] odhcp6c.eth0: vendorspec.5 (немає) Ср, 13 грудня, 22:22:28 UTC 2017 [5127 інформація] odhcp6c.eth0: vendorspec.6 (н /a) Ср, 13 грудня, 22:22:28 UTC 2017 р. [5127 інформація] odhcp6c.eth0: немає мікропрограми для завантаження (vendorspec.2) backup-url: спроба http://[fd07:2218:1350:44::1]/tftpboot/config.sh … резервна копія-url: примусовий режим конфігурації wan для резервного копіювання DHCP-url: встановлення імені хоста на acm7004-0013c601ce97 backup-url: завантаження виконано Wed Dec 13, 22:22:36 UTC 2017 [повідомлення 5127] odhcp6c.eth0: успішне завантаження конфігурації Wed Dec 13, 22:22:36 UTC 2017 [5127 інформація] odhcp6c.eth0: конфігурація Lighthouse відсутня (vendorspec.3/ 4/5/6) Середа, 13 грудня, 22:22:36 UTC 2017 [повідомлення 5127] odhcp6c.eth0: ініціалізацію завершено, не перезавантажується
Помилки фіксуються в цьому журналі.
3.15 Зарахування до Lighthouse
Використовуйте реєстрацію в Lighthouse, щоб зареєструвати пристрої Opengear в примірнику Lighthouse, забезпечуючи централізований доступ до портів консолі та дозволяючи централізовану конфігурацію пристроїв Opengear.
Перегляньте посібник користувача Lighthouse, щоб отримати інструкції щодо реєстрації пристроїв Opengear у Lighthouse.
73

Розділ 3: Послідовний порт, конфігурація пристрою та користувача
3.16 Увімкнути ретрансляцію DHCPv4
Служба ретрансляції DHCP пересилає пакети DHCP між клієнтами та віддаленими серверами DHCP. Службу ретрансляції DHCP можна ввімкнути на сервері консолі Opengear, щоб вона прослуховувала клієнтів DHCP на призначених нижніх інтерфейсах, обгортала та пересилала їхні повідомлення до серверів DHCP, використовуючи або звичайну маршрутизацію, або транслюючи безпосередньо на призначені верхні інтерфейси. Таким чином, агент ретрансляції DHCP отримує повідомлення DHCP і створює нове повідомлення DHCP для надсилання через інший інтерфейс. У наведених нижче кроках сервери консолі можуть підключатися до ідентифікаторів каналів, Ethernet або стільникових модемів за допомогою служби ретрансляції DHCPv4.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Інфраструктура – локальний сервер DHCP, ACM7004-5 для ретрансляції, будь-які інші пристрої для клієнтів. Будь-який пристрій із роллю локальної мережі можна використовувати як реле. У цьому ексample, 192.168.79.242 є адресою ретрансляційного інтерфейсу клієнта (як визначено в конфігурації сервера DHCP file вище), а 192.168.79.244 — це адреса верхнього інтерфейсу блоку ретрансляції, а enp112s0 — нижчий інтерфейс сервера DHCP.
1 інфраструктура – DHCPv4 Relay + DHCP Option 82 (circuit-id)
Дії на сервері DHCP 1. Налаштуйте локальний сервер DHCP v4, зокрема, він повинен містити запис «host», як показано нижче для клієнта DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; параметр ідентифікатора хоста agent.circuit-id “relay1”; фіксована адреса 192.168.79.242; } Примітка: рядок «hardware ethernet» закоментовано, тому сервер DHCP використовуватиме параметр «circuit-id» для призначення адреси для відповідного клієнта. 2. Перезапустіть сервер DHCP, щоб перезавантажити змінену конфігурацію file. pkill -HUP dhcpd
74

Посібник користувача
3. Вручну додайте хост-маршрут до «ретрансляційного» інтерфейсу клієнта (інтерфейсу за ретрансляцією DHCP, а не інших інтерфейсів, які клієнт також може мати:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Це допоможе уникнути проблеми з асиметричною маршрутизацією, коли клієнт і сервер DHCP хочуть отримати доступ один до одного через ретрансляційний інтерфейс клієнта, коли клієнт має інші інтерфейси в одному підмережа пулу адрес DHCP.
Примітка. Цей крок є обов’язковим, щоб підтримувати доступ серверу dhcp і клієнта один до одного.
Етапи блоку реле – ACM7004-5
1. Налаштуйте WAN/eth0 у статичному режимі чи режимі dhcp (не в режимі без конфігурації). У статичному режимі він повинен мати IP-адресу в пулі адрес сервера DHCP.
2. Застосуйте цю конфігурацію через CLI (де 192.168.79.1 — адреса сервера DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 конфігурація -s config.services.dhcprelay.servers.server1=192.168.79.1 конфігурація -s config.services.dhcprelay.servers.total=1 конфігурація -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Нижній інтерфейс ретранслятора DHCP повинен мати статичну IP-адресу в пулі адрес сервера DHCP. У цьому ексample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Трохи зачекайте, поки клієнт отримає оренду DHCP через ретранслятор.
Кроки клієнта (CM7116-2-dac у цьому прикладіample або будь-який інший OG CS)
1. Підключіть LAN/eth1 клієнта до LAN/eth1 ретранслятора 2. Налаштуйте LAN клієнта для отримання IP-адреси через DHCP, як зазвичай 3. Після того, як кліє

Документи / Ресурси

Шлюз віддаленого сайту opengear ACM7000 [pdfПосібник користувача
Шлюз віддаленого сайту ACM7000, ACM7000, шлюз віддаленого сайту, шлюз сайту, шлюз

Список літератури

Посібник користувача

Шлюз віддаленого сайту opengear ACM7000

Інформація про продукт

Інструкція з використання продукту

поширені запитання

Цей посібник

Конфігурація системи

Конфігурація послідовного порту, хоста, пристрою та користувача

Документи / Ресурси

Список літератури

Залиште коментар

Скасувати відповідь