opengear ACM7000 远程站点网关用户手册

安全
安装和操作控制台服务器时，请遵循以下安全注意事项： · 请勿拆除金属盖。内部没有操作员可维修的组件。打开或取下盖子可能会使您接触危险的气体tag否则可能会导致火灾或触电。将所有维修工作交给 Opengear 合格人员。 · 为避免触电，电源线保护接地导体必须接地。 · 从插座上拔下电源线时，务必拉插头，而不是拉电缆。
请勿在雷暴期间连接或断开控制台服务器。还可以使用浪涌抑制器或 UPS 来保护设备免受瞬变影响。
FCC 警告声明
本设备符合 FCC 规则第 15 部分的规定。该设备的操作须遵守以下规定
条件：(1) 该设备不得造成有害干扰，并且 (2) 该设备必须接受可能导致意外操作的任何干扰。
应采用适当的备份系统和必要的安全装置，以防止因系统故障而造成伤害、死亡或财产损失。此类保护是用户的责任。此控制台服务器设备未获批准用作生命支持或医疗系统。未经 Opengear 明确批准或同意，对此控制台服务器设备进行的任何更改或修改将使 Opengear 不承担因任何故障而造成的伤害或损失的任何责任或责任。该设备供室内使用，所有通信线路仅限于建筑物内部。
2

用户手册
版权
©Opengear Inc. 2023。保留所有权利。本文档中的信息如有更改，恕不另行通知，并且并不代表 Opengear 方面的承诺。 Opengear“按原样”提供本文档，不提供任何明示或暗示的保证，包括但不限于针对特定用途的适用性或适销性的暗示保证。 Opengear 可能随时对本手册或本手册中描述的产品和/或程序进行改进和/或更改。本产品可能包含技术错误或印刷错误。此处的信息会定期更改；这些更改可能会合并到出版物的新版本中。\

第三章

本手册

本用户手册介绍了 Opengear 控制台服务器的安装、操作和管理。本手册假设您熟悉 Internet 和 IP 网络、HTTP、FTP、基本安全操作以及组织的内部网络。
1.1 用户类型
控制台服务器支持两类用户：
· 管理员通过控制台拥有无限制的配置和管理权限
服务器和连接的设备以及控制所有串行连接设备和网络连接设备（主机）的所有服务和端口。管理员被设置为管理员用户组的成员。管理员可以使用配置实用程序、Linux 命令行或基于浏览器的管理控制台来访问和控制控制台服务器。
· 管理员设置了访问和控制权限限制的用户。
用户的权限是有限的 view 管理控制台的，只能访问授权的配置设备并重新view 端口日志。这些用户被设置为一个或多个预配置用户组的成员，例如 PPTPD、拨入、FTP、pmshell、用户或管理员可能创建的用户组。他们仅被授权对特定的连接设备执行指定的控制。获得授权后，用户可以使用指定服务（例如 Telnet、HHTPS、RDP、IPMI、Serial over LAN、电源控制）访问和控制串行或网络连接设备。远程用户是指与控制台服务器不在同一网段的用户。远程用户可能在路上通过公共 Internet 连接到托管设备，另一个办公室的管理员通过企业 VPN 连接到控制台服务器，或者在同一房间或同一办公室但通过单独的 VLAN 连接到控制台服务器。
1.2 管理控制台
Opengear 管理控制台允许您配置和监控 Opengear 控制台服务器的功能。管理控制台在浏览器中运行并提供 view 控制台服务器和所有连接的设备。管理员可以使用管理控制台来配置和管理控制台服务器、用户、端口、主机、电源设备以及关联的日志和警报。非管理员用户可以使用具有有限菜单访问权限的管理控制台来控制选定的设备、重新view 他们的日志，并使用内置的访问它们 Web 终端。
控制台服务器运行嵌入式Linux操作系统，可以通过命令行进行配置。您可以通过蜂窝/拨入、直接连接到控制台服务器的串行控制台/调制解调器端口，或使用 SSH 或 Telnet 通过 LAN 连接到控制台服务器（或使用 PPTP、IPsec 或 OpenVPN 连接）来获取命令行访问。
6

用户手册
有关命令行界面 (CLI) 命令和高级说明，请从 https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/ 下载 Opengear CLI 和脚本参考.pdf
1.3 更多信息
欲了解更多信息，请咨询：·Opengear 产品 Web 网站：请参阅 https://opengear.com/products。要获取有关控制台服务器所包含内容的最新信息，请访问特定产品的包含内容部分。 · 快速入门指南：要获取适用于您设备的快速入门指南，请参阅 https://opengear.com/support/documentation/。 · Opengear 知识库：访问 https://opengear.zendesk.com 访问技术指导文章、技术提示、常见问题解答和重要通知。 · Opengear CLI 和脚本参考：https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

第三章：

系统配置

本章提供了控制台服务器初始配置并将其连接到管理或操作 LAN 的分步说明。步骤是：
激活管理控制台。更改管理员密码。设置控制台服务器的主要 LAN 端口的 IP 地址。选择要启用的服务和访问权限。本章还讨论管理员可以用来访问控制台服务器的通信软件工具以及其他 LAN 端口的配置。
2.1 管理控制台连接
您的控制台服务器配置有 NET192.168.0.1 (WAN) 的默认 IP 地址 255.255.255.0 和子网掩码 1。对于初始配置，我们建议您将计算机直接连接到控制台。如果您选择在完成初始设置步骤之前连接 LAN，请确保：
· 局域网内没有其他地址为192.168.0.1的设备。 · 控制台服务器与电脑在同一网段，不中间有路由器
电器。
2.1.1 连接的计算机设置要使用浏览器配置控制台服务器，连接的计算机应具有与控制台服务器相同范围内的 IP 地址（例如amp乐，192.168.0.100）：
· 要配置 Linux 或 Unix 计算机的 IP 地址，请运行 ifconfig。 · 对于 Windows 电脑：
1. 单击开始 > 设置 > 控制面板，然后双击网络连接。 2. 右键单击“本地连接”并选择“属性”。 3. 选择 Internet 协议 (TCP/IP)，然后单击属性。 4. 选择使用以下 IP 地址并输入以下详细信息：
o IP 地址：192.168.0.100 o 子网掩码：255.255.255.0 5. 如果您想保留此网络连接的现有 IP 设置，请单击高级并将上述设置添加为辅助 IP 连接。
2.1.2 浏览器连接
在连接的 PC/工作站上打开浏览器并输入 https://192.168.0.1。
登录方式：
用户名> root 密码> 默认
8

用户手册
首次登录时，需要更改root密码。单击提交。
要完成更改，请再次输入新密码。单击提交。出现欢迎屏幕。
如果您的系统有蜂窝调制解调器，您将获得配置蜂窝路由器功能的步骤： · 配置蜂窝调制解调器连接（系统 > 拨号页面。请参阅第 4 章） · 允许转发到蜂窝目标网络（系统 > 防火墙页面。请参阅第 4 章） · 启用蜂窝连接的 IP 伪装（系统 > 防火墙页面。请参阅第 4 章）
完成上述每个步骤后，您可以通过单击屏幕左上角的 Opengear 徽标返回配置列表。注意如果您无法通过 192.168.0.1 连接到管理控制台，或者如果默认
用户名/密码不被接受，请重置您的控制台服务器（参见第 10 章）。
9

第 2 章：系统配置
2.2 管理员设置
2.2.1 更改默认root 系统密码首次登录设备时需要更改root 密码。您可以随时更改此密码。
1. 单击串行和网络 > 用户和组，或者在欢迎屏幕上单击更改默认管理密码。
2. 向下滚动并找到“用户”下的 root 用户条目，然后单击“编辑”。 3. 在密码和确认字段中输入新密码。
注意选中跨固件擦除保存密码可保存密码，以便在固件重置时密码不会被删除。如果此密码丢失，则需要对设备进行固件恢复。
4. 单击“应用”。使用新密码登录 2.2.2 设置新管理员创建一个具有管理权限的新用户，并以此用户身份登录以执行管理功能，而不是使用 root。
10

用户手册
1. 单击串行和网络 > 用户和组。滚动到页面底部并单击“添加用户”按钮。
2. 输入用户名。 3. 在“组”部分中，选中“管理”框。 4. 在密码和确认字段中输入密码。
5. 您还可以添加 SSH 授权密钥并选择禁用该用户的密码身份验证。
6. 可以在此页面上设置该用户的其他选项，包括拨入选项、可访问主机、可访问端口和可访问 RPC 出口。
7. 单击屏幕底部的“应用”按钮创建此新用户。
11

第 2 章：系统配置
2.2.3 添加系统名称、系统描述和 MOTD。 1. 选择系统 > 管理。 2. 输入控制台服务器的系统名称和系统描述，为其提供唯一的 ID 并使其更易于识别。系统名称可以包含 1 到 64 个字母数字字符以及特殊字符下划线 (_)、减号 (-) 和句点 (.)。系统描述最多可包含 254 个字符。
3. MOTD 横幅可用于向用户显示当天的消息文本。它出现在屏幕左上角 Opengear 徽标下方。
4.单击应用。
12

第 2 章：系统配置
5. 选择系统 > 管理。 6. MOTD 横幅可用于向用户显示当天的消息文本。它出现在
屏幕左上角 Opengear 徽标下方。 7. 单击“应用”。
2.3网络配置
输入控制台服务器上主要以太网（LAN/网络/网络1）端口的 IP 地址，或使其 DHCP 客户端自动从 DHCP 服务器获取 IP 地址。默认情况下，控制台服务器启用其 DHCP 客户端，并自动接受网络上 DHCP 服务器分配的任何网络 IP 地址。在此初始状态下，控制台服务器将响应其默认静态地址 192.168.0.1 及其 DHCP 地址。
1. 单击系统 > IP，然后单击网络接口选项卡。 2. 选择 DHCP 或静态作为配置方法。
如果选择静态，请输入 IP 地址、子网掩码、网关和 DNS 服务器详细信息。此选择将禁用 DHCP 客户端。
12

用户手册
3. 控制台服务器LAN端口自动检测以太网连接速度。使用媒体下拉列表将以太网锁定为 10 Mb/s 或 100Mb/s 以及全双工或半双工。
如果使用“自动”设置时遇到数据包丢失或网络性能不佳的情况，请更改控制台服务器及其连接的设备上的以太网媒体设置。在大多数情况下，将两者更改为 100baseTx-FD（100 兆位，全双工）。
4. 如果选择 DHCP，控制台服务器将从 DHCP 服务器查找配置详细信息。此选择禁用任何静态地址。控制台服务器 MAC 地址可在底板上的标签上找到。
5. 您可以使用 CIDR 表示法输入辅助地址或以逗号分隔的地址列表，例如 192.168.1.1/24 作为 IP 别名。
6. 单击应用 7. 通过输入以下命令重新连接连接到控制台服务器的计算机上的浏览器：
http://your new IP address.
如果更改控制台服务器 IP 地址，则需要重新配置计算机，使其 IP 地址与新控制台服务器地址位于同一网络范围内。您可以在以太网接口上设置 MTU。如果您的部署方案不适用于 1500 字节的默认 MTU，则可以使用此高级选项。要设置 MTU，请单击系统 > IP，然后单击网络接口选项卡。向下滚动到 MTU 字段并输入所需的值。对于 1280 兆接口，有效值为 1500 到 100；对于千兆接口，有效值为 1280 到 9100 如果配置了桥接或绑定，则网络接口页面上设置的 MTU 将在属于桥接或绑定的接口上设置。说明在某些情况下，用户指定的MTU 可能不生效。某些 NIC 驱动程序可能会将过大的 MTU 舍入到允许的最大值，而其他驱动程序将返回错误代码。您还可以使用 CLI 命令来管理 MTU 大小：configure
# config -s config.interfaces.wan.mtu=1380 检查
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode 无状态配置.interfaces.wan.media 自动 config.interfaces.wan.mode 静态 config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

第 2 章：系统配置
2.3.1 IPv6 配置控制台服务器以太网接口默认支持IPv4。它们可以配置为 IPv6 操作：
1. 单击系统 > IP。单击常规设置选项卡并选中启用 IPv6。如果需要，请单击禁用蜂窝 IPv6 复选框。
2. 在各接口页面配置IPv6参数。 IPv6 可以配置为自动模式（使用 SLAAC 或 DHCPv6 来配置地址、路由和 DNS）或静态模式（允许手动输入地址信息）。
2.3.2 动态DNS (DDNS) 配置通过动态DNS (DDNS)，可以使用固定主机名或域名来定位动态分配IP 地址的控制台服务器。使用您选择的受支持的 DDNS 服务提供商创建一个帐户。设置 DDNS 帐户时，您可以选择将用作 DNS 名称的用户名、密码和主机名。 DDNS 服务提供商让您选择主机名 URL 并设置一个初始 IP 地址以对应于该主机名 URL.
14

用户手册
在控制台服务器上的任何以太网或蜂窝网络连接上启用和配置 DDNS。 1. 单击系统 > IP 并向下滚动动态 DNS 部分。选择您的 DDNS 服务提供商
从下拉动态 DNS 列表中。您还可以在系统 > 拨号下的蜂窝调制解调器选项卡下设置 DDNS 信息。
2. 在 DDNS 主机名中，输入控制台服务器的完全限定 DNS 主机名，例如 yourhostname.dyndns.org。
3. 输入 DDNS 服务提供商帐户的 DDNS 用户名和 DDNS 密码。 4. 指定更新之间的最大间隔（以天为单位）。即使 DDNS 更新也将被发送
地址没有改变。 5. 指定检查更改地址之间的最小间隔（以秒为单位）。更新将
如果地址已更改，则发送。 6. 指定Maximum attempts per update，即尝试更新的次数
在放弃之前。默认值为 3。 7. 单击“应用”。
15

第 2 章：系统配置
2.3.3 WAN、LAN 和 OOBFO 的 EAPoL 模式
（OOBFO 仅适用于 IM7216-2-24E-DAC）
超过view EAPoL IEEE 802.1X 或 PNAC（基于端口的网络访问控制）利用 IEEE 802 LAN 基础设施的物理访问特性，以提供一种对连接到具有点对点的 LAN 端口的设备进行身份验证和授权的方法。点连接特性，以及在身份验证和授权失败的情况下阻止访问该端口。在这种情况下，端口是 LAN 基础设施的单点连接。
当新的无线或有线节点 (WN) 请求访问 LAN 资源时，接入点 (AP) 会询问 WN 的身份。在对 WN 进行身份验证（“端口”关闭，或“未经身份验证”）之前，不允许除 EAP 之外的其他流量。请求身份验证的无线节点通常称为请求者，请求者负责响应将建立其凭证的身份验证器数据。接入点也是如此；验证器不是接入点。相反，接入点包含一个验证器。身份验证器不需要位于接入点中；它可以是外部组件。实现了以下身份验证方法：
· EAP-MD5 请求者 o EAP MD5-Challenge 方法使用纯用户名/密码
· EAP-PEAP-MD5 o EAP PEAP（受保护的 EAP）MD5 身份验证方法使用用户凭据和 CA 证书
· EAP-TLS o EAP TLS（传输层安全）身份验证方法需要 CA 证书、客户端证书和私钥。
用于身份验证的 EAP 协议最初用于拨号 PPP。身份是用户名，并且使用 PAP 或 CHAP 身份验证来检查用户的密码。由于身份是明文发送的（未加密），恶意嗅探器可能会获知用户的身份。因此使用了“身份隐藏”；在加密的 TLS 隧道建立之前，不会发送真实身份。
16

用户手册
身份发送后，身份验证过程开始。请求者和验证者之间使用的协议是 EAP（或 EAPoL）。 Authenticator将EAP消息重新封装为RADIUS格式，并将其传递给Authentication Server。在身份验证过程中，身份验证器在请求者和身份验证服务器之间中继数据包。当身份验证过程完成时，身份验证服务器会发送一条成功消息（如果身份验证失败，则发送失败消息）。然后，验证器为请求者打开“端口”。可以从 EAPoL 请求者设置页面访问身份验证设置。当前 EAPoL 的状态详细显示在 EAPoL 选项卡的状态统计页面上：
网络角色上的 EAPoL 抽象显示在仪表板界面的“连接管理器”部分中。
17

第 2 章：系统配置
下图是前任amp认证成功文件：
IM802.1-7216-2E-DAC 和 ACM24-7004 的交换机端口支持 IEEE 5x (EAPOL)：为了避免环路，用户不应将多个交换机端口插入同一上一级交换机。
18

用户手册
2.4 服务访问和暴力防护
管理员可以使用一系列访问协议/服务访问控制台服务器以及连接的串行端口和受管设备。对于每次访问
· 必须首先配置该服务并使其能够在控制台服务器上运行。 · 必须为每个网络连接启用通过防火墙的访问。要启用和配置服务： 1. 单击系统 > 服务，然后单击服务设置选项卡。

2. 启用并配置基本服务：

HTTP

默认情况下，HTTP 服务正在运行且无法完全禁用。默认情况下，所有接口上都禁用 HTTP 访问。如果通过 Internet 远程访问控制台服务器，我们建议保持禁用此访问。
备用 HTTP 允许您配置要侦听的备用 HTTP 端口。 HTTP 服务将继续侦听 TCP 端口 80 以进行 CMS 和连接器通信，但无法通过防火墙进行访问。

HTTPS

默认情况下，HTTPS 服务在所有网络接口上运行并启用。如果要通过任何公共网络管理控制台服务器，建议仅使用 HTTPS 访问。这可确保管理员可以安全地通过浏览器访问控制台服务器上的所有菜单。它还允许适当配置的用户通过浏览器安全地访问选定的“管理”菜单。
可以通过检查 HTTPS 来禁用或重新启用 HTTPS 服务 Web 指定管理和备用端口（默认端口为 443）。

远程登录

默认情况下，Telnet 服务正在运行，但在所有网络接口上被禁用。
Telnet 可用于授予管理员访问系统命令行 shell 的权限。此服务对于本地管理员和访问选定串行控制台的用户可能很有用。如果控制台服务器是远程管理的，我们建议您禁用此服务。
启用 Telnet 命令 shell 复选框将启用或禁用 Telnet 服务。可以在备用 Telnet 端口中指定要侦听的备用 Telnet 端口（默认端口为 23）。

第 2 章：系统配置

SSH

此服务提供对控制台服务器和连接设备的安全 SSH 访问

默认情况下，SSH 服务在所有接口上运行并启用。这是

建议您选择 SSH 作为管理员连接的协议

Internet 或任何其他公共网络上的控制台服务器。这将提供

远程 SSH 客户端程序之间经过身份验证的通信

计算机和控制台服务器中的 SSH 服务器。有关 SSH 的更多信息

配置请参阅第 8 章 – 身份验证。

启用 SSH 命令 shell 复选框将启用或禁用此服务。可以在 SSH 命令 shell 端口中指定要侦听的备用 SSH 端口（默认端口为 22）。

3. 启用并配置其他服务：

TFTP/FTP 如果在控制台服务器上检测到 USB 闪存卡或内置闪存，则选中启用 TFTP (FTP) 服务将启用该服务，并在 USB 闪存上设置默认 tftp 和 ftp 服务器。这些服务器用于存储配置 files，维护访问和事务日志等。 File使用 tftp 传输的数据将存储在 /var/mnt/storage.usb/tftpboot/ 下（或 ACM7000 系列设备上的 /var/mnt/storage.nvlog/tftpboot/ 下）。取消选中启用 TFTP (FTP) 服务将禁用 TFTP (FTP) 服务。

DNS 中继检查启用 DNS 服务器/中继启用 DNS 中继功能，以便客户端可以使用控制台服务器的 IP 来配置其 DNS 服务器设置，并且控制台服务器会将 DNS 查询转发到真实的 DNS 服务器。

Web 终端检查启用 Web 终端允许 web 浏览器通过“管理”>“终端”访问系统命令行 shell。

4. 为原始 TCP、直接 Telnet/SSH 和未经身份验证的 Telnet/SSH 服务指定备用端口号。控制台服务器使用特定范围的 TCP/IP 端口来进行各种访问
用户可用来访问连接到串行端口的设备的服务（如第 3 章配置串行端口中所述）。管理员可以为这些服务设置备用范围，除了默认端口之外，还将使用这些辅助端口。

Telnet 访问的默认 TCP/IP 基端口地址是 2000，Telnet 的范围是 IP 地址：端口（2000 + 串行端口号），即 2001 2048。如果管理员将 8000 设置为 Telnet 的辅助基端口，则串行端口控制台服务器上的端口 #2 可以通过 IP 进行 Telnet 访问
地址：2002，IP 地址：8002。 SSH 的默认基数是 3000；原始 TCP 为 4000；对于 RFC2217 来说是 5000

5. 通过选择“单击此处进行配置”，可以从此菜单启用和配置其他服务：

Nagios 访问 Nagios NRPE 监控守护进程

坚果

访问 NUT UPS 监控守护进程

SNMP 在控制台服务器中启用 snmp。默认情况下禁用 SNMP

网络时间协议 (NTP)

6. 单击“应用”。将出现一条确认消息：消息更改配置成功

可以将服务访问设置设置为允许或阻止访问。这指定管理员可以通过每个网络接口使用哪些启用的服务来连接到控制台服务器，并通过控制台服务器连接到连接的串行和网络连接设备。

用户手册
1. 在系统 > 服务页面选择服务访问选项卡。
2. 这将显示控制台服务器网络接口的已启用服务。根据特定的控制台服务器型号，显示的接口可能包括： · 网络接口（用于主要以太网连接） · 管理 LAN/OOB 故障转移（第二个以太网连接） · 拨出/蜂窝（V90 和 3G 调制解调器） · 拨入（内部）或外部 V90 调制解调器） · VPN（通过任何网络接口的 IPsec 或 Open VPN 连接）
3. 选中/取消选中要启用/禁用的每个网络的服务访问可以在此处配置的响应 ICMP 回显（即 ping）服务访问选项tage.这允许控制台服务器响应传入的 ICMP 回显请求。默认情况下启用 Ping。为了提高安全性，您应该在完成初始配置时禁用此服务。您可以允许使用原始 TCP、直接 Telnet/SSH、未经身份验证的 Telnet/SSH 服务等从指定网络接口访问串行端口设备。
4. 点击应用 Web 管理设置启用 HSTS 复选框可启用严格的 HTTP 传输安全性。 HSTS 模式意味着 StrictTransport-Security 标头应通过 HTTPS 传输发送。合规的 web 浏览器会记住这个标头，当被要求通过 HTTP（普通）联系同一主机时，它会自动切换到
19

第 2 章：系统配置
在尝试 HTTP 之前先使用 HTTPS，只要浏览器访问过安全站点一次并看到 STS 标头。
暴力保护暴力保护 (Micro Fail2ban) 会暂时阻止显示恶意迹象（例如密码失败次数过多）的源 IP。当设备的网络服务暴露于不受信任的网络（例如公共 WAN）并且脚本攻击或软件蠕虫试图猜测（强力）用户凭据并获得未经授权的访问时，这可能会有所帮助。

可以为列出的服务启用暴力保护。默认情况下，一旦启用保护，3 秒内来自特定源 IP 的 60 次或以上失败的连接尝试将触发在可配置的时间段内禁止连接。尝试限制和禁止超时可以自定义。还列出了有效的禁令，并且可以通过重新加载页面来刷新。

笔记

当在不受信任的网络上运行时，请考虑使用多种策略来锁定远程访问。这包括 SSH 公钥身份验证、VPN 和防火墙规则
仅将来自受信任源网络的远程访问列入白名单。有关详细信息，请参阅 Opengear 知识库。

2.5通讯软件
您已配置管理员客户端在连接到控制台服务器时使用的访问协议。用户客户端在访问控制台服务器串行连接设备和网络连接主机时也使用这些协议。您需要在管理员和用户客户端计算机上设置通信软件工具。您可以使用 PuTTY 和 SSHTerm 等工具进行连接。

用户手册
商用连接器将可信的 SSH 隧道协议与流行的访问工具（例如 Telnet、SSH、HTTP、HTTPS、VNC、RDP）结合起来，为所有受管理的系统和设备提供点击式安全远程管理访问。有关使用连接器通过浏览器访问控制台服务器的管理控制台、对控制台服务器命令行进行 Telnet/SSH 访问以及通过 TCP/UDP 连接到通过网络连接到控制台服务器的主机的信息，请参阅第 5 章。安装在 Windows PC、Mac OS X 以及大多数 Linux、UNIX 和 Solaris 系统上。
2.6 管理网络配置
控制台服务器具有额外的网络端口，可配置为提供管理 LAN 访问和/或故障转移或带外访问。 2.6.1 启用管理 LAN 可以对控制台服务器进行配置，以便第二个以太网端口提供管理 LAN 网关。网关具有防火墙、路由器和DHCP服务器功能。您需要将外部 LAN 交换机连接到网络 2，以将主机连接到此管理 LAN：
注意第二个以太网端口可配置为管理 LAN 网关端口或 OOB/故障转移端口。确保在系统 > IP 菜单上配置主要网络连接时没有将 NET2 分配为故障转移接口。
21

第 2 章：系统配置
要配置管理 LAN 网关： 1. 在系统 > IP 菜单上选择管理 LAN 接口选项卡，然后取消选中禁用。 2. 配置管理LAN 的IP 地址和子网掩码。将 DNS 字段留空。 3. 单击“应用”。
管理网关功能已启用并配置了默认防火墙和路由器规则，因此只能通过 SSH 端口转发访问管理 LAN。这可确保管理 LAN 上受管理设备的远程和本地连接是安全的。 LAN 端口还可以配置为桥接或绑定模式，或者从命令行手动配置。 2.6.2 配置DHCP 服务器 DHCP 服务器可以自动将IP 地址分配给管理LAN 上运行DHCP 客户端的设备。要启用 DHCP 服务器：
1. 单击系统 > DHCP 服务器。 2. 在网络接口选项卡上，选中启用 DHCP 服务器。
22

用户手册
3. 输入要颁发给 DHCP 客户端的网关地址。如果此字段留空，则使用控制台服务器的 IP 地址。
4. 输入主 DNS 和辅助 DNS 地址以发出 DHCP 客户端。如果此字段留空，则使用控制台服务器的 IP 地址。
5. （可选）输入域名后缀以发出 DHCP 客户端。 6. 输入默认租用时间和最大租用时间（以秒为单位）。这是时间量
在客户端必须再次请求之前，动态分配的 IP 地址是有效的。 7. 单击“应用” DHCP 服务器从指定的地址池中分配 IP 地址： 1. 单击“动态地址分配池”字段中的“添加”。 2. 输入 DHCP 池起始地址和结束地址。 3. 单击“应用”。
23

第 2 章：系统配置
DHCP 服务器还支持预先分配 IP 地址以分配给特定的 MAC 地址，以及保留 IP 地址以供具有固定 IP 地址的连接主机使用。为特定主机保留 IP 地址：
1. 单击保留地址字段中的添加。 2. 输入主机名、硬件地址 (MAC) 和静态保留的 IP 地址
DHCP 客户端并单击“应用”。
当 DHCP 分配了主机地址时，建议将这些地址复制到预分配列表中，以便在重新启动时重新分配相同的 IP 地址。
24

用户手册
2.6.3 选择故障转移或宽带 OOB 控制台服务器提供故障转移选项，因此，如果使用主 LAN 连接访问控制台服务器出现问题，则会使用备用访问路径。要启用故障转移：
1. 在系统 > IP 菜单上选择网络接口页面 2. 选择发生故障时要使用的故障转移接口tage 在主网络上。
3. 单击“应用”。在指定要探测的外部站点以触发故障转移并设置故障转移端口后，故障转移将变为活动状态。
2.6.4 聚合网络端口默认情况下，可以使用 SSH 隧道/端口转发或建立到控制台服务器的 IPsec VPN 隧道来访问控制台服务器的管理 LAN 网络端口。控制台服务器上的所有有线网络端口都可以通过桥接或绑定的方式进行聚合。
25

用户手册
· 默认情况下，系统 > IP > 常规设置菜单上禁用接口聚合 · 选择桥接接口或绑定接口
o 启用桥接后，网络流量将在所有以太网端口上转发，不受防火墙限制。所有以太网端口均在数据链路层（第 2 层）透明连接，因此保留其唯一的 MAC 地址
o 通过绑定，网络流量在端口之间传输，但具有一个 MAC 地址
两种模式都会删除所有管理 LAN 接口和带外/故障转移接口功能并禁用 DHCP 服务器 · 在聚合模式下，所有以太网端口均使用网络接口菜单进行集中配置
25

第 2 章：系统配置
2.6.5 静态路由静态路由提供了一种将数据从一个子网路由到不同子网的非常快速的方法。您可以硬编码一条路径，告诉控制台服务器/路由器使用特定路径到达特定子网。当使用蜂窝 OOB 连接时，这对于访问远程站点的各个子网可能很有用。

将静态路由添加到系统路由表中：
1. 在“系统”>“IP 常规设置”菜单上选择“路由设置”选项卡。
2. 单击新建路线
3. 输入路线的路线名称。
4. 在目标网络/主机字段中，输入路由提供访问的目标网络/主机的 IP 地址。
5. 在“目标网络掩码”字段中输入一个值，用于标识目标网络或主机。 0 到 32 之间的任意数字。子网掩码 32 标识主机路由。
6. 输入路由网关以及将数据包路由到目标网络的路由器的 IP 地址。这可以留空。
7. 选择用于到达目的地的接口，可以保留为“无”。
8. 在“指标”字段中输入代表此连接指标的值。使用等于或大于 0 的任何数字。仅当两个或多个路由冲突或具有重叠目标时才需要设置此值。
9.单击应用。

笔记

路由详细信息页面提供可绑定路由的网络接口和调制解调器的列表。对于调制解调器，路由将附加到通过该设备建立的任何拨号会话。可以使用网关、接口或两者来指定路由。如果指定接口未处于活动状态，则为该接口配置的路由也不会处于活动状态。

用户手册 3. 串口、主机、设备和用户配置
控制台服务器可以访问和控制串行连接设备和网络连接设备（主机）。管理员必须为每个设备配置访问权限，并指定可用于控制设备的服务。管理员还可以设置新用户并指定每个用户的单独访问和控制权限。
本章涵盖配置网络连接和串行连接设备的每个步骤： · 串行端口设置串行连接设备使用的协议 · 用户和组设置用户并定义每个用户的访问权限 · 身份验证，这将在更多内容中介绍详细信息请参见第 8 章 · 网络主机配置对本地网络连接的计算机或设备（主机）的访问 · 配置可信网络 – 指定可信用户访问的 IP 地址 · 串行控制台端口的级联和重定向 · 连接到电源（UPS、PDU 和IPMI) 和环境监控 (EMD) 设备 · 使用 PortShare Windows 和 Linux 客户端进行串行端口重定向 · 受管设备 – 提供统一的 view 所有连接的 IPSec 支持 VPN 连接 OpenVPN PPTP
3.1 配置串口
配置串行端口的第一步是设置通用设置，例如用于该端口数据连接的协议和 RS232 参数（例如波特率）。选择端口的运行模式。每个端口都可以设置为支持以下运行模式之一：
· 默认为禁用模式，串口处于非活动状态
27

第三章：

串行端口、主机、设备和用户配置

· 控制台服务器模式允许对串行连接设备上的串行控制台端口进行常规访问
· 设备模式将串行端口设置为与智能串行控制 PDU、UPS 或环境监测设备 (EMD) 进行通信
· 终端服务器模式将串行端口设置为等待传入的终端登录会话 · 串行桥接模式允许两个串行端口设备通过串行端口透明互连
网络。
1. 选择串行和网络 > 串行端口以显示串行端口详细信息 2. 默认情况下，每个串行端口都设置为控制台服务器模式。单击要编辑的端口旁边的编辑
重新配置。或者单击“编辑多个端口”并选择要配置为组的端口。 3. 重新配置通用设置和每个端口的模式后，设置任何远程系统日志（有关具体信息，请参阅以下部分）。单击“应用” 4. 如果控制台服务器已配置为启用分布式 Nagios 监控，请使用 Nagios 设置选项来启用要监控的主机上的指定服务 3.1.1 通用设置每个串行可以设置许多通用设置港口。这些与端口的使用模式无关。必须设置这些串行端口参数，以便它们与连接到该端口的设备上的串行端口参数相匹配：
28

用户手册

· 输入端口的标签 · 为每个端口选择适当的波特率、奇偶校验、数据位、停止位和流量控制

· 设置端口引脚分配。此菜单项针对 IM7200 端口显示，其中每个 RJ45 串行端口的引脚分配可设置为 X2（思科直通）或 X1（思科卷绕）

· 设置DTR 模式。这允许您选择 DTR 是始终断言还是仅在存在活动用户会话时断言

· 在进行进一步的串行端口配置之前，您应该将端口连接到它们将控制的串行设备，并确保它们具有匹配的设置

3.1.2

控制台服务器模式
选择控制台服务器模式以启用对连接到此串行端口的串行控制台的远程管理访问：

日志记录级别这指定要记录和监视的信息的级别。
29

第 3 章：串口、主机、设备和用户配置
级别 0：禁用日志记录（默认）
级别 1：记录登录、注销和信号事件
级别 2：记录登录、注销、信号、TXDATA 和 RXDATA 事件
第 3 级：记录登录、注销、信号和 RXDATA 事件
第 4 级：记录登录、注销、信号和 TXDATA 事件
输入/RXDATA 是Opengear 设备从所连接的串行设备接收的数据，而输出/TXDATA 是Opengear 设备发送到所连接的串行设备的数据（例如，由用户键入）。
设备控制台通常会在键入字符时回显字符，因此用户键入的 TXDATA 随后会作为 RXDATA 被接收，并显示在其终端上。
注意：提示输入密码后，连接的设备会发送 * 字符以防止显示密码。

Telnet 当控制台服务器上启用了 Telnet 服务时，用户计算机上的 Telnet 客户端可以连接到控制台服务器上该串口所连接的串口设备。由于 Telnet 通信未加密，因此仅建议将此协议用于本地或 VPN 隧道连接。
如果远程通信通过连接器进行隧道传输，则可以使用 Telnet 安全地访问这些连接的设备。

笔记

在控制台服务器模式下，用户可以使用连接器建立安全的 Telnet 连接，该连接通过 SSH 隧道从其客户端计算机连接到控制台服务器上的串行端口。连接器可以安装在 Windows PC 和大多数 Linux 平台上，并且可以通过点击来选择安全的 Telnet 连接。

如需使用连接器通过控制台服务器串口访问控制台，请将连接器与控制台服务器配置为网关、主机，并在端口（2000+串口号）（即2001）上启用Telnet服务。

您还可以使用 PuTTY 等标准通信包来设置与串行端口的直接 Telnet 或 SSH 连接。

注意在控制台服务器模式下，当您连接到串行端口时，您将通过 pmshell 进行连接。要在串行端口上生成 BREAK，请键入字符序列 ~b。如果您通过 OpenSSH 执行此操作，请输入 ~~b。

SSH

建议用户连接控制台服务器时使用SSH协议

（或通过控制台服务器连接到连接的串行控制台）通过互联网或任何

其他公共网络。

要通过 SSH 访问连接到控制台服务器串行端口的设备上的控制台，您可以使用连接器。将带有控制台服务器的连接器配置为网关和主机，并在端口（3000 + 串行端口号）即 3001-3048 上启用 SSH 服务。

您还可以使用常用的通信包，如 PuTTY 或 SSHTerm 来 SSH 连接到端口地址 IP 地址 _ 端口（3000 + 串口号）即 3001

可以使用标准 SSH 端口 22 来配置 SSH 连接。通过在用户名后附加描述符来识别正在访问的串行端口。该语法支持：

：

用户手册
: :对于名为 chris 的用户要访问串行端口 2，在设置 SSHTerm 或 PuTTY SSH 客户端时，不要键入 username = chris 和 ssh port = 3002，而是键入 username = chris:port02（或 username = chris: ttyS1) 和 ssh 端口 = 22。或者通过输入 username=chris:serial 和 ssh 端口 = 22，用户会看到一个端口选择选项：

此语法使用户能够设置到所有串行端口的 SSH 隧道，并且必须在防火墙/网关中打开单个 IP 端口 22
注意在控制台服务器模式下，您通过 pmshell 连接到串行端口。要在串行端口上生成 BREAK，请键入字符序列 ~b。如果您通过 OpenSSH 执行此操作，请输入 ~~b。

TCP

RAW TCP 允许连接到 TCP 套接字。而像 PuTTY 这样的通信程序

还支持RAW TCP，该协议通常由自定义应用程序使用

对于 RAW TCP，默认端口地址为 IP 地址 _ 端口（4000 + 串口号）即 4001 4048

RAW TCP 还使串行端口能够通过隧道连接到远程控制台服务器，因此两个串行端口设备可以通过网络透明互连（请参阅第 3.1.6 章串行桥接）

RFC2217 选择 RFC2217 可在该端口上启用串行端口重定向。对于 RFC2217，默认端口地址为 IP 地址 _ 端口（5000 + 串口号）即 5001 5048
Windows UNIX 和 Linux 上有专门的客户端软件支持 RFC2217 虚拟 com 端口，因此远程主机可以监控和管理远程串行连接设备，就像它们连接到本地串行端口一样（详细信息请参见第 3.6 章串行端口重定向）
RFC2217 还使串行端口能够通过隧道连接到远程控制台服务器，因此两个串行端口设备可以通过网络透明互连（请参阅第 3.1.6 章串行桥接）

未经身份验证的 Telnet 这使得无需身份验证凭据即可 Telnet 访问串行端口。当用户访问控制台服务器并通过 Telnet 访问串行端口时，系统会显示登录提示。通过未经身份验证的 Telnet，它们可以直接连接到端口，无需任何控制台服务器登录挑战。如果 Telnet 客户端确实提示进行身份验证，则任何输入的数据都允许连接。

第 3 章：串口、主机、设备和用户配置
此模式与外部系统（例如 conserver）一起使用，在串行设备级别管理用户身份验证和访问权限。
登录连接到控制台服务器的设备可能需要身份验证。
对于未经身份验证的 Telnet，默认端口地址是 IP 地址 _ 端口（6000 + 串行端口号），即 6001 6048

未经身份验证的 SSH 这使得无需身份验证凭据即可通过 SSH 访问串行端口。当用户访问控制台服务器并通过 Telnet 访问串行端口时，系统会显示登录提示。使用未经身份验证的 SSH，它们可以直接连接到端口，无需任何控制台服务器登录挑战。
当您有另一个系统在串行设备级别管理用户身份验证和访问权限但希望通过网络加密会话时，请使用此模式。
登录连接到控制台服务器的设备可能需要身份验证。
对于未经身份验证的 Telnet，默认端口地址是 IP 地址 _ 端口（7000 + 串行端口号），即 7001 7048
这：端口访问方法（如上面的 SSH 部分所述）始终需要身份验证。

Web 终端这使得 web 浏览器通过“管理”>“设备”访问串行端口：使用管理控制台的内置 AJAX 终端进行串行。 Web 终端以当前经过身份验证的管理控制台用户身份进行连接，并且不会重新进行身份验证。更多详细信息请参见第 12.3 节。

知识产权别名

允许使用以 CIDR 格式指定的特定 IP 地址访问串行端口。每个串行端口都可以分配一个或多个 IP 别名，这些别名是基于每个网络接口进行配置的。例如，串行端口可以amp文件可以通过 192.168.0.148（作为内部网络的一部分）和 10.10.10.148（作为管理 LAN 的一部分）进行访问。还可以使串行端口在同一网络上的两个 IP 地址上可用（例如ample，192.168.0.148 和 192.168.0.248）。

这些IP地址只能用于访问特定的串行端口，可使用控制台服务器服务的标准协议TCP端口号进行访问。对于前amp在文件中，串行端口 3 上的 SSH 可在串行端口 IP 别名的端口 22 上访问（而在控制台服务器的主地址上，可在端口 2003 上访问）。

还可以通过多端口编辑页面配置此功能。在这种情况下，IP 地址将按顺序应用，第一个选定的端口将输入 IP，随后的端口将递增，而对于任何未选定的端口，数字将被跳过。对于前amp在文件中，如果选择端口 2、3 和 5，并为网络接口输入 IP 别名 10.0.0.1/24，则会分配以下地址：

端口2：10.0.0.1/24

端口3：10.0.0.2/24

端口5：10.0.0.4/24

IP 别名还支持 IPv6 别名地址。唯一的区别是地址是十六进制数字，因此端口 10 可能对应于以 A 结尾的地址，端口 11 可能对应于以 B 结尾的地址，而不是按照 IPv10 的 11 或 4。

用户手册
加密流量/身份验证使用 Portshare 启用 RFC2217 串行通信的简单加密和身份验证（对于强加密，请使用 VPN）。
累积期一旦为特定串行端口建立了连接（例如 RFC2217 重定向或到远程计算机的 Telnet 连接），该端口上的任何传入字符都会通过网络逐个字符转发。累积周期指定在通过网络作为数据包发送之前收集传入字符的时间段
转义字符更改用于发送转义字符的字符。默认为~。替换退格键替换 CTRL+ 的默认退格键值吗？ (127) 与 CTRL+h (8)。电源菜单调出电源菜单的命令是 ~p 并启用 shell 电源命令，以便
当用户通过 Telnet 或 SSH 连接到设备时，可以通过命令行控制与受管设备的电源连接。必须设置受管设备并配置其串行端口连接和电源连接。
单一连接这将端口限制为单一连接，因此如果多个用户具有特定端口的访问权限，则一次只有一个用户可以访问该端口（即不允许端口监听）。
33

第 3 章：串口、主机、设备和用户配置
3.1.3 设备（RPC、UPS、环境）模式此模式配置选定的串行端口以与串行控制的不间断电源 (UPS)、远程电源控制器/配电装置 (RPC) 或环境监测设备（环境）进行通信

1. 选择所需的设备类型（UPS、RPC 或环境）
2. 进入相应的设备配置页面（串行和网络 > UPS 连接、RPC 连接或环境），如第 7 章所述。

3.1.4 ·

终端服务器模式
选择终端服务器模式和终端类型（vt220、vt102、vt100、Linux 或 ANSI）以在所选串行端口上启用 getty

getty 配置端口并等待建立连接。串行设备上的活动连接由串行设备上升高的数据载波检测 (DCD) 引脚指示。当检测到连接时，getty 程序发出一个login: 提示符，并调用login 程序来处理系统登录。
注意选择终端服务器模式会禁用该串行端口的端口管理器，因此不再记录警报等数据。

用户手册
3.1.5 串行桥接模式通过串行桥接，一台控制台服务器指定串行端口上的串行数据被封装到网络数据包中，并通过网络传输到第二台控制台服务器，并在其中表示为串行数据。两台控制台服务器充当 IP 网络上的虚拟串行电缆。将一台控制台服务器配置为服务器。要桥接的服务器串行端口设置为控制台服务器模式，并启用 RFC2217 或 RAW。对于客户端控制台服务器，需要桥接的串口必须设置为桥接模式：
· 选择串行桥接模式并指定服务器控制台服务器的 IP 地址和远程串行端口的 TCP 端口地址（对于 RFC2217 桥接，这将为 5001-5048）
· 默认情况下，桥接客户端使用RAW TCP。如果这是您在服务器控制台服务器上指定的控制台服务器模式，请选择 RFC2217
· 您可以通过启用 SSH 来保护本地以太网上的通信。生成并上传密钥。
3.1.6 Syslog 除了可应用于串行连接和网络连接管理访问的内置日志记录和监视（如第 6 章所述）外，控制台服务器还可以配置为支持每个串行端口上的远程系统日志协议基础：
· 选择系统日志设施/优先级字段以启用将所选串行端口上的流量记录到系统日志服务器；并对这些记录的消息进行排序和操作（即重定向它们/发送警报电子邮件。）
35

第 3 章：串口、设备和用户配置
例如amp文件中，如果连接到串行端口 3 的计算机永远不应在其串行控制台端口上发送任何内容，则管理员可以将该端口的“设施”设置为 local0（local0 .. local7 表示站点本地值），并将“优先级”设置为“关键” 。在此优先级下，如果控制台服务器系统日志服务器确实收到消息，则会发出警报。请参阅第 6 章。 3.1.7 NMEA 数据流 ACM7000-L 可以从内部 GPS/蜂窝调制解调器提供 GPS NMEA 数据流。该数据流在 ACM 型号的端口 5 上呈现为串行数据流。
配置 NMEA 串行端口时，通用设置（波特率等）将被忽略。您可以指定固定频率（即，此 GPS 固定率决定获得 GPS 固定的频率）。您还可以将所有控制台服务器模式、系统日志和串行桥接设置应用到此端口。
您可以使用pmshell， webshell、SSH、RFC2217 或 RawTCP 获取流：
例如amp乐，使用 Web 终端：
36

用户手册

3.1.8 USB 控制台
带有 USB 端口的控制台服务器支持 USB 控制台连接到众多供应商的设备，包括 Cisco、HP、Dell 和 Brocade。当连接 USB 转串行适配器时，这些 USB 端口还可以用作普通 RS-232 串行端口。

这些 USB 端口可用作常规端口管理器端口，并以数字形式显示在 web 所有 RJ45 串口后的 UI。

ACM7008-2 控制台服务器背面有 45 个 RJXNUMX 串行端口，正面有 XNUMX 个 USB 端口。在“串行和网络”>“串行端口”中，这些端口列出为

端口号连接器

RJ45

USB

10 USB

11 USB

12 USB

如果特定的 ACM7008-2 是蜂窝型号，则还将列出端口 #13（用于 GPS）。

7216-24U 的背面有 16 个 RJ45 串行端口和 24 个 USB 端口，以及两个正面 USB 端口和（在蜂窝型号中）一个 GPS。

RJ45 串行端口在串行和网络 > 串行端口中显示为端口号 1。16 个后向 USB 端口的端口号为 24，前向 USB 端口分别列在端口号 17 和 40 处。而且，与 ACM41-42 一样，如果特定的 7008-2U 是蜂窝型号，则 GPS 显示在端口号 7216 处。

配置端口时使用通用设置（波特率等），但根据底层 USB 串行芯片的实现，某些操作可能不起作用。

3.2 添加和编辑用户
管理员使用此菜单选项来创建、编辑和删除用户，并定义每个用户的访问权限。

第 3 章：串口、设备和用户配置

可以授权用户访问指定的服务、串行端口、电源设备和指定的网络连接主机。这些用户还可以被授予完全管理员身份（具有完全配置、管理和访问权限）。

可以将用户添加到组中。默认设置六组：

行政

提供无限的配置和管理权限。

PPTP

允许访问 PPTP VPN 服务器。该组中的用户的密码以明文形式存储。

拨号

允许通过调制解调器拨入访问。该组中的用户的密码以明文形式存储。

FTP

允许 ftp 访问和 file 访问存储设备。

pmshell

将默认 shell 设置为 pmshell。

用户

为用户提供基本的管理权限。

管理员组为成员提供完整的管理员权限。管理员用户可以使用在“系统”>“服务”中启用的任何服务来访问控制台服务器。他们还可以使用为这些连接启用的任何服务来访问任何连接的主机或串行端口设备。只有受信任的用户才应具有管理员访问权限
用户组为成员提供对控制台服务器以及连接的主机和串行设备的有限访问权限。这些用户只能访问管理控制台菜单的管理部分，并且无权通过命令行访问控制台服务器。他们只能使用已启用的服务访问已检查过的主机和串行设备
pptd、dialin、ftp 或 pmshell 组中的用户对指定受管设备的用户 shell 访问权限受到限制，但他们无法直接访问控制台服务器。要添加此用户还必须是用户或管理员组的成员
管理员可以设置具有特定电源设备、串行端口和主机访问权限的其他组。这些附加组中的用户没有任何对管理控制台菜单的访问权限，也没有对控制台服务器的任何命令行访问权限。

用户手册
管理员可以设置具有特定电源设备、串行端口和主机访问权限的用户，这些用户不属于任何组。这些用户无权访问管理控制台菜单，也无权通过命令行访问控制台服务器。 3.2.1 设置新组设置新组和新用户，并将用户分类为特定组的成员：
1. 选择串行和网络 > 用户和组以显示所有组和用户 2. 单击添加组以添加新组
3. 为每个新组添加组名称和描述，并指定该新组中的用户将能够访问的可访问主机、可访问端口和可访问 RPC 出口
4. 单击应用 5. 管理员可以编辑或删除任何添加的组 3.2.2 设置新用户要设置新用户，并将用户分类为特定组的成员： 1. 选择串行和网络 > 用户和组以显示所有组和用户 2. 单击“添加用户”
39

第 3 章：串口、设备和用户配置
3. 为每个新用户添加用户名。您还可以在描述字段中包含与用户相关的信息（例如联系方式）。用户名可以包含 1 到 127 个字母数字字符以及字符“-”、“_”和“.”。
4. 指定您希望用户成为哪个组的成员 5. 为每个新用户添加确认的密码。允许使用所有字符。 6. 可以使用SSH 密码验证。粘贴授权的公钥/私钥
授权 SSH 密钥字段中该用户的密钥对 7. 选中禁用密码身份验证以仅允许该用户进行公钥身份验证
使用 SSH 时 8. 在“拨入选项”菜单中选中“启用回拨”以允许传出回拨连接
通过登录此端口来触发。输入回拨电话号码以及用户登录时要回拨的电话号码 9. 检查可访问主机和/或可访问端口以指定您希望用户拥有访问权限的串行端口和网络连接主机 10. 如果如果已配置 RPC，请选中“可访问的 RPC 插座”以指定用户能够控制哪些插座（即电源开/关） 11. 单击“应用”。新用户将能够访问可访问的网络设备、端口和 RPC 出口。如果用户是组成员，他们还可以访问该组可访问的任何其他设备/端口/插座
40

用户手册
您可以设置的用户数量或每个串行端口或主机的用户数量没有限制。多个用户可以控制/监视一个端口或主机。组的数量没有限制，每个用户可以是多个组的成员。用户不必是任何组的成员，但如果用户是默认用户组的成员，则他们将无法使用管理控制台来管理端口。虽然没有限制，但重新配置的时间会随着数量和复杂性的增加而增加。我们建议用户和组的总数保持在 250 个以下。管理员还可以编辑任何现有用户的访问设置：
· 选择串行和网络 > 用户和组，然后单击编辑以修改用户访问权限 · 单击删除以删除用户 · 单击禁用以暂时阻止访问权限
3.3 身份验证
请参阅第 8 章了解身份验证配置详细信息。
3.4 网络主机
要监视和远程访问本地联网计算机或设备（称为主机），您必须识别主机：
1. 选择串行和网络 > 网络主机将显示所有已启用使用的网络连接主机。
2. 单击“添加主机”以启用对新主机的访问（或选择“编辑”以更新现有主机的设置）
41

第 3 章：串口、设备和用户配置
3. 如果主机是 PDU 或 UPS 电源设备或具有 IPMI 电源控制的服务器，请指定 RPC（对于 IPMI 和 PDU）或 UPS 以及设备类型。管理员可以配置这些设备并启用哪些用户有权远程重新启动电源等。请参阅第 7 章。否则，请将“设备类型”设置为“无”。
4. 如果控制台服务器已配置为启用分布式 Nagios 监控，您还将看到 Nagios 设置选项，以启用要监控的主机上的指定服务。
5. 单击“应用”。这将创建新的主机，并创建一个具有相同名称的新的受管设备。
3.5 可信网络
可信网络工具为您提供了指定用户必须位于的 IP 地址的选项，以便能够访问控制台服务器串行端口：
42

用户手册
1. 选择串行和网络 > 受信任网络 2. 要添加新的受信任网络，请选择添加规则。没有规则就无法访问
用户所在 IP 地址的限制。

3. 选择要应用新规则的可访问端口
4. 输入允许访问的子网的网络地址
5. 通过输入允许的 IP 范围的网络掩码来指定允许的地址范围，例如
· 要允许使用特定 C 类网络连接到指定端口的所有用户，请添加以下受信任网络新规则：

网络IP地址

204.15.5.0

子网掩码

255.255.255.0

· 仅允许位于特定 IP 地址的一名用户进行连接：

网络IP地址

204.15.5.13

子网掩码

255.255.255.255

· 允许在特定 IP 地址范围内操作的所有用户（例如从 204.15.5.129 到 204.15.5.158 的 XNUMX 个地址中的任何一个）都可以连接到指定端口：

主机/子网地址

204.15.5.128

子网掩码

255.255.255.224

6. 点击应用

第 3 章：串口、设备和用户配置
3.6 串口级联
级联端口使您能够集群分布式控制台服务器，以便可以通过一个 IP 地址配置和访问大量串行端口（最多 1000 个），并通过一个管理控制台进行管理。一台控制台服务器（主服务器）将其他控制台服务器作为节点单元进行控制，并且节点单元上的所有串行端口看起来就像它们是主服务器的一部分一样。 Opengear 的集群通过 SSH 连接将每个节点连接到主节点。这是使用公钥身份验证完成的，因此主节点可以使用 SSH 密钥对（而不是使用密码）访问每个节点。这确保了主节点和节点之间经过安全验证的通信，使节点控制台服务器单元能够本地分布在 LAN 上或远程分布在世界各地。
3.6.1 自动生成和上传 SSH 密钥要设置公钥身份验证，您必须首先生成 RSA 或 DSA 密钥对并将其上传到主控制台服务器和节点控制台服务器中。这可以从主节点自动完成：
44

用户手册
1. 在主节点的管理控制台上选择“系统”>“管理”
2. 选中自动生成 SSH 密钥。 3. 单击“应用”
接下来，您必须选择是否使用 RSA 和/或 DSA 生成密钥（如果不确定，请仅选择 RSA）。生成每组密钥需要两分钟，并且新密钥会破坏该类型的旧密钥。当新一代正在进行时，依赖于 SSH 密钥的功能（例如级联）可能会停止运行，直到使用新的密钥集进行更新。生成密钥：
1. 选中您要生成的密钥的复选框。 2. 单击“应用”
3. 生成新密钥后，单击链接“单击此处返回”。密钥已上传
到主节点和连接的节点。
3.6.2 手动生成并上传 SSH 密钥或者，如果您有 RSA 或 DSA 密钥对，则可以将它们上传到主控制台服务器和节点控制台服务器。要将密钥公钥和私钥对上传到主控制台服务器：
1. 在主节点的管理控制台上选择系统 > 管理
2. 浏览到您存储 RSA (或 DSA) 公钥的位置并将其上传到 SSH RSA (DSA) 公钥
3. 浏览到存储的 RSA（或 DSA）私钥并将其上传到 SSH RSA (DSA) 私钥 4. 单击应用
45

第 3 章：串口、设备和用户配置
接下来，您必须将公钥注册为节点上的授权密钥。如果一个主节点有多个节点，则为每个节点上传一个 RSA 或 DSA 公钥。
1. 在节点的管理控制台上选择系统 > 管理 2. 浏览到存储的 RSA（或 DSA）公钥并将其上传到节点的 SSH 授权密钥
3. 单击“应用” 下一步是对每个新的 Node-Primary 连接进行指纹识别。此步骤验证您是否正在与您认为的身份建立 SSH 会话。在第一个连接上，节点从主节点接收指纹，该指纹将用于所有未来的连接：要建立指纹，首先以 root 身份登录主服务器并建立到节点远程主机的 SSH 连接：
# ssh remhost 建立 SSH 连接后，系统会要求您接受密钥。回答“是”，指纹就会添加到已知主机列表中。如果要求您提供密码，则说明上传密钥时出现问题。 3.6.3 配置节点及其串行端口开始从主控制台服务器设置节点并配置节点串行端口：
1. 在主节点的管理控制台上选择串行和网络 > 级联端口： 2. 要添加集群支持，请选择添加节点
在生成 SSH 密钥之前，您无法添加节点。定义和配置节点：
46

用户手册
1. 输入节点控制台服务器的远程 IP 地址或 DNS 名称 2. 输入节点的简短说明和短标签 3. 在端口数中输入节点单元上串行端口的完整数量 4. 单击应用。这将在主节点和新节点之间建立 SSH 隧道
串行和网络 > 级联端口菜单显示所有节点以及已在主节点上分配的端口号。如果主控制台服务器有 16 个自己的端口，则端口 1-16 会预先分配给主控制台，因此添加的第一个节点将被分配端口号 17 及以上。添加所有节点控制台服务器后，节点串行端口和连接的设备可通过主节点的管理控制台菜单进行配置和访问，并可通过主节点的 IP 地址进行访问。
1. 选择适当的串行和网络 > 串行端口并编辑以配置串行端口
节点。
2. 选择适当的串行和网络 > 用户和组以添加具有访问权限的新用户
到节点串行端口（或扩展现有用户的访问权限）。
3. 选择适当的串行和网络 > 受信任的网络以指定网络地址
可以访问指定节点的串行端口。 4. 选择适当的警报和日志记录 > 警报来配置节点端口连接、状态
更改或模式匹配警报。单击应用时，在主节点上所做的配置更改将传播到所有节点。
3.6.4 管理节点主节点控制节点串行端口。对于前amp文件，如果更改用户访问权限或编辑主设备上的任何串行端口设置，则更新的配置 file并行发送到每个节点。每个节点对其本地配置进行更改（并且仅进行与其特定串行端口相关的更改）。您可以使用本地节点管理控制台更改任何节点串行端口上的设置（例如更改波特率）。这些更改将在下次主节点发送配置时被覆盖 file 更新。虽然主节点控制所有节点串行端口相关功能，但它并不是节点网络主机连接或节点控制台服务器系统上的主节点。 IP、SMTP 和 SNMP 设置、日期和时间、DHCP 服务器等节点功能必须通过直接访问每个节点进行管理，并且当配置更改从主节点传播时，这些功能不会被覆盖。必须在每个节点上配置节点的网络主机和 IPMI 设置。
47

第 3 章：串口、设备和用户配置
主节点的管理控制台提供了一个整合的 view 其自身和整个节点的串行端口的设置。 Primary 不提供完全合并的 view. 例如amp文件中，如果您想找出谁从主设备登录到级联串行端口，您将看到状态 > 活动用户仅显示在主设备端口上活动的用户，因此您可能需要编写自定义脚本来提供此信息 view.
3.7 串口重定向（PortShare）
Opengear 的端口共享软件提供您的 Windows 和 Linux 应用程序所需的虚拟串行端口技术，以打开远程串行端口并从连接到控制台服务器的串行设备读取数据。
PortShare 随每个控制台服务器免费提供，并且您被授权在一台或多台计算机上安装 PortShare，以访问连接到控制台服务器端口的任何串行设备。 PortShare for Windows portshare_setup.exe 可以从 ftp 站点下载。有关安装和操作的详细信息，请参阅 PortShare 用户手册和快速入门。适用于 Linux 的 PortShare 适用于 Linux 的 PortShare 驱动程序将控制台服务器串行端口映射到主机尝试端口。 Opengear 发布了 portshare-serial-client 作为 Linux、AIX、HPUX、SCO、Solaris 和 UnixWare 的开源实用程序。该实用程序可以从 ftp 站点下载。此 PortShare 串行端口重定向器允许您使用连接到远程控制台服务器的串行设备，就像连接到本地串行端口一样。 portshare-serial-client创建一个伪tty端口，将串口应用程序连接到伪tty端口，从伪tty端口接收数据，通过网络传输到控制台服务器，并通过网络从控制台服务器接收数据并传输到伪 tty 端口。 .tar file 可以从ftp站点下载。有关安装和操作的详细信息，请参阅 PortShare 用户手册和快速入门。
48

用户手册
3.8 托管设备
受管设备页面显示了一个综合的 view 与可通过控制台服务器访问和监控的设备的所有连接。到 view 与设备的连接，选择串行和网络 > 托管设备
此屏幕显示所有受管设备及其描述/注释以及所有已配置连接的列表：
· 串行端口号（如果串行连接）或 · USB（如果 USB 连接） · IP 地址（如果连接网络） · 电源 PDU/插座详细信息（如果适用）和任何 UPS 连接服务器等设备可能有多个电源连接（例如双电源供电）和多个网络连接（例如用于 BMC/服务处理器）。所有用户都可以 view 通过选择“管理”>“设备”来管理这些受管设备连接。管理员还可以编辑和添加/删除这些托管设备及其连接。要编辑现有设备并添加新连接： 1. 在串行和网络 > 受管设备上选择编辑，然后单击添加连接 2. 选择新连接的连接类型（串行、网络主机、UPS 或 RPC），然后选择
来自所显示的已配置未分配主机/端口/插座列表的连接
49

第 3 章：串口、设备和用户配置
要添加新的网络连接受管设备： 1. 管理员使用串行和网络 > 网络主机菜单上的添加主机添加新的网络连接受管设备。这会自动创建相应的新受管设备。 2. 添加新的网络连接的 RPC 或 UPS 电源设备时，您需要设置一个网络主机，并将其指定为 RPC 或 UPS。进入“RPC 连接”或“UPS 连接”配置相关连接。在此连接步骤完成之前，不会创建与 RPC/UPS 主机具有相同名称/描述的相应新受管设备。
注意新创建的 PDU 上的插座名称为插座 1 和插座 2。当您连接从插座供电的特定受管设备时，插座将采用受电受管设备的名称。
要添加新的串行连接的受管设备： 1. 使用“串行和网络”>“串行端口”菜单配置串行端口（请参阅第 3.1 节“配置串行端口”） 2. 选择“串行和网络”>“受管设备”，然后单击“添加设备” 3. 输入设备受管设备的名称和描述

4. 单击添加连接并选择串行和连接到受管设备的端口

5. 要添加 UPS/RPC 电源连接或网络连接或其他串行连接，请单击“添加连接”

6. 点击应用

笔记

要设置串行连接的 RPC UPS 或 EMD 设备，请配置串行端口，将其指定为设备，然后在串行和网络 > RPC 连接（或 UPS 连接或环境）中输入该设备的名称和说明。这将创建一个相应的新受管设备，其名称/描述与 RPC/UPS 主机相同。此新创建的 PDU 上的插座名称为插座 1 和插座 2。当您连接从插座供电的受管设备时，插座将采用受电受管设备的名称。

3.9 IPsec VPN
ACM7000、CM7100 和 IM7200 包含 Openswan，它是 IPsec（IP 安全）协议的 Linux 实现，可用于配置虚拟专用网络 (VPN)。 VPN 允许多个站点或远程管理员通过 Internet 安全地访问控制台服务器和受管设备。

用户手册
管理员可以在分布在远程站点的控制台服务器和其中心办公室网络上的 VPN 网关（例如运行 IOS IPsec 的 Cisco 路由器）之间建立加密且经过身份验证的 VPN 连接：
· 中央办公室的用户可以安全地访问远程控制台服务器以及远程位置管理 LAN 子网上连接的串行控制台设备和计算机，就像在本地一样
· 所有这些远程控制台服务器都可以通过中央网络上的 CMS6000 进行监控 · 通过串行桥接，可以安全地传输来自中央办公室机器控制器的串行数据
连接到远程站点的串行控制设备 Road Warrior 管理员可以使用 VPN IPsec 软件客户端远程访问控制台服务器以及远程位置管理 LAN 子网上的每台计算机
IPsec 的配置相当复杂，因此 Opengear 提供了一个用于基本设置的 GUI 界面，如下所述。启用 VPN 网关：
1. 在“串行和网络”菜单上选择“IPsec VPN”
2. 单击“添加”并完成“添加 IPsec 隧道”屏幕 3. 输入您希望标识要添加的 IPsec 隧道的任何描述性名称，例如
WestStOutlet-VPN
51

第 3 章：串口、设备和用户配置
4. 选择要使用的身份验证方法，RSA 数字签名或共享密钥 (PSK) o 如果您选择 RSA，系统会要求您单击此处生成密钥。这会生成控制台服务器的 RSA 公钥（左公钥）。找到要在远程网关上使用的密钥，将其剪切并粘贴到右侧公钥中
o 如果您选择共享密钥，请输入预共享密钥 (PSK)。 PSK 必须与隧道另一端配置的 PSK 匹配
5. 在身份验证协议中，选择要使用的身份验证协议。作为 ESP（封装安全负载）加密的一部分进行身份验证，或者单独使用 AH（身份验证标头）协议进行身份验证。
52

用户手册
6. 输入左 ID 和右 ID。这是本地主机/网关和远程主机/网关用于 IPsec 协商和身份验证的标识符。每个 ID 必须包含 @，并且可以包含完全限定的域名（例如 left@examp乐.com）
7. 输入此 Opengear VPN 网关的公共 IP 或 DNS 地址作为左侧地址。您可以将此留空以使用默认路由的接口
8. 在正确地址中输入隧道远程端的公共 IP 或 DNS 地址（仅当远程端具有静态或动态 DNS 地址时）。否则将此留空
9. 如果 Opengear VPN 网关充当本地子网的 VPN 网关（例如，控制台服务器配置了管理 LAN），请在左子网中输入私有子网详细信息。使用 CIDR 表示法（其中 IP 地址编号后跟斜杠和网络掩码二进制表示法中的“一”位数）。对于前amp其中，192.168.0.0/24表示前24位为网络地址的IP地址。这与 255.255.255.0 相同。如果 VPN 访问仅限于控制台服务器及其连接的串行控制台设备，请将左子网留空
10. 如果远程端有 VPN 网关，请在右子网中输入私有子网详细信息。如果只有远程主机，请使用 CIDR 表示法并留空
11. 如果要从左控制台服务器端发起隧道连接，请选择“启动隧道”。如果远程端配置了静态（或 DynDNS）IP 地址，则只能从 VPN 网关（左）发起此操作
12. 单击“应用”保存更改
注意控制台服务器（称为左主机或本地主机）上设置的配置详细信息必须与配置远程（右）主机/网关或软件客户端时输入的设置相匹配。有关配置这些远程端的详细信息，请参阅 http://www.opengear.com/faq.html
3.10 开放式VPN
固件 V7000 及更高版本的 ACM7100、CM7200 和 IM3.2 包含 OpenVPN。 OpenVPN 使用 OpenSSL 库进行加密、身份验证和认证，这意味着它使用 SSL/TSL（安全套接字层/传输层安全性）进行密钥交换，并且可以加密数据和控制通道。使用 OpenVPN 允许使用 X.509 PKI（公钥基础设施）或自定义配置构建跨平台、点对点 VPN files。 OpenVPN 允许在不安全的网络上通过单个 TCP/UDP 端口安全地传输数据，从而提供对多个站点的安全访问以及通过 Internet 对控制台服务器的安全远程管理。 OpenVPN 还允许服务器和客户端使用动态 IP 地址，从而提供客户端移动性。对于前amp例如，可以在数据中心内的漫游Windows客户端和Opengear控制台服务器之间建立OpenVPN隧道。 OpenVPN 的配置可能很复杂，因此 Opengear 提供了一个用于基本设置的 GUI 界面，如下所述。更多详细信息请访问 http://www.openvpn.net
3.10.1 启用 OpenVPN 1. 在串行和网络菜单上选择 OpenVPN
53

第 3 章：串口、设备和用户配置
2. 单击“添加”并完成“添加 OpenVPN 隧道”屏幕 3. 输入您希望标识要添加的 OpenVPN 隧道的任何描述性名称，例如ample
NorthStOutlet-VPN
4. 选择要使用的身份验证方法。要使用证书进行身份验证，请选择 PKI（X.509 证书）或选择自定义配置以上传自定义配置 files。自定义配置必须存储在 /etc/config 中。
注意如果选择 PKI，请建立：单独的证书（也称为公钥）。本证书 File 是 *.crt file 键入服务器和每个客户端的私钥。这个私钥 File 是一个 *.key file 类型
用于签署每个服务器的主证书颁发机构 (CA) 证书和密钥
和客户证书。此根 CA 证书是 *.crt file 对于服务器，您可能还需要 dh1024.pem（Diffie Hellman 参数）。有关基本 RSA 密钥管理的指南，请参阅 http://openvpn.net/easyrsa.html。有关替代身份验证方法，请参阅 http://openvpn.net/index.php/documentation/howto.html#auth。
5. 选择要使用的设备驱动程序，Tun-IP 或 Tap-Ethernet。 TUN（网络隧道）和 TAP（网络分流器）驱动程序是分别支持 IP 隧道和以太网隧道的虚拟网络驱动程序。 TUN 和 TAP 是 Linux 内核的一部分。
6. 选择 UDP 或 TCP 作为协议。 UDP 是 OpenVPN 的默认且首选协议。 7. 选中或取消选中压缩按钮以启用或禁用压缩。 8. 在隧道模式下，指定这是隧道的客户端还是服务器端。当运行为
作为服务器，控制台服务器支持多个客户端通过同一端口连接到 VPN 服务器。
54

用户手册
3.10.2 配置为服务器或客户端
1. 根据所选的隧道模式填写客户端详细信息或服务器详细信息。 o 如果选择了客户端，则主服务器地址是 OpenVPN 服务器的地址。 o 如果已选择服务器，请输入 IP 池的 IP 池网络地址和 IP 池网络掩码。 IP 池网络地址/掩码定义的网络用于为连接客户端提供地址。
2. 单击“应用”保存更改
55

第 3 章：串口、设备和用户配置
3. 输入认证证书和 files，选择管理 OpenVPN Files 选项卡。上传或浏览相关认证证书并 files.
4. 申请保存更改。已保存 files 在上传按钮的右侧显示为红色。
5. 要启用 OpenVPN，请编辑 OpenVPN 隧道
56

用户手册
6. 检查启用按钮。 7. 应用保存更改注意使用 OpenVPN 时，请确保控制台服务器系统时间正确，以避免
身份验证问题。
8. 选择“状态”菜单上的“统计”以验证隧道是否可运行。
57

第 3 章：串口、设备和用户配置
3.10.3 Windows OpenVPN 客户端和服务器设置本节概述了 Windows OpenVPN 客户端或 Windows OpenVPN 服务器的安装和配置，以及设置与控制台服务器的 VPN 连接。控制台服务器从 GUI 自动生成 Windows 客户端配置以获取预共享密钥（静态密钥 File）配置。
或者，可以从 http://openvpn.net 下载适用于 Windows 软件的 OpenVPN GUI（包括标准 OpenVPN 软件包和 Windows GUI）。在 Windows 计算机上安装后，OpenVPN 图标将添加到任务栏右侧的通知区域中。右键单击此图标可启动和停止 VPN 连接、编辑配置以及 view 日志。
当OpenVPN软件开始运行时，C:Program File扫描 sOpenVPNconfig 文件夹中的 .opvn files。重新检查此文件夹是否有新配置 file每当右键单击 OpenVPN GUI 图标时，都会出现 s。安装 OpenVPN 后，创建配置 file:
58

用户手册

使用文本编辑器创建 xxxx.ovpn file 并保存在C:Program中 FilesOpenVPN配置。对于前ample, C:程序 FilesOpenVPNconfigclient.ovpn
前任ampOpenVPN Windows 客户端配置文件 file 如下所示：
# 描述：IM4216_client client proto udp verb 3 dev tun Remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist-敦康布佐
前任ampOpenVPN Windows Server 配置文件 file 如下所示：
服务器 10.100.10.0 255.255.255.0 端口 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt 证书 c:\openvpnkeys\server.crt 密钥 c:\openvpnkeys\server。密钥 dh c:\openvpnkeys\dh.pem comp-lzo 动词 1 系统日志 IM4216_OpenVPN_Server
Windows 客户端/服务器配置 file 选项是：

选项 #description: 客户端服务器 proto udp proto tcp mssfix动词
dev tun dev tap

描述这是描述配置的注释。注释行以“#”开头，并且会被 OpenVPN 忽略。指定这是客户端配置还是服务器配置 file。在服务器配置中 file，定义IP地址池和网络掩码。对于前amp文件，服务器 10.100.10.0 255.255.255.0 将协议设置为 UDP 或 TCP。客户端和服务器必须使用相同的设置。 Mssfix 设置数据包的最大大小。这仅在出现问题时对 UDP 有用。
设置日志 file 详细程度。日志详细级别可设置为 0（最小）到 15（最大）。对于前ample, 0 = 除致命错误外保持沉默 3 = 中等输出，适合一般用途 5 = 帮助调试连接问题 9 = 详细，非常适合故障排除选择“dev tun”创建路由 IP 隧道或选择“dev tap”创建以太网隧道。客户端和服务器必须使用相同的设置。

第 3 章：串口、设备和用户配置

偏僻的端口保活
http代理加州file 名称>
证书file 名称>
钥匙file 名称>
DHfile 名称> Nobind persist-key persist-tun 密码 BF-CBC Blowfish（默认）密码 AES-128-CBC AES 密码 DES-EDE3-CBC Triple-DES comp-lzo syslog

作为客户端运行时 OpenVPN 服务器的主机名/IP。输入服务器的 DNS 主机名或静态 IP 地址。服务器的 UDP/TCP 端口。 Keepalive 使用 ping 来保持 OpenVPN 会话处于活动状态。 “Keepalive 10 120”每 10 秒执行一次 ping 操作，如果在 120 秒的时间段内未收到 ping 操作，则假定远程对等点已关闭。如果需要代理访问服务器，请输入代理服务器 DNS 名称或 IP 和端口号。输入CA证书 file 名称和位置。相同的CA证书 file 可供服务器和所有客户端使用。注意：确保目录路径中的每个“”都替换为“\”。对于前ample, c:openvpnkeysca.crt 将变为 c:\openvpnkeys\ca.crt 输入客户端或服务器的证书 file 名称和位置。每个客户端应该有自己的证书和密钥 files。注意：确保目录路径中的每个“”都替换为“\”。输入 file 客户端或服务器密钥的名称和位置。每个客户端应该有自己的证书和密钥 files。注意：确保目录路径中的每个“”都替换为“\”。这仅由服务器使用。使用 Diffie-Hellman 参数输入密钥的路径。当客户端不需要绑定到本地地址或特定本地端口号时，使用“Nobind”。大多数客户端配置都是这种情况。此选项可防止重新启动时重新加载密钥。此选项可防止重新启动时关闭和重新打开 TUN/TAP 设备。选择一个加密密码。客户端和服务器必须使用相同的设置。
在 OpenVPN 链路上启用压缩。必须在客户端和服务器上启用此功能。默认情况下，日志位于 syslog 中，或者如果在 Window 上作为服务运行，则位于 Program 中 FilesOpenVPNlog 目录。

创建客户端/服务器配置后启动 OpenVPN 隧道 files： 1. 右键单击通知区域中的 OpenVPN 图标 2. 选择新创建的客户端或服务器配置。 3. 单击“连接”

4. 日志 file 连接建立时显示
60

用户手册
5. 建立后，OpenVPN 图标将显示一条消息，指示连接成功并已分配 IP。通过滚动 OpenVPN 图标即可查看此信息以及建立连接的时间。
3.11 点对点VPN
控制台服务器包括 PPTP（点对点隧道协议）服务器。 PPTP 用于通过物理或虚拟串行链路进行通信。 PPP 端点为自己定义一个虚拟 IP 地址。可以使用这些 IP 地址作为网关来定义到网络的路由，这会导致流量通过隧道发送。 PPTP 在物理 PPP 端点之间建立隧道并通过隧道安全地传输数据。
PPTP 的优势在于其易于配置和集成到现有的 Microsoft 基础架构中。它通常用于连接单个远程 Windows 客户端。如果您带着便携式计算机出差，您可以拨打本地号码连接到您的 Internet 接入服务提供商 (ISP)，并通过 Internet 创建第二个连接（隧道）到您的办公室网络，并具有对您的办公室网络的相同访问权限。公司网络就像您直接从办公室连接一样。远程办公人员还可以通过电缆调制解调器或 DSL 链路建立通往本地 ISP 的 VPN 隧道。
61

第 3 章：串口、设备和用户配置
要设置从远程 Windows 客户端到 Opengear 设备和本地网络的 PPTP 连接：
1. 在 Opengear 设备上启用并配置 PPTP VPN 服务器 2. 在 Opengear 设备上设置 VPN 用户帐户并启用相应的
身份验证 3. 配置远程站点的 VPN 客户端。客户端不需要特殊的软件，因为
PPTP 服务器支持 Windows NT 及更高版本中包含的标准 PPTP 客户端软件 4. 连接到远程 VPN 3.11.1 启用 PPTP VPN 服务器 1. 在串行和网络菜单上选择 PPTP VPN
2. 选择启用复选框以启用 PPTP 服务器 3. 选择所需的最低身份验证。尝试访问的远程用户将被拒绝
使用比所选方案弱的身份验证方案进行连接。这些方案按从最强到最弱的顺序描述如下。 · 加密身份验证 (MS-CHAP v2)：可使用的最强身份验证类型；这是
推荐选项 · 弱加密身份验证 (CHAP)：这是最弱的加密密码类型
身份验证才能使用。不建议客户端使用此方式进行连接，因为它提供的密码保护非常少。另请注意，使用 CHAP 连接的客户端无法加密流量
62

用户手册
· 未加密验证（PAP）：这是纯文本密码验证。当使用这种类型的身份验证时，客户端密码以未加密的方式传输。
· 无 4. 选择所需的加密级别。尝试连接的远程用户的访问被拒绝
不使用此加密级别。 5. 在“本地地址”中，输入要分配给 VPN 连接的服务器端的 IP 地址 6. 在“远程地址”中，输入要分配给传入客户端 VPN 的 IP 地址池
连接（例如 192.168.1.10-20）。这必须是远程用户在连接到 Opengear 设备时分配的免费 IP 地址或网络地址范围 7. 在 MTU 字段中输入 PPTP 接口的最大传输单元 (MTU) 所需值（默认为1400) 8. 在 DNS 服务器字段中，输入为连接的 PPTP 客户端分配 IP 地址的 DNS 服务器的 IP 地址 9. 在 WINS 服务器字段中，输入为连接的 PPTP 客户端分配 IP 地址的 WINS 服务器的 IP 地址10. 启用详细日志记录以帮助调试连接问题 11. 单击“应用设置” 3.11.2 添加 PPTP 用户 1. 在“串行和网络”菜单上选择“用户和组”，然后填写第 3.2 节中介绍的字段。 2. 确保已选中 pptpd 组，以允许访问 PPTP VPN 服务器。注意 – 该组中的用户的密码以明文形式存储。 3. 记下用户名和密码，以便需要连接到 VPN 连接时使用 4. 单击“应用”
63

第 3 章：串口、设备和用户配置
3.11.3 设置远程 PPTP 客户端确保远程 VPN 客户端 PC 具有 Internet 连接。要创建跨 Internet 的 VPN 连接，您必须设置两个网络连接。一个连接用于 ISP，另一个连接用于通往 Opengear 设备的 VPN 隧道。注意此过程在 Windows Professional 操作系统中设置 PPTP 客户端。步骤
可能会略有不同，具体取决于您的网络访问或您是否使用 Windows 的替代版本。更详细的说明可从 Microsoft web 地点。 1. 使用管理员权限登录 Windows 客户端 2. 从控制面板上的网络和共享中心选择网络连接并创建新连接
64

用户手册
3. 选择使用我的 Internet 连接 (VPN) 并输入 Opengear 设备的 IP 地址要将远程 VPN 客户端连接到本地网络，您需要知道您添加的 PPTP 帐户的用户名和密码以及 Internet IP Opengear 设备的地址。如果您的 ISP 没有为您分配静态 IP 地址，请考虑使用动态 DNS 服务。否则，每次 Internet IP 地址更改时，您都必须修改 PPTP 客户端配置。
65

第 3 章：串口、设备和用户配置

3.12 回电
所有控制台服务器均包含 Call Home 功能，该功能启动从控制台服务器到集中式 Opengear Lighthouse 的安全 SSH 隧道的设置。控制台服务器在 Lighthouse 上注册为候选者。一旦被接受，它就成为托管控制台服务器。
Lighthouse 监控托管控制台服务器，管理员可以通过 Lighthouse 访问远程托管控制台服务器。即使远程控制台服务器位于第三方防火墙后面或具有专用的不可路由 IP 地址，也可以进行此访问。

笔记

Lighthouse 维护与其每个托管控制台服务器的经过公钥身份验证的 SSH 连接。这些连接用于监视、引导和访问受管控制台服务器以及连接到受管控制台服务器的受管设备。

为了管理本地控制台服务器或可从 Lighthouse 访问的控制台服务器，SSH 连接由 Lighthouse 启动。

为了管理远程控制台服务器或受防火墙保护、不可路由或无法从 Lighthouse 访问的控制台服务器，托管控制台服务器通过初始 Call Home 连接启动 SSH 连接。

这确保了安全、经过身份验证的通信，并使托管控制台服务器单元能够本地分布在 LAN 上或远程分布在世界各地。

3.12.1 设置 Call Home 候选要将控制台服务器设置为 Lighthouse 上的 Call Home 管理候选：
1. 在“串行和网络”菜单上选择“Call Home”

2. 如果您尚未为此控制台服务器生成或上传 SSH 密钥对，请在继续之前执行此操作
3. 点击添加

4. 输入Lighthouse 的IP 地址或DNS 名称（例如动态DNS 地址）。
5. 输入您在 CMS 上配置的密码作为 Call Home 密码。
66

用户手册
6. 单击应用这些步骤启动从控制台服务器到 Lighthouse 的 Call Home 连接。这会在 Lighthouse 上创建一个 SSH 侦听端口，并将控制台服务器设置为候选服务器。
一旦候选人在 Lighthouse 上被接受，到控制台服务器的 SSH 隧道将通过 Call Home 连接重定向回。控制台服务器已成为托管控制台服务器，Lighthouse 可以通过此隧道连接并监视它。 3.12.2 接受 Call Home 候选作为 Lighthouse 上的托管控制台服务器本节给出了一个结束view 配置 Lighthouse 以监控通过 Call Home 连接的控制台 Lighthouse 服务器。有关更多详细信息，请参阅 Lighthouse 用户指南：
1. 在 Lighthouse 上输入新的 Call Home 密码。该密码用于接受
来自候选控制台服务器的 Call Home 连接
2. 控制台服务器可以联系 Lighthouse，它必须具有静态 IP
地址，或者如果使用 DHCP，则配置为使用动态 DNS 服务
Lighthouse 上的配置 > 托管控制台服务器屏幕显示以下状态
本地和远程托管控制台服务器和候选服务器。
受管理的控制台服务器部分显示受监控的控制台服务器
Lighthouse。检测到的控制台服务器部分包含：
o 本地控制台服务器下拉列表，其中列出了位于本地控制台服务器上的所有控制台服务器
与 Lighthouse 相同的子网，并且不受监控
67

第 3 章：串口、设备和用户配置
o 远程控制台服务器下拉列表列出了所有已建立 Call Home 连接且不受监控的控制台服务器（即候选服务器）。您可以点击刷新进行更新
要将候选控制台服务器添加到受管控制台服务器列表中，请从远程控制台服务器下拉列表中选择它，然后单击添加。输入 IP 地址和 SSH 端口（如果这些字段尚未自动完成），然后输入要添加的托管控制台服务器的说明和唯一名称
输入远程 Root 密码（即已在此 Managed Console 服务器上设置的系统密码）。 Lighthouse 使用此密码来传播自动生成的 SSH 密钥，并且不会存储该密码。单击“应用”。 Lighthouse 设置与受管控制台服务器之间的安全 SSH 连接，并检索其受管设备、用户帐户详细信息和配置的警报 3.12.3 回拨到通用中央 SSH 服务器如果您要连接到通用 SSH 服务器（不是 Lighthouse）您可以配置高级设置： · 输入 SSH 服务器端口和 SSH 用户。 · 输入要创建的 SSH 端口转发的详细信息
通过选择侦听服务器，您可以创建从服务器转发到本机的远程端口，或从本机转发到服务器的本地端口：
68

用户手册
· 指定要转发的侦听端口，将此字段留空以分配未使用的端口 · 输入将作为转发连接接收者的目标服务器和目标端口
3.13 IP直通
IP 直通用于使调制解调器连接（例如内部蜂窝调制解调器）看起来像到第三方下游路由器的常规以太网连接，从而允许下游路由器使用调制解调器连接作为主要或备用WAN 接口。
Opengear 设备通过 DHCP 向下游设备提供调制解调器 IP 地址和 DNS 详细信息，并在调制解调器和路由器之间传递网络流量。
虽然 IP 直通将 Opengear 转变为调制解调器到以太网半桥，但某些第 4 层服务 (HTTP/HTTPS/SSH) 可能会在 Opengear 处终止（服务拦截）。此外，Opengear 上运行的服务可以独立于下游路由器启动出站蜂窝连接。
这使得 Opengear 能够继续用于带外管理和警报，并且在 IP 直通模式下也可以通过 Lighthouse 进行管理。
3.13.1 下游路由器设置要在下游路由器上使用故障转移连接（也称为故障转移到蜂窝网络或 F2C），它必须具有两个或更多 WAN 接口。
注意 IP 直通上下文中的故障转移由下游路由器执行，Opengear 上的内置带外故障转移逻辑在 IP 直通模式下不可用。
使用以太网电缆将下游路由器上的以太网 WAN 接口连接到 Opengear 的网络接口或管理 LAN 端口。
配置下游路由器上的此接口以通过 DHCP 接收其网络设置。如果需要故障转移，请配置下游路由器，以便在其主接口和连接到 Opengear 的以太网端口之间进行故障转移。
3.13.2 IP 直通预配置启用 IP 直通的先决步骤是：
1. 使用静态网络设置配置网络接口和适用的管理 LAN 接口。 · 单击串行和网络 > IP。 · 对于网络接口和适用的管理 LAN，选择静态作为配置方法并输入网络设置（有关详细说明，请参阅标题为“网络配置”的部分）。 · 对于连接下游路由器的接口，您可以选择任何专用的私有网络，该网络仅存在于Opengear 和下游路由器之间，通常无法访问。 · 对于其他接口，按照本地网络上的正常配置进行配置。 · 对于两个接口，将网关留空。
2. 将调制解调器配置为始终开启带外模式。
69

第 3 章：串口、设备和用户配置
· 对于蜂窝连接，请单击系统 > 拨号：内部蜂窝调制解调器。 · 选择“启用拨出”并输入运营商详细信息，例如 APN（请参阅“蜂窝调制解调器”部分）
连接以获取详细说明）。 3.13.3 IP 直通配置要配置 IP 直通：
· 单击“串行和网络”>“IP 直通”并选中“启用”。 · 选择用于上行连接的 Opengear 调制解调器。 · 或者，输入下游路由器连接接口的 MAC 地址。如果 MAC 地址是
如果未指定，Opengear 将直通到请求 DHCP 地址的第一个下游设备。 · 选择用于连接下游路由器的 Opengear 以太网接口。
· 单击“应用”。 3.13.4 服务拦截这些允许 Opengear 继续提供服务，例如amp文件，用于 IP 直通模式下的带外管理。与指定拦截端口上调制解调器地址的连接由 Opengear 处理，而不是传递到下游路由器。
· 对于所需的 HTTP、HTTPS 或 SSH 服务，请选中启用 · 可以选择将拦截端口修改为备用端口（例如，HTTPS 为 8443），如果您想使用此功能，这会非常有用。
希望继续允许下游路由器通过其常规端口保持可访问。 3.13.5 IP直通状态刷新页面即可 view 状态部分。它显示正在传递的调制解调器的外部 IP 地址、下游路由器的内部 MAC 地址（仅在下游路由器接受 DHCP 租约时填充）以及 IP Passthrough 服务的整体运行状态。通过在警报和日志记录 > 自动响应下配置路由数据使用情况检查，您可能会收到下游路由器故障转移状态的警报。 3.13.6 注意事项某些下游路由器可能与网关路由不兼容。当 IP 直通桥接 3G 蜂窝网络（其中网关地址是点对点目标地址并且没有可用的子网信息）时，可能会发生这种情况。 Opengear 发送 DHCP 网络掩码 255.255.255.255。设备通常将此视为接口上的单个主机路由，但某些较旧的下游设备可能存在问题。
70

用户手册
如果 Opengear 使用调制解调器以外的默认路由，则本地服务的拦截将不起作用。此外，除非启用服务并启用对服务的访问，否则它们将无法工作（请参阅“系统”>“服务”，在“服务访问”选项卡下找到“拨出/蜂窝”）。
支持从 Opengear 到远程服务的出站连接（例如发送 SMTP 电子邮件警报、SNMP 陷阱、获取 NTP 时间、IPSec 隧道）。当 Opengear 和下游设备随机选择相同的原始本地端口号时，如果 Opengear 和下游设备同时尝试访问同一远程主机上的相同 UDP 或 TCP 端口，则存在连接失败的小风险。
3.14 通过 DHCP 配置（ZTP）
Opengear 设备可以在首次引导期间使用 DHCPv4 或 DHCPv6 服务器使用 config-over-DHCP 进行配置。通过在 USB 闪存驱动器上提供密钥，可以方便在不受信任的网络上进行配置。 ZTP 功能还可用于在初始连接到网络时执行固件升级，或注册到 Lighthouse 5 实例。
准备通过可信网络进行配置的典型步骤是：
1. 配置同型号Opengear设备。 2. 将其配置保存为 Opengear 备份 (.opg) file。 3. 选择“系统> 配置备份> 远程备份”。 4. 单击保存备份。备份配置 file — model-name_iso-format-date_config.opg — 从 Opengear 设备下载到本地系统。您可以将配置保存为 xml file： 1. 选择“系统> 配置备份> XML 配置”。包含以下内容的可编辑字段
配置 file 以 XML 格式出现。 2. 单击该字段以将其激活。 3. 如果您在 Windows 或 Linux 上运行任何浏览器，请右键单击并从
上下文菜单或按 Control-A。右键单击并从上下文菜单中选择“复制”或按 Control-C。 4. 如果您使用的是 macOS 上的任何浏览器，请选取“编辑”>“全选”或按 Command-A。选择“编辑”>“复制”或按 Command-C。 5. 在您喜欢的文本编辑器中，创建一个新的空文档，将复制的数据粘贴到空文档中并保存 file。任何 file-您选择的名称，它必须包含.xml file名称后缀。 6.复制保存的.opg或.xml file 到面向公众的目录 file 至少提供以下协议之一的服务器：HTTPS、HTTP、FTP 或 TFTP。（如果网络之间的连接只能使用HTTPS） file 服务器和待配置的 Opengear 设备通过不受信任的网络传输。）。 7. 配置 DHCP 服务器以包含 Opengear 设备的“供应商特定”选项。（这将以特定于 DHCP 服务器的方式完成。）供应商特定选项应设置为包含 URL 已发布的 .opg 或 .xml file 在上面的步骤中。选项字符串不得超过 250 个字符，并且必须以 .opg 或 .xml 结尾。
71

第 3 章：串口、设备和用户配置
8. 将恢复出厂设置或已擦除配置的新 Opengear 设备连接到网络并通电。设备自行重新启动可能需要长达 5 分钟的时间。
ExampISC DHCP (dhcpd) 服务器配置
以下是一个示例amp用于通过 ISC DHCP 服务器 dhcpd 提供 .opg 配置映像的 DHCP 服务器配置片段：
选项空间 opengear 代码宽度 1 长度宽度 1;选项 opengear.config-url 代码 1 = 文本；类“opengear-config-over-dhcp-test”{
如果选项供应商类别标识符~~“^Opengear/”则匹配；供应商选项空间 opengear；选项 opengear.config-url “https://example.com/opg/${class}.opg”； }
可以修改此设置以使用 opengear.image- 升级配置映像url 选项，并提供固件映像的 URI。
LAN 不受信任时的设置如果 LAN 之间的连接 file 服务器和待配置的 Opengear 设备包含不受信任的网络，双手方法可以缓解该问题。
注：此方法引入了两个物理步骤，在这两个物理步骤中，完全建立信任即使不是不可能，也是很困难的。首先，从承载数据的USB闪存驱动器的创建到其部署的托管链。其次，将USB闪存驱动器连接到Opengear设备的手。
· 为 Opengear 设备生成 X.509 证书。
· 将证书及其私钥连接成一个 file 名为 client.pem。
· 将 client.pem 复制到 USB 闪存驱动器上。
· 设置 HTTPS 服务器以便访问 .opg 或 .xml file 仅限于可以提供上面生成的 X.509 客户端证书的客户端。
· 将签署 HTTP 服务器证书的 CA 证书副本 — ca-bundle.crt — 放入包含 client.pem 的 USB 闪存驱动器上。
· 在连接电源或网络之前将 USB 闪存驱动器插入 Opengear 设备。
· 继续“复制保存的 .opg 或 .xml”中的过程 file 到面向公众的目录 file 上面的“server”在客户端和服务器之间使用HTTPS协议。
准备 USB 驱动器并创建 X.509 证书和私钥
· 生成 CA 证书，以便可以对客户端和服务器证书签名请求 (CSR) 进行签名。
# cp /etc/ssl/openssl.cnf 。 # mkdir -p 前ampleCA/newcerts # echo 00 > exampleCA/串行 # echo 00 > exampleCA/crlnumber # 触摸前ampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-主题 /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
此过程生成一个名为 Ex 的证书ampleCA，但可以使用任何允许的证书名称。此外，此过程使用 openssl ca。如果您的组织有企业范围的安全 CA 生成流程，则应改用该流程。
72

用户手册
· 生成服务器证书。
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-钥匙file ca.key-策略policy_anything-batch-notext
注意主机名或 IP 地址必须与服务中使用的字符串相同。 URL. 在前amp上面的主机名是 demo.example.com。
· 生成客户端证书。
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-钥匙file ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· 将 USB 闪存驱动器格式化为单个 FAT32 卷。
· 移动 client.pem 和 ca-bundle.crt files 到闪存驱动器的根目录。
调试ZTP 问题使用ZTP 日志功能调试ZTP 问题。当设备尝试执行ZTP操作时，日志信息将写入设备上的/tmp/ztp.log。
以下是一个示例amp日志文件 file 来自成功的 ZTP 运行。
# cat /tmp/ztp.log Wed Dec 13 22:22:17 UTC 2017 [5127 notification] odhcp6c.eth0: 通过 DHCP 恢复配置 Wed Dec 13 22:22:17 UTC 2017 [5127 notification] odhcp6c.eth0: waiting 10s网络要解决 13 年 22 月 22 日星期三 27:2017:5127 UTC 6 [0 通知] odhcp13c.eth22: NTP 已跳过：无服务器 22 年 27 月 2017 日星期三 5127:6:0 UTC 1 [07 信息] odhcp2218c.eth1350:vendorspec.44 = ' http://[fd1:13:22:22::27]/tftpboot/config.sh' 2017 月 5127 日星期三 6:0:2 UTC 13 [22 信息] odhcp22c.eth27:vendorspec.2017 (n/a) 星期三5127 年 6 月 0 日 3:13:22 UTC 22 [27 信息] odhcp2017c.eth5127：vendorspec.6（不适用） 0 年 4 月 13 日星期三 22:22:27 UTC 2017 [5127 信息] odhcp6c.eth0：vendorspec.5（不适用） ) 13 年 22 月 22 日星期三 28:2017:5127 UTC 6 [0 信息] odhcp6c.eth13:vendorspec.22 (n/a) 22 年 28 月 2017 日星期三 5127:6:0 UTC [2 信息] odhcpXNUMXc.ethXNUMX:vendorspec.XNUMX (n /a) XNUMX 年 XNUMX 月 XNUMX 日星期三 XNUMX:XNUMX:XNUMX UTC XNUMX [XNUMX 信息] odhcpXNUMXc.ethXNUMX：没有要下载的固件 (vendorspec.XNUMX) 备份 -url：尝试 http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url：强制 wan 配置模式为 DHCP 备份 -url：将主机名设置为 acm7004-0013c601ce97 backup-url：加载成功 13 年 22 月 22 日星期三 36:2017:5127 UTC 6 [0 通知] odhcp13c.eth22：成功配置加载 22 年 36 月 2017 日星期三 5127:6:0 UTC 3 [4 信息] odhcp5c.eth6：没有灯塔配置（vendorspec.13/ 22/22/36) Wed Dec 2017 5127:6:0 UTC XNUMX [XNUMX 通知] odhcpXNUMXc.ethXNUMX：配置已完成，未重新启动
错误记录在此日志中。
3.15 加入 Lighthouse
使用注册到 Lighthouse 将 Opengear 设备注册到 Lighthouse 实例中，提供对控制台端口的集中访问，并允许对 Opengear 设备进行集中配置。
有关将 Opengear 设备注册到 Lighthouse 的说明，请参阅 Lighthouse 用户指南。
73

第 3 章：串口、设备和用户配置
3.16 启用 DHCPv4 中继
DHCP 中继服务在客户端和远程 DHCP 服务器之间转发 DHCP 数据包。可以在 Opengear 控制台服务器上启用 DHCP 中继服务，以便其在指定的下层接口上侦听 DHCP 客户端，使用正常路由将其消息包装并转发到 DHCP 服务器，或者直接广播到指定的上层接口。 DHCP 中继代理因此接收 DHCP 消息并生成新的 DHCP 消息以在另一个接口上发送出去。在以下步骤中，控制台服务器可以使用 DHCPv4 中继服务连接到电路 ID、以太网或单元调制解调器。
DHCPv4 中继 + DHCP 选项 82（电路 ID）基础设施 – 本地 DHCP 服务器、用于中继的 ACM7004-5、用于客户端的任何其他设备。任何具有 LAN 角色的设备都可以用作中继。在这个前amp文件中，192.168.79.242 是客户端中继接口的地址（如 DHCP 服务器配置中所定义） file 上），192.168.79.244是中继盒的上接口地址，enp112s0是DHCP服务器的下行接口。
1 基础设施 – DHCPv4 中继 + DHCP 选项 82（电路 ID）
DHCP 服务器上的步骤 1. 设置本地 DHCP v4 服务器，特别是，它应包含 DHCP 客户端的“主机”条目，如下所示： host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E ：41；主机标识符选项agent.电路id“relay1”；固定地址 192.168.79.242；注意：“硬件以太网”行被注释掉，以便 DHCP 服务器将使用“电路 ID”设置为相关客户端分配地址。 2. 重新启动 DHCP 服务器以重新加载其更改的配置 file。 pkill -HUP dhcpd
74

用户手册
3. 手动添加到客户端“中继”接口（DHCP 中继后面的接口，而不是客户端可能还有的其他接口）的主机路由：
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 当客户端和 DHCP 服务器希望通过客户端的中继接口相互访问时，当客户端在同一网络中还有其他接口时，这将有助于避免非对称路由问题DHCP地址池的子网。
注意：此步骤是支持dhcp服务器和客户端能够互相访问的必须步骤。
继电器盒上的步骤 – ACM7004-5
1. 在静态或 dhcp 模式（而非未配置模式）下设置 WAN/eth0。如果是静态模式，则必须有 DHCP 服务器地址池内的 IP 地址。
2. 通过 CLI 应用此配置（其中 192.168.79.1 是 DHCP 服务器地址）
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1. Circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 配置-s config.services.dhcprelay.servers.server1=192.168.79.1 配置-s config.services.dhcprelay.servers.total=1 配置-s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. DHCP中继的下层接口必须有DHCP服务器地址池内的静态IP地址。在这个前ample，giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=静态 config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. 稍等片刻，让客户端通过中继获取 DHCP 租约。
客户端上的步骤（本例中为 CM7116-2-dac）amp文件或任何其他 OG CS）
1. 将客户端的 LAN/eth1 插入中继的 LAN/eth1 2. 按照通常方式配置客户端的 LAN 以通过 DHCP 获取 IP 地址 3. 一旦客户端

文件/资源

opengear ACM7000 远程站点网关 [pdf] 用户手册
ACM7000 远程站点网关、ACM7000、远程站点网关、站点网关、网关

参考

用户手册

opengear ACM7000 远程站点网关

产品信息

产品使用说明

常见问题解答

本手册

系统配置

串行端口、主机、设备和用户配置

文件/资源

参考

发表评论

取消回复