Hướng dẫn sử dụng Cổng trang web từ xa opengear ACM7000

Thiết bị này tuân thủ Phần 15 của quy định FCC. Hoạt động của thiết bị này phải tuân theo các điều kiện sau: (1) Thiết bị này không được gây nhiễu có hại và (2) thiết bị này phải chấp nhận mọi nhiễu sóng có thể gây ra hoạt động không mong muốn.

Câu hỏi thường gặp

Câu hỏi: Tôi có thể sử dụng Cổng trang web từ xa ACM7000 khi có bão điện không?
- A: Không, không nên kết nối hoặc ngắt kết nối máy chủ console khi có bão điện để tránh hư hỏng.

Câu hỏi: Thiết bị này tuân thủ phiên bản nào của quy tắc FCC?
- A: Thiết bị tuân thủ Phần 15 của quy tắc FCC.

View Fullscreen

Hướng dẫn sử dụng
Cổng trang web từ xa ACM7000 Cổng khả năng phục hồi ACM7000-L Trình quản lý cơ sở hạ tầng IM7200 Máy chủ bảng điều khiển CM7100
Phiên bản 5.0 – 2023-12

Sự an toàn
Hãy tuân thủ các biện pháp phòng ngừa an toàn dưới đây khi cài đặt và vận hành máy chủ console: · Không tháo vỏ kim loại. Không có thành phần nào có thể sử dụng được cho người vận hành bên trong. Mở hoặc tháo nắp có thể khiến bạn gặp phải tình trạng nguy hiểm.tage có thể gây cháy hoặc điện giật. Giới thiệu tất cả dịch vụ cho nhân viên có trình độ của Opengear. · Để tránh bị điện giật, dây dẫn nối đất bảo vệ dây nguồn phải được nối đất. · Luôn kéo phích cắm chứ không phải cáp khi rút dây nguồn ra khỏi ổ cắm.
Không kết nối hoặc ngắt kết nối máy chủ console khi có bão điện. Đồng thời sử dụng bộ triệt xung hoặc UPS để bảo vệ thiết bị khỏi quá độ.
Tuyên bố cảnh báo của FCC
Thiết bị này tuân thủ Phần 15 của quy định FCC. Hoạt động của thiết bị này tuân theo những điều sau đây
điều kiện: (1) Thiết bị này không được gây nhiễu có hại và (2) thiết bị này phải chấp nhận mọi nhiễu sóng có thể gây ra hoạt động không mong muốn.
Cần sử dụng các hệ thống dự phòng phù hợp và các thiết bị an toàn cần thiết để bảo vệ khỏi thương tích, tử vong hoặc thiệt hại tài sản do lỗi hệ thống. Việc bảo vệ như vậy là trách nhiệm của người dùng. Thiết bị máy chủ bảng điều khiển này không được phê duyệt để sử dụng làm hệ thống hỗ trợ sự sống hoặc y tế. Bất kỳ thay đổi hoặc sửa đổi nào được thực hiện đối với thiết bị máy chủ bảng điều khiển này mà không có sự chấp thuận hoặc đồng ý rõ ràng của Opengear sẽ làm mất hiệu lực của Opengear về bất kỳ trách nhiệm pháp lý hoặc trách nhiệm nào đối với thương tích hoặc mất mát do bất kỳ trục trặc nào gây ra. Thiết bị này được sử dụng trong nhà và tất cả các hệ thống dây điện liên lạc được giới hạn ở bên trong tòa nhà.
2

Hướng dẫn sử dụng
Bản quyền
©Opengear Inc. 2023. Mọi quyền được bảo lưu. Thông tin trong tài liệu này có thể thay đổi mà không cần thông báo và không thể hiện cam kết từ phía Opengear. Opengear cung cấp tài liệu này “nguyên trạng” mà không có bảo hành dưới bất kỳ hình thức nào, rõ ràng hay ngụ ý, bao gồm nhưng không giới hạn ở các bảo đảm ngụ ý về tính phù hợp hoặc khả năng bán được cho một mục đích cụ thể. Opengear có thể thực hiện các cải tiến và/hoặc thay đổi trong sổ tay hướng dẫn này hoặc trong (các) sản phẩm và/hoặc (các) chương trình được mô tả trong sổ tay hướng dẫn này bất kỳ lúc nào. Sản phẩm này có thể bao gồm những sai sót về mặt kỹ thuật hoặc lỗi đánh máy. Những thay đổi được thực hiện định kỳ đối với thông tin trong tài liệu này; những thay đổi này có thể được đưa vào các ấn bản mới của ấn phẩm.\

Chương 1

Hướng dẫn này

HƯỚNG DẪN NÀY

Hướng dẫn sử dụng này giải thích việc cài đặt, vận hành và quản lý máy chủ bảng điều khiển Opengear. Sổ tay hướng dẫn này giả định rằng bạn đã quen thuộc với Internet và mạng IP, HTTP, FTP, các hoạt động bảo mật cơ bản và mạng nội bộ của tổ chức bạn.
1.1 Các loại người dùng
Máy chủ console hỗ trợ hai lớp người dùng:
· Quản trị viên có đặc quyền quản lý và cấu hình không giới hạn trên bảng điều khiển
máy chủ và các thiết bị được kết nối cũng như tất cả các dịch vụ và cổng để điều khiển tất cả các thiết bị được kết nối nối tiếp và thiết bị được kết nối mạng (máy chủ). Quản trị viên được thiết lập là thành viên của nhóm người dùng quản trị viên. Quản trị viên có thể truy cập và điều khiển máy chủ bảng điều khiển bằng tiện ích cấu hình, dòng lệnh Linux hoặc Bảng điều khiển quản lý dựa trên trình duyệt.
· Người dùng đã được quản trị viên thiết lập với các giới hạn về quyền truy cập và quyền kiểm soát của họ.
Người dùng có giới hạn view của Bảng điều khiển quản lý và chỉ có thể truy cập các thiết bị được cấu hình được ủy quyền vàview nhật ký cổng. Những người dùng này được thiết lập làm thành viên của một hoặc nhiều nhóm người dùng được cấu hình sẵn như PPTPD, dialin, FTP, pmshell, người dùng hoặc nhóm người dùng mà quản trị viên có thể đã tạo. Họ chỉ được phép thực hiện các điều khiển được chỉ định trên các thiết bị được kết nối cụ thể. Người dùng, khi được ủy quyền, có thể truy cập và điều khiển các thiết bị nối tiếp hoặc kết nối mạng bằng các dịch vụ được chỉ định (ví dụ: Telnet, HHTPS, RDP, IPMI, Nối tiếp qua mạng LAN, Kiểm soát nguồn). Người dùng từ xa là những người dùng không ở cùng phân khúc mạng LAN với máy chủ bảng điều khiển. Người dùng từ xa có thể đang kết nối với các thiết bị được quản lý qua Internet công cộng, quản trị viên ở văn phòng khác kết nối với máy chủ bảng điều khiển qua VPN doanh nghiệp hoặc trong cùng một phòng hoặc cùng một văn phòng nhưng được kết nối trên một VLAN riêng với bảng điều khiển máy chủ.
1.2 Bảng điều khiển quản lý
Bảng điều khiển quản lý Opengear cho phép bạn định cấu hình và giám sát các tính năng của máy chủ bảng điều khiển Opengear. Bảng điều khiển quản lý chạy trong trình duyệt và cung cấp một view của máy chủ bảng điều khiển và tất cả các thiết bị được kết nối. Quản trị viên có thể sử dụng Bảng điều khiển quản lý để định cấu hình và quản lý máy chủ bảng điều khiển, người dùng, cổng, máy chủ, thiết bị nguồn cũng như nhật ký và cảnh báo liên quan. Người dùng không phải quản trị viên có thể sử dụng Bảng điều khiển quản lý với quyền truy cập menu hạn chế để điều khiển các thiết bị được chọn,view nhật ký của họ và truy cập chúng bằng cách sử dụng tính năng tích hợp sẵn Web phần cuối.
Máy chủ bảng điều khiển chạy hệ điều hành Linux nhúng và có thể được cấu hình bằng dòng lệnh. Bạn có thể nhận quyền truy cập dòng lệnh bằng mạng di động/quay số, kết nối trực tiếp với cổng bảng điều khiển/modem nối tiếp của máy chủ bảng điều khiển hoặc bằng cách sử dụng SSH hoặc Telnet để kết nối với máy chủ bảng điều khiển qua mạng LAN (hoặc kết nối với PPTP, IPsec hoặc OpenVPN) .
6

Hướng dẫn sử dụng
Đối với các lệnh giao diện dòng lệnh (CLI) và hướng dẫn nâng cao, hãy tải xuống Opengear CLI và Scripting Reference.pdf từ https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Thông tin khác
Để biết thêm thông tin, hãy tham khảo: · Sản phẩm Opengear Web Trang web: Xem https://opengear.com/products. Để nhận thông tin cập nhật nhất về những gì được bao gồm trong máy chủ bảng điều khiển của bạn, hãy truy cập phần Những gì được bao gồm cho sản phẩm cụ thể của bạn. · Hướng dẫn bắt đầu nhanh: Để có Hướng dẫn bắt đầu nhanh cho thiết bị của bạn, hãy xem https://opengear.com/support/documentation/. · Cơ sở Kiến thức Opengear: Truy cập https://opengear.zendesk.com để truy cập các bài viết hướng dẫn kỹ thuật, mẹo công nghệ, Câu hỏi thường gặp và các thông báo quan trọng. · Tham khảo về Opengear CLI và Tập lệnh: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Chương 2:

Cấu hình hệ thống

CẤU HÌNH HỆ THÔNG

Chương này cung cấp hướng dẫn từng bước về cấu hình ban đầu của máy chủ bảng điều khiển của bạn và kết nối nó với Mạng LAN Quản lý hoặc Vận hành. Các bước là:
Kích hoạt Bảng điều khiển quản lý. Thay đổi mật khẩu quản trị viên. Đặt cổng LAN chính của máy chủ bảng điều khiển địa chỉ IP. Chọn các dịch vụ sẽ được kích hoạt và đặc quyền truy cập. Chương này cũng thảo luận về các công cụ phần mềm giao tiếp mà quản trị viên có thể sử dụng để truy cập máy chủ bảng điều khiển và cấu hình của các cổng LAN bổ sung.
2.1 Kết nối bảng điều khiển quản lý
Máy chủ bảng điều khiển của bạn được định cấu hình với Địa chỉ IP mặc định 192.168.0.1 và mặt nạ mạng con 255.255.255.0 cho NET1 (WAN). Đối với cấu hình ban đầu, chúng tôi khuyên bạn nên kết nối máy tính trực tiếp với bảng điều khiển. Nếu bạn chọn kết nối mạng LAN của mình trước khi hoàn tất các bước thiết lập ban đầu, hãy đảm bảo rằng:
· Không có thiết bị nào khác trên mạng LAN có địa chỉ 192.168.0.1. · Máy chủ console và máy tính nằm trên cùng một mạng LAN, không có bộ định tuyến xen vào
thiết bị gia dụng.
2.1.1 Thiết lập máy tính được kết nối Để định cấu hình máy chủ bảng điều khiển bằng trình duyệt, máy tính được kết nối phải có địa chỉ IP trong cùng dải với máy chủ bảng điều khiển (ví dụ:ample, 192.168.0.100):
· Để định cấu hình Địa chỉ IP của máy tính Linux hoặc Unix của bạn, hãy chạy ifconfig. · Đối với máy tính Windows:
1. Nhấp vào Bắt đầu > Cài đặt > Bảng điều khiển và nhấp đúp vào Kết nối mạng. 2. Nhấp chuột phải vào Local Area Connection và chọn Properties. 3. Chọn Giao thức Internet (TCP/IP) và nhấp vào Thuộc tính. 4. Chọn Sử dụng địa chỉ IP sau và nhập các chi tiết sau:
o Địa chỉ IP: 192.168.0.100 o Mặt nạ mạng con: 255.255.255.0 5. Nếu bạn muốn giữ lại cài đặt IP hiện tại cho kết nối mạng này, hãy nhấp vào Nâng cao và Thêm thông tin ở trên làm kết nối IP phụ.
2.1.2 Kết nối trình duyệt
Mở trình duyệt trên PC/máy trạm được kết nối và nhập https://192.168.0.1.
Đăng nhập với:
Tên người dùng> Mật khẩu gốc> mặc định
8

Hướng dẫn sử dụng
Lần đầu tiên đăng nhập, bạn phải thay đổi mật khẩu root. Nhấp vào Gửi.
Để hoàn tất việc thay đổi, hãy nhập lại mật khẩu mới. Nhấp vào Gửi. Màn hình Chào mừng xuất hiện.
Nếu hệ thống của bạn có modem di động, bạn sẽ được cung cấp các bước để định cấu hình các tính năng của bộ định tuyến di động: · Định cấu hình kết nối modem di động (Hệ thống > Trang Quay số. Xem Chương 4) · Cho phép chuyển tiếp đến mạng đích di động (Trang Hệ thống > Tường lửa. Xem Chương 4) · Kích hoạt tính năng giả mạo IP cho kết nối di động (Trang Hệ thống > Tường lửa. Xem Chương 4)
Sau khi hoàn thành từng bước trên, bạn có thể quay lại danh sách cấu hình bằng cách nhấp vào biểu tượng Opengear ở góc trên cùng bên trái màn hình. LƯU Ý Nếu bạn không thể kết nối với Bảng điều khiển quản lý tại 192.168.0.1 hoặc nếu cài đặt mặc định
Tên người dùng/Mật khẩu không được chấp nhận, hãy đặt lại máy chủ bảng điều khiển của bạn (Xem Chương 10).
9

Chương 2: Cấu hình hệ thống
2.2 Thiết lập quản trị viên
2.2.1 Thay đổi mật khẩu hệ thống gốc mặc định Bạn được yêu cầu thay đổi mật khẩu gốc khi đăng nhập vào thiết bị lần đầu tiên. Bạn có thể thay đổi mật khẩu này bất cứ lúc nào.
1. Nhấp vào Nối tiếp & Mạng > Người dùng & Nhóm hoặc trên màn hình Chào mừng, nhấp vào Thay đổi mật khẩu quản trị mặc định.
2. Cuộn xuống và tìm mục nhập người dùng root trong Người dùng và nhấp vào Chỉnh sửa. 3. Nhập mật khẩu mới vào trường Mật khẩu và Xác nhận.
LƯU Ý Việc chọn Lưu mật khẩu trên toàn bộ quá trình xóa chương trình cơ sở sẽ lưu mật khẩu để mật khẩu không bị xóa khi cài đặt lại chương trình cơ sở. Nếu mật khẩu này bị mất, thiết bị sẽ cần được khôi phục firmware.
4. Nhấp vào Áp dụng. Đăng nhập bằng mật khẩu mới 2.2.2 Thiết lập quản trị viên mới Tạo người dùng mới với đặc quyền quản trị và đăng nhập với tư cách người dùng này cho các chức năng quản trị, thay vì sử dụng root.
10

Hướng dẫn sử dụng
1. Nhấp chuột Nối tiếp & Mạng > Người dùng & Nhóm. Cuộn xuống cuối trang và nhấp vào nút Thêm người dùng.
2. Nhập tên người dùng. 3. Trong phần Nhóm, chọn hộp quản trị. 4. Nhập mật khẩu vào các trường Mật khẩu và Xác nhận.
5. Bạn cũng có thể thêm Khóa ủy quyền SSH và chọn Tắt xác thực mật khẩu cho người dùng này.
6. Các tùy chọn bổ sung cho người dùng này có thể được đặt trên trang này bao gồm Tùy chọn quay số, Máy chủ có thể truy cập, Cổng có thể truy cập và Ổ cắm RPC có thể truy cập.
7. Nhấp vào nút Áp dụng ở cuối màn hình để tạo người dùng mới này.
11

Chương 2: Cấu hình hệ thống
2.2.3 Thêm tên hệ thống, mô tả hệ thống và MOTD. 1. Chọn Hệ thống > Quản trị. 2. Nhập Tên hệ thống và Mô tả hệ thống cho máy chủ bảng điều khiển để cấp cho nó một ID duy nhất và giúp nhận dạng dễ dàng hơn. Tên hệ thống có thể chứa từ 1 đến 64 ký tự chữ và số và các ký tự đặc biệt gạch dưới (_), dấu trừ (-) và dấu chấm (.). Mô tả hệ thống có thể chứa tối đa 254 ký tự.
3. Biểu ngữ MOTD có thể được sử dụng để hiển thị thông báo trong ngày cho người dùng. Nó xuất hiện ở phía trên bên trái màn hình bên dưới logo Opengear.
4. Nhấp vào Áp dụng.
12

Chương 2: Cấu hình hệ thống
5. Chọn Hệ thống > Quản trị. 6. Biểu ngữ MOTD có thể được sử dụng để hiển thị thông báo trong ngày cho người dùng. Nó xuất hiện trên
phía trên bên trái của màn hình bên dưới logo Opengear. 7. Nhấp vào Áp dụng.
2.3 Cấu hình mạng
Nhập địa chỉ IP cho cổng Ethernet (LAN/Network/Network1) chính trên máy chủ bảng điều khiển hoặc cho phép máy khách DHCP của nó tự động lấy địa chỉ IP từ máy chủ DHCP. Theo mặc định, máy chủ bảng điều khiển đã bật ứng dụng khách DHCP và tự động chấp nhận mọi địa chỉ IP mạng do máy chủ DHCP chỉ định trên mạng của bạn. Ở trạng thái ban đầu này, máy chủ bảng điều khiển sẽ phản hồi cả địa chỉ tĩnh mặc định 192.168.0.1 và địa chỉ DHCP của nó.
1. Nhấp vào Hệ thống > IP và nhấp vào tab Giao diện mạng. 2. Chọn DHCP hoặc Static cho Phương thức cấu hình.
Nếu bạn chọn Tĩnh, hãy nhập chi tiết Địa chỉ IP, Mặt nạ mạng con, Cổng và máy chủ DNS. Lựa chọn này vô hiệu hóa máy khách DHCP.
12

Hướng dẫn sử dụng
3. Cổng LAN của máy chủ console tự động phát hiện tốc độ kết nối Ethernet. Sử dụng danh sách thả xuống Phương tiện để khóa Ethernet ở tốc độ 10 Mb/giây hoặc 100 Mb/giây và ở Song công hoàn toàn hoặc Bán song công.
Nếu bạn gặp phải hiện tượng mất gói hoặc hiệu suất mạng kém với cài đặt Tự động, hãy thay đổi cài đặt Ethernet Media trên máy chủ bảng điều khiển và thiết bị được kết nối với nó. Trong hầu hết các trường hợp, hãy thay đổi cả hai thành 100baseTx-FD (100 megabit, song công hoàn toàn).
4. Nếu bạn chọn DHCP, máy chủ bảng điều khiển sẽ tìm kiếm chi tiết cấu hình từ máy chủ DHCP. Lựa chọn này vô hiệu hóa bất kỳ địa chỉ tĩnh nào. Địa chỉ MAC của máy chủ bảng điều khiển có thể được tìm thấy trên nhãn trên tấm đế.
5. Bạn có thể nhập địa chỉ phụ hoặc danh sách địa chỉ được phân tách bằng dấu phẩy trong ký hiệu CIDR, ví dụ: 192.168.1.1/24 làm Bí danh IP.
6. Nhấp vào Áp dụng 7. Kết nối lại trình duyệt trên máy tính được kết nối với máy chủ bảng điều khiển bằng cách nhập
http://your new IP address.
Nếu thay đổi địa chỉ IP của máy chủ bảng điều khiển, bạn cần phải cấu hình lại máy tính của mình để có địa chỉ IP trong cùng dải mạng với địa chỉ máy chủ bảng điều khiển mới. Bạn có thể đặt MTU trên giao diện Ethernet. Đây là tùy chọn nâng cao được sử dụng nếu kịch bản triển khai của bạn không hoạt động với MTU mặc định là 1500 byte. Để đặt MTU, nhấp vào Hệ thống > IP và nhấp vào tab Giao diện mạng. Cuộn xuống trường MTU và nhập giá trị mong muốn. Các giá trị hợp lệ là từ 1280 đến 1500 cho giao diện 100 megabit và 1280 đến 9100 cho giao diện gigabit. Nếu cầu nối hoặc liên kết được định cấu hình, MTU được đặt trên trang Giao diện mạng sẽ được đặt trên các giao diện là một phần của cầu nối hoặc liên kết . LƯU Ý Trong một số trường hợp, MTU do người dùng chỉ định có thể không có hiệu lực. Một số trình điều khiển NIC có thể làm tròn MTU quá khổ đến giá trị tối đa được phép và những trình điều khiển khác sẽ trả về mã lỗi. Bạn cũng có thể sử dụng lệnh CLI để quản lý Kích thước MTU: cấu hình
# config -s config.interfaces.wan.mtu=1380 kiểm tra
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider không có config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode cấu hình không trạng thái .interfaces.wan.media Tự động config.interfaces.wan.mode config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Chương 2: Cấu hình hệ thống
2.3.1 Cấu hình IPv6 Giao diện Ethernet của máy chủ bảng điều khiển hỗ trợ IPv4 theo mặc định. Chúng có thể được cấu hình để hoạt động IPv6:
1. Nhấp vào Hệ thống > IP. Nhấp vào tab Cài đặt chung và chọn Bật IPv6. Nếu muốn, hãy nhấp vào hộp kiểm Tắt IPv6 cho mạng di động.
2. Cấu hình các thông số IPv6 trên mỗi trang giao diện. IPv6 có thể được định cấu hình cho chế độ Tự động, sẽ sử dụng SLAAC hoặc DHCPv6 để định cấu hình địa chỉ, tuyến đường và DNS hoặc chế độ Tĩnh, cho phép nhập thông tin địa chỉ theo cách thủ công.
2.3.2 Cấu hình DNS động (DDNS) Với DNS động (DDNS), máy chủ bảng điều khiển có địa chỉ IP được gán động có thể được định vị bằng máy chủ hoặc tên miền cố định. Tạo một tài khoản với nhà cung cấp dịch vụ DDNS được hỗ trợ mà bạn chọn. Khi bạn thiết lập tài khoản DDNS của mình, bạn chọn tên người dùng, mật khẩu và tên máy chủ mà bạn sẽ sử dụng làm tên DNS. Nhà cung cấp dịch vụ DDNS cho phép bạn chọn tên máy chủ URL và đặt địa chỉ IP ban đầu tương ứng với tên máy chủ đó URL.
14

Hướng dẫn sử dụng
Để bật và định cấu hình DDNS trên bất kỳ kết nối mạng Ethernet hoặc mạng di động nào trên máy chủ bảng điều khiển. 1. Nhấp vào Hệ thống > IP và cuộn xuống phần DNS động. Chọn nhà cung cấp dịch vụ DDNS của bạn
từ danh sách DNS động thả xuống. Bạn cũng có thể đặt thông tin DDNS trong tab Modem di động trong Hệ thống > Quay số.
2. Trong Tên máy chủ DDNS, nhập tên máy chủ DNS đủ điều kiện cho máy chủ bảng điều khiển của bạn, ví dụ: yourhostname.dyndns.org.
3. Nhập Tên người dùng DDNS và Mật khẩu DDNS cho tài khoản nhà cung cấp dịch vụ DDNS. 4. Chỉ định khoảng thời gian tối đa giữa các lần cập nhật tính theo ngày. Bản cập nhật DDNS sẽ được gửi ngay cả khi
địa chỉ không thay đổi. 5. Chỉ định khoảng thời gian tối thiểu giữa các lần kiểm tra địa chỉ đã thay đổi tính bằng giây. Cập nhật sẽ
được gửi nếu địa chỉ đã thay đổi. 6. Chỉ định Số lần thử tối đa trên mỗi bản cập nhật là số lần thử cập nhật
trước khi từ bỏ. Đây là 3 theo mặc định. 7. Nhấp vào Áp dụng.
15

Chương 2: Cấu hình hệ thống
2.3.3 Chế độ EAPoL cho WAN, LAN và OOBFO
(OOBFO chỉ áp dụng cho IM7216-2-24E-DAC)
Quaview của EAPoL IEEE 802.1X hoặc PNAC (Kiểm soát truy cập mạng dựa trên cổng) sử dụng các đặc tính truy cập vật lý của cơ sở hạ tầng mạng LAN IEEE 802 để cung cấp phương tiện xác thực và ủy quyền cho các thiết bị được gắn vào cổng LAN có điểm-tới- đặc điểm kết nối điểm và ngăn chặn truy cập vào cổng đó trong trường hợp xác thực và ủy quyền không thành công. Một cổng trong ngữ cảnh này là một điểm gắn kết duy nhất với cơ sở hạ tầng mạng LAN.
Khi một nút không dây hoặc có dây (WN) mới yêu cầu quyền truy cập vào tài nguyên mạng LAN, điểm truy cập (AP) sẽ yêu cầu danh tính của WN. Không có lưu lượng truy cập nào khác ngoài EAP được phép trước khi WN được xác thực (“cổng” bị đóng hoặc “không được xác thực”). Nút không dây yêu cầu xác thực thường được gọi là Supplicant, Supplicant chịu trách nhiệm phản hồi dữ liệu Authenticator sẽ thiết lập thông tin xác thực của nó. Điều tương tự cũng xảy ra với điểm truy cập; Authenticator không phải là điểm truy cập. Đúng hơn, điểm truy cập chứa Trình xác thực. Authenticator không cần phải có mặt tại điểm truy cập; nó có thể là một thành phần bên ngoài. Các phương thức xác thực sau đây được triển khai:
· Trình thay thế EAP-MD5 o Phương pháp EAP MD5-Challenge sử dụng tên người dùng/mật khẩu đơn giản
· EAP-PEAP-MD5 o Phương thức xác thực MD5 EAP PEAP (EAP được bảo vệ) sử dụng thông tin xác thực của người dùng và chứng chỉ CA
· EAP-TLS o Phương thức xác thực EAP TLS (Transport Layer Security) yêu cầu chứng chỉ CA, chứng chỉ ứng dụng khách và khóa riêng.
Giao thức EAP, được sử dụng để xác thực, ban đầu được sử dụng cho PPP quay số. Danh tính là tên người dùng và xác thực PAP hoặc CHAP được sử dụng để kiểm tra mật khẩu của người dùng. Vì danh tính được gửi rõ ràng (không được mã hóa), kẻ đánh hơi độc hại có thể biết được danh tính của người dùng. Do đó, “ẩn danh tính” được sử dụng; danh tính thực sự không được gửi trước khi đường hầm TLS được mã hóa hoạt động.
16

Hướng dẫn sử dụng
Sau khi danh tính đã được gửi đi, quá trình xác thực bắt đầu. Giao thức được sử dụng giữa Người yêu cầu và Người xác thực là EAP, (hoặc EAPoL). Authenticator đóng gói lại các thông báo EAP thành định dạng RADIUS và chuyển chúng đến Máy chủ xác thực. Trong quá trình xác thực, Authenticator chuyển tiếp các gói giữa Người cung cấp và Máy chủ xác thực. Khi quá trình xác thực hoàn tất, Máy chủ xác thực sẽ gửi thông báo thành công (hoặc thất bại nếu xác thực không thành công). Sau đó, Authenticator sẽ mở “cổng” cho Người cung cấp. Có thể truy cập cài đặt xác thực từ trang Cài đặt nhà cung cấp EAPoL. Trạng thái của EAPoL hiện tại được hiển thị chi tiết trên trang Thống kê trạng thái trên tab EAPoL:
Bản tóm tắt EAPoL trên các ROLE mạng được hiển thị trong phần “Trình quản lý kết nối” trên giao diện Bảng điều khiển.
17

Chương 2: Cấu hình hệ thống
Dưới đây là một người yêu cũamptập tin xác thực thành công:
Hỗ trợ IEEE 802.1x (EAPOL) trên các cổng switch của IM7216-2-24E-DAC và ACM7004-5: Để tránh hiện tượng loop, người dùng không nên cắm nhiều hơn một cổng switch vào cùng một switch cấp trên.
18

Hướng dẫn sử dụng
2.4 Truy cập dịch vụ và Bảo vệ lực lượng vũ phu
Quản trị viên có thể truy cập máy chủ bảng điều khiển và các cổng nối tiếp được kết nối cũng như các thiết bị được quản lý bằng nhiều giao thức/dịch vụ truy cập. Đối với mỗi lần truy cập
· Dịch vụ trước tiên phải được cấu hình và kích hoạt để chạy trên máy chủ console. · Truy cập qua tường lửa phải được kích hoạt cho mỗi kết nối mạng. Để bật và định cấu hình một dịch vụ: 1. Nhấp vào Hệ thống > Dịch vụ và nhấp vào tab Cài đặt dịch vụ.

2. Kích hoạt và cấu hình các dịch vụ cơ bản:

Giao thức HTTP

Theo mặc định, dịch vụ HTTP đang chạy và không thể tắt hoàn toàn. Theo mặc định, quyền truy cập HTTP bị tắt trên tất cả các giao diện. Chúng tôi khuyến nghị quyền truy cập này vẫn bị vô hiệu hóa nếu máy chủ bảng điều khiển được truy cập từ xa qua Internet.
HTTP thay thế cho phép bạn định cấu hình cổng HTTP thay thế để nghe. Dịch vụ HTTP sẽ tiếp tục lắng nghe trên cổng TCP 80 để liên lạc với CMS và trình kết nối nhưng sẽ không thể truy cập được qua tường lửa.

HTTPS

Theo mặc định, dịch vụ HTTPS đang chạy và được bật trên tất cả các giao diện mạng. Bạn chỉ nên sử dụng quyền truy cập HTTPS nếu máy chủ bảng điều khiển được quản lý qua bất kỳ mạng công cộng nào. Điều này đảm bảo quản trị viên có quyền truy cập trình duyệt an toàn vào tất cả các menu trên máy chủ bảng điều khiển. Nó cũng cho phép người dùng được cấu hình phù hợp truy cập trình duyệt an toàn vào các menu Quản lý đã chọn.
Dịch vụ HTTPS có thể bị vô hiệu hóa hoặc kích hoạt lại bằng cách kiểm tra HTTPS Web Quản lý và chỉ định một cổng thay thế (cổng mặc định là 443).

Telnet

Theo mặc định, dịch vụ Telnet đang chạy nhưng bị tắt trên tất cả các giao diện mạng.
Telnet có thể được sử dụng để cấp cho quản trị viên quyền truy cập vào shell dòng lệnh hệ thống. Dịch vụ này có thể hữu ích cho quản trị viên cục bộ và người dùng truy cập vào các bảng điều khiển nối tiếp đã chọn. Chúng tôi khuyên bạn nên tắt dịch vụ này nếu máy chủ bảng điều khiển được quản lý từ xa.
Hộp kiểm Enable Telnet command shell sẽ bật hoặc tắt dịch vụ Telnet. Một cổng Telnet thay thế để nghe có thể được chỉ định trong Cổng Telnet thay thế (cổng mặc định là 23).

Chương 2: Cấu hình hệ thống

SSH

Dịch vụ này cung cấp quyền truy cập SSH an toàn vào máy chủ bảng điều khiển và các thiết bị đính kèm

và theo mặc định, dịch vụ SSH đang chạy và được bật trên tất cả các giao diện. Nó là

khuyên bạn nên chọn SSH làm giao thức nơi quản trị viên kết nối với

máy chủ bảng điều khiển qua Internet hoặc bất kỳ mạng công cộng nào khác. Điều này sẽ cung cấp

thông tin liên lạc được xác thực giữa chương trình máy khách SSH trên điều khiển từ xa

máy tính và máy chủ SSH trong máy chủ bảng điều khiển. Để biết thêm thông tin về SSH

cấu hình Xem Chương 8 – Xác thực.

Hộp kiểm Bật shell lệnh SSH sẽ bật hoặc tắt dịch vụ này. Một cổng SSH thay thế để nghe có thể được chỉ định trong cổng shell lệnh SSH (cổng mặc định là 22).

3. Kích hoạt và cấu hình các dịch vụ khác:

TFTP/FTP Nếu phát hiện thấy thẻ flash USB hoặc đèn flash bên trong trên máy chủ bảng điều khiển, việc chọn tùy chọn Bật dịch vụ TFTP (FTP) sẽ bật dịch vụ này và thiết lập máy chủ tftp và ftp mặc định trên flash USB. Các máy chủ này được sử dụng để lưu trữ cấu hình files, duy trì nhật ký truy cập và giao dịch, v.v. Files được chuyển bằng tftp và ftp sẽ được lưu trữ trong /var/mnt/storage.usb/tftpboot/ (hoặc /var/mnt/storage.nvlog/tftpboot/ trên các thiết bị ACM7000series). Việc bỏ chọn Enable TFTP (FTP) service sẽ vô hiệu hóa dịch vụ TFTP (FTP).

Kiểm tra chuyển tiếp DNS Bật Máy chủ/chuyển tiếp DNS bật tính năng chuyển tiếp DNS để máy khách có thể được định cấu hình bằng IP của máy chủ bảng điều khiển cho cài đặt máy chủ DNS của chúng và máy chủ bảng điều khiển sẽ chuyển tiếp các truy vấn DNS đến máy chủ DNS thực.

Web Bật kiểm tra thiết bị đầu cuối Web Thiết bị đầu cuối cho phép web trình duyệt truy cập vào shell dòng lệnh hệ thống thông qua Quản lý > Terminal.

4. Chỉ định số cổng thay thế cho các dịch vụ Raw TCP, Telnet/SSH trực tiếp và Telnet/SSH không được xác thực. Máy chủ bảng điều khiển sử dụng các phạm vi cụ thể cho các cổng TCP/IP cho các truy cập khác nhau
dịch vụ mà người dùng có thể sử dụng để truy cập các thiết bị được gắn vào cổng nối tiếp (như được đề cập trong Chương 3 Định cấu hình cổng nối tiếp). Quản trị viên có thể đặt phạm vi thay thế cho các dịch vụ này và các cổng phụ này sẽ được sử dụng ngoài các giá trị mặc định.

Địa chỉ cổng cơ sở TCP/IP mặc định để truy cập Telnet là 2000 và phạm vi cho Telnet là Địa chỉ IP: Cổng (2000 + cổng nối tiếp #) tức là 2001 2048. Nếu quản trị viên đặt 8000 làm cơ sở phụ cho Telnet, nối tiếp cổng số 2 trên máy chủ bảng điều khiển có thể được truy cập Telnet tại IP
Địa chỉ:2002 và tại Địa chỉ IP:8002. Cơ sở mặc định cho SSH là 3000; đối với TCP thô là 4000; và đối với RFC2217 là 5000

5. Các dịch vụ khác có thể được kích hoạt và cấu hình từ menu này bằng cách chọn Click here to configure:

Nagios Truy cập vào trình nền giám sát Nagios NRPE

HẠT

Truy cập vào trình nền giám sát NUT UPS

SNMP Bật snmp trong máy chủ bảng điều khiển. SNMP bị tắt theo mặc định

NTP

6. Nhấp vào Áp dụng. Một thông báo xác nhận xuất hiện: Tin nhắn Thay đổi cấu hình thành công

Cài đặt Truy cập dịch vụ có thể được đặt để cho phép hoặc chặn quyền truy cập. Điều này chỉ định những dịch vụ đã bật mà quản trị viên có thể sử dụng trên mỗi giao diện mạng để kết nối với máy chủ bảng điều khiển và thông qua máy chủ bảng điều khiển đến các thiết bị được kết nối mạng và nối tiếp được đính kèm.

Hướng dẫn sử dụng
1. Chọn tab Truy cập dịch vụ trên trang Hệ thống > Dịch vụ.
2. Phần này hiển thị các dịch vụ được kích hoạt cho giao diện mạng của máy chủ bảng điều khiển. Tùy thuộc vào kiểu máy chủ bảng điều khiển cụ thể, các giao diện được hiển thị có thể bao gồm: · Giao diện mạng (đối với kết nối Ethernet chính) · Quản lý Chuyển đổi dự phòng LAN / OOB (kết nối Ethernet thứ hai) · Quay số /Cellular (modem V90 và 3G) · Quay số (nội bộ) hoặc modem V90 bên ngoài) · VPN (IPsec hoặc kết nối VPN mở qua bất kỳ giao diện mạng nào)
3. Kiểm tra/bỏ chọn cho mỗi mạng mà quyền truy cập dịch vụ sẽ được bật/tắt. Các tùy chọn truy cập dịch vụ Phản hồi tiếng vang ICMP (tức là ping) có thể được định cấu hình tại thời điểm nàytagđ. Điều này cho phép máy chủ bảng điều khiển phản hồi các yêu cầu tiếng vang ICMP đến. Ping được bật theo mặc định. Để tăng tính bảo mật, bạn nên tắt dịch vụ này khi hoàn tất cấu hình ban đầu. Bạn có thể cho phép truy cập các thiết bị cổng nối tiếp từ các giao diện mạng được chỉ định bằng cách sử dụng Raw TCP, Telnet/SSH trực tiếp, các dịch vụ Telnet/SSH không được xác thực, v.v.
4. Nhấp vào Áp dụng Web Cài đặt quản lý Hộp kiểm Bật HSTS cho phép bảo mật truyền tải nghiêm ngặt HTTP. Chế độ HSTS có nghĩa là tiêu đề StrictTransport-Security phải được gửi qua truyền tải HTTPS. Tuân thủ web trình duyệt ghi nhớ tiêu đề này và khi được yêu cầu liên hệ với cùng một máy chủ qua HTTP (đơn giản), nó sẽ tự động chuyển sang
19

Chương 2: Cấu hình hệ thống
HTTPS trước khi thử HTTP, miễn là trình duyệt đã truy cập trang web bảo mật một lần và nhìn thấy tiêu đề STS.
Brute Force Protection Bảo vệ Brute Force Protection (Micro Fail2ban) tạm thời chặn các IP nguồn có dấu hiệu độc hại, chẳng hạn như nhập sai quá nhiều mật khẩu. Điều này có thể hữu ích khi các dịch vụ mạng của thiết bị tiếp xúc với một mạng không đáng tin cậy như mạng WAN công cộng và các cuộc tấn công theo kịch bản hoặc sâu phần mềm đang cố đoán thông tin xác thực của người dùng (bạo lực) và giành được quyền truy cập trái phép.

Brute Force Protection có thể được kích hoạt cho các dịch vụ được liệt kê. Theo mặc định, sau khi bật tính năng bảo vệ, 3 lần thử kết nối không thành công trở lên trong vòng 60 giây từ một IP nguồn cụ thể sẽ kích hoạt nó sẽ bị cấm kết nối trong một khoảng thời gian có thể định cấu hình. Giới hạn nỗ lực và thời gian chờ Cấm có thể được tùy chỉnh. Các Lệnh cấm có hiệu lực cũng được liệt kê và có thể được làm mới bằng cách tải lại trang.

GHI CHÚ

Khi chạy trên một mạng không đáng tin cậy, hãy cân nhắc sử dụng nhiều chiến lược khác nhau được sử dụng để khóa quyền truy cập từ xa. Điều này bao gồm xác thực khóa công khai SSH, VPN và Quy tắc tường lửa để
danh sách cho phép chỉ truy cập từ xa từ các mạng nguồn đáng tin cậy. Xem Cơ sở Kiến thức Opengear để biết chi tiết.

2.5 Phần mềm Truyền thông
Bạn đã định cấu hình các giao thức truy cập để máy khách quản trị viên sử dụng khi kết nối với máy chủ bảng điều khiển. Máy khách người dùng cũng sử dụng các giao thức này khi truy cập các thiết bị gắn nối tiếp với máy chủ bảng điều khiển và các máy chủ gắn liền với mạng. Bạn cần cài đặt các công cụ phần mềm liên lạc trên máy tính của quản trị viên và người dùng. Để kết nối, bạn có thể sử dụng các công cụ như PuTTY và SSHTerm.

Hướng dẫn sử dụng
Các trình kết nối có sẵn trên thị trường kết hợp giao thức đường hầm SSH đáng tin cậy với các công cụ truy cập phổ biến như Telnet, SSH, HTTP, HTTPS, VNC, RDP để cung cấp quyền truy cập quản lý từ xa an toàn theo điểm và nhấp chuột vào tất cả các hệ thống và thiết bị đang được quản lý. Thông tin về cách sử dụng trình kết nối để trình duyệt truy cập vào Bảng điều khiển quản lý của máy chủ bảng điều khiển, quyền truy cập Telnet/SSH vào dòng lệnh của máy chủ bảng điều khiển và kết nối TCP/UDP với các máy chủ được kết nối mạng với máy chủ bảng điều khiển có thể được tìm thấy trong Chương 5. Trình kết nối có thể là được cài đặt trên PC Windows, Mac OS X và trên hầu hết các hệ thống Linux, UNIX và Solaris.
2.6 Cấu hình mạng quản lý
Máy chủ bảng điều khiển có các cổng mạng bổ sung có thể được cấu hình để cung cấp quyền truy cập mạng LAN quản lý và/hoặc chuyển đổi dự phòng hoặc truy cập ngoài băng tần. 2.6.1 Kích hoạt Bảng điều khiển LAN quản lý các máy chủ có thể được cấu hình để cổng Ethernet thứ hai cung cấp cổng LAN quản lý. Cổng có các tính năng tường lửa, bộ định tuyến và máy chủ DHCP. Bạn cần kết nối bộ chuyển mạch LAN bên ngoài với Mạng 2 để gắn máy chủ vào mạng LAN quản lý này:
LƯU Ý Cổng Ethernet thứ hai có thể được cấu hình làm cổng cổng LAN quản lý hoặc làm cổng OOB/Chuyển đổi dự phòng. Đảm bảo bạn không phân bổ NET2 làm Giao diện chuyển đổi dự phòng khi bạn định cấu hình kết nối Mạng chính trên menu Hệ thống > IP.
21

Chương 2: Cấu hình hệ thống
Để định cấu hình cổng LAN quản lý: 1. Chọn tab Giao diện mạng LAN quản lý trên menu Hệ thống > IP và bỏ chọn Tắt. 2. Định cấu hình Địa chỉ IP và Mặt nạ mạng con cho Mạng LAN quản lý. Để trống các trường DNS. 3. Nhấp vào Áp dụng.
Chức năng cổng quản lý được bật với các quy tắc bộ định tuyến và tường lửa mặc định được định cấu hình để Mạng LAN quản lý chỉ có thể truy cập được bằng cách chuyển tiếp cổng SSH. Điều này đảm bảo các kết nối từ xa và cục bộ đến các thiết bị được quản lý trên Mạng LAN quản lý được an toàn. Các cổng LAN cũng có thể được cấu hình ở chế độ bắc cầu hoặc liên kết hoặc được cấu hình thủ công từ dòng lệnh. 2.6.2 Định cấu hình máy chủ DHCP Máy chủ DHCP cho phép tự động phân phối địa chỉ IP tới các thiết bị trên Mạng LAN quản lý đang chạy máy khách DHCP. Để kích hoạt máy chủ DHCP:
1. Nhấp vào Hệ thống > Máy chủ DHCP. 2. Trên tab Giao diện mạng, chọn Bật máy chủ DHCP.
22

Hướng dẫn sử dụng
3. Nhập địa chỉ Cổng được cấp cho máy khách DHCP. Nếu trường này được để trống thì địa chỉ IP của máy chủ bảng điều khiển sẽ được sử dụng.
4. Nhập địa chỉ DNS chính và DNS phụ để phát hành máy khách DHCP. Nếu trường này được để trống, địa chỉ IP của máy chủ bảng điều khiển sẽ được sử dụng.
5. Tùy chọn nhập hậu tố Tên miền để phát hành máy khách DHCP. 6. Nhập thời gian thuê mặc định và thời gian thuê tối đa tính bằng giây. Đây là lượng thời gian
rằng địa chỉ IP được gán động là hợp lệ trước khi khách hàng phải yêu cầu lại. 7. Nhấp vào Áp dụng Máy chủ DHCP cấp địa chỉ IP từ nhóm địa chỉ được chỉ định: 1. Nhấp vào Thêm trong trường Nhóm phân bổ địa chỉ động. 2. Nhập Địa chỉ bắt đầu và Địa chỉ kết thúc của nhóm DHCP. 3. Nhấp vào Áp dụng.
23

Chương 2: Cấu hình hệ thống
Máy chủ DHCP cũng hỗ trợ gán trước các địa chỉ IP để phân bổ cho các địa chỉ MAC cụ thể và dự trữ địa chỉ IP để các máy chủ được kết nối có địa chỉ IP cố định sử dụng. Để dành địa chỉ IP cho một máy chủ cụ thể:
1. Nhấp vào Thêm trong trường Địa chỉ dành riêng. 2. Nhập Tên máy chủ, Địa chỉ phần cứng (MAC) và địa chỉ IP được bảo lưu tĩnh cho
máy khách DHCP và nhấp vào Áp dụng.
Khi DHCP đã phân bổ địa chỉ máy chủ, bạn nên sao chép chúng vào danh sách được gán trước để địa chỉ IP tương tự được phân bổ lại trong trường hợp khởi động lại.
24

Hướng dẫn sử dụng
2.6.3 Chọn chuyển đổi dự phòng hoặc băng thông rộng Máy chủ bảng điều khiển OOB cung cấp tùy chọn chuyển đổi dự phòng để trong trường hợp xảy ra sự cố khi sử dụng kết nối mạng LAN chính để truy cập máy chủ bảng điều khiển, đường dẫn truy cập thay thế sẽ được sử dụng. Để kích hoạt chuyển đổi dự phòng:
1. Chọn trang Giao diện mạng trên menu Hệ thống > IP 2. Chọn Giao diện chuyển đổi dự phòng sẽ được sử dụng trong trường hợp có sự cố.tage trên mạng chính.
3. Nhấp vào Áp dụng. Chuyển đổi dự phòng sẽ hoạt động sau khi bạn chỉ định các trang bên ngoài cần thăm dò để kích hoạt chuyển đổi dự phòng và thiết lập các cổng chuyển đổi dự phòng.
2.6.4 Tổng hợp các cổng mạng Theo mặc định, các cổng mạng LAN quản lý của máy chủ bảng điều khiển có thể được truy cập bằng cách sử dụng đường hầm SSH/chuyển tiếp cổng hoặc bằng cách thiết lập đường hầm IPsec VPN tới máy chủ bảng điều khiển. Tất cả các cổng mạng có dây trên máy chủ bảng điều khiển có thể được tổng hợp bằng cách bắc cầu hoặc liên kết.
25

Hướng dẫn sử dụng
· Theo mặc định, Giao diện tổng hợp bị tắt trên menu Hệ thống > IP > Cài đặt chung · Chọn Giao diện cầu nối hoặc Giao diện liên kết
o Khi bật cầu nối, lưu lượng mạng được chuyển tiếp qua tất cả các cổng Ethernet mà không bị hạn chế bởi tường lửa. Tất cả các cổng Ethernet đều được kết nối trong suốt ở lớp liên kết dữ liệu (lớp 2) để chúng giữ lại địa chỉ MAC duy nhất của mình
o Với liên kết, lưu lượng mạng được truyền giữa các cổng nhưng có một địa chỉ MAC
Cả hai chế độ đều loại bỏ tất cả các chức năng Giao diện LAN quản lý và Giao diện ngoài băng tần/Chuyển đổi dự phòng và vô hiệu hóa Máy chủ DHCP · Ở chế độ tổng hợp, tất cả các cổng Ethernet được cấu hình chung bằng menu Giao diện Mạng
25

Chương 2: Cấu hình hệ thống
2.6.5 Các tuyến tĩnh Các tuyến tĩnh cung cấp một cách rất nhanh chóng để định tuyến dữ liệu từ mạng con này sang mạng con khác. Bạn có thể mã hóa cứng một đường dẫn để báo cho máy chủ/bộ định tuyến bảng điều khiển truy cập vào một mạng con nhất định bằng một đường dẫn nhất định. Điều này có thể hữu ích để truy cập các mạng con khác nhau tại một trang web từ xa khi sử dụng kết nối OOB di động.

Để thêm tuyến tĩnh vào bảng lộ trình của Hệ thống:
1. Chọn tab Cài đặt định tuyến trên menu Hệ thống > Cài đặt chung IP.
2. Nhấp vào Tuyến đường mới
3. Nhập Tên tuyến cho tuyến đó.
4. Trong trường Mạng đích/Máy chủ, nhập địa chỉ IP của mạng/máy chủ đích mà tuyến cung cấp quyền truy cập.
5. Nhập một giá trị vào trường Mặt nạ mạng đích để xác định mạng hoặc máy chủ đích. Bất kỳ số nào từ 0 đến 32. Mặt nạ mạng con 32 xác định tuyến máy chủ.
6. Nhập Route Gateway với địa chỉ IP của bộ định tuyến sẽ định tuyến các gói đến mạng đích. Điều này có thể được để trống.
7. Chọn Giao diện sẽ sử dụng để đến đích, có thể để lại là Không.
8. Nhập giá trị vào trường Số liệu đại diện cho số liệu của kết nối này. Sử dụng bất kỳ số nào bằng hoặc lớn hơn 0. Điều này chỉ phải được đặt nếu hai hoặc nhiều tuyến đường xung đột hoặc có mục tiêu chồng chéo.
9. Nhấp vào Áp dụng.

GHI CHÚ

Trang chi tiết tuyến đường cung cấp danh sách các giao diện mạng và modem mà tuyến đường có thể bị ràng buộc. Trong trường hợp modem, tuyến đường sẽ được gắn vào bất kỳ phiên quay số nào được thiết lập qua thiết bị đó. Một tuyến đường có thể được chỉ định bằng một cổng, một giao diện hoặc cả hai. Nếu giao diện được chỉ định không hoạt động, các tuyến được định cấu hình cho giao diện đó sẽ không hoạt động.

3. CỔNG NỐI TIẾP, MÁY CHỦ, THIẾT BỊ & CẤU HÌNH NGƯỜI DÙNG
Máy chủ bảng điều khiển cho phép truy cập và điều khiển các thiết bị được gắn nối tiếp và các thiết bị được gắn vào mạng (máy chủ). Quản trị viên phải định cấu hình đặc quyền truy cập cho từng thiết bị này và chỉ định các dịch vụ có thể được sử dụng để điều khiển thiết bị. Quản trị viên cũng có thể thiết lập người dùng mới và chỉ định các đặc quyền kiểm soát và truy cập riêng của từng người dùng.
Chương này bao gồm từng bước trong việc định cấu hình các thiết bị được kết nối mạng và được kết nối nối tiếp: · Cổng nối tiếp thiết lập các giao thức được sử dụng cho các thiết bị được kết nối nối tiếp · Người dùng & Nhóm thiết lập người dùng và xác định quyền truy cập cho từng người dùng này · Xác thực phần này sẽ được đề cập nhiều hơn chi tiết trong Chương 8 · Máy chủ mạng định cấu hình quyền truy cập vào máy tính hoặc thiết bị (máy chủ) được kết nối mạng cục bộ · Định cấu hình Mạng đáng tin cậy - chỉ định địa chỉ IP mà người dùng đáng tin cậy truy cập từ đó · Xếp tầng và chuyển hướng các cổng bảng điều khiển nối tiếp · Kết nối với nguồn điện (UPS, PDU và IPMI) và các thiết bị giám sát môi trường (EMD) · Chuyển hướng cổng nối tiếp bằng cách sử dụng cửa sổ PortShare và máy khách Linux · Thiết bị được quản lý - trình bày một giải pháp hợp nhất view của tất cả các kết nối · IPSec cho phép kết nối VPN · OpenVPN · PPTP
3.1 Cấu hình cổng nối tiếp
Bước đầu tiên trong việc định cấu hình cổng nối tiếp là đặt Cài đặt chung chẳng hạn như các giao thức và tham số RS232 sẽ được sử dụng để kết nối dữ liệu đến cổng đó (ví dụ: tốc độ truyền). Chọn chế độ hoạt động của cổng. Mỗi cổng có thể được đặt để hỗ trợ một trong các chế độ hoạt động sau:
· Chế độ tắt là mặc định, cổng nối tiếp không hoạt động
27

Chương 3:

Cổng nối tiếp, máy chủ, cấu hình thiết bị và người dùng

· Chế độ máy chủ bảng điều khiển cho phép truy cập chung vào cổng bảng điều khiển nối tiếp trên các thiết bị được gắn nối tiếp
· Chế độ thiết bị thiết lập cổng nối tiếp để giao tiếp với PDU, UPS hoặc Thiết bị giám sát môi trường (EMD) được điều khiển nối tiếp thông minh
· Chế độ Máy chủ đầu cuối đặt cổng nối tiếp để chờ phiên đăng nhập đầu cuối đến · Chế độ Cầu nối nối tiếp cho phép kết nối trong suốt giữa hai thiết bị cổng nối tiếp qua một
mạng.
1. Chọn Serial & Network > Serial Port để hiển thị chi tiết cổng nối tiếp 2. Theo mặc định, mỗi cổng nối tiếp được đặt ở chế độ máy chủ Console. Nhấp vào Chỉnh sửa bên cạnh cổng sẽ
được cấu hình lại. Hoặc nhấp vào Chỉnh sửa nhiều cổng và chọn cổng bạn muốn định cấu hình thành một nhóm. 3. Khi bạn đã cấu hình lại các cài đặt chung và chế độ cho từng cổng, hãy thiết lập bất kỳ nhật ký hệ thống từ xa nào (xem các phần sau để biết thông tin cụ thể). Nhấp vào Áp dụng 4. Nếu máy chủ bảng điều khiển đã được định cấu hình với tính năng giám sát Nagios phân tán, hãy sử dụng tùy chọn Cài đặt Nagios để bật các dịch vụ được chỉ định trên Máy chủ được giám sát. 3.1.1 Cài đặt chung Có một số cài đặt chung có thể được đặt cho mỗi sê-ri Hải cảng. Chúng độc lập với chế độ mà cổng đang được sử dụng. Các tham số cổng nối tiếp này phải được đặt sao cho khớp với các tham số cổng nối tiếp trên thiết bị bạn gắn vào cổng đó:
28

Hướng dẫn sử dụng

· Nhập nhãn cho cổng · Chọn Tốc độ truyền, Tính chẵn lẻ, Bit dữ liệu, Bit dừng và Kiểm soát luồng thích hợp cho mỗi cổng

· Đặt sơ đồ chân cổng. Mục menu này xuất hiện cho các cổng IM7200 trong đó chân ra cho mỗi cổng nối tiếp RJ45 có thể được đặt thành X2 (Cisco Straight) hoặc X1 (Cisco Rolled)

· Đặt chế độ DTR. Điều này cho phép bạn chọn xem DTR luôn được xác nhận hay chỉ được xác nhận khi có phiên người dùng đang hoạt động

· Trước khi tiếp tục cấu hình cổng nối tiếp, bạn nên kết nối các cổng với các thiết bị nối tiếp mà chúng sẽ điều khiển và đảm bảo chúng có cài đặt phù hợp

3.1.2

Chế độ máy chủ bảng điều khiển
Chọn Chế độ máy chủ bảng điều khiển để cho phép truy cập quản lý từ xa vào bảng điều khiển nối tiếp được gắn vào cổng nối tiếp này:

Mức độ ghi nhật ký Xác định mức độ thông tin được ghi lại và theo dõi.
29

Chương 3: Cổng nối tiếp, máy chủ, cấu hình thiết bị và người dùng
Cấp 0: Vô hiệu hóa ghi nhật ký (mặc định)
Cấp độ 1: Ghi nhật ký các sự kiện LOGIN, LOGOUT và SIGNAL
Cấp độ 2: Ghi nhật ký các sự kiện LOGIN, LOGOUT, SIGNAL, TXDATA và RXDATA
Cấp độ 3: Ghi nhật ký các sự kiện LOGIN, LOGOUT, SIGNAL và RXDATA
Cấp độ 4: Ghi nhật ký các sự kiện LOGIN, LOGOUT, SIGNAL và TXDATA
Đầu vào/RXDATA là dữ liệu mà thiết bị Opengear nhận được từ thiết bị nối tiếp được kết nối và đầu ra/TXDATA là dữ liệu được thiết bị Opengear gửi (ví dụ: do người dùng nhập) đến thiết bị nối tiếp được kết nối.
Bảng điều khiển thiết bị thường phản hồi các ký tự khi chúng được nhập để TXDATA do người dùng nhập sau đó sẽ được nhận dưới dạng RXDATA, hiển thị trên thiết bị đầu cuối của họ.
LƯU Ý: Sau khi nhắc nhập mật khẩu, thiết bị được kết nối sẽ gửi ký tự * để ngăn mật khẩu hiển thị.

Telnet Khi dịch vụ Telnet được bật trên máy chủ bảng điều khiển, máy khách Telnet trên máy tính của người dùng có thể kết nối với thiết bị nối tiếp được gắn vào cổng nối tiếp này trên máy chủ bảng điều khiển. Vì truyền thông Telnet không được mã hóa nên giao thức này chỉ được khuyến nghị cho các kết nối cục bộ hoặc đường hầm VPN.
Nếu thông tin liên lạc từ xa đang được truyền qua đường hầm bằng một đầu nối, Telnet có thể được sử dụng để truy cập an toàn vào các thiết bị được kết nối này.

GHI CHÚ

Trong chế độ máy chủ bảng điều khiển, người dùng có thể sử dụng trình kết nối để thiết lập các kết nối Telnet an toàn được truyền qua đường hầm SSH từ máy khách của họ đến cổng nối tiếp trên máy chủ bảng điều khiển. Trình kết nối có thể được cài đặt trên PC Windows và hầu hết các nền tảng Linux và nó cho phép chọn kết nối Telnet an toàn bằng cách nhấn và nhấp.

Để sử dụng trình kết nối để truy cập bảng điều khiển trên các cổng nối tiếp của máy chủ bảng điều khiển, hãy định cấu hình trình kết nối với máy chủ bảng điều khiển làm cổng và làm máy chủ, đồng thời bật dịch vụ Telnet trên Cổng (2000 + cổng nối tiếp #) tức là 2001.

Bạn cũng có thể sử dụng các gói liên lạc tiêu chuẩn như PuTTY để đặt kết nối Telnet hoặc SSH trực tiếp tới các cổng nối tiếp.

LƯU Ý Trong chế độ máy chủ Console, khi bạn kết nối với cổng nối tiếp, bạn kết nối qua pmshell. Để tạo BREAK trên cổng nối tiếp, hãy nhập chuỗi ký tự ~b. Nếu bạn đang thực hiện việc này trên OpenSSH, hãy nhập ~~b.

SSH

Bạn nên sử dụng SSH làm giao thức khi người dùng kết nối với máy chủ bảng điều khiển

(hoặc kết nối thông qua máy chủ bảng điều khiển với bảng điều khiển nối tiếp đính kèm) qua Internet hoặc bất kỳ

mạng công cộng khác.

Để truy cập SSH vào bảng điều khiển trên các thiết bị được gắn vào cổng nối tiếp của máy chủ bảng điều khiển, bạn có thể sử dụng trình kết nối. Định cấu hình trình kết nối với máy chủ bảng điều khiển làm cổng và máy chủ lưu trữ, đồng thời bật dịch vụ SSH trên Cổng (3000 + cổng nối tiếp #), tức là 3001-3048.

Bạn cũng có thể sử dụng các gói truyền thông phổ biến, như PuTTY hoặc SSHTerm để SSH kết nối với địa chỉ cổng Địa chỉ IP _ Cổng (3000 + cổng nối tiếp #) tức là 3001

Các kết nối SSH có thể được định cấu hình bằng cổng SSH tiêu chuẩn 22. Cổng nối tiếp đang được truy cập được xác định bằng cách thêm bộ mô tả vào tên người dùng. Cú pháp này hỗ trợ:

Hướng dẫn sử dụng
: : Để người dùng có tên chris truy cập vào cổng nối tiếp 2, khi thiết lập SSHTerm hoặc ứng dụng khách PuTTY SSH, thay vì nhập tên người dùng = chris và ssh port = 3002, cách thay thế là nhập tên người dùng = chris:port02 (hoặc tên người dùng = chris: ttyS1) và ssh port = 22. Hoặc bằng cách nhập tên người dùng=chris:serial và ssh port = 22, người dùng sẽ thấy tùy chọn chọn cổng:

Cú pháp này cho phép người dùng thiết lập đường hầm SSH tới tất cả các cổng nối tiếp với một cổng IP 22 duy nhất phải được mở trong tường lửa/cổng của họ
LƯU Ý Trong chế độ máy chủ bảng điều khiển, bạn kết nối với cổng nối tiếp qua pmshell. Để tạo BREAK trên cổng nối tiếp, hãy nhập chuỗi ký tự ~b. Nếu bạn đang thực hiện việc này qua OpenSSH, hãy nhập ~~b.

Giao thức TCP

RAW TCP cho phép kết nối với ổ cắm TCP. Trong khi các chương trình truyền thông như PuTTY

cũng hỗ trợ RAW TCP, giao thức này thường được sử dụng bởi một ứng dụng tùy chỉnh

Đối với RAW TCP, địa chỉ cổng mặc định là Địa chỉ IP _ Port (4000 + serial port #) tức là 4001 4048

RAW TCP cũng cho phép cổng nối tiếp được chuyển đến máy chủ bảng điều khiển từ xa, do đó hai thiết bị cổng nối tiếp có thể kết nối trong suốt qua mạng (xem Chương 3.1.6 Cầu nối nối tiếp)

RFC2217 Việc chọn RFC2217 cho phép chuyển hướng cổng nối tiếp trên cổng đó. Đối với RFC2217 thì địa chỉ port mặc định là IP address _ Port (5000 + serial port #) tức là 5001 5048
Phần mềm máy khách đặc biệt có sẵn cho Windows UNIX và Linux hỗ trợ cổng com ảo RFC2217, do đó máy chủ từ xa có thể giám sát và quản lý các thiết bị được gắn nối tiếp từ xa như thể chúng được kết nối với cổng nối tiếp cục bộ (xem Chương 3.6 Chuyển hướng cổng nối tiếp để biết chi tiết)
RFC2217 cũng cho phép kết nối cổng nối tiếp với máy chủ bảng điều khiển từ xa, do đó hai thiết bị cổng nối tiếp có thể kết nối với nhau một cách minh bạch qua mạng (xem Chương 3.1.6 Cầu nối nối tiếp)

Telnet không được xác thực Điều này cho phép Telnet truy cập vào cổng nối tiếp mà không cần thông tin xác thực. Khi người dùng truy cập máy chủ bảng điều khiển vào Telnet tới một cổng nối tiếp, họ sẽ nhận được lời nhắc đăng nhập. Với Telnet chưa được xác thực, họ kết nối trực tiếp qua cổng mà không gặp bất kỳ thử thách đăng nhập máy chủ bảng điều khiển nào. Nếu máy khách Telnet nhắc xác thực, mọi dữ liệu đã nhập sẽ cho phép kết nối.

Chương 3: Cổng nối tiếp, máy chủ, cấu hình thiết bị và người dùng
Chế độ này được sử dụng với hệ thống bên ngoài (chẳng hạn như máy chủ bảo tồn) quản lý các đặc quyền truy cập và xác thực người dùng ở cấp thiết bị nối tiếp.
Đăng nhập vào thiết bị được kết nối với máy chủ bảng điều khiển có thể yêu cầu xác thực.
Đối với Telnet chưa được xác thực, địa chỉ cổng mặc định là Địa chỉ IP _ Cổng (6000 + cổng nối tiếp #) tức là 6001 6048

SSH không được xác thực Điều này cho phép truy cập SSH vào cổng nối tiếp mà không cần thông tin xác thực. Khi người dùng truy cập máy chủ bảng điều khiển vào Telnet tới một cổng nối tiếp, họ sẽ nhận được lời nhắc đăng nhập. Với SSH không được xác thực, họ kết nối trực tiếp qua cổng mà không gặp bất kỳ thử thách đăng nhập máy chủ bảng điều khiển nào.
Chế độ này được sử dụng khi bạn có một hệ thống khác quản lý các đặc quyền truy cập và xác thực người dùng ở cấp thiết bị nối tiếp nhưng muốn mã hóa phiên trên mạng.
Đăng nhập vào thiết bị được kết nối với máy chủ bảng điều khiển có thể yêu cầu xác thực.
Đối với Telnet chưa được xác thực, địa chỉ cổng mặc định là Địa chỉ IP _ Cổng (7000 + cổng nối tiếp #) tức là 7001 7048
Các : phương thức truy cập cổng (như được mô tả trong phần SSH ở trên) luôn yêu cầu xác thực.

Web Thiết bị đầu cuối Điều này cho phép web trình duyệt truy cập vào cổng nối tiếp thông qua Quản lý > Thiết bị: Nối tiếp bằng thiết bị đầu cuối AJAX tích hợp trong Bảng điều khiển quản lý. Web Terminal kết nối với tư cách là người dùng Bảng điều khiển quản lý hiện đã được xác thực và không xác thực lại. Xem phần 12.3 để biết thêm chi tiết.

Bí danh IP

Cho phép truy cập vào cổng nối tiếp bằng địa chỉ IP cụ thể, được chỉ định ở định dạng CIDR. Mỗi cổng nối tiếp có thể được gán một hoặc nhiều bí danh IP, được định cấu hình trên cơ sở từng giao diện mạng. Ví dụ, một cổng nối tiếp có thểamptập tin, có thể truy cập được ở cả 192.168.0.148 (như một phần của mạng nội bộ) và 10.10.10.148 (như một phần của Mạng LAN quản lý). Cũng có thể cung cấp một cổng nối tiếp trên hai địa chỉ IP trên cùng một mạng (ví dụ:ample, 192.168.0.148 và 192.168.0.248).

Những địa chỉ IP này chỉ có thể được sử dụng để truy cập vào cổng nối tiếp cụ thể, có thể truy cập bằng số cổng TCP giao thức tiêu chuẩn của các dịch vụ máy chủ bảng điều khiển. Dành cho người yêu cũample, SSH trên cổng nối tiếp 3 sẽ có thể truy cập được trên cổng 22 của bí danh IP cổng nối tiếp (trong khi trên địa chỉ chính của máy chủ bảng điều khiển, nó có sẵn trên cổng 2003).

Tính năng này cũng có thể được cấu hình thông qua trang chỉnh sửa nhiều cổng. Trong trường hợp này, các địa chỉ IP được áp dụng tuần tự, với cổng được chọn đầu tiên sẽ nhận IP và các cổng tiếp theo sẽ tăng dần, với các số bị bỏ qua đối với bất kỳ cổng nào không được chọn. Dành cho người yêu cũamptập tin, nếu cổng 2, 3 và 5 được chọn và bí danh IP 10.0.0.1/24 được nhập cho Giao diện Mạng, các địa chỉ sau sẽ được chỉ định:

Cổng 2: 10.0.0.1/24

Cổng 3: 10.0.0.2/24

Cổng 5: 10.0.0.4/24

Bí danh IP cũng hỗ trợ địa chỉ bí danh IPv6. Sự khác biệt duy nhất là địa chỉ là số thập lục phân, vì vậy cổng 10 có thể tương ứng với một địa chỉ kết thúc bằng A và 11 tương ứng với một địa chỉ kết thúc bằng B, thay vì 10 hoặc 11 như trong IPv4.

Hướng dẫn sử dụng
Mã hóa lưu lượng / Xác thực Kích hoạt tính năng mã hóa và xác thực tầm thường của truyền thông nối tiếp RFC2217 bằng Portshare (để sử dụng VPN mã hóa mạnh).
Giai đoạn tích lũy Khi kết nối đã được thiết lập cho một cổng nối tiếp cụ thể (chẳng hạn như chuyển hướng RFC2217 hoặc kết nối Telnet tới máy tính từ xa), mọi ký tự đến trên cổng đó đều được chuyển tiếp qua mạng trên cơ sở từng ký tự. Khoảng thời gian tích lũy chỉ định khoảng thời gian mà các ký tự đến được thu thập trước khi được gửi dưới dạng gói qua mạng
Ký tự thoát Thay đổi ký tự được sử dụng để gửi ký tự thoát. Mặc định là ~. Thay thế Backspace Thay thế giá trị backspace mặc định của CTRL+? (127) bằng CTRL+h (8). Menu nguồn Lệnh để hiển thị menu nguồn là ~p và kích hoạt lệnh nguồn shell để
người dùng có thể kiểm soát kết nối nguồn với thiết bị được quản lý từ dòng lệnh khi họ kết nối Telnet hoặc SSH với thiết bị. Thiết bị được quản lý phải được thiết lập với cả kết nối cổng Nối tiếp và kết nối Nguồn được định cấu hình.
Kết nối đơn Điều này giới hạn cổng ở một kết nối duy nhất, vì vậy nếu nhiều người dùng có đặc quyền truy cập vào một cổng cụ thể thì chỉ một người dùng tại một thời điểm có thể truy cập vào cổng đó (tức là không được phép rình mò cổng).
33

Chương 3: Cổng nối tiếp, máy chủ, cấu hình thiết bị và người dùng
3.1.3 Chế độ Thiết bị (RPC, UPS, Môi trường) Chế độ này định cấu hình cổng nối tiếp đã chọn để giao tiếp với Bộ cấp nguồn liên tục (UPS) được điều khiển nối tiếp, Bộ điều khiển nguồn từ xa / Bộ phân phối điện (RPC) hoặc Thiết bị giám sát môi trường (Môi trường)

1. Chọn Loại thiết bị mong muốn (UPS, RPC hoặc Môi trường)
2. Tiếp tục đến trang cấu hình thiết bị thích hợp (Nối tiếp & Mạng > Kết nối UPS, Kết nối RPC hoặc Môi trường) như chi tiết trong Chương 7.

3.1.4 ·

Chế độ máy chủ đầu cuối
Chọn Chế độ máy chủ đầu cuối và Loại thiết bị đầu cuối (vt220, vt102, vt100, Linux hoặc ANSI) để bật getty trên cổng nối tiếp đã chọn

Getty cấu hình cổng và chờ kết nối được thực hiện. Kết nối đang hoạt động trên thiết bị nối tiếp được biểu thị bằng chân Phát hiện sóng mang dữ liệu (DCD) nâng lên trên thiết bị nối tiếp. Khi phát hiện thấy kết nối, chương trình getty sẽ đưa ra lời nhắc login: và gọi chương trình đăng nhập để xử lý việc đăng nhập hệ thống.
LƯU Ý Việc chọn chế độ Máy chủ đầu cuối sẽ tắt Trình quản lý cổng cho cổng nối tiếp đó, do đó dữ liệu không còn được ghi lại để cảnh báo, v.v.

Hướng dẫn sử dụng
3.1.5 Chế độ cầu nối nối tiếp Với cầu nối nối tiếp, dữ liệu nối tiếp trên một cổng nối tiếp được chỉ định trên một máy chủ bảng điều khiển được đóng gói thành các gói mạng và được vận chuyển qua mạng đến máy chủ bảng điều khiển thứ hai nơi nó được biểu diễn dưới dạng dữ liệu nối tiếp. Hai máy chủ bảng điều khiển hoạt động như một cáp nối tiếp ảo qua mạng IP. Một máy chủ bảng điều khiển được cấu hình làm Máy chủ. Cổng nối tiếp Máy chủ cần bắc cầu được đặt ở chế độ máy chủ Bảng điều khiển có bật RFC2217 hoặc RAW. Đối với máy chủ Client console, cổng nối tiếp được bắc cầu phải được đặt ở Chế độ kết nối:
· Chọn Chế độ cầu nối nối tiếp và chỉ định địa chỉ IP của máy chủ Bảng điều khiển máy chủ và địa chỉ cổng TCP của cổng nối tiếp từ xa (đối với cầu nối RFC2217, giá trị này sẽ là 5001-5048)
· Theo mặc định, máy khách bắc cầu sử dụng RAW TCP. Chọn RFC2217 nếu đây là chế độ máy chủ bảng điều khiển mà bạn đã chỉ định trên máy chủ bảng điều khiển máy chủ
· Bạn có thể bảo mật thông tin liên lạc qua Ethernet cục bộ bằng cách bật SSH. Tạo và tải lên các khóa.
3.1.6 Syslog Ngoài tính năng ghi nhật ký và giám sát sẵn có có thể được áp dụng cho các truy cập quản lý gắn nối tiếp và gắn mạng, như được đề cập trong Chương 6, máy chủ bảng điều khiển cũng có thể được cấu hình để hỗ trợ giao thức nhật ký hệ thống từ xa trên mỗi cổng nối tiếp nền tảng:
· Chọn các trường Cơ sở/Ưu tiên của Syslog để cho phép ghi lưu lượng truy cập trên cổng nối tiếp đã chọn vào máy chủ nhật ký hệ thống; và sắp xếp cũng như xử lý các tin nhắn đã ghi đó (tức là chuyển hướng chúng/gửi email cảnh báo.)
35

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
Ví dụamptập tin, nếu máy tính được gắn vào cổng nối tiếp 3 sẽ không bao giờ gửi bất cứ thứ gì ra cổng bảng điều khiển nối tiếp của nó thì quản trị viên có thể đặt Tiện ích cho cổng đó thành local0 (local0 .. local7 dành cho các giá trị cục bộ của trang web) và Mức độ ưu tiên thành quan trọng . Ở mức ưu tiên này, nếu máy chủ nhật ký hệ thống của máy chủ bảng điều khiển nhận được tin nhắn, nó sẽ đưa ra cảnh báo. Xem Chương 6. 3.1.7 Truyền phát NMEA ACM7000-L có thể cung cấp truyền phát dữ liệu GPS NMEA từ modem di động/GPS bên trong. Luồng dữ liệu này trình bày dưới dạng luồng dữ liệu nối tiếp trên cổng 5 trên các mô hình ACM.
Cài đặt chung (tốc độ truyền, v.v.) bị bỏ qua khi định cấu hình cổng nối tiếp NMEA. Bạn có thể chỉ định Tần suất sửa lỗi (tức là tốc độ sửa lỗi GPS này xác định tần suất thu được các bản sửa lỗi GPS). Bạn cũng có thể áp dụng tất cả các cài đặt Chế độ máy chủ bảng điều khiển, Nhật ký hệ thống và Cầu nối nối tiếp cho cổng này.
Bạn có thể sử dụng pmshell, webshell, SSH, RFC2217 hoặc RawTCP để truy cập luồng:
Ví dụample, sử dụng Web Phần cuối:
36

Hướng dẫn sử dụng

3.1.8 Bảng điều khiển USB
Máy chủ bảng điều khiển có cổng USB hỗ trợ kết nối bảng điều khiển USB với các thiết bị từ nhiều nhà cung cấp, bao gồm Cisco, HP, Dell và Brocade. Các cổng USB này cũng có thể hoạt động như các cổng nối tiếp RS-232 đơn giản khi bộ chuyển đổi USB sang nối tiếp được kết nối.

Các cổng USB này có sẵn dưới dạng cổng quản lý cổng thông thường và được trình bày dưới dạng số trong web Giao diện người dùng sau tất cả các cổng nối tiếp RJ45.

ACM7008-2 có tám cổng nối tiếp RJ45 ở phía sau máy chủ bảng điều khiển và bốn cổng USB ở phía trước. Trong Serial & Network > Serial Port, chúng được liệt kê dưới dạng

Cổng # Trình kết nối

RJ45

USB

10USB

11USB

12USB

Nếu ACM7008-2 cụ thể là kiểu di động, cổng số 13 — dành cho GPS — cũng sẽ được liệt kê.

7216-24U có 16 cổng nối tiếp RJ45 và 24 cổng USB ở mặt sau cũng như hai cổng USB ở mặt trước và (trong kiểu di động) một GPS.

Các cổng nối tiếp RJ45 được trình bày trong Serial & Network > Serial Port dưới dạng số cổng 1. 16 cổng USB mặt sau lấy số cổng 24 và các cổng USB mặt trước được liệt kê ở số cổng 17 và 40 tương ứng. Và, giống như ACM41-42, nếu 7008-2U cụ thể là kiểu di động, GPS sẽ hiển thị ở cổng số 7216.

Các cài đặt chung (tốc độ truyền, v.v.) được sử dụng khi định cấu hình các cổng nhưng một số thao tác có thể không hoạt động tùy thuộc vào việc triển khai chip nối tiếp USB bên dưới.

3.2 Thêm và chỉnh sửa người dùng
Quản trị viên sử dụng lựa chọn menu này để tạo, chỉnh sửa và xóa người dùng cũng như xác định quyền truy cập cho từng người dùng này.

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng

Người dùng có thể được ủy quyền truy cập các dịch vụ, cổng nối tiếp, thiết bị nguồn và máy chủ được kết nối mạng được chỉ định. Những người dùng này cũng có thể được cấp trạng thái quản trị viên đầy đủ (với các đặc quyền truy cập, quản lý và cấu hình đầy đủ).

Người dùng có thể được thêm vào nhóm. Sáu nhóm được thiết lập theo mặc định:

quản trị viên

Cung cấp đặc quyền quản lý và cấu hình không giới hạn.

pptpd

Cho phép truy cập vào máy chủ PPTP VPN. Người dùng trong nhóm này có mật khẩu được lưu trữ ở dạng văn bản rõ ràng.

quay số

Cho phép truy cập quay số qua modem. Người dùng trong nhóm này có mật khẩu được lưu trữ ở dạng văn bản rõ ràng.

ftp

Cho phép truy cập ftp và file truy cập vào các thiết bị lưu trữ.

vỏ chiều

Đặt shell mặc định thành pmshell.

người sử dụng

Cung cấp cho người dùng các đặc quyền quản lý cơ bản.

Nhóm quản trị cung cấp cho thành viên đầy đủ đặc quyền của quản trị viên. Người dùng quản trị có thể truy cập máy chủ bảng điều khiển bằng bất kỳ dịch vụ nào đã được bật trong Hệ thống > Dịch vụ. Họ cũng có thể truy cập bất kỳ Máy chủ hoặc thiết bị cổng nối tiếp nào được kết nối bằng bất kỳ dịch vụ nào đã được bật cho các kết nối này. Chỉ những người dùng đáng tin cậy mới có quyền truy cập quản trị viên
Nhóm người dùng cung cấp cho các thành viên quyền truy cập hạn chế vào máy chủ bảng điều khiển cũng như các máy chủ và thiết bị nối tiếp được kết nối. Những người dùng này chỉ có thể truy cập phần Quản lý của menu Bảng điều khiển Quản lý và họ không có quyền truy cập dòng lệnh vào máy chủ bảng điều khiển. Họ chỉ có thể truy cập các Máy chủ và thiết bị nối tiếp đã được kiểm tra, sử dụng các dịch vụ đã được bật
Người dùng trong các nhóm pptd, dialin, ftp hoặc pmshell đã hạn chế quyền truy cập shell của người dùng vào các thiết bị được quản lý được chỉ định nhưng họ sẽ không có bất kỳ quyền truy cập trực tiếp nào vào máy chủ bảng điều khiển. Để thêm điều này, người dùng cũng phải là thành viên của người dùng hoặc nhóm quản trị viên
Quản trị viên có thể thiết lập các nhóm bổ sung với quyền truy cập thiết bị nguồn, cổng nối tiếp và máy chủ cụ thể. Người dùng trong các nhóm bổ sung này không có bất kỳ quyền truy cập nào vào menu Bảng điều khiển quản lý cũng như không có bất kỳ quyền truy cập dòng lệnh nào vào máy chủ bảng điều khiển.

Hướng dẫn sử dụng
Quản trị viên có thể thiết lập người dùng với các quyền truy cập thiết bị nguồn, cổng nối tiếp và máy chủ cụ thể mà không phải là thành viên của bất kỳ nhóm nào. Những người dùng này không có bất kỳ quyền truy cập nào vào menu Bảng điều khiển Quản lý cũng như không có quyền truy cập dòng lệnh vào máy chủ bảng điều khiển. 3.2.1 Thiết lập nhóm mới Để thiết lập nhóm mới và người dùng mới cũng như phân loại người dùng là thành viên của các nhóm cụ thể:
1. Chọn Serial & Network > Users & Groups để hiển thị tất cả các nhóm và người dùng 2. Nhấp vào Add Group để thêm nhóm mới
3. Thêm Tên nhóm và Mô tả cho mỗi nhóm mới, đồng thời chỉ định Máy chủ có thể truy cập, Cổng có thể truy cập và Ổ cắm RPC có thể truy cập mà người dùng trong nhóm mới này sẽ có thể truy cập
4. Nhấp vào Áp dụng 5. Quản trị viên có thể Chỉnh sửa hoặc Xóa bất kỳ nhóm đã thêm nào 3.2.2 Thiết lập người dùng mới Để thiết lập người dùng mới và phân loại người dùng là thành viên của các nhóm cụ thể: 1. Chọn Nối tiếp & Mạng > Người dùng & Nhóm để hiển thị tất cả các nhóm và người dùng 2. Nhấp vào Thêm người dùng
39

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3. Thêm tên người dùng cho mỗi người dùng mới. Bạn cũng có thể đưa thông tin liên quan đến người dùng (ví dụ: chi tiết liên hệ) vào trường Mô tả. Tên người dùng có thể chứa từ 1 đến 127 ký tự chữ và số và các ký tự “-” “_” và “.”.
4. Chỉ định Nhóm nào bạn muốn người dùng trở thành thành viên của 5. Thêm Mật khẩu được xác nhận cho mỗi người dùng mới. Tất cả các ký tự đều được phép. 6. Có thể sử dụng xác thực bằng mật khẩu SSH. Dán các khóa công khai của công khai/riêng tư được ủy quyền
cặp khóa cho người dùng này trong trường Khóa SSH được ủy quyền 7. Chọn Tắt xác thực mật khẩu để chỉ cho phép xác thực khóa chung cho người dùng này
khi sử dụng SSH 8. Chọn Bật quay số lại trong menu Tùy chọn quay số để cho phép kết nối quay số đi
được kích hoạt bằng cách đăng nhập vào cổng này. Nhập Số điện thoại quay lại cùng với số điện thoại để gọi lại khi người dùng đăng nhập 9. Kiểm tra Máy chủ có thể truy cập và/hoặc Cổng có thể truy cập để chỉ định các cổng nối tiếp và máy chủ được kết nối mạng mà bạn muốn người dùng có đặc quyền truy cập vào 10. Nếu có RPC đã được cấu hình, hãy kiểm tra Ổ cắm RPC có thể truy cập để chỉ định ổ cắm nào mà người dùng có thể kiểm soát (tức là Bật/Tắt nguồn) 11. Nhấp vào Áp dụng. Người dùng mới sẽ có thể truy cập vào Thiết bị Mạng, Cổng và Ổ cắm RPC có thể truy cập được. Nếu người dùng là thành viên nhóm, họ cũng có thể truy cập bất kỳ thiết bị/cổng/ổ cắm nào khác mà nhóm có thể truy cập
40

Hướng dẫn sử dụng
Không có giới hạn về số lượng người dùng bạn có thể thiết lập hoặc số lượng người dùng trên mỗi cổng nối tiếp hoặc máy chủ. Nhiều người dùng có thể điều khiển/giám sát một cổng hoặc máy chủ. Không có giới hạn về số lượng nhóm và mỗi người dùng có thể là thành viên của một số nhóm. Người dùng không nhất thiết phải là thành viên của bất kỳ nhóm nào, nhưng nếu người dùng là thành viên của nhóm người dùng mặc định, họ sẽ không thể sử dụng Management Console để quản lý các cổng. Mặc dù không có giới hạn nhưng thời gian cấu hình lại sẽ tăng lên khi số lượng và độ phức tạp tăng lên. Chúng tôi khuyên bạn nên giữ tổng số người dùng và nhóm dưới 250. Quản trị viên cũng có thể chỉnh sửa cài đặt quyền truy cập cho bất kỳ người dùng hiện tại nào:
· Chọn Serial & Network > Users & Groups và nhấp vào Chỉnh sửa để sửa đổi đặc quyền truy cập của người dùng · Nhấp vào Xóa để xóa người dùng · Nhấp vào Tắt để tạm thời chặn đặc quyền truy cập
3.3 Xác thực
Xem Chương 8 để biết chi tiết cấu hình xác thực.
3.4 Máy chủ mạng
Để giám sát và truy cập từ xa vào máy tính hoặc thiết bị được nối mạng cục bộ (được gọi là Máy chủ), bạn phải xác định Máy chủ:
1. Chọn Nối tiếp & Mạng > Máy chủ Mạng sẽ hiển thị tất cả các Máy chủ được kết nối mạng đã được phép sử dụng.
2. Nhấp vào Thêm máy chủ để cho phép truy cập vào Máy chủ mới (hoặc chọn Chỉnh sửa để cập nhật cài đặt cho Máy chủ hiện có)
41

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3. Nếu Máy chủ là thiết bị nguồn PDU hoặc UPS hoặc máy chủ có điều khiển nguồn IPMI, hãy chỉ định RPC (cho IPMI và PDU) hoặc UPS và Loại thiết bị. Quản trị viên có thể định cấu hình các thiết bị này và cho phép người dùng nào có quyền bật nguồn từ xa, v.v. Xem Chương 7. Nếu không, hãy đặt Loại thiết bị thành Không có.
4. Nếu máy chủ bảng điều khiển đã được cấu hình với tính năng giám sát Nagios phân tán được bật, bạn cũng sẽ thấy các tùy chọn Cài đặt Nagios để bật các dịch vụ được chỉ định trên Máy chủ được giám sát.
5. Nhấp vào Áp dụng. Thao tác này sẽ tạo Máy chủ mới và cũng tạo một thiết bị được quản lý mới có cùng tên.
3.5 Mạng đáng tin cậy
Tiện ích Mạng đáng tin cậy cung cấp cho bạn tùy chọn chỉ định địa chỉ IP mà người dùng phải ở đó để có quyền truy cập vào các cổng nối tiếp của máy chủ bảng điều khiển:
42

Hướng dẫn sử dụng
1. Chọn Nối tiếp & Mạng > Mạng đáng tin cậy 2. Để thêm mạng đáng tin cậy mới, hãy chọn Thêm quy tắc. Trong trường hợp không có Quy tắc, không có quyền truy cập
hạn chế về địa chỉ IP mà người dùng có thể định vị được.

3. Chọn Cổng có thể truy cập mà quy tắc mới sẽ được áp dụng
4. Nhập Địa chỉ mạng của mạng con được phép truy cập
5. Chỉ định phạm vi địa chỉ được phép bằng cách nhập Mặt nạ mạng cho phạm vi IP được phép đó, ví dụ:
· Để cho phép tất cả người dùng có kết nối mạng Loại C cụ thể tới cổng được chỉ định, hãy thêm Quy tắc mới của Mạng đáng tin cậy sau:

Địa chỉ IP mạng

204.15.5.0

Subnet Mask

255.255.255.0

· Để chỉ cho phép một người dùng ở một địa chỉ IP cụ thể kết nối:

Địa chỉ IP mạng

204.15.5.13

Subnet Mask

255.255.255.255

· Để cho phép tất cả người dùng hoạt động trong một phạm vi địa chỉ IP cụ thể (giả sử bất kỳ địa chỉ nào trong số ba mươi địa chỉ từ 204.15.5.129 đến 204.15.5.158) được phép kết nối với cổng được chỉ định:

Địa chỉ máy chủ/mạng con

204.15.5.128

Subnet Mask

255.255.255.224

6. Nhấp vào Áp dụng

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3.6 Xếp tầng cổng nối tiếp
Cổng xếp tầng cho phép bạn phân cụm các máy chủ bảng điều khiển được phân phối để có thể định cấu hình và truy cập một số lượng lớn cổng nối tiếp (lên tới 1000) thông qua một địa chỉ IP và được quản lý thông qua một Bảng điều khiển quản lý. Một máy chủ bảng điều khiển, Máy chủ chính, điều khiển các máy chủ bảng điều khiển khác dưới dạng các đơn vị Nút và tất cả các cổng nối tiếp trên các đơn vị Nút xuất hiện như thể chúng là một phần của Chính. Phân cụm của Opengear kết nối từng Nút với Chính bằng kết nối SSH. Việc này được thực hiện bằng cách sử dụng xác thực khóa chung, do đó Chính có thể truy cập từng Nút bằng cặp khóa SSH (thay vì sử dụng mật khẩu). Điều này đảm bảo liên lạc được xác thực an toàn giữa Chính và Nút cho phép các đơn vị máy chủ bảng điều khiển Node được phân phối cục bộ trên mạng LAN hoặc từ xa trên toàn thế giới.
3.6.1 Tự động tạo và tải lên khóa SSH Để thiết lập xác thực khóa chung, trước tiên bạn phải tạo cặp khóa RSA hoặc DSA và tải chúng lên máy chủ bảng điều khiển Chính và Nút. Việc này có thể được thực hiện tự động từ Primary:
44

Hướng dẫn sử dụng
1. Chọn Hệ thống > Quản trị trên Bảng điều khiển quản lý của Tiểu học
2. Kiểm tra Tạo khóa SSH tự động. 3. Nhấp vào Áp dụng
Tiếp theo, bạn phải chọn có tạo khóa bằng RSA và/hoặc DSA hay không (nếu không chắc chắn, chỉ chọn RSA). Việc tạo mỗi bộ khóa cần hai phút và các khóa mới sẽ hủy các khóa cũ thuộc loại đó. Trong khi thế hệ mới đang được triển khai, các chức năng dựa vào khóa SSH (ví dụ: xếp tầng) có thể ngừng hoạt động cho đến khi chúng được cập nhật bằng bộ khóa mới. Để tạo khóa:
1. Chọn các hộp cho khóa bạn muốn tạo. 2. Nhấp vào Áp dụng
3. Khi các khóa mới đã được tạo, hãy nhấp vào liên kết Nhấp vào đây để quay lại. Các phím được tải lên
đến Nút chính và Nút được kết nối.
3.6.2 Tạo và tải lên các khóa SSH theo cách thủ công. Ngoài ra, nếu bạn có cặp khóa RSA hoặc DSA, bạn có thể tải chúng lên máy chủ bảng điều khiển Chính và Nút. Để tải cặp khóa công khai và khóa riêng lên máy chủ Bảng điều khiển chính:
1. Chọn Hệ thống > Quản trị trên Bảng điều khiển quản lý của Trường chính
2. Duyệt đến vị trí bạn đã lưu trữ Khóa công khai RSA (hoặc DSA) và tải nó lên Khóa công khai SSH RSA (DSA)
3. Duyệt đến Khóa riêng RSA (hoặc DSA) được lưu trữ và tải nó lên Khóa riêng SSH RSA (DSA) 4. Nhấp vào Áp dụng
45

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
Tiếp theo, bạn phải đăng ký Khóa công khai làm Khóa ủy quyền trên Node. Trong trường hợp một Chính có nhiều Nút, bạn tải lên một khóa chung RSA hoặc DSA cho mỗi Nút.
1. Chọn Hệ thống > Quản trị trên Bảng điều khiển quản lý của Nút 2. Duyệt đến Khóa công khai RSA (hoặc DSA) được lưu trữ và tải nó lên Khóa ủy quyền SSH của Nút
3. Nhấp vào Áp dụng Bước tiếp theo là Vân tay hóa mỗi kết nối Nút-Chính mới. Bước này xác nhận rằng bạn đang thiết lập phiên SSH cho chính mình. Trong kết nối đầu tiên, Nút nhận được dấu vân tay từ Chính được sử dụng trên tất cả các kết nối trong tương lai: Để thiết lập dấu vân tay, trước tiên hãy đăng nhập vào máy chủ Chính với quyền root và thiết lập kết nối SSH đến máy chủ từ xa củaNode:
# ssh remhost Khi kết nối SSH đã được thiết lập, bạn sẽ được yêu cầu chấp nhận khóa. Trả lời có và dấu vân tay sẽ được thêm vào danh sách máy chủ đã biết. Nếu bạn được yêu cầu cung cấp mật khẩu thì có nghĩa là đã xảy ra sự cố khi tải khóa lên. 3.6.3 Định cấu hình Nút và cổng nối tiếp của chúng Bắt đầu thiết lập Nút và định cấu hình cổng nối tiếp Nút từ máy chủ Bảng điều khiển chính:
1. Chọn Serial & Network > Cascaded Ports trên Bảng điều khiển quản lý của Primary: 2. Để thêm hỗ trợ phân cụm, chọn Add Node
Bạn không thể thêm Nút cho đến khi bạn tạo khóa SSH. Để xác định và định cấu hình Nút:
46

Hướng dẫn sử dụng
1. Nhập Địa chỉ IP từ xa hoặc Tên DNS cho máy chủ Node console 2. Nhập Mô tả ngắn gọn và Nhãn ngắn cho Nút 3. Nhập đầy đủ số cổng nối tiếp trên đơn vị Nút trong Số cổng 4. Nhấp vào Áp dụng. Điều này thiết lập đường hầm SSH giữa Nút chính và Nút mới
Menu Nối tiếp & Mạng > Cổng xếp tầng hiển thị tất cả các nút và số cổng đã được phân bổ trên Cổng chính. Nếu máy chủ bảng điều khiển Chính có 16 cổng riêng thì các cổng 1-16 sẽ được phân bổ trước cho Chính, do đó, nút đầu tiên được thêm vào sẽ được gán số cổng 17 trở đi. Khi bạn đã thêm tất cả các máy chủ của bảng điều khiển Node, các cổng nối tiếp Node và các thiết bị được kết nối có thể được định cấu hình và truy cập được từ menu Bảng điều khiển quản lý của Chính và có thể truy cập được thông qua địa chỉ IP của Chính.
1. Chọn Serial & Network > Serial Port thích hợp và Chỉnh sửa để định cấu hình các cổng nối tiếp trên
Nút.
2. Chọn Serial & Network > Users & Groups thích hợp để thêm người dùng mới có đặc quyền truy cập
đến các cổng nối tiếp của Node (hoặc để mở rộng đặc quyền truy cập của người dùng hiện tại).
3. Chọn Serial & Network > Trusted Networks thích hợp để chỉ định các địa chỉ mạng
có thể truy cập vào các cổng nối tiếp của nút được chỉ định. 4. Chọn Cảnh báo & Ghi nhật ký > Cảnh báo thích hợp để định cấu hình Kết nối cổng nút, Trạng thái
Cảnh báo khớp mẫu thay đổi. Các thay đổi cấu hình được thực hiện trên nút Chính sẽ được truyền tới tất cả các nút khi bạn nhấp vào Áp dụng.
3.6.4 Quản lý nút Chính kiểm soát các cổng nối tiếp của Nút. Dành cho người yêu cũamptập tin, nếu thay đổi đặc quyền truy cập của người dùng hoặc chỉnh sửa bất kỳ cài đặt cổng nối tiếp nào trên Chính, cấu hình được cập nhật files được gửi song song đến từng Nút. Mỗi Nút thực hiện các thay đổi đối với cấu hình cục bộ của chúng (và chỉ thực hiện các thay đổi liên quan đến các cổng nối tiếp cụ thể của nó). Bạn có thể sử dụng Bảng điều khiển quản lý nút cục bộ để thay đổi cài đặt trên bất kỳ cổng nối tiếp nút nào (chẳng hạn như thay đổi tốc độ truyền). Những thay đổi này sẽ được ghi đè vào lần tiếp theo Chính gửi cấu hình file cập nhật. Mặc dù Chính kiểm soát tất cả các chức năng liên quan đến cổng nối tiếp của nút, nhưng nó không phải là chính đối với các kết nối máy chủ của mạng nút hoặc trên hệ thống Máy chủ Bảng điều khiển Nút. Các chức năng của nút như IP, Cài đặt SMTP & SNMP, Ngày & Giờ, máy chủ DHCP phải được quản lý bằng cách truy cập trực tiếp vào từng nút và các chức năng này không bị ghi đè khi các thay đổi cấu hình được truyền từ Chính. Cài đặt Máy chủ Mạng và IPMI của Nút phải được định cấu hình tại mỗi nút.
47

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
Bảng điều khiển quản lý của Primary cung cấp một hệ thống tổng hợp view cài đặt cho các cổng nối tiếp của chính nó và của toàn bộ Node. Primary không cung cấp một bản tổng hợp đầy đủ view. Ví dụample, nếu bạn muốn tìm ra ai đã đăng nhập vào các cổng nối tiếp xếp tầng từ cổng chính, bạn sẽ thấy Trạng thái > Người dùng đang hoạt động chỉ hiển thị những người dùng đang hoạt động trên các cổng của Cổng chính, vì vậy bạn có thể cần phải viết các tập lệnh tùy chỉnh để cung cấp điều này view.
3.7 Chuyển hướng cổng nối tiếp (PortShare)
Phần mềm Chia sẻ cổng của Opengear cung cấp công nghệ cổng nối tiếp ảo mà các ứng dụng Windows và Linux của bạn cần để mở các cổng nối tiếp từ xa và đọc dữ liệu từ các thiết bị nối tiếp được kết nối với máy chủ bảng điều khiển của bạn.
PortShare được cung cấp miễn phí với mỗi máy chủ bảng điều khiển và bạn được cấp phép cài đặt PortShare trên một hoặc nhiều máy tính để truy cập bất kỳ thiết bị nối tiếp nào được kết nối với cổng máy chủ bảng điều khiển. PortShare dành cho Windows Có thể tải xuống portshare_setup.exe từ trang ftp. Xem Hướng dẫn sử dụng PortShare và Bắt đầu nhanh để biết chi tiết về cài đặt và vận hành. PortShare cho Linux Trình điều khiển PortShare cho Linux ánh xạ cổng nối tiếp của máy chủ bảng điều khiển tới cổng thử máy chủ. Opengear đã phát hành portshare-serial-client dưới dạng tiện ích nguồn mở cho Linux, AIX, HPUX, SCO, Solaris và UnixWare. Tiện ích này có thể được tải xuống từ trang ftp. Bộ chuyển hướng cổng nối tiếp PortShare này cho phép bạn sử dụng một thiết bị nối tiếp được kết nối với máy chủ bảng điều khiển từ xa như thể nó được kết nối với cổng nối tiếp cục bộ của bạn. portshare-serial-client tạo một cổng tty giả, kết nối ứng dụng nối tiếp với cổng tty giả, nhận dữ liệu từ cổng tty giả, truyền nó đến máy chủ console qua mạng và nhận dữ liệu từ máy chủ console qua mạng và truyền nó đến cổng giả. .tar file có thể được tải xuống từ trang ftp. Xem Hướng dẫn sử dụng PortShare và Bắt đầu nhanh để biết chi tiết về cài đặt và vận hành.
48

Hướng dẫn sử dụng
3.8 thiết bị được quản lý
Trang Thiết bị được quản lý trình bày một báo cáo tổng hợp view của tất cả các kết nối đến một thiết bị có thể được truy cập và giám sát thông qua máy chủ bảng điều khiển. ĐẾN view các kết nối với thiết bị, chọn Nối tiếp & Mạng > Thiết bị được quản lý
Màn hình này hiển thị tất cả các thiết bị được quản lý cùng với Mô tả/Ghi chú và danh sách tất cả các Kết nối được định cấu hình:
· Cổng nối tiếp # (nếu được kết nối nối tiếp) hoặc · USB (nếu được kết nối USB) · Địa chỉ IP (nếu được kết nối mạng) · Chi tiết ổ cắm/PDU nguồn (nếu có) và mọi kết nối UPS Các thiết bị như máy chủ có thể có nhiều kết nối nguồn (ví dụ: được cung cấp nguồn điện kép) và nhiều kết nối mạng (ví dụ: đối với bộ xử lý dịch vụ/BMC). Tất cả người dùng có thể view các kết nối thiết bị được quản lý này bằng cách chọn Quản lý > Thiết bị. Quản trị viên cũng có thể chỉnh sửa và thêm/xóa các thiết bị được quản lý này cũng như kết nối của chúng. Để chỉnh sửa thiết bị hiện có và thêm kết nối mới: 1. Chọn Chỉnh sửa trên Serial & Network > Thiết bị được quản lý và nhấp vào Thêm kết nối 2. Chọn loại kết nối cho kết nối mới (Nối tiếp, Máy chủ mạng, UPS hoặc RPC) và chọn
kết nối từ danh sách các máy chủ/cổng/ổ cắm chưa được định cấu hình được trình bày
49

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
Để thêm thiết bị được quản lý được kết nối mạng mới: 1. Quản trị viên thêm một thiết bị được quản lý được kết nối mạng mới bằng cách sử dụng Thêm máy chủ trên menu Nối tiếp & Mạng > Máy chủ Mạng. Điều này sẽ tự động tạo một thiết bị được quản lý mới tương ứng. 2. Khi thêm một thiết bị nguồn RPC hoặc UPS được kết nối mạng mới, bạn thiết lập Máy chủ Mạng, chỉ định nó là RPC hoặc UPS. Đi tới Kết nối RPC hoặc Kết nối UPS để định cấu hình kết nối liên quan. Thiết bị được quản lý mới tương ứng có cùng Tên/Mô tả với Máy chủ RPC/UPS không được tạo cho đến khi hoàn tất bước kết nối này.
LƯU Ý Tên ổ cắm trên PDU mới được tạo là Ổ cắm 1 và Ổ cắm 2. Khi bạn kết nối một thiết bị được quản lý cụ thể lấy điện từ ổ cắm, ổ cắm sẽ lấy tên của thiết bị được quản lý cấp nguồn.
Để thêm một thiết bị được quản lý được kết nối nối tiếp mới: 1. Định cấu hình cổng nối tiếp bằng menu Nối tiếp & Mạng > Cổng nối tiếp (Xem Phần 3.1 Định cấu hình cổng nối tiếp) 2. Chọn Nối tiếp & Mạng > Thiết bị được quản lý và nhấp vào Thêm thiết bị 3. Nhập thiết bị Tên và mô tả cho thiết bị được quản lý

4. Nhấp vào Thêm kết nối và chọn Nối tiếp và Cổng kết nối với thiết bị được quản lý

5. Để thêm kết nối nguồn hoặc kết nối mạng UPS/RPC hoặc kết nối nối tiếp khác, hãy nhấp vào Thêm kết nối

6. Nhấp vào Áp dụng

GHI CHÚ

Để thiết lập thiết bị RPC UPS hoặc EMD được kết nối nối tiếp, hãy định cấu hình cổng nối tiếp, chỉ định cổng đó là Thiết bị rồi nhập Tên và Mô tả cho thiết bị đó trong Nối tiếp & Mạng > Kết nối RPC (hoặc Kết nối UPS hoặc Môi trường). Việc này sẽ tạo ra một thiết bị được quản lý mới tương ứng có cùng Tên/Mô tả với Máy chủ RPC/UPS. Tên ổ cắm trên PDU mới được tạo này là Ổ cắm 1 và Ổ cắm 2. Khi bạn kết nối một thiết bị được quản lý lấy điện từ ổ cắm, ổ cắm sẽ lấy tên của Thiết bị được quản lý được cấp nguồn.

3.9 IPsec VPN
ACM7000, CM7100 và IM7200 bao gồm openswan, một bản triển khai Linux của giao thức IPsec (Bảo mật IP), có thể được sử dụng để định cấu hình Mạng riêng ảo (VPN). VPN cho phép nhiều trang web hoặc quản trị viên từ xa truy cập vào máy chủ bảng điều khiển và các thiết bị được quản lý một cách an toàn qua Internet.

Hướng dẫn sử dụng
Quản trị viên có thể thiết lập các kết nối VPN được xác thực được mã hóa giữa các máy chủ bảng điều khiển được phân phối tại các trang web từ xa và cổng VPN (chẳng hạn như bộ định tuyến Cisco chạy iOS IPsec) trên mạng văn phòng trung tâm của họ:
· Người dùng tại văn phòng trung tâm có thể truy cập an toàn vào các máy chủ bảng điều khiển từ xa cũng như các máy và thiết bị bảng điều khiển nối tiếp được kết nối trên mạng con LAN quản lý tại địa điểm từ xa như thể chúng là cục bộ
· Tất cả các máy chủ bảng điều khiển từ xa này có thể được giám sát bằng CMS6000 trên mạng trung tâm · Với cầu nối nối tiếp, dữ liệu nối tiếp từ bộ điều khiển tại máy văn phòng trung tâm có thể được bảo mật một cách an toàn
được kết nối với các thiết bị được điều khiển tuần tự tại các địa điểm từ xa Quản trị viên chiến binh đường bộ có thể sử dụng máy khách phần mềm VPN IPsec để truy cập từ xa vào máy chủ bảng điều khiển và mọi máy trên mạng con LAN quản lý ở vị trí từ xa
Cấu hình của IPsec khá phức tạp nên Opengear cung cấp giao diện GUI để thiết lập cơ bản như mô tả bên dưới. Để kích hoạt cổng VPN:
1. Chọn IPsec VPN trên menu Serial & Networks
2. Nhấp vào Thêm và hoàn thành màn hình Thêm đường hầm IPsec 3. Nhập bất kỳ tên mô tả nào bạn muốn để xác định Đường hầm IPsec mà bạn đang thêm, chẳng hạn như
WestStOutlet-VPN
51

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
4. Chọn Phương thức xác thực sẽ sử dụng, chữ ký số RSA hoặc Bí mật chung (PSK) o Nếu chọn RSA, bạn sẽ được yêu cầu nhấp vào đây để tạo khóa. Điều này tạo ra khóa chung RSA cho máy chủ bảng điều khiển (Khóa công khai bên trái). Xác định vị trí khóa sẽ được sử dụng trên cổng từ xa, cắt và dán nó vào Khóa công khai bên phải
o Nếu bạn chọn Bí mật được chia sẻ, hãy nhập Bí mật được chia sẻ trước (PSK). PSK phải khớp với PSK được cấu hình ở đầu kia của đường hầm
5. Trong Giao thức xác thực, chọn giao thức xác thực sẽ được sử dụng. Xác thực như một phần của mã hóa ESP (Đóng gói tải trọng bảo mật) hoặc riêng biệt bằng giao thức AH (Tiêu đề xác thực).
52

Hướng dẫn sử dụng
6. Nhập ID trái và ID phải. Đây là mã định danh mà Máy chủ/cổng cục bộ và Máy chủ/cổng từ xa sử dụng để đàm phán và xác thực IPsec. Mỗi ID phải bao gồm @ và có thể bao gồm tên miền đủ điều kiện ( ví dụ: left@example.com)
7. Nhập địa chỉ IP hoặc DNS công cộng của cổng Opengear VPN này làm Địa chỉ bên trái. Bạn có thể để trống phần này để sử dụng giao diện của lộ trình mặc định
8. Trong Địa chỉ bên phải, nhập địa chỉ IP hoặc DNS công cộng của đầu từ xa của đường hầm (chỉ khi đầu từ xa có địa chỉ tĩnh hoặc địa chỉ DynDNS). Nếu không thì để trống
9. Nếu cổng Opengear VPN đang hoạt động như một cổng VPN đến mạng con cục bộ (ví dụ: máy chủ bảng điều khiển đã định cấu hình Mạng LAN quản lý), hãy nhập chi tiết mạng con riêng tư vào Mạng con bên trái. Sử dụng ký hiệu CIDR (trong đó số địa chỉ IP được theo sau bởi dấu gạch chéo và số bit `một' trong ký hiệu nhị phân của mặt nạ mạng). Dành cho người yêu cũample, 192.168.0.0/24 cho biết địa chỉ IP trong đó 24 bit đầu tiên được sử dụng làm địa chỉ mạng. Điều này giống như 255.255.255.0. Nếu quyền truy cập VPN chỉ dành cho máy chủ bảng điều khiển và các thiết bị bảng điều khiển nối tiếp được đính kèm, hãy để trống Mạng con bên trái
10. Nếu có cổng VPN ở đầu từ xa, hãy nhập chi tiết mạng con riêng tư vào Mạng con bên phải. Sử dụng ký hiệu CIDR và để trống nếu chỉ có máy chủ từ xa
11. Chọn Bắt đầu đường hầm nếu kết nối đường hầm được bắt đầu từ đầu máy chủ bảng điều khiển bên trái. Điều này chỉ có thể được bắt đầu từ cổng VPN (Trái) nếu đầu từ xa được định cấu hình bằng địa chỉ IP tĩnh (hoặc DynDNS)
12. Nhấn Apply để lưu thay đổi
LƯU Ý Chi tiết cấu hình được thiết lập trên máy chủ bảng điều khiển (được gọi là máy chủ Bên trái hoặc Cục bộ) phải khớp với thiết lập đã nhập khi định cấu hình máy chủ/cổng máy chủ/cổng từ xa (Phải) hoặc máy khách phần mềm. Xem http://www.opengear.com/faq.html để biết chi tiết về cách định cấu hình các đầu điều khiển từ xa này
3.10 OpenVPN
ACM7000, CM7100 và IM7200 có firmware V3.2 trở lên bao gồm OpenVPN. OpenVPN sử dụng thư viện OpenSSL để mã hóa, xác thực và chứng nhận, nghĩa là nó sử dụng SSL/TSL (Lớp cổng bảo mật/Bảo mật lớp truyền tải) để trao đổi khóa và có thể mã hóa cả kênh dữ liệu và kênh điều khiển. Việc sử dụng OpenVPN cho phép xây dựng các VPN đa nền tảng, điểm-điểm bằng cách sử dụng X.509 PKI (Cơ sở hạ tầng khóa công khai) hoặc cấu hình tùy chỉnh fileS. OpenVPN cho phép tạo đường hầm dữ liệu an toàn thông qua một cổng TCP/UDP duy nhất qua mạng không bảo mật, do đó cung cấp quyền truy cập an toàn vào nhiều trang web và quản trị từ xa an toàn tới máy chủ bảng điều khiển qua Internet. OpenVPN cũng cho phép cả máy chủ và máy khách sử dụng địa chỉ IP động, do đó mang lại khả năng di động cho máy khách. Dành cho người yêu cũamptập tin, một đường hầm OpenVPN có thể được thiết lập giữa máy khách Windows chuyển vùng và máy chủ bảng điều khiển Opengear trong trung tâm dữ liệu. Cấu hình của OpenVPN có thể phức tạp nên Opengear cung cấp giao diện GUI để thiết lập cơ bản như mô tả bên dưới. Thông tin chi tiết hơn có tại http://www.openvpn.net
3.10.1 Kích hoạt OpenVPN 1. Chọn OpenVPN trên menu Nối tiếp & Mạng
53

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
2. Nhấp vào Thêm và hoàn tất màn hình Thêm đường hầm OpenVPN 3. Nhập bất kỳ tên mô tả nào bạn muốn để xác định Đường hầm OpenVPN mà bạn đang thêm, ví dụ:ample
NorthStOutlet-VPN
4. Chọn phương thức xác thực sẽ sử dụng. Để xác thực bằng chứng chỉ, chọn PKI (Chứng chỉ X.509) hoặc chọn Cấu hình tùy chỉnh để tải lên cấu hình tùy chỉnh fileS. Cấu hình tùy chỉnh phải được lưu trữ trong /etc/config.
LƯU Ý Nếu bạn chọn PKI, hãy thiết lập: Chứng chỉ riêng (còn được gọi là khóa chung). Chứng chỉ này File là một *.crt file gõ Khóa riêng cho máy chủ và từng máy khách. Khóa riêng này File là một *.key file kiểu
Chứng chỉ và khóa của Cơ quan cấp chứng chỉ chính (CA) được sử dụng để ký từng máy chủ
và chứng chỉ của khách hàng. Chứng chỉ CA gốc này là *.crt file type Đối với máy chủ, bạn cũng có thể cần dh1024.pem (tham số Diffie Hellman). Xem http://openvpn.net/easyrsa.html để biết hướng dẫn về quản lý khóa RSA cơ bản. Để biết các phương thức xác thực thay thế, hãy xem http://openvpn.net/index.php/documentation/howto.html#auth.
5. Chọn Trình điều khiển thiết bị sẽ sử dụng, Tun-IP hoặc Tap-Ethernet. Trình điều khiển TUN (đường hầm mạng) và TAP (nhấn mạng) là các trình điều khiển mạng ảo tương ứng hỗ trợ đường hầm IP và đường hầm Ethernet. TUN và TAP là một phần của nhân Linux.
6. Chọn UDP hoặc TCP làm Giao thức. UDP là giao thức mặc định và ưa thích cho OpenVPN. 7. Chọn hoặc bỏ chọn nút Nén để bật hoặc tắt tính năng nén. 8. Trong Chế độ đường hầm, chỉ định xem đây là cuối đường hầm Máy khách hay Máy chủ. Khi chạy như
một máy chủ, máy chủ bảng điều khiển hỗ trợ nhiều máy khách kết nối với máy chủ VPN qua cùng một cổng.
54

Hướng dẫn sử dụng
3.10.2 Định cấu hình làm Máy chủ hoặc Máy khách
1. Hoàn thành Chi tiết máy khách hoặc Chi tiết máy chủ tùy thuộc vào Chế độ đường hầm đã chọn. o Nếu Máy khách đã được chọn, Địa chỉ Máy chủ Chính là địa chỉ của Máy chủ OpenVPN. o Nếu Máy chủ đã được chọn, hãy nhập địa chỉ Mạng nhóm IP và mặt nạ Mạng nhóm IP cho Nhóm IP. Mạng được xác định bởi địa chỉ/mặt nạ Mạng nhóm IP được sử dụng để cung cấp địa chỉ để kết nối máy khách.
2. Nhấn Apply để lưu thay đổi
55

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3. Nhập chứng chỉ xác thực và files, chọn Quản lý OpenVPN Filecú đâm. Tải lên hoặc duyệt đến các chứng chỉ xác thực có liên quan và files.
4. Áp dụng để lưu thay đổi. Đã lưu files được hiển thị màu đỏ ở phía bên phải của nút Tải lên.
5. Để bật OpenVPN, hãy chỉnh sửa đường hầm OpenVPN
56

Hướng dẫn sử dụng
6. Kiểm tra nút Đã bật. 7. Áp dụng để lưu thay đổi LƯU Ý Đảm bảo rằng thời gian của hệ thống máy chủ console là chính xác khi làm việc với OpenVPN để tránh
vấn đề xác thực.
8. Chọn Thống kê trên menu Trạng thái để xác minh rằng đường hầm đang hoạt động.
57

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3.10.3 Thiết lập máy khách và máy chủ Windows OpenVPN Phần này phác thảo cách cài đặt và cấu hình của máy khách Windows OpenVPN hoặc máy chủ Windows OpenVPN và thiết lập kết nối VPN đến máy chủ bảng điều khiển. Máy chủ bảng điều khiển tự động tạo cấu hình máy khách Windows từ GUI cho Bí mật chia sẻ trước (Khóa tĩnh File) các cấu hình.
Bạn có thể tải xuống GUI OpenVPN thay thế cho phần mềm Windows (bao gồm gói OpenVPN tiêu chuẩn cộng với GUI Windows) từ http://openvpn.net. Sau khi được cài đặt trên máy Windows, biểu tượng OpenVPN sẽ được thêm vào Khu vực thông báo nằm ở bên phải thanh tác vụ. Nhấp chuột phải vào biểu tượng này để bắt đầu và dừng kết nối VPN, chỉnh sửa cấu hình và view nhật ký.
Khi phần mềm OpenVPN bắt đầu chạy, C:Program FileThư mục sOpenVPNconfig được quét tìm .opvn fileS. Thư mục này được kiểm tra lại để tìm cấu hình mới files bất cứ khi nào biểu tượng GUI OpenVPN được nhấp chuột phải. Sau khi cài đặt OpenVPN, hãy tạo cấu hình file:
58

Hướng dẫn sử dụng

Sử dụng trình soạn thảo văn bản, tạo xxxx.ovpn file và lưu vào C:Program FilesOpenVPNconfig. Dành cho người yêu cũample, C: Chương trình FilesOpenVPNconfigclient.ovpn
Một người yêu cũamptập tin cấu hình máy khách Windows OpenVPN file được hiển thị bên dưới:
# mô tả: IM4216_client khách hàng proto udp động từ 3 dev tun remote 192.168.250.152 cổng 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind vẫn tồn tại khóa- tun comp-lzo
Một người yêu cũamptập tin cấu hình OpenVPN Windows Server file được hiển thị bên dưới:
máy chủ 10.100.10.0 255.255.255.0 cổng 1194 keepalive 10 120 proto udp mssfix 1400 constant-key constant-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server. khóa dh c:\openvpnkeys\dh.pem comp-lzo động từ 1 nhật ký hệ thống IM4216_OpenVPN_Server
Cấu hình máy khách/máy chủ Windows file các tùy chọn là:

Tùy chọn #description: Máy chủ khách proto udp proto tcp mssfix động từ
dev tun dev tap

Mô tả Đây là một nhận xét mô tả cấu hình. Các dòng bình luận bắt đầu bằng`#' và bị OpenVPN bỏ qua. Chỉ định xem đây sẽ là cấu hình máy khách hay máy chủ file. Trong cấu hình máy chủ file, xác định nhóm địa chỉ IP và mặt nạ mạng. Dành cho người yêu cũamptập tin, máy chủ 10.100.10.0 255.255.255.0 Đặt giao thức thành UDP hoặc TCP. Máy khách và máy chủ phải sử dụng cùng các cài đặt. Mssfix đặt kích thước tối đa của gói. Điều này chỉ hữu ích cho UDP nếu có vấn đề xảy ra.
Đặt nhật ký file mức độ dài dòng. Mức độ chi tiết của nhật ký có thể được đặt từ 0 (tối thiểu) đến 15 (tối đa). Dành cho người yêu cũample, 0 = im lặng ngoại trừ các lỗi nghiêm trọng 3 = đầu ra trung bình, tốt cho mục đích sử dụng thông thường 5 = giúp gỡ lỗi các sự cố kết nối 9 = dài dòng, tuyệt vời để khắc phục sự cố Chọn `dev tun' để tạo đường hầm IP được định tuyến hoặc `dev tap' để tạo một đường hầm Ethernet. Máy khách và máy chủ phải sử dụng cùng các cài đặt.

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng

xa Cảng Keepalive
http Proxy cafile tên>
chứng chỉfile tên>
chìa khóafile tên>
dhfile tên> Nobind mật mã liên tục khóa mật mã BF-CBC Blowfish (mặc định) mật mã AES-128-CBC Mã hóa AES DES-EDE3-CBC Nhật ký hệ thống comp-lzo ba DES

Tên máy chủ/IP của máy chủ OpenVPN khi hoạt động với tư cách máy khách. Nhập tên máy chủ DNS hoặc địa chỉ IP tĩnh của máy chủ. Cổng UDP/TCP của máy chủ. Keepalive sử dụng ping để duy trì phiên OpenVPN. 'Giữ 10 120' ping cứ sau 10 giây và giả sử thiết bị ngang hàng từ xa không hoạt động nếu không nhận được ping nào trong khoảng thời gian 120 giây. Nếu cần có proxy để truy cập vào máy chủ, hãy nhập tên DNS hoặc IP và số cổng của máy chủ proxy. Nhập chứng chỉ CA file Tên và địa điểm. Chứng chỉ CA tương tự file có thể được sử dụng bởi máy chủ và tất cả các máy khách. Lưu ý: Đảm bảo mỗi `' trong đường dẫn thư mục được thay thế bằng ` \'. Dành cho người yêu cũample, c:openvpnkeysca.crt sẽ trở thành c:\openvpnkeys\ca.crt Nhập chứng chỉ của máy khách hoặc máy chủ file Tên và địa điểm. Mỗi khách hàng phải có chứng chỉ và khóa riêng fileS. Lưu ý: Đảm bảo mỗi `' trong đường dẫn thư mục được thay thế bằng ` \'. Nhập file tên và vị trí khóa của máy khách hoặc máy chủ. Mỗi khách hàng phải có chứng chỉ và khóa riêng fileS. Lưu ý: Đảm bảo mỗi `' trong đường dẫn thư mục được thay thế bằng ` \'. Điều này chỉ được sử dụng bởi máy chủ. Nhập đường dẫn đến khóa có tham số Diffie-Hellman. `Nobind' được sử dụng khi máy khách không cần liên kết với một địa chỉ cục bộ hoặc số cổng cục bộ cụ thể. Đây là trường hợp trong hầu hết các cấu hình máy khách. Tùy chọn này ngăn chặn việc tải lại các phím khi khởi động lại. Tùy chọn này ngăn chặn việc đóng và mở lại các thiết bị TUN/TAP khi khởi động lại. Chọn một mật mã mật mã. Máy khách và máy chủ phải sử dụng cùng các cài đặt.
Kích hoạt tính năng nén trên liên kết OpenVPN. Điều này phải được kích hoạt trên cả máy khách và máy chủ. Theo mặc định, nhật ký được đặt trong nhật ký hệ thống hoặc nếu chạy dưới dạng dịch vụ trên Window, trong Chương trình Filethư mục sOpenVPNlog.

Để bắt đầu đường hầm OpenVPN sau khi tạo cấu hình máy khách/máy chủ files: 1. Nhấp chuột phải vào biểu tượng OpenVPN trong Khu vực thông báo 2. Chọn cấu hình máy khách hoặc máy chủ mới tạo. 3. Nhấp vào Kết nối

4. Nhật ký file được hiển thị khi kết nối được thiết lập
60

Hướng dẫn sử dụng
5. Sau khi được thiết lập, biểu tượng OpenVPN sẽ hiển thị thông báo cho biết kết nối thành công và IP được chỉ định. Thông tin này cũng như thời gian thiết lập kết nối có sẵn bằng cách cuộn qua biểu tượng OpenVPN.
3.11 PPTP VPN
Các máy chủ bảng điều khiển bao gồm máy chủ PPTP (Giao thức đường hầm điểm-điểm). PPTP được sử dụng để liên lạc qua liên kết nối tiếp vật lý hoặc ảo. Các điểm cuối PPP xác định địa chỉ IP ảo cho chính chúng. Các tuyến đến mạng có thể được xác định bằng các địa chỉ IP này làm cổng, dẫn đến lưu lượng truy cập được gửi qua đường hầm. PPTP thiết lập một đường hầm giữa các điểm cuối PPP vật lý và truyền dữ liệu một cách an toàn qua đường hầm.
Điểm mạnh của PPTP là dễ dàng cấu hình và tích hợp vào cơ sở hạ tầng hiện có của Microsoft. Nó thường được sử dụng để kết nối các máy khách Windows từ xa. Nếu bạn mang theo máy tính xách tay đi công tác, bạn có thể quay số địa phương để kết nối với nhà cung cấp dịch vụ truy cập Internet (ISP) và tạo kết nối thứ hai (đường hầm) vào mạng văn phòng của bạn qua Internet và có cùng quyền truy cập vào mạng văn phòng của bạn. mạng công ty như thể bạn được kết nối trực tiếp từ văn phòng của mình. Những người làm việc từ xa cũng có thể thiết lập đường hầm VPN qua modem cáp hoặc liên kết DSL tới ISP địa phương của họ.
61

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
Để thiết lập kết nối PPTP từ máy khách Windows từ xa tới thiết bị Opengear và mạng cục bộ của bạn:
1. Kích hoạt và định cấu hình máy chủ PPTP VPN trên thiết bị Opengear của bạn 2. Thiết lập tài khoản người dùng VPN trên thiết bị Opengear và kích hoạt các tùy chọn thích hợp
xác thực 3. Định cấu hình máy khách VPN tại các trang web từ xa. Khách hàng không yêu cầu phần mềm đặc biệt vì
Máy chủ PPTP hỗ trợ phần mềm máy khách PPTP tiêu chuẩn đi kèm với Windows NT trở lên 4. Kết nối với VPN từ xa 3.11.1 Kích hoạt máy chủ PPTP VPN 1. Chọn PPTP VPN trên menu Nối tiếp & Mạng
2. Chọn hộp kiểm Bật để bật Máy chủ PPTP 3. Chọn Yêu cầu xác thực tối thiểu. Quyền truy cập bị từ chối đối với người dùng từ xa cố gắng
kết nối bằng sơ đồ xác thực yếu hơn sơ đồ đã chọn. Các sơ đồ được mô tả dưới đây, từ mạnh nhất đến yếu nhất. · Xác thực được mã hóa (MS-CHAP v2): Loại xác thực mạnh nhất được sử dụng; đây là
tùy chọn được đề xuất · Xác thực được mã hóa yếu (CHAP): Đây là loại mật khẩu được mã hóa yếu nhất
xác thực để sử dụng. Khách hàng không nên kết nối bằng cách này vì nó cung cấp rất ít khả năng bảo vệ bằng mật khẩu. Cũng lưu ý rằng các máy khách kết nối bằng CHAP không thể mã hóa lưu lượng
62

Hướng dẫn sử dụng
· Xác thực không được mã hóa (PAP): Đây là xác thực mật khẩu văn bản đơn giản. Khi sử dụng kiểu xác thực này, mật khẩu máy khách sẽ được truyền đi mà không được mã hóa.
· Không có 4. Chọn mức mã hóa cần thiết. Quyền truy cập bị từ chối đối với người dùng từ xa đang cố gắng kết nối
không sử dụng mức mã hóa này. 5. Trong Địa chỉ cục bộ, nhập địa chỉ IP để gán cho điểm cuối kết nối VPN của máy chủ 6. Trong Địa chỉ từ xa, nhập nhóm địa chỉ IP để gán cho VPN của máy khách đến
kết nối (ví dụ: 192.168.1.10-20). Đây phải là địa chỉ IP miễn phí hoặc dải địa chỉ từ mạng mà người dùng từ xa được chỉ định khi kết nối với thiết bị Opengear 7. Nhập giá trị mong muốn của Đơn vị truyền tối đa (MTU) cho giao diện PPTP vào trường MTU (mặc định là 1400) 8. Trong trường DNS Server, nhập địa chỉ IP của máy chủ DNS gán địa chỉ IP để kết nối máy khách PPTP 9. Trong trường WINS Server, nhập địa chỉ IP của máy chủ WINS gán địa chỉ IP để kết nối máy khách PPTP 10. Bật Ghi nhật ký chi tiết để hỗ trợ gỡ lỗi các sự cố kết nối 11. Nhấp vào Áp dụng cài đặt 3.11.2 Thêm người dùng PPTP 1. Chọn Người dùng & Nhóm trên menu Nối tiếp & Mạng và hoàn thành các trường như được đề cập trong phần 3.2. 2. Đảm bảo nhóm pptpd đã được kiểm tra để cho phép truy cập vào máy chủ PPTP VPN. Lưu ý – người dùng trong nhóm này có mật khẩu được lưu trữ ở dạng văn bản rõ ràng. 3. Ghi lại tên người dùng và mật khẩu khi bạn cần kết nối với kết nối VPN 4. Nhấp vào Áp dụng
63

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3.11.3 Thiết lập máy khách PPTP từ xa Đảm bảo PC máy khách VPN từ xa có kết nối Internet. Để tạo kết nối VPN qua Internet, bạn phải thiết lập hai kết nối mạng. Một kết nối dành cho ISP và kết nối còn lại dành cho đường hầm VPN tới thiết bị Opengear. LƯU Ý Quy trình này thiết lập máy khách PPTP trong hệ điều hành Windows Professional. Các bước
có thể thay đổi đôi chút tùy thuộc vào quyền truy cập mạng của bạn hoặc nếu bạn đang sử dụng phiên bản Windows thay thế. Hướng dẫn chi tiết hơn có sẵn từ Microsoft web địa điểm. 1. Đăng nhập vào máy khách Windows của bạn với đặc quyền của quản trị viên 2. Từ Trung tâm Mạng & Chia sẻ trên Bảng Điều khiển, chọn Kết nối Mạng và tạo kết nối mới
64

Hướng dẫn sử dụng
3. Chọn Sử dụng kết nối Internet của tôi (VPN) và nhập Địa chỉ IP của thiết bị Opengear Để kết nối máy khách VPN từ xa với mạng cục bộ, bạn cần biết tên người dùng và mật khẩu cho tài khoản PPTP mà bạn đã thêm, cũng như IP Internet địa chỉ của thiết bị Opengear. Nếu ISP của bạn chưa cấp cho bạn địa chỉ IP tĩnh, hãy cân nhắc sử dụng dịch vụ DNS động. Nếu không, bạn phải sửa đổi cấu hình máy khách PPTP mỗi khi địa chỉ IP Internet của bạn thay đổi.
65

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng

3.12 Gọi về nhà
Tất cả các máy chủ bảng điều khiển đều bao gồm tính năng Gọi về nhà để bắt đầu thiết lập đường hầm SSH an toàn từ máy chủ bảng điều khiển đến Ngọn hải đăng Opengear tập trung. Máy chủ bảng điều khiển đăng ký làm ứng cử viên trên Ngọn hải đăng. Sau khi được chấp nhận ở đó, nó sẽ trở thành Máy chủ bảng điều khiển được quản lý.
Lighthouse giám sát Máy chủ bảng điều khiển được quản lý và quản trị viên có thể truy cập Máy chủ bảng điều khiển được quản lý từ xa thông qua Lighthouse. Quyền truy cập này khả dụng ngay cả khi máy chủ bảng điều khiển từ xa nằm sau tường lửa của bên thứ ba hoặc có địa chỉ IP riêng không thể định tuyến.

GHI CHÚ

Lighthouse duy trì các kết nối SSH được xác thực bằng khóa công khai tới từng Máy chủ bảng điều khiển được quản lý của nó. Các kết nối này được sử dụng để giám sát, chỉ đạo và truy cập Máy chủ bảng điều khiển được quản lý cũng như các thiết bị được quản lý được kết nối với Máy chủ bảng điều khiển được quản lý.

Để quản lý Máy chủ bảng điều khiển cục bộ hoặc máy chủ bảng điều khiển có thể truy cập được từ Lighthouse, các kết nối SSH được Lighthouse khởi tạo.

Để quản lý Máy chủ bảng điều khiển từ xa hoặc máy chủ bảng điều khiển được tường lửa, không thể định tuyến hoặc không thể truy cập từ Lighthouse, các kết nối SSH được Managed ConsoleServer khởi tạo thông qua kết nối Gọi về nhà ban đầu.

Điều này đảm bảo thông tin liên lạc được xác thực, an toàn và cho phép các đơn vị Máy chủ bảng điều khiển được quản lý được phân phối cục bộ trên mạng LAN hoặc từ xa trên toàn thế giới.

3.12.1 Thiết lập ứng viên Call Home Để thiết lập máy chủ bảng điều khiển làm ứng viên quản lý Call Home trên Lighthouse:
1. Chọn Gọi về nhà trên menu Nối tiếp & Mạng

2. Nếu bạn chưa tạo hoặc tải lên cặp khóa SSH cho máy chủ bảng điều khiển này, hãy làm như vậy trước khi tiếp tục
3. Nhấp vào Thêm

4. Nhập địa chỉ IP hoặc tên DNS (ví dụ: địa chỉ DNS động) của Lighthouse.
5. Nhập Mật khẩu mà bạn đã cấu hình trên CMS làm Mật khẩu Gọi về nhà.
66

Hướng dẫn sử dụng
6. Nhấp vào Áp dụng Các bước này sẽ bắt đầu kết nối Call Home từ máy chủ bảng điều khiển đến Lighthouse. Thao tác này sẽ tạo một cổng SSHlistening trên Lighthouse và thiết lập máy chủ bảng điều khiển làm ứng cử viên.
Sau khi ứng viên đã được chấp nhận trên Lighthouse, đường hầm SSH tới máy chủ bảng điều khiển sẽ được chuyển hướng trở lại qua kết nối Gọi về nhà. Máy chủ bảng điều khiển đã trở thành Máy chủ bảng điều khiển được quản lý và Lighthouse có thể kết nối và giám sát nó thông qua đường hầm này. 3.12.2 Chấp nhận ứng viên Call Home làm Máy chủ bảng điều khiển được quản lý trên Lighthouse Phần này cung cấp thông tin chi tiếtview về cách định cấu hình Lighthouse để giám sát các máy chủ của bảng điều khiển Lighthouse được kết nối qua Call Home. Để biết thêm chi tiết, hãy xem Hướng dẫn sử dụng Lighthouse:
1. Nhập Mật khẩu Gọi về Nhà mới trên Ngọn hải đăng. Mật khẩu này được sử dụng để chấp nhận
Gọi Homeconnections từ máy chủ bảng điều khiển ứng viên
2. Máy chủ bảng điều khiển có thể liên lạc với Lighthouse, nó phải có IP tĩnh
địa chỉ hoặc, nếu sử dụng DHCP, được cấu hình để sử dụng dịch vụ DNS động
Màn hình Định cấu hình > Máy chủ bảng điều khiển được quản lý trên Lighthouse hiển thị trạng thái của
Ứng viên và Máy chủ bảng điều khiển được quản lý từ xa và cục bộ.
Phần Máy chủ bảng điều khiển được quản lý hiển thị các máy chủ bảng điều khiển đang được giám sát bởi
Lighthouse. Phần Máy chủ bảng điều khiển được phát hiện chứa:
o Trình đơn thả xuống Máy chủ bảng điều khiển cục bộ liệt kê tất cả các máy chủ bảng điều khiển trên
cùng mạng con với Ngọn hải đăng và không được giám sát
67

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
o Trình đơn thả xuống Máy chủ bảng điều khiển từ xa liệt kê tất cả các máy chủ bảng điều khiển đã thiết lập kết nối Gọi về nhà và không được giám sát (tức là các máy chủ ứng cử viên). Bạn có thể nhấn Refresh để cập nhật
Để thêm một ứng cử viên máy chủ bảng điều khiển vào danh sách Máy chủ bảng điều khiển được quản lý, hãy chọn nó từ danh sách thả xuống Máy chủ bảng điều khiển từ xa và nhấp vào Thêm. Nhập Địa chỉ IP và Cổng SSH (nếu các trường này chưa được tự động hoàn thành) rồi nhập Mô tả và Tên duy nhất cho máy chủ Managed Console mà bạn đang thêm
Nhập Mật khẩu gốc từ xa (tức là Mật khẩu hệ thống đã được đặt trên máy chủ Bảng điều khiển được quản lý này). Mật khẩu này được Lighthouse sử dụng để truyền các khóa SSH được tạo tự động và không được lưu trữ. Nhấp vào Áp dụng. Lighthouse thiết lập các kết nối SSH an toàn đến và từ Máy chủ bảng điều khiển được quản lý cũng như truy xuất Thiết bị được quản lý, chi tiết tài khoản người dùng và cảnh báo đã định cấu hình 3.12.3 Gọi về nhà tới máy chủ SSH trung tâm chung Nếu bạn đang kết nối với máy chủ SSH chung (không phải Lighthouse) bạn có thể định cấu hình Cài đặt nâng cao: · Nhập Cổng máy chủ SSH và Người dùng SSH. · Nhập thông tin chi tiết về (các) cổng SSH chuyển tiếp để tạo
Bằng cách chọn Máy chủ Nghe, bạn có thể tạo chuyển tiếp cổng Từ xa từ Máy chủ đến thiết bị này hoặc chuyển tiếp cổng Cục bộ từ thiết bị này đến Máy chủ:
68

Hướng dẫn sử dụng
· Chỉ định Cổng nghe để chuyển tiếp từ đó, để trống trường này để phân bổ một cổng không sử dụng · Nhập Máy chủ đích và Cổng đích sẽ là nơi nhận các kết nối được chuyển tiếp
3.13 Truyền qua IP
Truyền qua IP được sử dụng để tạo kết nối modem (ví dụ: modem di động nội bộ) trông giống như kết nối Ethernet thông thường với bộ định tuyến hạ lưu của bên thứ ba, cho phép bộ định tuyến hạ lưu sử dụng kết nối modem làm giao diện WAN chính hoặc dự phòng.
Thiết bị Opengear cung cấp địa chỉ IP của modem và chi tiết DNS cho thiết bị hạ lưu qua DHCP và chuyển lưu lượng mạng đến và đi từ modem và bộ định tuyến.
Trong khi Truyền qua IP biến Opengear thành một nửa cầu nối modem với Ethernet, một số dịch vụ lớp 4 (HTTP/HTTPS/SSH) có thể bị chấm dứt tại Opengear (Chặn dịch vụ). Ngoài ra, các dịch vụ chạy trên Opengear có thể bắt đầu các kết nối di động gửi đi độc lập với bộ định tuyến xuôi tuyến.
Điều này cho phép Opengear tiếp tục được sử dụng để quản lý và cảnh báo ngoài băng tần, đồng thời cũng được quản lý thông qua Lighthouse, khi ở chế độ Truyền qua IP.
3.13.1 Thiết lập bộ định tuyến hạ lưu Để sử dụng kết nối chuyển đổi dự phòng trên bộ định tuyến hạ lưu (còn gọi là Chuyển đổi dự phòng sang mạng di động hoặc F2C), nó phải có hai giao diện WAN trở lên.
LƯU Ý Chuyển đổi dự phòng trong ngữ cảnh Truyền qua IP được thực hiện bởi bộ định tuyến xuôi dòng và logic chuyển đổi dự phòng ngoài băng tần tích hợp trên Opengear không khả dụng khi ở chế độ Truyền qua IP.
Kết nối giao diện Ethernet WAN trên bộ định tuyến xuôi dòng với Cổng LAN quản lý hoặc Giao diện mạng của Opengear bằng cáp Ethernet.
Định cấu hình giao diện này trên bộ định tuyến xuôi dòng để nhận các cài đặt mạng của nó qua DHCP. Nếu cần chuyển đổi dự phòng, hãy định cấu hình bộ định tuyến xuôi dòng để chuyển đổi dự phòng giữa giao diện chính của nó và cổng Ethernet được kết nối với Opengear.
3.13.2 Cấu hình trước truyền qua IP Các bước tiên quyết để kích hoạt Truyền qua IP là:
1. Định cấu hình Giao diện mạng và giao diện LAN quản lý nếu có với cài đặt mạng tĩnh. · Nhấp vào Nối tiếp & Mạng > IP. · Đối với Giao diện mạng và Mạng LAN quản lý nếu có, hãy chọn Tĩnh cho Phương thức cấu hình và nhập cài đặt mạng (xem phần có tiêu đề Cấu hình mạng để biết hướng dẫn chi tiết). · Đối với giao diện được kết nối với bộ định tuyến hạ lưu, bạn có thể chọn bất kỳ mạng riêng chuyên dụng nào, mạng này chỉ tồn tại giữa Opengear và bộ định tuyến hạ lưu và thường không thể truy cập được. · Đối với giao diện khác, hãy cấu hình nó như bình thường trên mạng cục bộ. · Đối với cả hai giao diện, để trống Cổng.
2. Cấu hình modem ở chế độ Always On Out-of-band.
69

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
· Để kết nối di động, nhấp Hệ thống > Quay số: Modem di động nội bộ. · Chọn Bật quay số và nhập chi tiết nhà cung cấp dịch vụ như APN (xem phần Modem di động
Kết nối để được hướng dẫn chi tiết). 3.13.3 Cấu hình truyền qua IP Để định cấu hình Truyền qua IP:
· Nhấp vào Nối tiếp & Mạng > Truyền qua IP và chọn Bật. · Chọn Modem Opengear để sử dụng cho kết nối ngược dòng. · Tùy chọn, nhập Địa chỉ MAC của giao diện được kết nối của bộ định tuyến xuôi dòng. Nếu địa chỉ MAC là
không được chỉ định, Opengear sẽ chuyển tới thiết bị hạ lưu đầu tiên yêu cầu địa chỉ DHCP. · Chọn Giao diện Ethernet Opengear để sử dụng để kết nối với bộ định tuyến hạ lưu.
· Bấm Áp dụng. 3.13.4 Chặn dịch vụ Những điều này cho phép Opengear tiếp tục cung cấp dịch vụ, ví dụ:amptập tin, để quản lý ngoài băng tần khi ở chế độ Truyền qua IP. Các kết nối đến địa chỉ modem trên (các) cổng chặn được chỉ định sẽ được Opengear xử lý thay vì chuyển qua bộ định tuyến xuôi dòng.
· Đối với dịch vụ được yêu cầu là HTTP, HTTPS hoặc SSH, hãy chọn Bật · Tùy chọn sửa đổi Cổng chặn thành cổng thay thế (ví dụ 8443 cho HTTPS), điều này rất hữu ích nếu bạn
muốn tiếp tục cho phép bộ định tuyến xuôi dòng vẫn có thể truy cập được thông qua cổng thông thường của nó. 3.13.5 Trạng thái truyền qua IP Làm mới trang thành view phần Trạng thái. Nó hiển thị Địa chỉ IP bên ngoài của modem được truyền qua, Địa chỉ MAC nội bộ của bộ định tuyến hạ lưu (chỉ được điền khi bộ định tuyến hạ lưu chấp nhận thuê DHCP) và trạng thái hoạt động tổng thể của dịch vụ Truyền qua IP. Bạn có thể được cảnh báo về trạng thái chuyển đổi dự phòng của bộ định tuyến xuôi dòng bằng cách định cấu hình Kiểm tra mức sử dụng dữ liệu định tuyến trong Cảnh báo & ghi nhật ký > Tự động phản hồi. 3.13.6 Hãy cẩn thận Một số bộ định tuyến xuôi dòng có thể không tương thích với tuyến cổng. Điều này có thể xảy ra khi Truyền qua IP đang kết nối mạng di động 3G trong đó địa chỉ cổng là địa chỉ đích điểm-điểm và không có thông tin mạng con. Opengear gửi mặt nạ mạng DHCP 255.255.255.255. Các thiết bị thường coi đây là một tuyến máy chủ duy nhất trên giao diện, nhưng một số thiết bị hạ nguồn cũ hơn có thể gặp sự cố.
70

Hướng dẫn sử dụng
Việc chặn các dịch vụ cục bộ sẽ không hoạt động nếu Opengear đang sử dụng tuyến mặc định không phải là modem. Ngoài ra, chúng sẽ không hoạt động trừ khi dịch vụ được bật và quyền truy cập vào dịch vụ được bật (xem Hệ thống > Dịch vụ, trong tab Truy cập dịch vụ, tìm Dialout/Cellular).
Hỗ trợ các kết nối gửi đi có nguồn gốc từ Opengear đến các dịch vụ từ xa (ví dụ: gửi thông báo email SMTP, bẫy SNMP, nhận thời gian NTP, đường hầm IPSec). Có một rủi ro nhỏ về lỗi kết nối nếu cả Opengear và thiết bị hạ lưu cố gắng truy cập vào cùng một cổng UDP hoặc TCP trên cùng một máy chủ từ xa vào cùng thời điểm khi chúng đã chọn ngẫu nhiên cùng một số cổng cục bộ ban đầu.
3.14 Cấu hình qua DHCP (ZTP)
Các thiết bị Opengear có thể được cung cấp trong lần khởi động đầu tiên từ máy chủ DHCPv4 hoặc DHCPv6 bằng cách sử dụng config-over-DHCP. Việc cung cấp trên các mạng không tin cậy có thể được hỗ trợ bằng cách cung cấp khóa trên ổ flash USB. Chức năng ZTP cũng có thể được sử dụng để thực hiện nâng cấp chương trình cơ sở khi kết nối lần đầu với mạng hoặc để đăng ký vào phiên bản Lighthouse 5.
Chuẩn bị Các bước điển hình để định cấu hình qua mạng đáng tin cậy là:
1. Định cấu hình thiết bị Opengear cùng kiểu. 2. Lưu cấu hình của nó dưới dạng bản sao lưu Opengear (.opg) file. 3. Chọn Hệ thống > Sao lưu cấu hình > Sao lưu từ xa. 4. Nhấp vào Lưu bản sao lưu. Cấu hình dự phòng file — model-name_iso-format-date_config.opg — được tải xuống từ thiết bị Opengear về hệ thống cục bộ. Bạn có thể lưu cấu hình dưới dạng xml file: 1. Chọn Hệ thống > Sao lưu cấu hình > Cấu hình XML. Một trường có thể chỉnh sửa có chứa
cấu hình file ở định dạng XML xuất hiện. 2. Nhấp vào trường này để kích hoạt nó. 3. Nếu bạn đang chạy bất kỳ trình duyệt nào trên Windows hoặc Linux, hãy nhấp chuột phải và chọn Chọn Tất cả từ trình duyệt
menu ngữ cảnh hoặc nhấn Control-A. Nhấp chuột phải và chọn Sao chép từ menu ngữ cảnh hoặc nhấn Control-C. 4. Nếu bạn đang sử dụng bất kỳ trình duyệt nào trên macOS, hãy chọn Chỉnh sửa > Chọn tất cả hoặc nhấn Command-A. Chọn Chỉnh sửa > Sao chép hoặc nhấn Command-C. 5. Trong trình soạn thảo văn bản ưa thích của bạn, tạo một tài liệu trống mới, dán dữ liệu đã sao chép vào tài liệu trống và lưu file. Bất cứ điều gì file-tên bạn chọn phải có đuôi .xml filehậu tố tên. 6. Sao chép .opg hoặc .xml đã lưu file vào một thư mục công khai trên một file máy chủ phục vụ ít nhất một trong các giao thức sau: HTTPS, HTTP, FTP hoặc TFTP. (Chỉ có thể sử dụng HTTPS nếu kết nối giữa file máy chủ và thiết bị Opengear được định cấu hình sẽ di chuyển qua mạng không đáng tin cậy.). 7. Định cấu hình máy chủ DHCP của bạn để bao gồm tùy chọn 'nhà cung cấp cụ thể' cho các thiết bị Opengear. (Việc này sẽ được thực hiện theo cách dành riêng cho máy chủ DHCP.) Tùy chọn dành riêng cho nhà cung cấp phải được đặt thành một chuỗi chứa URL của .opg hoặc .xml đã xuất bản file ở bước trên. Chuỗi tùy chọn không được vượt quá 250 ký tự và phải kết thúc bằng .opg hoặc .xml.
71

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
8. Kết nối thiết bị Opengear mới, được khôi phục cài đặt gốc hoặc Đã xóa cấu hình, với mạng và cấp nguồn. Có thể mất tới 5 phút để thiết bị tự khởi động lại.
Examptập tin cấu hình máy chủ ISC DHCP (dhcpd)
Sau đây là một ví dụamptập tin đoạn cấu hình máy chủ DHCP để cung cấp hình ảnh cấu hình .opg thông qua máy chủ ISC DHCP, dhcpd:
không gian tùy chọn mã opengear chiều rộng 1 chiều dài chiều rộng 1; tùy chọn opengear.config-url mã 1 = văn bản; lớp “opengear-config-over-dhcp-test” {
khớp nếu tùy chọn nhà cung cấp-lớp-định danh ~~ “^Opengear/”; thiết bị mở không gian tùy chọn nhà cung cấp; tùy chọn opengear.config-url “https://example.com/opg/${class}.opg”; }
Thiết lập này có thể được sửa đổi để nâng cấp hình ảnh cấu hình bằng opengear.image-url tùy chọn và cung cấp URI cho hình ảnh phần sụn.
Thiết lập khi mạng LAN không đáng tin cậy Nếu kết nối giữa file máy chủ và thiết bị Opengear được định cấu hình bao gồm mạng không đáng tin cậy, cách tiếp cận bằng hai tay có thể giảm thiểu sự cố.
LƯU Ý Cách tiếp cận này đưa ra hai bước vật lý trong đó sự tin cậy có thể khó khăn, nếu không nói là không thể thiết lập được hoàn toàn. Đầu tiên, chuỗi lưu ký từ việc tạo ổ flash USB chứa dữ liệu đến việc triển khai nó. Thứ hai, tay kết nối ổ flash USB với thiết bị Opengear.
· Tạo chứng chỉ X.509 cho thiết bị Opengear.
· Ghép chứng chỉ và khóa riêng của nó thành một file được đặt tên là client.pem.
· Sao chép client.pem vào ổ flash USB.
· Thiết lập máy chủ HTTPS để truy cập vào .opg hoặc .xml file bị giới hạn đối với các máy khách có thể cung cấp chứng chỉ máy khách X.509 được tạo ở trên.
· Đặt một bản sao chứng chỉ CA đã ký chứng chỉ của máy chủ HTTP — ca-bundle.crt — vào ổ flash USB mang client.pem.
· Cắm ổ flash USB vào thiết bị Opengear trước khi cắm nguồn hoặc mạng.
· Tiếp tục quy trình từ `Sao chép .opg hoặc .xml đã lưu file vào một thư mục công khai trên một file server' ở trên bằng giao thức HTTPS giữa máy khách và máy chủ.
Chuẩn bị ổ USB và tạo chứng chỉ X.509 và khóa riêng
· Tạo chứng chỉ CA để các Yêu cầu ký chứng chỉ (CSR) của máy khách và máy chủ có thể được ký.
# cp /etc/ssl/openssl.cnf . # mkdir -p cũampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Quy trình này tạo ra một chứng chỉ có tên ExampleCA nhưng bất kỳ tên chứng chỉ nào được phép đều có thể được sử dụng. Ngoài ra, quy trình này sử dụng openssl ca. Nếu tổ chức của bạn có quy trình tạo CA an toàn, toàn doanh nghiệp thì nên sử dụng quy trình đó.
72

Hướng dẫn sử dụng
· Tạo chứng chỉ máy chủ.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-chìa khóafile ca.key -chính sách chính sách_anything -batch -notext
LƯU Ý Tên máy chủ hoặc địa chỉ IP phải giống với chuỗi được sử dụng trong dịch vụ URL. Trong người yêu cũample ở trên, tên máy chủ là demo.example.com.
· Tạo chứng chỉ ứng dụng khách.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-chìa khóafile ca.key -chính sách chính sách_anything -batch -notext # cat client.key client.crt > client.pem
· Định dạng ổ flash USB thành một ổ FAT32 duy nhất.
· Di chuyển client.pem và ca-bundle.crt files vào thư mục gốc của ổ đĩa flash.
Gỡ lỗi các sự cố ZTP Sử dụng tính năng nhật ký ZTP để gỡ lỗi các sự cố ZTP. Trong khi thiết bị đang cố thực hiện các thao tác ZTP, thông tin nhật ký được ghi vào /tmp/ztp.log trên thiết bị.
Sau đây là một ví dụampnhật ký file từ một lần chạy ZTP thành công.
# cat /tmp/ztp.log Thứ Tư ngày 13 tháng 22 22:17:2017 UTC 5127 [thông báo 6] odhcp0c.eth13: khôi phục cấu hình qua DHCP Thứ Tư ngày 22 tháng 22 17:2017:5127 UTC 6 [thông báo 0] odhcp10c.eth13: chờ 22 giây để mạng giải quyết Thứ Tư ngày 22 tháng 27 2017:5127:6 UTC 0 [thông báo 13] odhcp22c.eth22: NTP bị bỏ qua: không có máy chủ Thứ Tư ngày 27 tháng 2017 5127:6:0 UTC 1 [thông tin 07] odhcp2218c.eth1350: nhà cung cấpspec.44 = ' http://[fd1:13:22:22::27]/tftpboot/config.sh' Thứ Tư ngày 2017 tháng 5127 6:0:2 UTC 13 [thông tin 22] odhcp22c.eth27: Vendorspec.2017 (n/a) Thứ Tư Ngày 5127 tháng 6 0:3:13 UTC 22 [thông tin 22] odhcp27c.eth2017: Vendorspec.5127 (n/a) Thứ Tư ngày 6 tháng 0 4:13:22 UTC 22 [thông tin 27] odhcp2017c.eth5127: Vendorspec.6 (n/a) ) Thứ Tư ngày 0 tháng 5 13:22:22 UTC 28 [thông tin 2017] odhcp5127c.eth6: nhà cung cấpspec.0 (n/a) Thứ Tư ngày 6 tháng 13 22:22:28 UTC 2017 [thông tin 5127] odhcp6c.eth0: nhà cung cấpspec.2 (n /a) Thứ Tư ngày XNUMX tháng XNUMX XNUMX:XNUMX:XNUMX UTC XNUMX [thông tin XNUMX] odhcpXNUMXc.ethXNUMX: không có bản sao lưu chương trình cơ sở để tải xuống (nhà cung cấpspec.XNUMX)-url: đang thử http://[fd07:2218:1350:44::1]/tftpboot/config.sh … sao lưu-url: buộc chế độ cấu hình wan phải sao lưu DHCP-url: đặt tên máy chủ thành bản sao lưu acm7004-0013c601ce97-url: tải thành công Thứ Tư ngày 13 tháng 22 22:36:2017 UTC 5127 [thông báo 6] odhcp0c.eth13: tải cấu hình thành công Thứ Tư ngày 22 tháng 22 36:2017:5127 UTC 6 [thông tin 0] odhcp3c.eth4: không có cấu hình ngọn hải đăng (vendorspec.5/ 6/13/22) Thứ Tư ngày 22 tháng 36 2017:5127:6 UTC 0 [thông báo XNUMX] odhcpXNUMXc.ethXNUMX: quá trình cung cấp đã hoàn tất, chưa khởi động lại
Lỗi được ghi lại trong nhật ký này.
3.15 Đăng ký vào Lighthouse
Sử dụng Đăng ký vào Lighthouse để đăng ký các thiết bị Opengear vào phiên bản Lighthouse, cung cấp quyền truy cập tập trung vào các cổng bảng điều khiển và cho phép cấu hình trung tâm các thiết bị Opengear.
Xem Hướng dẫn sử dụng Lighthouse để biết hướng dẫn đăng ký thiết bị Opengear vào Lighthouse.
73

Chương 3: Cổng nối tiếp, cấu hình thiết bị và người dùng
3.16 Kích hoạt chuyển tiếp DHCPv4
Dịch vụ chuyển tiếp DHCP chuyển tiếp các gói DHCP giữa máy khách và máy chủ DHCP từ xa. Dịch vụ chuyển tiếp DHCP có thể được kích hoạt trên máy chủ bảng điều khiển Opengear để nó lắng nghe các máy khách DHCP trên các giao diện thấp hơn được chỉ định, gói và chuyển tiếp tin nhắn của chúng lên các máy chủ DHCP bằng cách sử dụng định tuyến thông thường hoặc phát trực tiếp lên các giao diện phía trên được chỉ định. Do đó, tác nhân chuyển tiếp DHCP nhận được các tin nhắn DHCP và tạo ra một tin nhắn DHCP mới để gửi đi trên một giao diện khác. Trong các bước bên dưới, máy chủ bảng điều khiển có thể kết nối với Circuit-id, Ethernet hoặc modem di động bằng dịch vụ Chuyển tiếp DHCPv4.
Cơ sở hạ tầng chuyển tiếp DHCPv4 + Tùy chọn DHCP 82 (mạch-id) – Máy chủ DHCP cục bộ, ACM7004-5 cho chuyển tiếp, bất kỳ thiết bị nào khác cho máy khách. Bất kỳ thiết bị nào có vai trò mạng LAN đều có thể được sử dụng làm rơle. Trong người yêu cũ nàyamptập tin, 192.168.79.242 là địa chỉ cho giao diện chuyển tiếp của máy khách (như được xác định trong cấu hình máy chủ DHCP file ở trên) và 192.168.79.244 là địa chỉ giao diện phía trên của hộp chuyển tiếp và enp112s0 là giao diện xuôi dòng của máy chủ DHCP.
1 Cơ sở hạ tầng – Rơle DHCPv4 + Tùy chọn DHCP 82 (mạch-id)
Các bước trên Máy chủ DHCP 1. Thiết lập máy chủ DHCP v4 cục bộ, cụ thể, nó phải chứa mục “host” như bên dưới cho máy khách DHCP: hosting cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; tùy chọn nhận dạng máy chủ Agent. Circuit-id “relay1”; địa chỉ cố định 192.168.79.242; } Lưu ý: dòng “hardware ethernet” bị tắt để máy chủ DHCP sẽ sử dụng cài đặt “ Circuit-id” để gán địa chỉ cho máy khách liên quan. 2. Khởi động lại DHCP Server để tải lại cấu hình đã thay đổi file. pkill -HUP dhcpd
74

Hướng dẫn sử dụng
3. Thêm tuyến máy chủ vào giao diện “chuyển tiếp” của máy khách theo cách thủ công (giao diện đằng sau chuyển tiếp DHCP, không phải các giao diện khác mà máy khách cũng có thể có:
sudo ip Route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Điều này sẽ giúp tránh được vấn đề định tuyến không đối xứng khi máy khách và máy chủ DHCP muốn truy cập lẫn nhau thông qua giao diện chuyển tiếp của máy khách, khi máy khách có các giao diện khác trong cùng mạng con của nhóm địa chỉ DHCP.
Lưu ý: Đây là bước bắt buộc phải có để hỗ trợ máy chủ dhcp và máy khách có thể truy cập lẫn nhau.
Các bước trên hộp Relay – ACM7004-5
1. Thiết lập WAN/eth0 ở chế độ tĩnh hoặc dhcp (không phải chế độ chưa được định cấu hình). Nếu ở chế độ tĩnh, nó phải có địa chỉ IP trong nhóm địa chỉ của máy chủ DHCP.
2. Áp dụng cấu hình này thông qua CLI (trong đó 192.168.79.1 là địa chỉ máy chủ DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lows.low1. Circuit_id=relay1 config -s config.services.dhcprelay.lows.low1.role=lan config -s config.services .dhcprelay.lows.total=1 cấu hình -s config.services.dhcprelay.servers.server1=192.168.79.1 cấu hình -s config.services.dhcprelay.servers.total=1 cấu hình -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Giao diện phía dưới của rơle DHCP phải có địa chỉ IP tĩnh trong nhóm địa chỉ của máy chủ DHCP. Trong người yêu cũ nàyample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Đợi một lát để máy khách nhận được hợp đồng thuê DHCP qua rơle.
Các bước trên Máy khách (CM7116-2-dac trong ví dụ nàyample hoặc bất kỳ OG CS nào khác)
1. Cắm mạng LAN/eth1 của máy khách vào mạng LAN/eth1 của rơle 2. Định cấu hình mạng LAN của máy khách để nhận địa chỉ IP qua DHCP như bình thường 3. Sau khi clie

Tài liệu / Tài nguyên

opengear ACM7000 Cổng trang web từ xa [tập tin pdf] Hướng dẫn sử dụng
Cổng trang web từ xa ACM7000, ACM7000, Cổng trang web từ xa, Cổng trang web, Cổng

Tài liệu tham khảo

Hướng dẫn sử dụng

opengear ACM7000 Cổng trang web từ xa

Thông tin sản phẩm

Hướng dẫn sử dụng sản phẩm

Câu hỏi thường gặp

Hướng dẫn này

Cấu hình hệ thống

Cổng nối tiếp, máy chủ, cấu hình thiết bị và người dùng

Tài liệu / Tài nguyên

Tài liệu tham khảo

Để lại bình luận

Hủy trả lời