คู่มือผู้ใช้เกตเวย์ไซต์ระยะไกล opengear ACM7000

อุปกรณ์นี้สอดคล้องกับส่วนที่ 15 ของกฎ FCC การทำงานของอุปกรณ์นี้อยู่ภายใต้เงื่อนไขต่อไปนี้: (1) อุปกรณ์นี้ต้องไม่ก่อให้เกิดการรบกวนที่เป็นอันตราย และ (2) อุปกรณ์นี้ต้องยอมรับการรบกวนใด ๆ ที่อาจก่อให้เกิดการทำงานที่ไม่พึงประสงค์

คำถามที่พบบ่อย

ถาม: ฉันสามารถใช้ ACM7000 Remote Site Gateway ในระหว่างเกิดพายุไฟฟ้าได้หรือไม่
- A: ไม่ ขอแนะนำไม่ให้เชื่อมต่อหรือยกเลิกการเชื่อมต่อคอนโซลเซิร์ฟเวอร์ในระหว่างเกิดพายุไฟฟ้าเพื่อป้องกันความเสียหาย

ถาม: อุปกรณ์ปฏิบัติตามกฎ FCC เวอร์ชันใด
- A: อุปกรณ์เป็นไปตามส่วนที่ 15 ของกฎ FCC

View Fullscreen

คู่มือการใช้งาน
เกตเวย์ไซต์ระยะไกล ACM7000 เกตเวย์ความยืดหยุ่น ACM7000-L IM7200 Infrastructure Manager เซิร์ฟเวอร์คอนโซล CM7100
เวอร์ชัน 5.0 – 2023-12

ความปลอดภัย
ปฏิบัติตามข้อควรระวังด้านความปลอดภัยด้านล่างเมื่อติดตั้งและใช้งานคอนโซลเซิร์ฟเวอร์: · ห้ามถอดฝาครอบโลหะออก ไม่มีส่วนประกอบที่ผู้ปฏิบัติงานให้บริการได้ภายใน การเปิดหรือถอดฝาครอบอาจทำให้คุณได้รับอันตรายจากปริมาตรtagซึ่งอาจทำให้เกิดเพลิงไหม้หรือไฟฟ้าช็อตได้ ส่งต่อบริการทั้งหมดไปยังบุคลากรที่มีคุณสมบัติของ Opengear · เพื่อหลีกเลี่ยงไฟฟ้าช็อต ตัวนำสายดินป้องกันสายไฟจะต้องต่อผ่านลงดิน · ควรดึงปลั๊ก ไม่ใช่สายไฟ เมื่อถอดสายไฟออกจากเต้ารับ
อย่าเชื่อมต่อหรือตัดการเชื่อมต่อคอนโซลเซิร์ฟเวอร์ในระหว่างเกิดพายุไฟฟ้า ใช้เครื่องป้องกันไฟกระชากหรือ UPS เพื่อป้องกันอุปกรณ์จากภาวะชั่วคราว
คำชี้แจงคำเตือนของ FCC
อุปกรณ์นี้สอดคล้องกับส่วนที่ 15 ของกฎ FCC การทำงานของอุปกรณ์นี้อยู่ภายใต้เงื่อนไขต่อไปนี้
เงื่อนไข: (1) อุปกรณ์นี้ต้องไม่ก่อให้เกิดการรบกวนที่เป็นอันตราย และ (2) อุปกรณ์นี้ต้องยอมรับการรบกวนใดๆ ที่อาจก่อให้เกิดการทำงานที่ไม่พึงประสงค์
ควรใช้ระบบสำรองข้อมูลที่เหมาะสมและอุปกรณ์ความปลอดภัยที่จำเป็นเพื่อป้องกันการบาดเจ็บ การเสียชีวิต หรือความเสียหายต่อทรัพย์สินเนื่องจากระบบขัดข้อง การป้องกันดังกล่าวถือเป็นความรับผิดชอบของผู้ใช้ อุปกรณ์คอนโซลเซิร์ฟเวอร์นี้ไม่ได้รับการอนุมัติให้ใช้เป็นระบบช่วยชีวิตหรือทางการแพทย์ การเปลี่ยนแปลงหรือแก้ไขใด ๆ ที่เกิดขึ้นกับอุปกรณ์คอนโซลเซิร์ฟเวอร์นี้โดยไม่ได้รับอนุมัติหรือยินยอมอย่างชัดแจ้งจาก Opengear จะทำให้ Opengear ไม่มีความรับผิดหรือความรับผิดชอบต่อการบาดเจ็บหรือการสูญเสียที่เกิดจากการทำงานผิดปกติใด ๆ อุปกรณ์นี้มีไว้สำหรับใช้ภายในอาคาร และการเดินสายสื่อสารทั้งหมดจะจำกัดอยู่เพียงภายในอาคารเท่านั้น
2

คู่มือการใช้งาน
ลิขสิทธิ์
© Opengear Inc. 2023 สงวนลิขสิทธิ์ ข้อมูลในเอกสารนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า และไม่ได้แสดงถึงข้อผูกพันในส่วนของ Opengear Opengear จัดเตรียมเอกสารนี้ "ตามสภาพ" โดยไม่มีการรับประกันใดๆ ทั้งโดยชัดแจ้งหรือโดยนัย รวมถึงแต่ไม่จำกัดเพียงการรับประกันโดยนัยเกี่ยวกับความเหมาะสมหรือความสามารถเชิงพาณิชย์สำหรับวัตถุประสงค์เฉพาะ Opengear อาจทำการปรับปรุงและ/หรือเปลี่ยนแปลงในคู่มือนี้หรือในผลิตภัณฑ์และ/หรือโปรแกรมที่อธิบายไว้ในคู่มือนี้เมื่อใดก็ได้ ผลิตภัณฑ์นี้อาจรวมถึงความไม่ถูกต้องทางเทคนิคหรือข้อผิดพลาดในการพิมพ์ มีการเปลี่ยนแปลงข้อมูลในที่นี้เป็นระยะๆ การเปลี่ยนแปลงเหล่านี้อาจรวมอยู่ในสิ่งพิมพ์ฉบับใหม่\

บทที่ 1

คู่มือนี้

คู่มือผู้ใช้นี้อธิบายการติดตั้ง ใช้งาน และการจัดการเซิร์ฟเวอร์คอนโซล Opengear คู่มือนี้ถือว่าคุณคุ้นเคยกับอินเทอร์เน็ตและเครือข่าย IP, HTTP, FTP, การดำเนินการรักษาความปลอดภัยขั้นพื้นฐาน และเครือข่ายภายในองค์กรของคุณ
1.1 ประเภทของผู้ใช้
คอนโซลเซิร์ฟเวอร์รองรับผู้ใช้สองคลาส:
· ผู้ดูแลระบบที่มีสิทธิ์การกำหนดค่าและการจัดการไม่จำกัดบนคอนโซล
เซิร์ฟเวอร์และอุปกรณ์ที่เชื่อมต่อตลอดจนบริการและพอร์ตทั้งหมดเพื่อควบคุมอุปกรณ์ที่เชื่อมต่อแบบอนุกรมและอุปกรณ์ที่เชื่อมต่อเครือข่าย (โฮสต์) ผู้ดูแลระบบได้รับการตั้งค่าเป็นสมาชิกของกลุ่มผู้ใช้ผู้ดูแลระบบ ผู้ดูแลระบบสามารถเข้าถึงและควบคุมคอนโซลเซิร์ฟเวอร์โดยใช้ยูทิลิตี้กำหนดค่า บรรทัดคำสั่ง Linux หรือคอนโซลการจัดการบนเบราว์เซอร์
· ผู้ใช้ที่ได้รับการตั้งค่าโดยผู้ดูแลระบบโดยมีข้อจำกัดในการเข้าถึงและการควบคุม
ผู้ใช้มีข้อจำกัด view ของคอนโซลการจัดการและสามารถเข้าถึงเฉพาะอุปกรณ์ที่กำหนดค่าที่ได้รับอนุญาตและอีกครั้งview บันทึกพอร์ต ผู้ใช้เหล่านี้ได้รับการตั้งค่าเป็นสมาชิกของกลุ่มผู้ใช้ที่กำหนดค่าไว้ล่วงหน้าตั้งแต่หนึ่งกลุ่มขึ้นไป เช่น PPTPD, dialin, FTP, pmshell, ผู้ใช้ หรือกลุ่มผู้ใช้ที่ผู้ดูแลระบบอาจสร้างขึ้น พวกเขาได้รับอนุญาตให้ดำเนินการควบคุมที่ระบุบนอุปกรณ์ที่เชื่อมต่อเฉพาะเท่านั้น เมื่อได้รับอนุญาต ผู้ใช้จะสามารถเข้าถึงและควบคุมอุปกรณ์ที่เชื่อมต่อแบบอนุกรมหรือเครือข่ายโดยใช้บริการที่ระบุ (เช่น Telnet, HHTPS, RDP, IPMI, อนุกรมผ่าน LAN, การควบคุมพลังงาน) ผู้ใช้ระยะไกลคือผู้ใช้ที่ไม่ได้อยู่ในเซ็กเมนต์ LAN เดียวกันกับคอนโซลเซิร์ฟเวอร์ ผู้ใช้ระยะไกลอาจอยู่บนท้องถนนที่เชื่อมต่อกับอุปกรณ์ที่ได้รับการจัดการผ่านอินเทอร์เน็ตสาธารณะ ผู้ดูแลระบบในสำนักงานอื่นที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์ผ่าน VPN ขององค์กร หรืออยู่ในห้องเดียวกันหรือสำนักงานเดียวกัน แต่เชื่อมต่อบน VLAN แยกต่างหากกับคอนโซล เซิร์ฟเวอร์
1.2 คอนโซลการจัดการ
Opengear Management Console ช่วยให้คุณสามารถกำหนดค่าและตรวจสอบคุณสมบัติของเซิร์ฟเวอร์คอนโซล Opengear ของคุณได้ คอนโซลการจัดการทำงานในเบราว์เซอร์และให้ view ของคอนโซลเซิร์ฟเวอร์และอุปกรณ์ที่เชื่อมต่อทั้งหมด ผู้ดูแลระบบสามารถใช้คอนโซลการจัดการเพื่อกำหนดค่าและจัดการคอนโซลเซิร์ฟเวอร์ ผู้ใช้ พอร์ต โฮสต์ อุปกรณ์จ่ายไฟ และบันทึกและการแจ้งเตือนที่เกี่ยวข้อง ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถใช้คอนโซลการจัดการพร้อมการเข้าถึงเมนูที่จำกัดเพื่อควบคุมอุปกรณ์ที่เลือกได้view บันทึกของพวกเขาและเข้าถึงได้โดยใช้ในตัว Web เทอร์มินัล.
คอนโซลเซิร์ฟเวอร์รันระบบปฏิบัติการ Linux แบบฝัง และสามารถกำหนดค่าได้ที่บรรทัดคำสั่ง คุณสามารถเข้าถึงบรรทัดคำสั่งได้ทางมือถือ / โทรเข้า เชื่อมต่อโดยตรงกับพอร์ตคอนโซลอนุกรม/โมเด็มของเซิร์ฟเวอร์คอนโซล หรือใช้ SSH หรือ Telnet เพื่อเชื่อมต่อกับคอนโซลเซิร์ฟเวอร์ผ่าน LAN (หรือเชื่อมต่อกับ PPTP, IPsec หรือ OpenVPN) .
6

คู่มือการใช้งาน
สำหรับคำสั่ง Command Line Interface (CLI) และคำแนะนำขั้นสูง ให้ดาวน์โหลด Opengear CLI และ Scripting Reference.pdf จาก https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 ข้อมูลเพิ่มเติม
หากต้องการข้อมูลเพิ่มเติม โปรดปรึกษา: · ผลิตภัณฑ์ Opengear Web เว็บไซต์: ดู https://opengear.com/products หากต้องการรับข้อมูลล่าสุดเกี่ยวกับสิ่งที่รวมอยู่ในคอนโซลเซิร์ฟเวอร์ของคุณ โปรดไปที่ส่วนสิ่งที่รวมอยู่สำหรับผลิตภัณฑ์เฉพาะของคุณ · คู่มือเริ่มต้นฉบับย่อ: หากต้องการรับคู่มือเริ่มต้นฉบับย่อสำหรับอุปกรณ์ของคุณโปรดดู https://opengear.com/support/documentation/ · ฐานความรู้ของ Opengear: ไปที่ https://opengear.zendesk.com เพื่อเข้าถึงบทความวิธีใช้ทางเทคนิค เคล็ดลับเทคโนโลยี คำถามที่พบบ่อย และการแจ้งเตือนที่สำคัญ · Opengear CLI และการอ้างอิงสคริปต์: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

บทที่ 2:

การกำหนดค่าระบบ

บทนี้ให้คำแนะนำทีละขั้นตอนสำหรับการกำหนดค่าเริ่มต้นของคอนโซลเซิร์ฟเวอร์ของคุณ และการเชื่อมต่อกับการจัดการหรือ LAN ปฏิบัติการ ขั้นตอนคือ:
เปิดใช้งานคอนโซลการจัดการ เปลี่ยนรหัสผ่านผู้ดูแลระบบ ตั้งค่าพอร์ต LAN หลักของเซิร์ฟเวอร์คอนโซลที่อยู่ IP เลือกบริการที่จะเปิดใช้งานและสิทธิ์การเข้าถึง บทนี้ยังกล่าวถึงเครื่องมือซอฟต์แวร์การสื่อสารที่ผู้ดูแลระบบอาจใช้เพื่อเข้าถึงคอนโซลเซิร์ฟเวอร์ และการกำหนดค่าพอร์ต LAN เพิ่มเติม
2.1 การเชื่อมต่อคอนโซลการจัดการ
คอนโซลเซิร์ฟเวอร์ของคุณมาพร้อมกับที่อยู่ IP เริ่มต้น 192.168.0.1 และซับเน็ตมาสก์ 255.255.255.0 สำหรับ NET1 (WAN) สำหรับการกำหนดค่าเริ่มต้น เราขอแนะนำให้คุณเชื่อมต่อคอมพิวเตอร์เข้ากับคอนโซลโดยตรง หากคุณเลือกที่จะเชื่อมต่อ LAN ของคุณก่อนที่จะทำตามขั้นตอนการตั้งค่าเริ่มต้นให้เสร็จสิ้น ตรวจสอบให้แน่ใจว่า:
· ไม่มีอุปกรณ์อื่นบน LAN ที่มีที่อยู่ 192.168.0.1 · คอนโซลเซิร์ฟเวอร์และคอมพิวเตอร์อยู่ในส่วน LAN เดียวกัน โดยไม่มีเราเตอร์มาขวางกัน
เครื่องใช้ไฟฟ้า
2.1.1 การตั้งค่าคอมพิวเตอร์ที่เชื่อมต่อ เพื่อกำหนดค่าคอนโซลเซิร์ฟเวอร์ด้วยเบราว์เซอร์ คอมพิวเตอร์ที่เชื่อมต่อควรมีที่อยู่ IP ในช่วงเดียวกันกับคอนโซลเซิร์ฟเวอร์ (เช่นampเลอ, 192.168.0.100):
· หากต้องการกำหนดค่าที่อยู่ IP ของคอมพิวเตอร์ Linux หรือ Unix ให้เรียกใช้ ifconfig · สำหรับพีซีที่ใช้ Windows:
1. คลิก Start > Settings > Control Panel และดับเบิลคลิก Network Connections 2. คลิกขวาที่ Local Area Connection และเลือก Properties 3. เลือก Internet Protocol (TCP/IP) และคลิก Properties 4. เลือกใช้ที่อยู่ IP ต่อไปนี้ และป้อนรายละเอียดต่อไปนี้:
o ที่อยู่ IP: 192.168.0.100 o ซับเน็ตมาสก์: 255.255.255.0 5. หากคุณต้องการคงการตั้งค่า IP ที่มีอยู่สำหรับการเชื่อมต่อเครือข่ายนี้ ให้คลิกขั้นสูงและเพิ่มด้านบนเป็นการเชื่อมต่อ IP รอง
2.1.2 การเชื่อมต่อเบราว์เซอร์
เปิดเบราว์เซอร์บนพีซี / เวิร์กสเตชันที่เชื่อมต่อแล้วป้อน https://192.168.0.1
เข้าสู่ระบบด้วย:
ชื่อผู้ใช้> รหัสผ่านรูท> ค่าเริ่มต้น
8

คู่มือการใช้งาน
ครั้งแรกที่คุณเข้าสู่ระบบ คุณจะต้องเปลี่ยนรหัสผ่านรูท คลิกส่ง
เพื่อให้การเปลี่ยนแปลงเสร็จสมบูรณ์ ให้ป้อนรหัสผ่านใหม่อีกครั้ง คลิกส่ง หน้าจอต้อนรับจะปรากฏขึ้น
หากระบบของคุณมีโมเด็มเซลลูลาร์ คุณจะได้รับขั้นตอนในการกำหนดค่าคุณสมบัติเราเตอร์เซลลูลาร์: · กำหนดค่าการเชื่อมต่อโมเด็มเซลลูลาร์ (ระบบ > หน้าโทรออก ดูบทที่ 4) · อนุญาตให้ส่งต่อไปยังเครือข่ายปลายทางเซลลูลาร์ (หน้าระบบ > ไฟร์วอลล์) ดูบทที่ 4) · เปิดใช้งานการปลอมแปลง IP สำหรับการเชื่อมต่อมือถือ (หน้าระบบ > ไฟร์วอลล์ ดูบทที่ 4)
หลังจากทำตามขั้นตอนข้างต้นแต่ละข้อเสร็จแล้ว คุณสามารถกลับไปยังรายการการกำหนดค่าได้โดยคลิกโลโก้ Opengear ที่มุมซ้ายบนของหน้าจอ หมายเหตุ หากคุณไม่สามารถเชื่อมต่อกับคอนโซลการจัดการที่ 192.168.0.1 หรือหากเป็นค่าเริ่มต้น
ไม่ยอมรับชื่อผู้ใช้ / รหัสผ่าน รีเซ็ตคอนโซลเซิร์ฟเวอร์ของคุณ (ดูบทที่ 10)
9

บทที่ 2: การกำหนดค่าระบบ
2.2 การตั้งค่าผู้ดูแลระบบ
2.2.1 เปลี่ยนรหัสผ่านระบบรูทเริ่มต้น คุณจะต้องเปลี่ยนรหัสผ่านรูทเมื่อคุณเข้าสู่ระบบอุปกรณ์เป็นครั้งแรก คุณสามารถเปลี่ยนรหัสผ่านนี้ได้ตลอดเวลา
1. คลิก อนุกรมและเครือข่าย > ผู้ใช้และกลุ่ม หรือบนหน้าจอต้อนรับ คลิก เปลี่ยนรหัสผ่านการดูแลระบบเริ่มต้น
2. เลื่อนลงและค้นหารายการผู้ใช้รูทภายใต้ผู้ใช้แล้วคลิกแก้ไข 3. ป้อนรหัสผ่านใหม่ในช่องรหัสผ่านและยืนยัน
หมายเหตุ การตรวจสอบบันทึกรหัสผ่านระหว่างการลบเฟิร์มแวร์จะบันทึกรหัสผ่านเพื่อไม่ให้ถูกลบเมื่อรีเซ็ตเฟิร์มแวร์ หากรหัสผ่านนี้สูญหาย จะต้องกู้คืนเฟิร์มแวร์ของอุปกรณ์
4. คลิกสมัคร เข้าสู่ระบบด้วยรหัสผ่านใหม่ 2.2.2 ตั้งค่าผู้ดูแลระบบใหม่ สร้างผู้ใช้ใหม่ที่มีสิทธิ์ผู้ดูแลระบบ และเข้าสู่ระบบในฐานะผู้ใช้รายนี้สำหรับฟังก์ชันการดูแลระบบ แทนที่จะใช้รูท
10

คู่มือการใช้งาน
1. คลิก อนุกรมและเครือข่าย > ผู้ใช้และกลุ่ม เลื่อนไปที่ด้านล่างของหน้าแล้วคลิกปุ่มเพิ่มผู้ใช้
2. กรอกชื่อผู้ใช้ 3. ในส่วนกลุ่ม ให้เลือกช่องผู้ดูแลระบบ 4. ป้อนรหัสผ่านในช่องรหัสผ่านและยืนยัน
5. คุณยังสามารถเพิ่มคีย์ที่ได้รับอนุญาต SSH และเลือกที่จะปิดการใช้งานการตรวจสอบรหัสผ่านสำหรับผู้ใช้รายนี้
6. ตัวเลือกเพิ่มเติมสำหรับผู้ใช้นี้สามารถตั้งค่าได้ในหน้านี้ รวมถึงตัวเลือกการโทรเข้า โฮสต์ที่สามารถเข้าถึงได้ พอร์ตที่สามารถเข้าถึงได้ และช่องรับ RPC ที่สามารถเข้าถึงได้
7. คลิกปุ่มใช้ที่ด้านล่างของหน้าจอเพื่อสร้างผู้ใช้ใหม่นี้
11

บทที่ 2: การกำหนดค่าระบบ
2.2.3 เพิ่มชื่อระบบ คำอธิบายระบบ และ MOTD 1. เลือก ระบบ > การดูแลระบบ 2. ป้อนชื่อระบบและคำอธิบายระบบสำหรับคอนโซลเซิร์ฟเวอร์เพื่อให้มี ID เฉพาะและทำให้ระบุได้ง่ายขึ้น ชื่อระบบสามารถประกอบด้วยอักขระตัวอักษรและตัวเลขได้ตั้งแต่ 1 ถึง 64 ตัว และอักขระพิเศษขีดล่าง (_) ลบ (-) และจุด (.) คำอธิบายระบบสามารถมีอักขระได้สูงสุด 254 ตัว
3. สามารถใช้แบนเนอร์ MOTD เพื่อแสดงข้อความวันให้กับผู้ใช้ ปรากฏที่ด้านซ้ายบนของหน้าจอใต้โลโก้ Opengear
4. คลิกนำไปใช้
12

บทที่ 2: การกำหนดค่าระบบ
5. เลือก ระบบ > การดูแลระบบ 6. สามารถใช้แบนเนอร์ MOTD เพื่อแสดงข้อความวันให้กับผู้ใช้ มันปรากฏบน
ด้านซ้ายบนของหน้าจอด้านล่างโลโก้ Opengear 7. คลิกสมัคร
2.3 การกำหนดค่าเครือข่าย
ป้อนที่อยู่ IP สำหรับพอร์ตอีเทอร์เน็ตหลัก (LAN/เครือข่าย/เครือข่าย1) บนคอนโซลเซิร์ฟเวอร์ หรือเปิดใช้งานไคลเอ็นต์ DHCP เพื่อรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP โดยอัตโนมัติ ตามค่าเริ่มต้น คอนโซลเซิร์ฟเวอร์จะเปิดใช้งานไคลเอ็นต์ DHCP และยอมรับที่อยู่ IP เครือข่ายใดๆ ที่กำหนดโดยเซิร์ฟเวอร์ DHCP บนเครือข่ายของคุณโดยอัตโนมัติ ในสถานะเริ่มต้นนี้ คอนโซลเซิร์ฟเวอร์จะตอบสนองต่อทั้งที่อยู่แบบคงที่เริ่มต้น 192.168.0.1 และที่อยู่ DHCP
1. คลิก ระบบ > IP และคลิกแท็บ อินเทอร์เฟซเครือข่าย 2. เลือก DHCP หรือ Static สำหรับวิธีการกำหนดค่า
หากคุณเลือกแบบคงที่ ให้ป้อนรายละเอียดที่อยู่ IP, ซับเน็ตมาสก์, เกตเวย์ และเซิร์ฟเวอร์ DNS การเลือกนี้ปิดใช้งานไคลเอ็นต์ DHCP
12

คู่มือการใช้งาน
3. พอร์ต LAN เซิร์ฟเวอร์คอนโซลจะตรวจจับความเร็วการเชื่อมต่ออีเธอร์เน็ตโดยอัตโนมัติ ใช้รายการดรอปดาวน์สื่อเพื่อล็อคอีเทอร์เน็ตเป็น 10 Mb/s หรือ 100Mb/s และเป็นแบบ Full Duplex หรือ Half Duplex
หากคุณพบการสูญเสียแพ็กเก็ตหรือประสิทธิภาพเครือข่ายต่ำด้วยการตั้งค่าอัตโนมัติ ให้เปลี่ยนการตั้งค่าสื่ออีเทอร์เน็ตบนคอนโซลเซิร์ฟเวอร์และอุปกรณ์ที่เชื่อมต่ออยู่ ในกรณีส่วนใหญ่ ให้เปลี่ยนทั้งคู่เป็น 100baseTx-FD (100 เมกะบิต ฟูลดูเพล็กซ์)
4. หากคุณเลือก DHCP คอนโซลเซิร์ฟเวอร์จะค้นหารายละเอียดการกำหนดค่าจากเซิร์ฟเวอร์ DHCP การเลือกนี้จะปิดใช้งานที่อยู่แบบคงที่ใดๆ ที่อยู่ MAC ของคอนโซลเซิร์ฟเวอร์สามารถพบได้บนฉลากบนแผ่นฐาน
5. คุณสามารถป้อนที่อยู่สำรองหรือรายการที่อยู่ที่คั่นด้วยเครื่องหมายจุลภาคในรูปแบบ CIDR เช่น 192.168.1.1/24 เป็นนามแฝง IP
6. คลิกนำไปใช้ 7. เชื่อมต่อเบราว์เซอร์บนคอมพิวเตอร์ที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์อีกครั้งโดยป้อน
http://your new IP address.
หากคุณเปลี่ยนที่อยู่ IP ของคอนโซลเซิร์ฟเวอร์ คุณจะต้องกำหนดค่าคอมพิวเตอร์ของคุณใหม่ให้มีที่อยู่ IP ในช่วงเครือข่ายเดียวกันกับที่อยู่คอนโซลเซิร์ฟเวอร์ใหม่ คุณสามารถตั้งค่า MTU บนอินเทอร์เฟซอีเทอร์เน็ตได้ นี่เป็นตัวเลือกขั้นสูงที่จะใช้หากสถานการณ์การปรับใช้งานของคุณใช้งานไม่ได้กับ MTU เริ่มต้นขนาด 1500 ไบต์ หากต้องการตั้งค่า MTU ให้คลิก System > IP และคลิกแท็บ Network Interface เลื่อนลงไปที่ช่อง MTU และป้อนค่าที่ต้องการ ค่าที่ถูกต้องคือตั้งแต่ 1280 ถึง 1500 สำหรับอินเทอร์เฟซ 100 เมกะบิต และ 1280 ถึง 9100 สำหรับอินเทอร์เฟซแบบกิกะบิต หากมีการกำหนดค่าการเชื่อมต่อหรือการเชื่อมต่อ MTU ที่ตั้งค่าไว้ในหน้าอินเทอร์เฟซเครือข่ายจะถูกตั้งค่าบนอินเทอร์เฟซที่เป็นส่วนหนึ่งของบริดจ์หรือการเชื่อมต่อ . หมายเหตุ ในบางกรณี MTU ที่ผู้ใช้ระบุอาจไม่มีผล ไดรเวอร์ NIC บางตัวอาจปัดเศษ MTU ขนาดใหญ่ให้เป็นค่าสูงสุดที่อนุญาต และไดรเวอร์บางตัวจะส่งกลับรหัสข้อผิดพลาด คุณยังสามารถใช้คำสั่ง CLI เพื่อจัดการขนาด MTU: กำหนดค่า
# config -s config.interfaces.wan.mtu=1380 ตรวจสอบ
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider ไม่มี config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode การกำหนดค่าไร้สัญชาติ .interfaces.wan.media config.interfaces.wan.mode อัตโนมัติ config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

บทที่ 2: การกำหนดค่าระบบ
2.3.1 การกำหนดค่า IPv6 คอนโซลเซิร์ฟเวอร์อินเทอร์เฟซอีเทอร์เน็ตรองรับ IPv4 ตามค่าเริ่มต้น สามารถกำหนดค่าสำหรับการทำงาน IPv6 ได้:
1. คลิก ระบบ > IP คลิกแท็บการตั้งค่าทั่วไปและทำเครื่องหมายที่เปิดใช้งาน IPv6 หากต้องการ ให้คลิกช่องทำเครื่องหมายปิดการใช้งาน IPv6 สำหรับเซลลูล่าร์
2. กำหนดค่าพารามิเตอร์ IPv6 ในแต่ละหน้าอินเทอร์เฟซ สามารถกำหนดค่า IPv6 สำหรับโหมดอัตโนมัติ ซึ่งจะใช้ SLAAC หรือ DHCPv6 เพื่อกำหนดค่าที่อยู่ เส้นทาง และ DNS หรือโหมดคงที่ ซึ่งอนุญาตให้ป้อนข้อมูลที่อยู่ด้วยตนเอง
2.3.2 การกำหนดค่า Dynamic DNS (DDNS) ด้วย Dynamic DNS (DDNS) คอนโซลเซิร์ฟเวอร์ที่มีที่อยู่ IP ถูกกำหนดแบบไดนามิกสามารถระบุตำแหน่งได้โดยใช้โฮสต์คงที่หรือชื่อโดเมน สร้างบัญชีกับผู้ให้บริการ DDNS ที่รองรับที่คุณเลือก เมื่อคุณตั้งค่าบัญชี DDNS คุณจะต้องเลือกชื่อผู้ใช้ รหัสผ่าน และชื่อโฮสต์ที่คุณจะใช้เป็นชื่อ DNS ผู้ให้บริการ DDNS ให้คุณเลือกชื่อโฮสต์ได้ URL และตั้งค่าที่อยู่ IP เริ่มต้นให้สอดคล้องกับชื่อโฮสต์นั้น URL.
14

คู่มือการใช้งาน
เพื่อเปิดใช้งานและกำหนดค่า DDNS บนอีเทอร์เน็ตหรือการเชื่อมต่อเครือข่ายโทรศัพท์เคลื่อนที่บนคอนโซลเซิร์ฟเวอร์ 1. คลิก ระบบ > IP และเลื่อนลงไปตามส่วน Dynamic DNS เลือกผู้ให้บริการ DDNS ของคุณ
จากรายการ Dynamic DNS แบบเลื่อนลง คุณยังสามารถตั้งค่าข้อมูล DDNS ได้ในแท็บ Cellular Modem ภายใต้ System > Dial
2. ใน DDNS Hostname ให้ป้อนชื่อโฮสต์ DNS แบบเต็มสำหรับคอนโซลเซิร์ฟเวอร์ของคุณ เช่น yourhostname.dyndns.org
3. กรอกชื่อผู้ใช้ DDNS และรหัสผ่าน DDNS สำหรับบัญชีผู้ให้บริการ DDNS 4. ระบุช่วงเวลาสูงสุดระหว่างการอัปเดตเป็นวัน การอัปเดต DDNS จะถูกส่งแม้ว่า
ที่อยู่ไม่ได้เปลี่ยนแปลง 5. ระบุช่วงเวลาขั้นต่ำระหว่างการตรวจสอบสำหรับที่อยู่ที่เปลี่ยนแปลงในหน่วยวินาที การอัปเดตจะ
จะถูกส่งหากที่อยู่มีการเปลี่ยนแปลง 6. ระบุจำนวนความพยายามสูงสุดต่อการอัปเดตซึ่งเป็นจำนวนครั้งที่พยายามอัปเดต
ก่อนที่จะยอมแพ้ นี่คือ 3 โดยค่าเริ่มต้น 7. คลิกสมัคร
15

บทที่ 2: การกำหนดค่าระบบ
2.3.3 โหมด EAPoL สำหรับ WAN, LAN และ OOBFO
(OOBFO ใช้ได้กับ IM7216-2-24E-DAC เท่านั้น)
เกินview ของ EAPoL IEEE 802.1X หรือ PNAC (การควบคุมการเข้าถึงเครือข่ายตามพอร์ต) ใช้คุณลักษณะการเข้าถึงทางกายภาพของโครงสร้างพื้นฐาน IEEE 802 LAN เพื่อให้มีวิธีการตรวจสอบสิทธิ์และการอนุญาตอุปกรณ์ที่เชื่อมต่อกับพอร์ต LAN ที่มีแบบจุดต่อ ลักษณะการเชื่อมต่อแบบจุด และการป้องกันการเข้าถึงพอร์ตนั้นในกรณีที่การรับรองความถูกต้องและการอนุญาตล้มเหลว พอร์ตในบริบทนี้เป็นจุดเดียวของการแนบกับโครงสร้างพื้นฐาน LAN
เมื่อโหนดไร้สายหรือแบบมีสาย (WN) ใหม่ร้องขอการเข้าถึงทรัพยากร LAN จุดเชื่อมต่อ (AP) จะขอข้อมูลระบุตัวตนของ WN ไม่อนุญาตให้มีการรับส่งข้อมูลอื่นนอกเหนือจาก EAP ก่อนที่ WN จะได้รับการตรวจสอบสิทธิ์ ("พอร์ต" ถูกปิดหรือ "ไม่ได้รับการตรวจสอบสิทธิ์") โหนดไร้สายที่ร้องขอการรับรองความถูกต้องมักเรียกว่า Supplicant โดย Supplicant มีหน้าที่รับผิดชอบในการตอบสนองต่อข้อมูล Authenticator ที่จะสร้างข้อมูลประจำตัวของตน เช่นเดียวกับจุดเข้าใช้งาน Authenticator ไม่ใช่จุดเข้าใช้งาน แต่จุดเข้าใช้งานจะมีตัวรับรองความถูกต้อง Authenticator ไม่จำเป็นต้องอยู่ในจุดเข้าใช้งาน อาจเป็นส่วนประกอบภายนอกได้ มีการนำวิธีการรับรองความถูกต้องต่อไปนี้ไปใช้:
· ผู้ร้องขอ EAP-MD5 o วิธี EAP MD5-Challenge ใช้ชื่อผู้ใช้/รหัสผ่านธรรมดา
· EAP-PEAP-MD5 หรือวิธีการตรวจสอบสิทธิ์ MD5 ของ EAP PEAP (Protected EAP) ใช้ข้อมูลรับรองผู้ใช้และใบรับรอง CA
· EAP-TLS หรือวิธีการตรวจสอบสิทธิ์ EAP TLS (Transport Layer Security) ต้องใช้ใบรับรอง CA, ใบรับรองไคลเอ็นต์ และคีย์ส่วนตัว
โปรโตคอล EAP ซึ่งใช้สำหรับการตรวจสอบสิทธิ์ เดิมใช้สำหรับ PPP แบบผ่านสายโทรศัพท์ ข้อมูลประจำตัวคือชื่อผู้ใช้ และใช้การตรวจสอบสิทธิ์ PAP หรือ CHAP เพื่อตรวจสอบรหัสผ่านของผู้ใช้ เนื่องจากข้อมูลประจำตัวถูกส่งอย่างชัดเจน (ไม่ได้เข้ารหัส) นักดมกลิ่นที่เป็นอันตรายจึงอาจเรียนรู้ข้อมูลประจำตัวของผู้ใช้ จึงมีการใช้ “การปกปิดตัวตน” ข้อมูลระบุตัวตนที่แท้จริงจะไม่ถูกส่งก่อนที่อุโมงค์ TLS ที่เข้ารหัสจะใช้งาน
16

คู่มือการใช้งาน
หลังจากส่งข้อมูลระบุตัวตนแล้ว กระบวนการตรวจสอบความถูกต้องจะเริ่มต้นขึ้น โปรโตคอลที่ใช้ระหว่างผู้จัดหาและตัวรับรองความถูกต้องคือ EAP (หรือ EAPoL) ตัวตรวจสอบความถูกต้องจะห่อหุ้มข้อความ EAP อีกครั้งเป็นรูปแบบ RADIUS และส่งต่อไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง ในระหว่างการตรวจสอบความถูกต้อง Authenticator จะถ่ายทอดแพ็กเก็ตระหว่างผู้จัดหาและเซิร์ฟเวอร์การตรวจสอบความถูกต้อง เมื่อกระบวนการตรวจสอบความถูกต้องเสร็จสิ้น เซิร์ฟเวอร์การตรวจสอบความถูกต้องจะส่งข้อความแสดงความสำเร็จ (หรือความล้มเหลว หากการตรวจสอบความถูกต้องล้มเหลว) Authenticator จะเปิด "พอร์ต" สำหรับผู้ร้องขอ การตั้งค่าการตรวจสอบสิทธิ์สามารถเข้าถึงได้จากหน้าการตั้งค่าผู้จัดหา EAPoL สถานะของ EAPoL ปัจจุบันจะแสดงโดยละเอียดในหน้าสถิติสถานะบนแท็บ EAPoL:
บทคัดย่อของ EAPoL บน ROLE เครือข่ายจะแสดงในส่วน “ตัวจัดการการเชื่อมต่อ” บนอินเทอร์เฟซแดชบอร์ด
17

บทที่ 2: การกำหนดค่าระบบ
แสดงด้านล่างเป็นอดีตampการรับรองความถูกต้องสำเร็จ:
รองรับ IEEE 802.1x (EAPOL) บนพอร์ตสวิตช์ของ IM7216-2-24E-DAC และ ACM7004-5: เพื่อหลีกเลี่ยงการวนซ้ำ ผู้ใช้ไม่ควรเสียบพอร์ตสวิตช์มากกว่าหนึ่งพอร์ตเข้ากับสวิตช์ระดับบนเดียวกัน
18

คู่มือการใช้งาน
2.4 การเข้าถึงบริการและการป้องกันแบบ Brute Force
ผู้ดูแลระบบสามารถเข้าถึงคอนโซลเซิร์ฟเวอร์และพอร์ตอนุกรมที่เชื่อมต่อและอุปกรณ์ที่ได้รับการจัดการโดยใช้โปรโตคอล/บริการการเข้าถึงที่หลากหลาย สำหรับการเข้าถึงแต่ละครั้ง
· ต้องกำหนดค่าบริการและเปิดใช้งานก่อนจึงจะรันบนคอนโซลเซิร์ฟเวอร์ได้ · ต้องเปิดใช้งานการเข้าถึงผ่านไฟร์วอลล์สำหรับการเชื่อมต่อเครือข่ายแต่ละรายการ หากต้องการเปิดใช้งานและกำหนดค่าบริการ: 1. คลิก ระบบ > บริการ และคลิกแท็บ การตั้งค่าบริการ

2. เปิดใช้งานและกำหนดค่าบริการพื้นฐาน:

เอชทีพี

ตามค่าเริ่มต้น บริการ HTTP กำลังทำงานอยู่ และไม่สามารถปิดใช้งานได้อย่างสมบูรณ์ ตามค่าเริ่มต้น การเข้าถึง HTTP จะถูกปิดใช้งานบนอินเทอร์เฟซทั้งหมด เราขอแนะนำให้ปิดการเข้าถึงนี้ไว้หากมีการเข้าถึงคอนโซลเซิร์ฟเวอร์จากระยะไกลผ่านทางอินเทอร์เน็ต
HTTP สำรองช่วยให้คุณสามารถกำหนดค่าพอร์ต HTTP สำรองเพื่อฟังได้ บริการ HTTP จะยังคงรับฟังบนพอร์ต TCP 80 สำหรับ CMS และการสื่อสารของตัวเชื่อมต่อ แต่จะไม่สามารถเข้าถึงได้ผ่านไฟร์วอลล์

HTTPS

ตามค่าเริ่มต้น บริการ HTTPS กำลังทำงานและเปิดใช้งานบนอินเทอร์เฟซเครือข่ายทั้งหมด ขอแนะนำให้ใช้เฉพาะการเข้าถึง HTTPS เท่านั้น หากคอนโซลเซิร์ฟเวอร์ได้รับการจัดการผ่านเครือข่ายสาธารณะใดๆ สิ่งนี้ทำให้มั่นใจได้ว่าผู้ดูแลระบบสามารถเข้าถึงเบราว์เซอร์ที่ปลอดภัยสำหรับเมนูทั้งหมดบนคอนโซลเซิร์ฟเวอร์ นอกจากนี้ยังอนุญาตให้ผู้ใช้ที่กำหนดค่าอย่างเหมาะสมเข้าถึงเบราว์เซอร์ที่ปลอดภัยไปยังเมนูจัดการที่เลือก
คุณสามารถปิดหรือเปิดใช้งานบริการ HTTPS อีกครั้งได้โดยตรวจสอบ HTTPS Web การจัดการและพอร์ตสำรองที่ระบุ (พอร์ตเริ่มต้นคือ 443)

เทลเน็ต

ตามค่าเริ่มต้น บริการ Telnet จะทำงานแต่ถูกปิดใช้งานบนอินเทอร์เฟซเครือข่ายทั้งหมด
สามารถใช้ Telnet เพื่อให้ผู้ดูแลระบบสามารถเข้าถึงเชลล์บรรทัดคำสั่งของระบบได้ บริการนี้อาจเป็นประโยชน์สำหรับผู้ดูแลระบบภายในและผู้ใช้ในการเข้าถึงคอนโซลอนุกรมที่เลือก เราขอแนะนำให้คุณปิดใช้งานบริการนี้หากคอนโซลเซิร์ฟเวอร์ได้รับการดูแลจากระยะไกล
ช่องทำเครื่องหมายเชลล์คำสั่ง Enable Telnet จะเปิดหรือปิดใช้งานบริการ Telnet พอร์ต Telnet สำรองที่จะรับฟังสามารถระบุได้ในพอร์ต Telnet สำรอง (พอร์ตเริ่มต้นคือ 23)

บทที่ 2: การกำหนดค่าระบบ

เซฟ

บริการนี้ให้การเข้าถึง SSH ที่ปลอดภัยไปยังคอนโซลเซิร์ฟเวอร์และอุปกรณ์ที่เชื่อมต่อ

และตามค่าเริ่มต้น บริการ SSH กำลังทำงานและเปิดใช้งานบนอินเทอร์เฟซทั้งหมด มันคือ

ขอแนะนำให้คุณเลือก SSH เป็นโปรโตคอลที่ผู้ดูแลระบบเชื่อมต่อ

คอนโซลเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ตหรือเครือข่ายสาธารณะอื่นๆ เท่านี้ก็จะได้

การสื่อสารที่ได้รับการรับรองความถูกต้องระหว่างโปรแกรมไคลเอนต์ SSH บนรีโมท

คอมพิวเตอร์และเซิร์ฟเวอร์ SSH ในคอนโซลเซิร์ฟเวอร์ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SSH

การกำหนดค่า ดูบทที่ 8 – การรับรองความถูกต้อง

ช่องทำเครื่องหมายเปิดใช้งานเชลล์คำสั่ง SSH จะเปิดหรือปิดใช้งานบริการนี้ สามารถระบุพอร์ต SSH สำรองที่จะรับฟังได้ในพอร์ตเชลล์คำสั่ง SSH (พอร์ตเริ่มต้นคือ 22)

3. เปิดใช้งานและกำหนดค่าบริการอื่น ๆ :

TFTP/FTP หากตรวจพบแฟลชการ์ด USB หรือแฟลชภายในบนคอนโซลเซิร์ฟเวอร์ การเลือกเปิดใช้งานบริการ TFTP (FTP) จะเปิดใช้งานบริการนี้ และตั้งค่าเซิร์ฟเวอร์ tftp และ ftp เริ่มต้นบนแฟลช USB เซิร์ฟเวอร์เหล่านี้ใช้เพื่อจัดเก็บการกำหนดค่า files, รักษาการเข้าถึงและบันทึกธุรกรรม ฯลฯ Fileข้อมูลที่ถ่ายโอนโดยใช้ tftp และ ftp จะถูกจัดเก็บไว้ภายใต้ /var/mnt/storage.usb/tftpboot/ (หรือ /var/mnt/storage.nvlog/tftpboot/ บนอุปกรณ์ ACM7000series) การยกเลิกการเลือกเปิดใช้งานบริการ TFTP (FTP) จะเป็นการปิดใช้บริการ TFTP (FTP)

การตรวจสอบรีเลย์ DNS เปิดใช้งานเซิร์ฟเวอร์ DNS/รีเลย์เปิดใช้งานคุณสมบัติรีเลย์ DNS เพื่อให้ไคลเอนต์สามารถกำหนดค่าด้วย IP ของเซิร์ฟเวอร์คอนโซลสำหรับการตั้งค่าเซิร์ฟเวอร์ DNS และเซิร์ฟเวอร์คอนโซลจะส่งต่อแบบสอบถาม DNS ไปยังเซิร์ฟเวอร์ DNS จริง

Web เปิดใช้งานการตรวจสอบเทอร์มินัล Web เทอร์มินัลอนุญาต web เบราว์เซอร์เข้าถึงเชลล์บรรทัดคำสั่งของระบบผ่านจัดการ > เทอร์มินัล

4. ระบุหมายเลขพอร์ตสำรองสำหรับ Raw TCP, Telnet/SSH โดยตรง และบริการ Telnet/SSH ที่ไม่ได้รับอนุญาต คอนโซลเซิร์ฟเวอร์ใช้ช่วงเฉพาะสำหรับพอร์ต TCP/IP สำหรับการเข้าถึงต่างๆ
บริการที่ผู้ใช้สามารถใช้ในการเข้าถึงอุปกรณ์ที่เชื่อมต่อกับพอร์ตอนุกรม (ดังที่กล่าวถึงในบทที่ 3 กำหนดค่าพอร์ตอนุกรม) ผู้ดูแลระบบสามารถกำหนดช่วงอื่นสำหรับบริการเหล่านี้ และพอร์ตรองเหล่านี้จะถูกใช้นอกเหนือจากค่าเริ่มต้น

ที่อยู่พอร์ตฐาน TCP/IP เริ่มต้นสำหรับการเข้าถึง Telnet คือ 2000 และช่วงสำหรับ Telnet คือที่อยู่ IP: พอร์ต (2000 + หมายเลขพอร์ตอนุกรม) เช่น 2001 2048 หากผู้ดูแลระบบต้องตั้งค่า 8000 เป็นฐานรองสำหรับ Telnet หมายเลขซีเรียล พอร์ต #2 บนคอนโซลเซิร์ฟเวอร์สามารถเข้าถึง Telnet ได้ที่ IP
ที่อยู่: 2002 และที่อยู่ IP: 8002 ฐานเริ่มต้นสำหรับ SSH คือ 3000; สำหรับ Raw TCP คือ 4000; และสำหรับ RFC2217 คือ 5000

5. สามารถเปิดใช้งานและกำหนดค่าบริการอื่น ๆ ได้จากเมนูนี้โดยเลือกคลิกที่นี่เพื่อกำหนดค่า:

Nagios เข้าถึง daemons การตรวจสอบ Nagios NRPE

ถั่ว

เข้าถึงภูตตรวจสอบ NUT UPS

SNMP เปิดใช้งาน snmp ในคอนโซลเซิร์ฟเวอร์ SNMP ถูกปิดใช้งานตามค่าเริ่มต้น

เอ็นทีพี

6. คลิกสมัคร ข้อความยืนยันปรากฏขึ้น: ข้อความ เปลี่ยนแปลงการกำหนดค่าสำเร็จแล้ว

การตั้งค่าการเข้าถึงบริการสามารถตั้งค่าให้อนุญาตหรือบล็อกการเข้าถึงได้ ข้อมูลนี้ระบุว่าผู้ดูแลระบบบริการที่เปิดใช้งานใดบ้างที่สามารถใช้ผ่านแต่ละอินเทอร์เฟซเครือข่ายเพื่อเชื่อมต่อกับคอนโซลเซิร์ฟเวอร์ และผ่านคอนโซลเซิร์ฟเวอร์ไปยังอุปกรณ์ที่เชื่อมต่อแบบอนุกรมและเครือข่ายที่เชื่อมต่อ

คู่มือการใช้งาน
1. เลือกแท็บการเข้าถึงบริการในหน้าระบบ > บริการ
2. ซึ่งจะแสดงบริการที่เปิดใช้งานสำหรับอินเทอร์เฟซเครือข่ายของคอนโซลเซิร์ฟเวอร์ ขึ้นอยู่กับรุ่นคอนโซลเซิร์ฟเวอร์เฉพาะ อินเทอร์เฟซที่แสดงอาจรวมถึง: · อินเทอร์เฟซเครือข่าย (สำหรับการเชื่อมต่ออีเทอร์เน็ตหลัก) · LAN การจัดการ / OOB Failover (การเชื่อมต่ออีเทอร์เน็ตที่สอง) · โทรออก /Cellular (โมเด็ม V90 และ 3G) · โทรเข้า (ภายใน หรือโมเด็ม V90 ภายนอก) · VPN (การเชื่อมต่อ IPsec หรือ Open VPN ผ่านอินเทอร์เฟซเครือข่ายใด ๆ )
3. เลือก/ยกเลิกการเลือกแต่ละเครือข่ายที่ต้องการเปิด/ปิดการเข้าถึงบริการ ตัวเลือกการเข้าถึงบริการตอบสนองต่อ ICMP echoes (เช่น ping) ที่สามารถกำหนดค่าได้ที่จุดนี้tagจ. ซึ่งช่วยให้เซิร์ฟเวอร์คอนโซลตอบสนองต่อการร้องขอ ICMP echo ขาเข้า Ping ถูกเปิดใช้งานตามค่าเริ่มต้น เพื่อความปลอดภัยที่เพิ่มขึ้น คุณควรปิดใช้งานบริการนี้เมื่อคุณกำหนดค่าเริ่มต้นเสร็จแล้ว คุณสามารถอนุญาตให้อุปกรณ์พอร์ตอนุกรมเข้าถึงได้จากอินเทอร์เฟซเครือข่ายที่ได้รับการเสนอชื่อโดยใช้ Raw TCP, Telnet/SSH โดยตรง, บริการ Telnet/SSH ที่ไม่ได้รับการรับรองความถูกต้อง ฯลฯ
4. คลิกสมัคร Web การตั้งค่าการจัดการ ช่องทำเครื่องหมายเปิดใช้งาน HSTS เปิดใช้งานการรักษาความปลอดภัยการขนส่ง HTTP ที่เข้มงวด โหมด HSTS หมายความว่าควรส่งส่วนหัว StrictTransport-Security ผ่านการขนส่ง HTTPS เป็นไปตามข้อกำหนด web เบราว์เซอร์จำส่วนหัวนี้ และเมื่อถูกขอให้ติดต่อโฮสต์เดียวกันผ่าน HTTP (ธรรมดา) ส่วนหัวก็จะเปลี่ยนไปโดยอัตโนมัติ
19

บทที่ 2: การกำหนดค่าระบบ
HTTPS ก่อนที่จะลองใช้ HTTP ตราบใดที่เบราว์เซอร์ได้เข้าถึงไซต์ที่ปลอดภัยหนึ่งครั้งและเห็นส่วนหัว STS
การป้องกันแบบ Brute Force การป้องกันแบบ Brute Force (Micro Fail2ban) จะบล็อก IP ต้นทางที่แสดงสัญญาณที่เป็นอันตรายชั่วคราว เช่น รหัสผ่านล้มเหลวมากเกินไป วิธีนี้อาจช่วยได้เมื่อบริการเครือข่ายของอุปกรณ์สัมผัสกับเครือข่ายที่ไม่น่าเชื่อถือ เช่น WAN สาธารณะและการโจมตีด้วยสคริปต์ หรือเวิร์มซอฟต์แวร์กำลังพยายามคาดเดาข้อมูลรับรองผู้ใช้ (แบบบังคับดุร้าย) และเข้าถึงโดยไม่ได้รับอนุญาต

อาจเปิดใช้งานการป้องกันแบบ Brute Force สำหรับบริการที่ระบุไว้ ตามค่าเริ่มต้น เมื่อเปิดใช้งานการป้องกัน ความพยายามในการเชื่อมต่อที่ล้มเหลว 3 ครั้งขึ้นไปภายใน 60 วินาทีจาก IP ต้นทางที่ระบุ จะถูกแบนจากการเชื่อมต่อตามช่วงเวลาที่กำหนดได้ ขีดจำกัดความพยายามและการหมดเวลาการแบนอาจปรับแต่งได้ การแบนที่ใช้งานอยู่จะแสดงอยู่ในรายการด้วยและอาจรีเฟรชได้โดยการโหลดหน้าซ้ำ

บันทึก

เมื่อทำงานบนเครือข่ายที่ไม่น่าเชื่อถือ ให้ลองใช้กลยุทธ์ต่างๆ เพื่อล็อคการเข้าถึงระยะไกล ซึ่งรวมถึงการตรวจสอบสิทธิ์คีย์สาธารณะ SSH, VPN และกฎไฟร์วอลล์
รายการที่อนุญาตการเข้าถึงระยะไกลจากเครือข่ายต้นทางที่เชื่อถือได้เท่านั้น ดูฐานความรู้ของ Opengear สำหรับรายละเอียด

2.5 ซอฟต์แวร์การสื่อสาร
คุณได้กำหนดค่าโปรโตคอลการเข้าถึงสำหรับไคลเอ็นต์ผู้ดูแลระบบเพื่อใช้เมื่อเชื่อมต่อกับคอนโซลเซิร์ฟเวอร์ ไคลเอนต์ผู้ใช้ยังใช้โปรโตคอลเหล่านี้เมื่อเข้าถึงอุปกรณ์ที่ต่อพ่วงแบบอนุกรมของเซิร์ฟเวอร์คอนโซลและโฮสต์ที่ต่อกับเครือข่าย คุณต้องติดตั้งเครื่องมือซอฟต์แวร์การสื่อสารบนคอมพิวเตอร์ของผู้ดูแลระบบและไคลเอนต์ของผู้ใช้ ในการเชื่อมต่อคุณสามารถใช้เครื่องมือเช่น PuTTY และ SSHTerm

คู่มือการใช้งาน
ตัวเชื่อมต่อที่มีจำหน่ายในท้องตลาดจะจับคู่โปรโตคอล SSH tunneling ที่เชื่อถือได้กับเครื่องมือการเข้าถึงยอดนิยม เช่น Telnet, SSH, HTTP, HTTPS, VNC, RDP เพื่อให้การเข้าถึงการจัดการระยะไกลแบบชี้และคลิกอย่างปลอดภัยสำหรับระบบและอุปกรณ์ทั้งหมดที่ได้รับการจัดการ ข้อมูลเกี่ยวกับการใช้ตัวเชื่อมต่อสำหรับการเข้าถึงเบราว์เซอร์ไปยังคอนโซลการจัดการของเซิร์ฟเวอร์คอนโซล การเข้าถึง Telnet/SSH ไปยังบรรทัดคำสั่งคอนโซลเซิร์ฟเวอร์ และการเชื่อมต่อ TCP/UDP กับโฮสต์ที่เป็นเครือข่ายที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์สามารถพบได้ในบทที่ 5 ตัวเชื่อมต่อสามารถ ติดตั้งบนพีซี Windows, Mac OS X และบนระบบ Linux, UNIX และ Solaris ส่วนใหญ่
2.6 การกำหนดค่าเครือข่ายการจัดการ
คอนโซลเซิร์ฟเวอร์มีพอร์ตเครือข่ายเพิ่มเติมที่สามารถกำหนดค่าเพื่อให้มีการเข้าถึง LAN การจัดการและ/หรือเฟลโอเวอร์หรือการเข้าถึงนอกแบนด์ 2.6.1 เปิดใช้งานเซิร์ฟเวอร์คอนโซลการจัดการ LAN ที่สามารถกำหนดค่าได้ เพื่อให้พอร์ตอีเทอร์เน็ตที่สองมีเกตเวย์ LAN การจัดการ เกตเวย์มีคุณสมบัติไฟร์วอลล์ เราเตอร์ และเซิร์ฟเวอร์ DHCP คุณต้องเชื่อมต่อสวิตช์ LAN ภายนอกกับเครือข่าย 2 เพื่อเชื่อมต่อโฮสต์กับ LAN การจัดการนี้:
หมายเหตุ พอร์ตอีเทอร์เน็ตที่สองสามารถกำหนดค่าเป็นพอร์ตเกตเวย์ Management LAN หรือเป็นพอร์ต OOB/Failover ตรวจสอบให้แน่ใจว่าคุณไม่ได้จัดสรร NET2 เป็นอินเทอร์เฟซ Failover เมื่อคุณกำหนดค่าการเชื่อมต่อเครือข่ายหลักบนเมนู System > IP
21

บทที่ 2: การกำหนดค่าระบบ
ในการกำหนดค่าเกตเวย์ LAN การจัดการ: 1. เลือกแท็บอินเทอร์เฟซ LAN การจัดการบนเมนูระบบ > IP และยกเลิกการเลือกปิดใช้งาน 2. กำหนดค่าที่อยู่ IP และซับเน็ตมาสก์สำหรับ LAN การจัดการ ปล่อยให้ฟิลด์ DNS ว่างไว้ 3. คลิกสมัคร
ฟังก์ชันเกตเวย์การจัดการเปิดใช้งานด้วยไฟร์วอลล์เริ่มต้นและกฎเราเตอร์ที่กำหนดค่าไว้ ดังนั้น LAN การจัดการจึงสามารถเข้าถึงได้โดยการส่งต่อพอร์ต SSH เท่านั้น สิ่งนี้ทำให้แน่ใจได้ว่าการเชื่อมต่อระยะไกลและภายในกับอุปกรณ์ที่ได้รับการจัดการบน Management LAN นั้นปลอดภัย พอร์ต LAN ยังสามารถกำหนดค่าในโหมดบริดจ์หรือโหมดบอนด์ หรือกำหนดค่าด้วยตนเองจากบรรทัดคำสั่ง 2.6.2 กำหนดค่าเซิร์ฟเวอร์ DHCP เซิร์ฟเวอร์ DHCP ช่วยให้สามารถกระจายที่อยู่ IP โดยอัตโนมัติไปยังอุปกรณ์บน LAN การจัดการที่กำลังเรียกใช้ไคลเอ็นต์ DHCP หากต้องการเปิดใช้งานเซิร์ฟเวอร์ DHCP:
1. คลิก ระบบ > เซิร์ฟเวอร์ DHCP 2. บนแท็บ Network Interface ให้ทำเครื่องหมายที่ Enable DHCP Server
22

คู่มือการใช้งาน
3. ป้อนที่อยู่เกตเวย์ที่จะออกให้กับไคลเอนต์ DHCP หากเว้นว่างช่องนี้ ระบบจะใช้ที่อยู่ IP ของคอนโซลเซิร์ฟเวอร์
4. ป้อน DNS หลักและที่อยู่ DNS รองเพื่อออกไคลเอ็นต์ DHCP หากเว้นว่างช่องนี้ ระบบจะใช้ที่อยู่ IP ของคอนโซลเซิร์ฟเวอร์
5. ป้อนส่วนต่อท้ายชื่อโดเมนเพื่อออกไคลเอ็นต์ DHCP หรือไม่ก็ได้ 6. ป้อนเวลาเช่าเริ่มต้นและเวลาเช่าสูงสุดในหน่วยวินาที นี่คือระยะเวลา
ที่อยู่ IP ที่กำหนดแบบไดนามิกนั้นถูกต้องก่อนที่ลูกค้าจะต้องร้องขออีกครั้ง 7. คลิก ใช้ เซิร์ฟเวอร์ DHCP จะออกที่อยู่ IP จากกลุ่มที่อยู่ที่ระบุ: 1. คลิก เพิ่ม ในฟิลด์ กลุ่มการจัดสรรที่อยู่แบบไดนามิก 2. ป้อนที่อยู่เริ่มต้นพูล DHCP และที่อยู่สิ้นสุด 3. คลิกสมัคร
23

บทที่ 2: การกำหนดค่าระบบ
เซิร์ฟเวอร์ DHCP ยังรองรับการกำหนดที่อยู่ IP ล่วงหน้าเพื่อจัดสรรให้กับที่อยู่ MAC เฉพาะ และสำรองที่อยู่ IP ที่จะใช้โดยโฮสต์ที่เชื่อมต่อด้วยที่อยู่ IP แบบคงที่ หากต้องการจองที่อยู่ IP สำหรับโฮสต์เฉพาะ:
1. คลิกเพิ่มในช่องที่อยู่ที่สงวนไว้ 2. ป้อนชื่อโฮสต์ ที่อยู่ฮาร์ดแวร์ (MAC) และที่อยู่ IP ที่สงวนไว้แบบคงที่สำหรับ
ไคลเอนต์ DHCP แล้วคลิกนำไปใช้
เมื่อ DHCP จัดสรรที่อยู่โฮสต์แล้ว ขอแนะนำให้คัดลอกที่อยู่เหล่านี้ลงในรายการที่กำหนดไว้ล่วงหน้า เพื่อให้ที่อยู่ IP เดียวกันได้รับการจัดสรรใหม่ในกรณีที่มีการรีบูต
24

คู่มือการใช้งาน
2.6.3 เลือกเซิร์ฟเวอร์คอนโซล Failover หรือบรอดแบนด์ OOB ให้ตัวเลือกการแทนที่เมื่อเกิดข้อผิดพลาด ดังนั้นในกรณีที่เกิดปัญหาโดยใช้การเชื่อมต่อ LAN หลักสำหรับการเข้าถึงคอนโซลเซิร์ฟเวอร์ จะมีการใช้เส้นทางการเข้าถึงอื่น หากต้องการเปิดใช้งานเฟลโอเวอร์:
1. เลือกหน้า Network Interface บนเมนู System > IP 2. เลือก Failover Interface ที่จะใช้ในกรณีที่เกิดข้อผิดพลาดtage บนเครือข่ายหลัก
3. คลิกสมัคร เฟลโอเวอร์จะใช้งานได้หลังจากที่คุณระบุไซต์ภายนอกที่จะตรวจสอบเพื่อทริกเกอร์เฟลโอเวอร์และตั้งค่าพอร์ตเฟลโอเวอร์
2.6.4 การรวมพอร์ตเครือข่าย ตามค่าเริ่มต้น พอร์ตเครือข่าย Management LAN ของเซิร์ฟเวอร์คอนโซลสามารถเข้าถึงได้โดยใช้การสร้างช่องสัญญาณ SSH /การส่งต่อพอร์ต หรือโดยการสร้างช่องสัญญาณ IPsec VPN ไปยังคอนโซลเซิร์ฟเวอร์ พอร์ตเครือข่ายแบบใช้สายทั้งหมดบนคอนโซลเซิร์ฟเวอร์สามารถรวมเข้าด้วยกันได้โดยการเชื่อมต่อหรือเชื่อมต่อ
25

คู่มือการใช้งาน
· ตามค่าเริ่มต้น การรวมส่วนต่อประสานจะถูกปิดใช้งานบนเมนู ระบบ > IP > การตั้งค่าทั่วไป · เลือกส่วนต่อประสานบริดจ์หรือส่วนต่อประสานบอนด์
o เมื่อเปิดใช้งานการเชื่อมต่อ การรับส่งข้อมูลเครือข่ายจะถูกส่งต่อผ่านพอร์ตอีเธอร์เน็ตทั้งหมดโดยไม่มีข้อจำกัดไฟร์วอลล์ พอร์ตอีเธอร์เน็ตทั้งหมดเชื่อมต่ออย่างโปร่งใสที่ดาต้าลิงค์เลเยอร์ (เลเยอร์ 2) ดังนั้นจึงรักษาที่อยู่ MAC ที่เป็นเอกลักษณ์ไว้
o ด้วยการเชื่อมต่อ การรับส่งข้อมูลเครือข่ายจะดำเนินการระหว่างพอร์ต แต่มีที่อยู่ MAC เดียว
ทั้งสองโหมดจะลบฟังก์ชัน Management LAN Interface และ Out-of-Band/Failover Interface ทั้งหมดออก และปิดใช้งานเซิร์ฟเวอร์ DHCP · ในโหมดการรวมพอร์ต Ethernet ทั้งหมดได้รับการกำหนดค่าร่วมกันโดยใช้เมนู Network Interface
25

บทที่ 2: การกำหนดค่าระบบ
2.6.5 เส้นทางแบบคงที่ เส้นทางแบบคงที่ให้วิธีที่รวดเร็วมากในการกำหนดเส้นทางข้อมูลจากเครือข่ายย่อยหนึ่งไปยังเครือข่ายย่อยอื่น คุณสามารถฮาร์ดโค้ดเส้นทางที่บอกให้คอนโซลเซิร์ฟเวอร์/เราเตอร์เข้าถึงเครือข่ายย่อยบางแห่งโดยใช้เส้นทางที่แน่นอน ซึ่งอาจเป็นประโยชน์สำหรับการเข้าถึงเครือข่ายย่อยต่างๆ ที่ไซต์ระยะไกลเมื่อใช้การเชื่อมต่อ OOB ของโทรศัพท์เคลื่อนที่

หากต้องการเพิ่มเส้นทางแบบคงที่ลงในตารางเส้นทางของระบบ:
1. เลือกแท็บการตั้งค่าเส้นทางบนเมนูระบบ > การตั้งค่าทั่วไปของ IP
2. คลิกเส้นทางใหม่
3. ป้อนชื่อเส้นทางสำหรับเส้นทาง
4. ในฟิลด์เครือข่ายปลายทาง/โฮสต์ ให้ป้อนที่อยู่ IP ของเครือข่าย/โฮสต์ปลายทางที่เส้นทางให้การเข้าถึง
5. ป้อนค่าในฟิลด์ Destination netmask ที่ระบุเครือข่ายหรือโฮสต์ปลายทาง ตัวเลขใดๆ ระหว่าง 0 ถึง 32 ซับเน็ตมาสก์ 32 ระบุเส้นทางโฮสต์
6. ป้อน Route Gateway ด้วยที่อยู่ IP ของเราเตอร์ที่จะกำหนดเส้นทางแพ็กเก็ตไปยังเครือข่ายปลายทาง นี้อาจเว้นว่างไว้
7. เลือก Interface ที่จะใช้ไปถึงจุดหมายอาจจะเหลือเป็น None
8. ป้อนค่าในฟิลด์เมตริกที่แสดงถึงเมตริกของการเชื่อมต่อนี้ ใช้ตัวเลขใดๆ ที่เท่ากับหรือมากกว่า 0 ต้องตั้งค่านี้เฉพาะในกรณีที่เส้นทางสองเส้นทางขึ้นไปขัดแย้งกันหรือมีเป้าหมายที่ทับซ้อนกัน
9. คลิกนำไปใช้

บันทึก

หน้ารายละเอียดเส้นทางแสดงรายการอินเทอร์เฟซเครือข่ายและโมเด็มที่สามารถผูกเส้นทางได้ ในกรณีของโมเด็ม เส้นทางจะถูกแนบกับเซสชันการเรียกเลขหมายใดๆ ที่สร้างขึ้นผ่านอุปกรณ์นั้น สามารถระบุเส้นทางด้วยเกตเวย์ อินเทอร์เฟซ หรือทั้งสองอย่าง หากอินเทอร์เฟซที่ระบุไม่ทำงาน เส้นทางที่กำหนดค่าสำหรับอินเทอร์เฟซนั้นจะไม่ทำงาน

คู่มือผู้ใช้ 3. พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้
คอนโซลเซิร์ฟเวอร์ช่วยให้สามารถเข้าถึงและควบคุมอุปกรณ์ที่ต่ออนุกรมและอุปกรณ์ที่ต่อกับเครือข่าย (โฮสต์) ผู้ดูแลระบบต้องกำหนดค่าสิทธิ์การเข้าถึงสำหรับอุปกรณ์แต่ละเครื่องและระบุบริการที่สามารถใช้เพื่อควบคุมอุปกรณ์ได้ ผู้ดูแลระบบยังสามารถตั้งค่าผู้ใช้ใหม่และระบุสิทธิ์การเข้าถึงและการควบคุมของผู้ใช้แต่ละคนได้
บทนี้ครอบคลุมแต่ละขั้นตอนในการกำหนดค่าอุปกรณ์ที่เชื่อมต่อเครือข่ายและอุปกรณ์ที่ต่อแบบอนุกรม: · พอร์ตอนุกรมการตั้งค่าโปรโตคอลที่ใช้อุปกรณ์ที่เชื่อมต่อแบบอนุกรม · ผู้ใช้และกลุ่มที่ตั้งค่าผู้ใช้และการกำหนดสิทธิ์การเข้าถึงสำหรับผู้ใช้แต่ละรายเหล่านี้ · การตรวจสอบสิทธิ์จะกล่าวถึงในรายละเอียดเพิ่มเติม รายละเอียดในบทที่ 8 · โฮสต์เครือข่ายการกำหนดค่าการเข้าถึงคอมพิวเตอร์หรืออุปกรณ์ที่เชื่อมต่อกับเครือข่ายท้องถิ่น (โฮสต์) · การกำหนดค่าเครือข่ายที่เชื่อถือได้ – เสนอที่อยู่ IP ที่ผู้ใช้ที่เชื่อถือได้เข้าถึงได้จาก · การเรียงซ้อนและการเปลี่ยนเส้นทางของพอร์ตคอนโซลอนุกรม · การเชื่อมต่อกับพลังงาน (UPS, PDU และ IPMI) และอุปกรณ์ตรวจสอบสภาพแวดล้อม (EMD) · การเปลี่ยนเส้นทางพอร์ตอนุกรมโดยใช้หน้าต่าง PortShare และไคลเอนต์ Linux · อุปกรณ์ที่ได้รับการจัดการ - นำเสนอการรวม view ของการเชื่อมต่อทั้งหมด · IPSec เปิดใช้งานการเชื่อมต่อ VPN · OpenVPN · PPTP
3.1 กำหนดค่าพอร์ตอนุกรม
ขั้นตอนแรกในการกำหนดค่าพอร์ตอนุกรมคือการตั้งค่าการตั้งค่าทั่วไป เช่น โปรโตคอลและพารามิเตอร์ RS232 ที่จะใช้สำหรับการเชื่อมต่อข้อมูลกับพอร์ตนั้น (เช่น อัตรารับส่งข้อมูล) เลือกโหมดที่จะใช้งานพอร์ต แต่ละพอร์ตสามารถตั้งค่าให้รองรับโหมดการทำงานใดโหมดหนึ่งเหล่านี้ได้:
· โหมดปิดใช้งานเป็นค่าเริ่มต้น พอร์ตอนุกรมจะไม่ทำงาน
27

บทที่ 3:

พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้

· โหมดเซิร์ฟเวอร์คอนโซลช่วยให้สามารถเข้าถึงพอร์ตคอนโซลอนุกรมทั่วไปบนอุปกรณ์ที่เชื่อมต่อแบบอนุกรม
· โหมดอุปกรณ์จะตั้งค่าพอร์ตอนุกรมเพื่อสื่อสารกับ PDU, UPS หรืออุปกรณ์ตรวจสอบสภาพแวดล้อม (EMD) ที่ควบคุมแบบอนุกรมอัจฉริยะ
· โหมดเซิร์ฟเวอร์เทอร์มินัลจะตั้งค่าพอร์ตอนุกรมให้รอเซสชันการเข้าสู่ระบบเทอร์มินัลขาเข้า · โหมดซีเรียลบริดจ์ช่วยให้สามารถเชื่อมต่อระหว่างกันอย่างโปร่งใสของอุปกรณ์พอร์ตอนุกรมสองตัวผ่าน
เครือข่าย
1. เลือก อนุกรมและเครือข่าย > พอร์ตอนุกรม เพื่อแสดงรายละเอียดพอร์ตอนุกรม 2. ตามค่าเริ่มต้น พอร์ตอนุกรมแต่ละพอร์ตจะถูกตั้งค่าในโหมดเซิร์ฟเวอร์คอนโซล คลิกแก้ไขถัดจากพอร์ตที่ต้องการ
กำหนดค่าใหม่ หรือคลิกแก้ไขหลายพอร์ตแล้วเลือกพอร์ตที่คุณต้องการกำหนดค่าเป็นกลุ่ม 3. เมื่อคุณได้กำหนดการตั้งค่าทั่วไปและโหมดสำหรับแต่ละพอร์ตใหม่แล้ว ให้ตั้งค่า syslog ระยะไกลใดๆ (ดูส่วนต่อไปนี้สำหรับข้อมูลเฉพาะ) คลิกนำไปใช้ 4. หากคอนโซลเซิร์ฟเวอร์ได้รับการกำหนดค่าให้เปิดใช้งานการตรวจสอบ Nagios แบบกระจาย ให้ใช้ตัวเลือกการตั้งค่า Nagios เพื่อเปิดใช้งานบริการที่ได้รับการเสนอชื่อบนโฮสต์ที่จะตรวจสอบ 3.1.1 การตั้งค่าทั่วไป มีการตั้งค่าทั่วไปจำนวนหนึ่งที่สามารถตั้งค่าได้สำหรับแต่ละอนุกรม ท่าเรือ. สิ่งเหล่านี้ไม่ขึ้นอยู่กับโหมดที่ใช้พอร์ต ต้องตั้งค่าพารามิเตอร์พอร์ตอนุกรมเหล่านี้ให้ตรงกับพารามิเตอร์พอร์ตอนุกรมบนอุปกรณ์ที่คุณต่อเข้ากับพอร์ตนั้น:
28

คู่มือการใช้งาน

· พิมพ์ป้ายกำกับสำหรับพอร์ต · เลือก Baud Rate, Parity, Data Bits, Stop Bits และ Flow Control ที่เหมาะสมสำหรับแต่ละพอร์ต

· ตั้งค่าพอร์ต Pinout รายการเมนูนี้จะปรากฏขึ้นสำหรับพอร์ต IM7200 โดยที่พินเอาท์สำหรับพอร์ตอนุกรม RJ45 แต่ละพอร์ตสามารถตั้งค่าเป็น X2 (Cisco Straight) หรือ X1 (Cisco Rolled)

· ตั้งค่าโหมด DTR วิธีนี้ช่วยให้คุณเลือกได้ว่าจะยืนยัน DTR เสมอหรือยืนยันเฉพาะเมื่อมีเซสชันผู้ใช้ที่ใช้งานอยู่

· ก่อนดำเนินการกำหนดค่าพอร์ตอนุกรมเพิ่มเติม คุณควรเชื่อมต่อพอร์ตกับอุปกรณ์อนุกรมที่จะควบคุมและตรวจสอบให้แน่ใจว่าพอร์ตเหล่านั้นมีการตั้งค่าที่ตรงกัน

3.1.2

โหมดเซิร์ฟเวอร์คอนโซล
เลือกโหมดเซิร์ฟเวอร์คอนโซลเพื่อเปิดใช้งานการเข้าถึงการจัดการระยะไกลไปยังคอนโซลอนุกรมที่แนบกับพอร์ตอนุกรมนี้:

ระดับการบันทึก ระบุระดับของข้อมูลที่จะบันทึกและติดตาม
29

บทที่ 3: พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้
ระดับ 0: ปิดใช้งานการบันทึก (ค่าเริ่มต้น)
ระดับ 1: บันทึกเหตุการณ์เข้าสู่ระบบ ออกจากระบบ และส่งสัญญาณ
ระดับ 2: บันทึกเหตุการณ์เข้าสู่ระบบ เข้าสู่ระบบ สัญญาณ TXDATA และ RXDATA
ระดับ 3: บันทึกเหตุการณ์เข้าสู่ระบบ เข้าสู่ระบบ สัญญาณ และ RXDATA
ระดับ 4: บันทึกเหตุการณ์เข้าสู่ระบบ ออกจากระบบ สัญญาณ และ TXDATA
อินพุต/RXDATA คือข้อมูลที่อุปกรณ์ Opengear ได้รับจากอุปกรณ์อนุกรมที่เชื่อมต่ออยู่ และเอาต์พุต/TXDATA คือข้อมูลที่อุปกรณ์ Opengear ส่ง (เช่น พิมพ์โดยผู้ใช้) ไปยังอุปกรณ์อนุกรมที่เชื่อมต่ออยู่
โดยทั่วไปคอนโซลอุปกรณ์จะสะท้อนกลับอักขระในขณะที่พิมพ์ ดังนั้น TXDATA ที่ผู้ใช้พิมพ์จะได้รับในภายหลังเป็น RXDATA ซึ่งแสดงบนเทอร์มินัล
หมายเหตุ: หลังจากแจ้งให้ใส่รหัสผ่าน อุปกรณ์ที่เชื่อมต่อจะส่งอักขระ * เพื่อป้องกันไม่ให้แสดงรหัสผ่าน

Telnet เมื่อเปิดใช้งานบริการ Telnet บนคอนโซลเซิร์ฟเวอร์ ไคลเอนต์ Telnet บนคอมพิวเตอร์ของผู้ใช้สามารถเชื่อมต่อกับอุปกรณ์อนุกรมที่เชื่อมต่อกับพอร์ตอนุกรมนี้บนคอนโซลเซิร์ฟเวอร์ เนื่องจากการสื่อสาร Telnet ไม่ได้เข้ารหัส จึงแนะนำให้ใช้โปรโตคอลนี้สำหรับการเชื่อมต่อภายในเครื่องหรือการเชื่อมต่อแบบอุโมงค์ VPN เท่านั้น
หากการสื่อสารระยะไกลถูกสร้างช่องสัญญาณด้วยตัวเชื่อมต่อ ก็สามารถใช้ Telnet เพื่อเข้าถึงอุปกรณ์ที่เชื่อมต่อเหล่านี้ได้อย่างปลอดภัย

บันทึก

ในโหมดคอนโซลเซิร์ฟเวอร์ ผู้ใช้สามารถใช้ตัวเชื่อมต่อเพื่อตั้งค่าการเชื่อมต่อ Telnet ที่ปลอดภัยซึ่งมีช่องทาง SSH จากคอมพิวเตอร์ไคลเอนต์ไปยังพอร์ตอนุกรมบนคอนโซลเซิร์ฟเวอร์ ตัวเชื่อมต่อสามารถติดตั้งได้บนพีซี Windows และแพลตฟอร์ม Linux ส่วนใหญ่ และช่วยให้สามารถเลือกการเชื่อมต่อ Telnet ที่ปลอดภัยได้ด้วยการชี้แล้วคลิก

หากต้องการใช้ตัวเชื่อมต่อเพื่อเข้าถึงคอนโซลบนพอร์ตอนุกรมของคอนโซลเซิร์ฟเวอร์ ให้กำหนดค่าตัวเชื่อมต่อด้วยคอนโซลเซิร์ฟเวอร์เป็นเกตเวย์และเป็นโฮสต์ และเปิดใช้งานบริการ Telnet บนพอร์ต (2000 + พอร์ตอนุกรม #) เช่น 2001

คุณยังสามารถใช้แพ็คเกจการสื่อสารมาตรฐาน เช่น PuTTY เพื่อตั้งค่าการเชื่อมต่อ Telnet หรือ SSH โดยตรงไปยังพอร์ตอนุกรม

หมายเหตุ ในโหมดคอนโซลเซิร์ฟเวอร์ เมื่อคุณเชื่อมต่อกับพอร์ตอนุกรม คุณจะเชื่อมต่อผ่าน pmshell หากต้องการสร้าง BREAK บนพอร์ตอนุกรม ให้พิมพ์ลำดับอักขระ ~b หากคุณกำลังทำสิ่งนี้ผ่าน OpenSSH ประเภท ~~b.

เซฟ

ขอแนะนำให้คุณใช้ SSH เป็นโปรโตคอลเมื่อผู้ใช้เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์

(หรือเชื่อมต่อผ่านคอนโซลเซิร์ฟเวอร์ไปยังคอนโซลอนุกรมที่แนบมา) ผ่านทางอินเทอร์เน็ตหรือใดๆ

เครือข่ายสาธารณะอื่นๆ

สำหรับการเข้าถึง SSH ไปยังคอนโซลบนอุปกรณ์ที่เชื่อมต่อกับพอร์ตอนุกรมของเซิร์ฟเวอร์คอนโซล คุณสามารถใช้ตัวเชื่อมต่อได้ กำหนดค่าตัวเชื่อมต่อด้วยคอนโซลเซิร์ฟเวอร์เป็นเกตเวย์และเป็นโฮสต์ และเปิดใช้งานบริการ SSH บนพอร์ต (3000 + พอร์ตอนุกรม #) เช่น 3001-3048

คุณยังสามารถใช้แพ็คเกจการสื่อสารทั่วไป เช่น PuTTY หรือ SSHTerm เพื่อเชื่อมต่อ SSH ไปยังที่อยู่พอร์ต ที่อยู่ IP _ พอร์ต (3000 + พอร์ตอนุกรม #) เช่น 3001

การเชื่อมต่อ SSH สามารถกำหนดค่าได้โดยใช้พอร์ต SSH มาตรฐาน 22 พอร์ตอนุกรมที่กำลังเข้าถึงจะถูกระบุโดยการต่อท้ายคำอธิบายเข้ากับชื่อผู้ใช้ ไวยากรณ์นี้รองรับ:

คู่มือการใช้งาน
- - สำหรับผู้ใช้ชื่อ chris เพื่อเข้าถึงพอร์ตอนุกรม 2 เมื่อตั้งค่า SSHTerm หรือไคลเอ็นต์ PuTTY SSH แทนที่จะพิมพ์ชื่อผู้ใช้ = chris และพอร์ต ssh = 3002 วิธีสำรองคือพิมพ์ชื่อผู้ใช้ = chris:port02 (หรือชื่อผู้ใช้ = chris: ttyS1) และพอร์ต ssh = 22 หรือโดยการพิมพ์ชื่อผู้ใช้=chris:serial และพอร์ต ssh = 22 ผู้ใช้จะเห็นตัวเลือกการเลือกพอร์ต:

ไวยากรณ์นี้ทำให้ผู้ใช้สามารถตั้งค่าอุโมงค์ SSH ไปยังพอร์ตอนุกรมทั้งหมดที่มีพอร์ต IP เดียว 22 ที่ต้องเปิดในไฟร์วอลล์/เกตเวย์
หมายเหตุ ในโหมดคอนโซลเซิร์ฟเวอร์ คุณเชื่อมต่อกับพอร์ตอนุกรมผ่าน pmshell หากต้องการสร้าง BREAK บนพอร์ตอนุกรม ให้พิมพ์ลำดับอักขระ ~b หากคุณกำลังดำเนินการนี้ผ่าน OpenSSH ให้พิมพ์ ~~b

ทีซีพี

RAW TCP อนุญาตให้เชื่อมต่อกับซ็อกเก็ต TCP ในขณะที่โปรแกรมสื่อสารอย่าง PuTTY

ยังรองรับ RAW TCP โปรโตคอลนี้มักจะใช้โดยแอปพลิเคชันที่กำหนดเอง

สำหรับ RAW TCP ที่อยู่พอร์ตเริ่มต้นคือที่อยู่ IP _ พอร์ต (4000 + พอร์ตอนุกรม #) เช่น 4001 4048

นอกจากนี้ RAW TCP ยังช่วยให้พอร์ตอนุกรมสามารถเชื่อมต่อกับเซิร์ฟเวอร์คอนโซลระยะไกลได้ ดังนั้นอุปกรณ์พอร์ตอนุกรมสองตัวจึงสามารถเชื่อมต่อระหว่างกันผ่านเครือข่ายได้อย่างโปร่งใส (ดูบทที่ 3.1.6 การเชื่อมโยงอนุกรม)

RFC2217 การเลือก RFC2217 จะเปิดใช้งานการเปลี่ยนเส้นทางพอร์ตอนุกรมบนพอร์ตนั้น สำหรับ RFC2217 ที่อยู่พอร์ตเริ่มต้นคือที่อยู่ IP _ พอร์ต (5000 + พอร์ตอนุกรม #) เช่น 5001 5048
ซอฟต์แวร์ไคลเอนต์พิเศษพร้อมใช้งานสำหรับ Windows UNIX และ Linux ที่รองรับพอร์ต com เสมือน RFC2217 ดังนั้นโฮสต์ระยะไกลสามารถตรวจสอบและจัดการอุปกรณ์ที่เชื่อมต่อแบบอนุกรมระยะไกลราวกับว่าอุปกรณ์เหล่านั้นเชื่อมต่อกับพอร์ตอนุกรมในเครื่อง (ดูบทที่ 3.6 การเปลี่ยนเส้นทางพอร์ตอนุกรมสำหรับรายละเอียด)
RFC2217 ยังช่วยให้พอร์ตอนุกรมสามารถเชื่อมต่อกับเซิร์ฟเวอร์คอนโซลระยะไกลได้ ดังนั้นอุปกรณ์พอร์ตอนุกรมสองตัวจึงสามารถเชื่อมต่อระหว่างกันผ่านเครือข่ายได้อย่างโปร่งใส (ดูบทที่ 3.1.6 การเชื่อมโยงอนุกรม)

Telnet ที่ไม่ได้รับการตรวจสอบสิทธิ์ ช่วยให้ Telnet สามารถเข้าถึงพอร์ตอนุกรมได้โดยไม่ต้องมีข้อมูลประจำตัวในการตรวจสอบสิทธิ์ เมื่อผู้ใช้เข้าถึงคอนโซลเซิร์ฟเวอร์ไปยัง Telnet ไปยังพอร์ตอนุกรม พวกเขาจะได้รับพร้อมท์การเข้าสู่ระบบ ด้วย Telnet ที่ไม่ได้รับการรับรองความถูกต้อง พวกเขาเชื่อมต่อโดยตรงผ่านพอร์ตโดยไม่ต้องท้าทายการเข้าสู่ระบบเซิร์ฟเวอร์คอนโซล หากไคลเอ็นต์ Telnet แจ้งให้ตรวจสอบสิทธิ์ ข้อมูลที่ป้อนจะอนุญาตการเชื่อมต่อ

บทที่ 3: พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้
โหมดนี้ใช้กับระบบภายนอก (เช่น ผู้อนุรักษ์) ที่จัดการการตรวจสอบผู้ใช้และสิทธิ์การเข้าถึงในระดับอุปกรณ์อนุกรม
การเข้าสู่ระบบอุปกรณ์ที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์อาจต้องมีการรับรองความถูกต้อง
สำหรับ Telnet ที่ไม่ได้รับอนุญาต ที่อยู่พอร์ตเริ่มต้นคือที่อยู่ IP _ พอร์ต (6000 + พอร์ตอนุกรม #) เช่น 6001 6048

SSH ที่ไม่ได้รับการตรวจสอบสิทธิ์ ช่วยให้ SSH เข้าถึงพอร์ตอนุกรมได้โดยไม่ต้องมีข้อมูลประจำตัวในการตรวจสอบสิทธิ์ เมื่อผู้ใช้เข้าถึงคอนโซลเซิร์ฟเวอร์ไปยัง Telnet ไปยังพอร์ตอนุกรม พวกเขาจะได้รับพร้อมท์การเข้าสู่ระบบ ด้วย SSH ที่ไม่ได้รับการรับรองความถูกต้อง พวกเขาจะเชื่อมต่อโดยตรงผ่านพอร์ตโดยไม่ต้องท้าทายการเข้าสู่ระบบเซิร์ฟเวอร์คอนโซล
โหมดนี้จะใช้เมื่อคุณมีระบบอื่นที่จัดการการตรวจสอบสิทธิ์ผู้ใช้และสิทธิ์การเข้าถึงในระดับอุปกรณ์ซีเรียล แต่ต้องการเข้ารหัสเซสชันผ่านเครือข่าย
การเข้าสู่ระบบอุปกรณ์ที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์อาจต้องมีการรับรองความถูกต้อง
สำหรับ Telnet ที่ไม่ได้รับอนุญาต ที่อยู่พอร์ตเริ่มต้นคือที่อยู่ IP _ พอร์ต (7000 + พอร์ตอนุกรม #) เช่น 7001 7048
ที่ : วิธีการเข้าถึงพอร์ต (ตามที่อธิบายไว้ในส่วน SSH ข้างต้น) ต้องมีการรับรองความถูกต้องเสมอ

Web เทอร์มินัล สิ่งนี้ทำให้ได้ web เบราว์เซอร์เข้าถึงพอร์ตอนุกรมผ่านจัดการ > อุปกรณ์: แบบอนุกรมโดยใช้เทอร์มินัล AJAX ในตัวของคอนโซลการจัดการ Web เทอร์มินัลเชื่อมต่อในฐานะผู้ใช้คอนโซลการจัดการที่ได้รับการตรวจสอบสิทธิ์ในปัจจุบัน และไม่ตรวจสอบสิทธิ์อีกครั้ง ดูหัวข้อ 12.3 สำหรับรายละเอียดเพิ่มเติม

IP นามแฝง

เปิดใช้งานการเข้าถึงพอร์ตอนุกรมโดยใช้ที่อยู่ IP เฉพาะที่ระบุในรูปแบบ CIDR พอร์ตอนุกรมแต่ละพอร์ตสามารถกำหนดนามแฝง IP ได้ตั้งแต่หนึ่งรายการขึ้นไป โดยกำหนดค่าตามอินเทอร์เฟซต่อเครือข่าย พอร์ตอนุกรมสามารถทำได้ เช่นampสามารถเข้าถึงได้ทั้ง 192.168.0.148 (เป็นส่วนหนึ่งของเครือข่ายภายใน) และ 10.10.10.148 (เป็นส่วนหนึ่งของ Management LAN) นอกจากนี้ยังเป็นไปได้ที่จะทำให้พอร์ตอนุกรมพร้อมใช้งานบนที่อยู่ IP สองแห่งบนเครือข่ายเดียวกัน (เช่นampเลอ, 192.168.0.148 และ 192.168.0.248)

ที่อยู่ IP เหล่านี้สามารถใช้เพื่อเข้าถึงพอร์ตอนุกรมเฉพาะเท่านั้น ซึ่งสามารถเข้าถึงได้โดยใช้หมายเลขพอร์ต TCP ของโปรโตคอลมาตรฐานของบริการเซิร์ฟเวอร์คอนโซล สำหรับเช่นampอย่างไรก็ตาม SSH บนพอร์ตอนุกรม 3 จะสามารถเข้าถึงได้บนพอร์ต 22 ของนามแฝง IP ของพอร์ตอนุกรม (ในขณะที่ที่อยู่หลักของคอนโซลเซิร์ฟเวอร์จะพร้อมใช้งานบนพอร์ต 2003)

คุณสมบัตินี้สามารถกำหนดค่าได้ผ่านหน้าแก้ไขพอร์ตหลายพอร์ต ในกรณีนี้ ที่อยู่ IP จะถูกใช้ตามลำดับ โดยพอร์ตที่เลือกแรกจะถูกป้อน และพอร์ตถัดไปจะเพิ่มขึ้น โดยหมายเลขจะถูกข้ามสำหรับพอร์ตที่ไม่ได้เลือก สำหรับเช่นampหากเลือกพอร์ต 2, 3 และ 5 และป้อน IP นามแฝง 10.0.0.1/24 สำหรับอินเทอร์เฟซเครือข่าย ที่อยู่ต่อไปนี้จะถูกกำหนด:

พอร์ต 2: 10.0.0.1/24

พอร์ต 3: 10.0.0.2/24

พอร์ต 5: 10.0.0.4/24

นามแฝง IP ยังรองรับที่อยู่นามแฝง IPv6 ด้วย ข้อแตกต่างเพียงอย่างเดียวคือที่อยู่เป็นเลขฐานสิบหก ดังนั้นพอร์ต 10 อาจตรงกับที่อยู่ที่ลงท้ายด้วย A และ 11 ต่อหนึ่งที่ลงท้ายด้วย B แทนที่จะเป็น 10 หรือ 11 ตาม IPv4

คู่มือการใช้งาน
เข้ารหัสการรับส่งข้อมูล / รับรองความถูกต้อง เปิดใช้งานการเข้ารหัสเล็กน้อยและการรับรองความถูกต้องของการสื่อสารแบบอนุกรม RFC2217 โดยใช้ Portshare (สำหรับการเข้ารหัสที่รัดกุมให้ใช้ VPN)
ระยะเวลาการสะสม เมื่อสร้างการเชื่อมต่อสำหรับพอร์ตอนุกรมเฉพาะแล้ว (เช่น การเปลี่ยนเส้นทาง RFC2217 หรือการเชื่อมต่อ Telnet ไปยังคอมพิวเตอร์ระยะไกล) อักขระขาเข้าใดๆ บนพอร์ตนั้นจะถูกส่งต่อผ่านเครือข่ายทีละอักขระ ระยะเวลาสะสมระบุระยะเวลาที่อักขระขาเข้าจะถูกรวบรวมก่อนที่จะส่งเป็นแพ็กเก็ตผ่านเครือข่าย
Escape Character เปลี่ยนอักขระที่ใช้ในการส่งอักขระ Escape ค่าเริ่มต้นคือ ~ แทนที่ Backspace แทนที่ค่า Backspace เริ่มต้นของ CTRL+ หรือไม่ (127) ด้วย CTRL+h (8) เมนูพลังงาน คำสั่งเพื่อเปิดเมนูพลังงานคือ ~p และเปิดใช้งานคำสั่งเชลล์พลังงานดังนั้น a
ผู้ใช้สามารถควบคุมการเชื่อมต่อพลังงานไปยังอุปกรณ์ที่ได้รับการจัดการจากบรรทัดคำสั่งเมื่อเชื่อมต่อ Telnet หรือ SSH เข้ากับอุปกรณ์ อุปกรณ์ที่ได้รับการจัดการจะต้องตั้งค่าด้วยการเชื่อมต่อพอร์ตอนุกรมและการเชื่อมต่อสายไฟที่กำหนดค่าไว้
การเชื่อมต่อแบบเดี่ยว สิ่งนี้จะจำกัดพอร์ตให้มีการเชื่อมต่อเดียว ดังนั้นหากผู้ใช้หลายคนมีสิทธิ์การเข้าถึงสำหรับพอร์ตใดพอร์ตหนึ่ง ผู้ใช้เพียงรายเดียวเท่านั้นที่สามารถเข้าถึงพอร์ตนั้นได้ในแต่ละครั้ง (กล่าวคือ ไม่อนุญาตให้สอดแนมพอร์ต)
33

บทที่ 3: พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้
3.1.3 โหมดอุปกรณ์ (RPC, UPS, สิ่งแวดล้อม) โหมดนี้จะกำหนดค่าพอร์ตอนุกรมที่เลือกเพื่อสื่อสารกับเครื่องสำรองไฟ (UPS) ที่ควบคุมแบบอนุกรม ตัวควบคุมพลังงานระยะไกล / หน่วยจ่ายพลังงาน (RPC) หรืออุปกรณ์ตรวจสอบสภาพแวดล้อม (สิ่งแวดล้อม)

1. เลือกประเภทอุปกรณ์ที่ต้องการ (UPS, RPC หรือสภาพแวดล้อม)
2. ดำเนินการไปยังหน้าการกำหนดค่าอุปกรณ์ที่เหมาะสม (อนุกรมและเครือข่าย > การเชื่อมต่อ UPS, การเชื่อมต่อ RPC หรือสภาพแวดล้อม) ตามรายละเอียดในบทที่ 7

3.1.4 ·

โหมดเซิร์ฟเวอร์เทอร์มินัล
เลือกโหมดเซิร์ฟเวอร์เทอร์มินัลและประเภทเทอร์มินัล (vt220, vt102, vt100, Linux หรือ ANSI) เพื่อเปิดใช้งานเกตเวย์บนพอร์ตอนุกรมที่เลือก

เก็ตตี้กำหนดค่าพอร์ตและรอให้ทำการเชื่อมต่อ การเชื่อมต่อที่ใช้งานอยู่บนอุปกรณ์แบบอนุกรมจะแสดงโดยหมุด Data Carrier Detect (DCD) ที่ยกขึ้นบนอุปกรณ์แบบอนุกรม เมื่อตรวจพบการเชื่อมต่อ โปรแกรม getty จะทำการล็อกอิน: พร้อมต์ และเรียกใช้โปรแกรมล็อกอินเพื่อจัดการการล็อกอินของระบบ
หมายเหตุ การเลือกโหมดเซิร์ฟเวอร์เทอร์มินัลจะปิดใช้งานตัวจัดการพอร์ตสำหรับพอร์ตอนุกรมนั้น ดังนั้นข้อมูลจะไม่ถูกบันทึกอีกต่อไปสำหรับการแจ้งเตือน ฯลฯ

คู่มือการใช้งาน
3.1.5 โหมดการเชื่อมโยงแบบอนุกรม ด้วยการเชื่อมต่อแบบอนุกรม ข้อมูลอนุกรมบนพอร์ตอนุกรมที่กำหนดบนคอนโซลเซิร์ฟเวอร์หนึ่งจะถูกห่อหุ้มไว้ในแพ็กเก็ตเครือข่าย และขนส่งผ่านเครือข่ายไปยังคอนโซลเซิร์ฟเวอร์ตัวที่สองซึ่งแสดงเป็นข้อมูลอนุกรม คอนโซลเซิร์ฟเวอร์ทั้งสองทำหน้าที่เป็นสายเคเบิลอนุกรมเสมือนผ่านเครือข่าย IP คอนโซลเซิร์ฟเวอร์หนึ่งได้รับการกำหนดค่าให้เป็นเซิร์ฟเวอร์ พอร์ตอนุกรมของเซิร์ฟเวอร์ที่จะบริดจ์ถูกตั้งค่าในโหมดเซิร์ฟเวอร์คอนโซลโดยเปิดใช้งาน RFC2217 หรือ RAW สำหรับเซิร์ฟเวอร์คอนโซลไคลเอ็นต์ ต้องตั้งค่าพอร์ตอนุกรมที่จะบริดจ์ในโหมดบริดจ์:
· เลือกโหมดเชื่อมต่อแบบอนุกรมและระบุที่อยู่ IP ของเซิร์ฟเวอร์คอนโซลเซิร์ฟเวอร์และที่อยู่พอร์ต TCP ของพอร์ตอนุกรมระยะไกล (สำหรับการเชื่อมต่อ RFC2217 จะเป็น 5001-5048)
· ตามค่าเริ่มต้น ไคลเอ็นต์บริดจ์จะใช้ RAW TCP เลือก RFC2217 หากนี่คือโหมดคอนโซลเซิร์ฟเวอร์ที่คุณระบุไว้บนเซิร์ฟเวอร์คอนโซลเซิร์ฟเวอร์
· คุณสามารถรักษาความปลอดภัยการสื่อสารผ่านอีเธอร์เน็ตในพื้นที่ได้โดยเปิดใช้งาน SSH สร้างและอัปโหลดคีย์
3.1.6 Syslog นอกเหนือจากการบันทึกและการตรวจสอบในตัวซึ่งสามารถนำไปใช้กับการเข้าถึงการจัดการที่แนบแบบอนุกรมและแบบแนบเครือข่าย ดังที่กล่าวถึงในบทที่ 6 คอนโซลเซิร์ฟเวอร์ยังสามารถกำหนดค่าให้รองรับโปรโตคอล syslog ระยะไกลบนพอร์ตอนุกรมต่อพอร์ต พื้นฐาน:
· เลือกฟิลด์ Syslog Facility/Priority เพื่อเปิดใช้งานการบันทึกการรับส่งข้อมูลบนพอร์ตอนุกรมที่เลือกไปยังเซิร์ฟเวอร์ syslog และเพื่อจัดเรียงและดำเนินการกับข้อความที่บันทึกไว้เหล่านั้น (เช่น เปลี่ยนเส้นทางข้อความ / ส่งอีเมลแจ้งเตือน)
35

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
เช่นampหากคอมพิวเตอร์ที่ต่อเข้ากับพอร์ตอนุกรม 3 ไม่ควรส่งสิ่งใดออกไปบนพอร์ตคอนโซลอนุกรม ผู้ดูแลระบบสามารถตั้งค่าสิ่งอำนวยความสะดวกสำหรับพอร์ตนั้นเป็น local0 (local0 .. local7 มีไว้สำหรับค่าภายในไซต์ของไซต์) และลำดับความสำคัญถึงวิกฤต . ที่ลำดับความสำคัญนี้ หากเซิร์ฟเวอร์คอนโซลเซิร์ฟเวอร์ syslog server ได้รับข้อความ ระบบจะแจ้งเตือน ดูบทที่ 6 3.1.7 การสตรีม NMEA ACM7000-L สามารถให้การสตรีมข้อมูล GPS NMEA จากโมเด็ม GPS / เซลลูลาร์ภายใน สตรีมข้อมูลนี้แสดงเป็นสตรีมข้อมูลแบบอนุกรมบนพอร์ต 5 ในรุ่น ACM
การตั้งค่าทั่วไป (อัตราบอด ฯลฯ) จะถูกละเว้นเมื่อกำหนดค่าพอร์ตอนุกรม NMEA คุณสามารถระบุความถี่คงที่ได้ (เช่น อัตราคงที่ของ GPS จะกำหนดความถี่ในการรับการแก้ไข GPS) คุณยังสามารถใช้การตั้งค่าโหมดเซิร์ฟเวอร์คอนโซล, Syslog และ Serial Bridging ทั้งหมดกับพอร์ตนี้ได้
คุณสามารถใช้pmshell webเชลล์, SSH, RFC2217 หรือ RawTCP เพื่อไปที่สตรีม:
เช่นampเลอโดยใช้ Web เทอร์มินัล:
36

คู่มือการใช้งาน

3.1.8 คอนโซล USB
เซิร์ฟเวอร์คอนโซลที่มีพอร์ต USB รองรับการเชื่อมต่อคอนโซล USB กับอุปกรณ์จากผู้จำหน่ายที่หลากหลาย รวมถึง Cisco, HP, Dell และ Brocade พอร์ต USB เหล่านี้ยังสามารถทำหน้าที่เป็นพอร์ตอนุกรม RS-232 ธรรมดาได้เมื่อเชื่อมต่ออะแดปเตอร์ USB เป็นอนุกรม

พอร์ต USB เหล่านี้มีให้เป็นพอร์ต portmanager ทั่วไป และแสดงเป็นตัวเลขในรูปแบบ web UI หลังจากพอร์ตอนุกรม RJ45 ทั้งหมด

ACM7008-2 มีพอร์ตอนุกรม RJ45 แปดพอร์ตที่ด้านหลังของคอนโซลเซิร์ฟเวอร์ และพอร์ต USB สี่พอร์ตที่ด้านหน้า ใน Serial & Network > Serial Port สิ่งเหล่านี้จะแสดงเป็น

พอร์ต # ตัวเชื่อมต่อ

RJ45

ยูเอสบี

10 ยูเอสบี

11 ยูเอสบี

12 ยูเอสบี

หาก ACM7008-2 เป็นรุ่นเซลลูลาร์ พอร์ต #13 สำหรับ GPS จะแสดงในรายการด้วย

7216-24U มีพอร์ตอนุกรม RJ16 45 พอร์ต และพอร์ต USB 24 พอร์ตที่ด้านหลัง รวมถึงพอร์ต USB ด้านหน้า XNUMX พอร์ต และ (ในรุ่นเซลลูลาร์) GPS

พอร์ตอนุกรม RJ45 จะแสดงอยู่ในอนุกรมและเครือข่าย > พอร์ตอนุกรมเป็นหมายเลขพอร์ต 1 พอร์ต USB ด้านหลัง 16 พอร์ตใช้หมายเลขพอร์ต 24 และพอร์ต USB ด้านหน้าจะแสดงรายการอยู่ที่หมายเลขพอร์ต 17 และ 40 ตามลำดับ และเช่นเดียวกับ ACM41-42 หาก 7008-2U เป็นรุ่นเซลลูลาร์ GPS จะแสดงที่พอร์ตหมายเลข 7216

การตั้งค่าทั่วไป (อัตราบอด ฯลฯ) จะใช้เมื่อกำหนดค่าพอร์ต แต่การดำเนินการบางอย่างอาจไม่ทำงาน ขึ้นอยู่กับการใช้งานชิปอนุกรม USB ที่ใช้งานอยู่

3.2 เพิ่มและแก้ไขผู้ใช้
ผู้ดูแลระบบใช้การเลือกเมนูนี้เพื่อสร้าง แก้ไข และลบผู้ใช้ และเพื่อกำหนดสิทธิ์การเข้าถึงสำหรับผู้ใช้แต่ละราย

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้

ผู้ใช้สามารถได้รับอนุญาตให้เข้าถึงบริการที่ระบุ พอร์ตอนุกรม อุปกรณ์จ่ายไฟ และโฮสต์ที่เชื่อมต่อกับเครือข่ายที่ระบุ ผู้ใช้เหล่านี้ยังสามารถได้รับสถานะผู้ดูแลระบบแบบเต็ม (พร้อมการกำหนดค่าและการจัดการและสิทธิ์การเข้าถึงแบบเต็ม)

สามารถเพิ่มผู้ใช้เข้ากลุ่มได้ หกกลุ่มได้รับการตั้งค่าตามค่าเริ่มต้น:

แอดมิน

ให้สิทธิ์การกำหนดค่าและการจัดการไม่จำกัด

pptpd

อนุญาตให้เข้าถึงเซิร์ฟเวอร์ PPTP VPN ผู้ใช้ในกลุ่มนี้จะมีรหัสผ่านเก็บไว้ในข้อความที่ชัดเจน

โทร

อนุญาตให้เข้าถึงการโทรผ่านโมเด็ม ผู้ใช้ในกลุ่มนี้จะมีรหัสผ่านเก็บไว้ในข้อความที่ชัดเจน

เอฟทีพี

อนุญาตให้เข้าถึง ftp และ file การเข้าถึงอุปกรณ์จัดเก็บข้อมูล

pmshell

ตั้งค่าเชลล์เริ่มต้นเป็น pmshell

ผู้ใช้

ให้สิทธิ์การจัดการขั้นพื้นฐานแก่ผู้ใช้

กลุ่มผู้ดูแลระบบให้สิทธิ์ผู้ดูแลระบบแก่สมาชิกอย่างเต็มที่ ผู้ใช้ที่เป็นผู้ดูแลระบบสามารถเข้าถึงคอนโซลเซิร์ฟเวอร์โดยใช้บริการใดๆ ที่เปิดใช้งานในระบบ > บริการ พวกเขายังสามารถเข้าถึงโฮสต์ที่เชื่อมต่อหรืออุปกรณ์พอร์ตอนุกรมโดยใช้บริการใดๆ ที่เปิดใช้งานสำหรับการเชื่อมต่อเหล่านี้ เฉพาะผู้ใช้ที่เชื่อถือได้เท่านั้นที่ควรมีสิทธิ์การเข้าถึงของผู้ดูแลระบบ
กลุ่มผู้ใช้ให้สมาชิกสามารถเข้าถึงคอนโซลเซิร์ฟเวอร์และโฮสต์ที่เชื่อมต่อและอุปกรณ์อนุกรมได้อย่างจำกัด ผู้ใช้เหล่านี้สามารถเข้าถึงเฉพาะส่วนการจัดการของเมนูคอนโซลการจัดการเท่านั้น และพวกเขาไม่มีสิทธิ์ในการเข้าถึงบรรทัดคำสั่งไปยังเซิร์ฟเวอร์คอนโซล พวกเขาสามารถเข้าถึงเฉพาะโฮสต์และอุปกรณ์อนุกรมที่ได้รับการตรวจสอบแล้ว โดยใช้บริการที่เปิดใช้งานไว้
ผู้ใช้ในกลุ่ม pptd, dialin, ftp หรือ pmshell มีการจำกัดการเข้าถึงเชลล์ของผู้ใช้ไปยังอุปกรณ์ที่ได้รับการจัดการที่ได้รับการเสนอชื่อ แต่จะไม่สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ได้โดยตรง หากต้องการเพิ่มสิ่งนี้ ผู้ใช้จะต้องเป็นสมาชิกของผู้ใช้หรือกลุ่มผู้ดูแลระบบด้วย
ผู้ดูแลระบบสามารถตั้งค่ากลุ่มเพิ่มเติมด้วยสิทธิ์การเข้าถึงอุปกรณ์จ่ายไฟ พอร์ตอนุกรม และโฮสต์เฉพาะ ผู้ใช้ในกลุ่มเพิ่มเติมเหล่านี้ไม่มีสิทธิ์เข้าถึงเมนูคอนโซลการจัดการ และไม่มีสิทธิ์เข้าถึงบรรทัดคำสั่งไปยังคอนโซลเซิร์ฟเวอร์

คู่มือการใช้งาน
ผู้ดูแลระบบสามารถตั้งค่าผู้ใช้ด้วยสิทธิ์การเข้าถึงอุปกรณ์จ่ายไฟ พอร์ตอนุกรม และโฮสต์เฉพาะที่ไม่ได้เป็นสมาชิกของกลุ่มใดๆ ผู้ใช้เหล่านี้ไม่มีสิทธิ์เข้าถึงเมนูคอนโซลการจัดการหรือเข้าถึงบรรทัดคำสั่งไปยังเซิร์ฟเวอร์คอนโซล 3.2.1 ตั้งค่ากลุ่มใหม่ หากต้องการตั้งค่ากลุ่มใหม่และผู้ใช้ใหม่และเพื่อจัดประเภทผู้ใช้เป็นสมาชิกของกลุ่มใดกลุ่มหนึ่ง:
1. เลือก Serial & Network > Users & Groups เพื่อแสดงกลุ่มและผู้ใช้ทั้งหมด 2. คลิก Add Group เพื่อเพิ่มกลุ่มใหม่
3. เพิ่มชื่อกลุ่มและคำอธิบายสำหรับแต่ละกลุ่มใหม่ และเสนอชื่อโฮสต์ที่สามารถเข้าถึงได้ พอร์ตที่สามารถเข้าถึงได้ และช่อง RPC ที่สามารถเข้าถึงได้ ซึ่งผู้ใช้ในกลุ่มใหม่นี้จะสามารถเข้าถึงได้
4. คลิก Apply 5. ผู้ดูแลระบบสามารถแก้ไขหรือลบกลุ่มที่เพิ่มเข้ามาได้ 3.2.2 ตั้งค่าผู้ใช้ใหม่ หากต้องการตั้งค่าผู้ใช้ใหม่และจัดประเภทผู้ใช้เป็นสมาชิกของกลุ่มใดกลุ่มหนึ่ง: 1. เลือก Serial & Network > Users & Groups ที่จะแสดง กลุ่มและผู้ใช้ทั้งหมด 2. คลิกเพิ่มผู้ใช้
39

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3. เพิ่มชื่อผู้ใช้สำหรับผู้ใช้ใหม่แต่ละคน คุณยังอาจรวมข้อมูลที่เกี่ยวข้องกับผู้ใช้ (เช่น รายละเอียดการติดต่อ) ลงในช่องคำอธิบาย ชื่อผู้ใช้สามารถมีอักขระตัวอักษรและตัวเลขได้ตั้งแต่ 1 ถึง 127 ตัว และอักขระ “-” “_” และ “.”
4. ระบุกลุ่มที่คุณต้องการให้ผู้ใช้เป็นสมาชิก 5. เพิ่มรหัสผ่านที่ยืนยันแล้วสำหรับผู้ใช้ใหม่แต่ละคน อนุญาตให้ใช้อักขระทั้งหมด 6. สามารถใช้การรับรองความถูกต้องรหัสผ่าน SSH ได้ วางกุญแจสาธารณะของสาธารณะ/ส่วนตัวที่ได้รับอนุญาต
คู่คีย์สำหรับผู้ใช้รายนี้ในฟิลด์ Authorized SSH Keys 7. ทำเครื่องหมายที่ Disable Password Authentication เพื่ออนุญาตเฉพาะการตรวจสอบคีย์สาธารณะสำหรับผู้ใช้รายนี้
เมื่อใช้ SSH 8 ตรวจสอบเปิดใช้งาน Dial-Back ในเมนูตัวเลือกการโทรเข้าเพื่ออนุญาตการเชื่อมต่อการโทรกลับขาออก
จะถูกกระตุ้นโดยการเข้าสู่พอร์ตนี้ ป้อนหมายเลขโทรศัพท์แบบหมุนกลับพร้อมหมายเลขโทรศัพท์เพื่อโทรกลับเมื่อผู้ใช้เข้าสู่ระบบ 9. ตรวจสอบโฮสต์ที่สามารถเข้าถึงได้และ/หรือพอร์ตที่สามารถเข้าถึงได้เพื่อเสนอชื่อพอร์ตอนุกรมและโฮสต์ที่เชื่อมต่อกับเครือข่ายที่คุณต้องการให้ผู้ใช้มีสิทธิ์การเข้าถึงถึง 10 ถ้า มีการกำหนดค่า RPC แล้ว ตรวจสอบช่องจ่ายไฟ RPC ที่เข้าถึงได้ เพื่อระบุช่องจ่ายไฟที่ผู้ใช้สามารถควบคุมได้ (เช่น เปิด/ปิดเครื่อง) 11. คลิกนำไปใช้ ผู้ใช้ใหม่จะสามารถเข้าถึงอุปกรณ์เครือข่าย พอร์ต และเอาท์เล็ต RPC ที่สามารถเข้าถึงได้ หากผู้ใช้เป็นสมาชิกกลุ่ม พวกเขายังสามารถเข้าถึงอุปกรณ์/พอร์ต/เต้ารับอื่นที่กลุ่มสามารถเข้าถึงได้
40

คู่มือการใช้งาน
ไม่มีการจำกัดจำนวนผู้ใช้ที่คุณสามารถตั้งค่าหรือจำนวนผู้ใช้ต่อพอร์ตอนุกรมหรือโฮสต์ ผู้ใช้หลายคนสามารถควบคุม/ตรวจสอบพอร์ตหรือโฮสต์เดียวได้ ไม่มีการจำกัดจำนวนกลุ่มและผู้ใช้แต่ละคนสามารถเป็นสมาชิกของกลุ่มได้หลายกลุ่ม ผู้ใช้ไม่จำเป็นต้องเป็นสมาชิกของกลุ่มใดๆ แต่ถ้าผู้ใช้เป็นสมาชิกของกลุ่มผู้ใช้เริ่มต้น พวกเขาจะไม่สามารถใช้คอนโซลการจัดการเพื่อจัดการพอร์ตได้ แม้ว่าจะไม่มีข้อจำกัด แต่เวลาในการกำหนดค่าใหม่จะเพิ่มขึ้นตามจำนวนและความซับซ้อนที่เพิ่มขึ้น เราขอแนะนำให้รักษาจำนวนผู้ใช้และกลุ่มรวมไว้ไม่เกิน 250 ราย ผู้ดูแลระบบยังสามารถแก้ไขการตั้งค่าการเข้าถึงสำหรับผู้ใช้ที่มีอยู่ได้:
· เลือกอนุกรมและเครือข่าย > ผู้ใช้ & กลุ่ม และคลิกแก้ไขเพื่อแก้ไขสิทธิ์การเข้าถึงของผู้ใช้ · คลิกลบเพื่อลบผู้ใช้ · คลิกปิดใช้งานเพื่อบล็อกสิทธิ์การเข้าถึงชั่วคราว
3.3 การยืนยันตัวตน
ดูบทที่ 8 สำหรับรายละเอียดการกำหนดค่าการรับรองความถูกต้อง
3.4 โฮสต์เครือข่าย
ในการตรวจสอบและเข้าถึงคอมพิวเตอร์หรืออุปกรณ์ในเครือข่ายท้องถิ่นจากระยะไกล (เรียกว่าโฮสต์) คุณต้องระบุโฮสต์:
1. การเลือกอนุกรมและเครือข่าย > โฮสต์เครือข่ายจะแสดงโฮสต์ที่เชื่อมต่อเครือข่ายทั้งหมดที่เปิดใช้งานสำหรับการใช้งาน
2. คลิกเพิ่มโฮสต์เพื่อเปิดใช้งานการเข้าถึงโฮสต์ใหม่ (หรือเลือกแก้ไขเพื่ออัปเดตการตั้งค่าสำหรับโฮสต์ที่มีอยู่)
41

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3. หากโฮสต์เป็นอุปกรณ์จ่ายไฟ PDU หรือ UPS หรือเซิร์ฟเวอร์ที่มีการควบคุมพลังงาน IPMI ให้ระบุ RPC (สำหรับ IPMI และ PDU) หรือ UPS และประเภทอุปกรณ์ ผู้ดูแลระบบสามารถกำหนดค่าอุปกรณ์เหล่านี้และเปิดใช้งานผู้ใช้ที่มีสิทธิ์ในการหมุนเวียนพลังงานจากระยะไกล ฯลฯ ดูบทที่ 7 มิฉะนั้น ปล่อยให้ประเภทอุปกรณ์ตั้งค่าเป็นไม่มี
4. หากคอนโซลเซิร์ฟเวอร์ได้รับการกำหนดค่าโดยเปิดใช้งานการตรวจสอบ Nagios แบบกระจาย คุณจะเห็นตัวเลือกการตั้งค่า Nagios เพื่อเปิดใช้งานบริการที่ได้รับการเสนอชื่อบนโฮสต์ที่จะตรวจสอบ
5. คลิกสมัคร ซึ่งจะเป็นการสร้างโฮสต์ใหม่และสร้างอุปกรณ์ที่ได้รับการจัดการใหม่ที่มีชื่อเดียวกัน
3.5 เครือข่ายที่เชื่อถือได้
สิ่งอำนวยความสะดวก Trusted Networks ให้ทางเลือกแก่คุณในการเสนอที่อยู่ IP ที่ผู้ใช้ต้องอยู่ เพื่อเข้าถึงพอร์ตอนุกรมของคอนโซลเซิร์ฟเวอร์:
42

คู่มือการใช้งาน
1. เลือก อนุกรมและเครือข่าย > เครือข่ายที่เชื่อถือได้ 2. หากต้องการเพิ่มเครือข่ายที่เชื่อถือได้ใหม่ ให้เลือก เพิ่มกฎ ในกรณีที่ไม่มีกฎก็จะไม่มีการเข้าถึง
ข้อจำกัดเกี่ยวกับที่อยู่ IP ที่ผู้ใช้สามารถระบุได้

3. เลือกพอร์ตที่สามารถเข้าถึงได้ที่จะใช้กฎใหม่
4. ป้อนที่อยู่เครือข่ายของซับเน็ตที่จะอนุญาตการเข้าถึง
5. ระบุช่วงของที่อยู่ที่จะได้รับอนุญาตโดยการป้อน Network Mask สำหรับช่วง IP ที่ได้รับอนุญาต เช่น
· หากต้องการอนุญาตให้ผู้ใช้ทั้งหมดที่มีการเชื่อมต่อเครือข่ายคลาส C เฉพาะกับพอร์ตที่ได้รับการเสนอชื่อ ให้เพิ่มกฎใหม่ของเครือข่ายที่เชื่อถือได้ต่อไปนี้:

ที่อยู่ IP ของเครือข่าย

204.15.5.0

ซับเน็ตมาสก

255.255.255.0

· หากต้องการอนุญาตให้ผู้ใช้เพียงรายเดียวที่อยู่ในที่อยู่ IP เฉพาะเพื่อเชื่อมต่อ:

ที่อยู่ IP ของเครือข่าย

204.15.5.13

ซับเน็ตมาสก

255.255.255.255

· เพื่ออนุญาตให้ผู้ใช้ทั้งหมดที่ดำเนินงานจากภายในช่วงที่อยู่ IP ที่กำหนด (เช่น ที่อยู่ใดๆ ในสามสิบรายการตั้งแต่ 204.15.5.129 ถึง 204.15.5.158) ได้รับอนุญาตให้เชื่อมต่อกับพอร์ตที่ได้รับการเสนอชื่อ:

ที่อยู่โฮสต์ /ซับเน็ต

204.15.5.128

ซับเน็ตมาสก

255.255.255.224

6. คลิกสมัคร

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3.6 การเรียงซ้อนพอร์ตอนุกรม
Cascaded Ports ช่วยให้คุณสามารถจัดคลัสเตอร์เซิร์ฟเวอร์คอนโซลแบบกระจาย เพื่อให้สามารถกำหนดค่าและเข้าถึงพอร์ตอนุกรมจำนวนมาก (สูงสุด 1000 พอร์ต) ผ่านที่อยู่ IP เดียว และจัดการผ่านคอนโซลการจัดการเดียว คอนโซลเซิร์ฟเวอร์หนึ่งเครื่องคือเครื่องหลัก ควบคุมคอนโซลเซิร์ฟเวอร์อื่นๆ เป็นหน่วยโหนด และพอร์ตอนุกรมทั้งหมดบนหน่วยโหนดจะปรากฏราวกับว่าเป็นส่วนหนึ่งของเครื่องหลัก การจัดกลุ่มของ Opengear เชื่อมต่อแต่ละโหนดกับโหนดหลักด้วยการเชื่อมต่อ SSH ซึ่งทำได้โดยใช้การรับรองความถูกต้องของคีย์สาธารณะ ดังนั้น Primary จึงสามารถเข้าถึงแต่ละโหนดได้โดยใช้คู่คีย์ SSH (แทนที่จะใช้รหัสผ่าน) สิ่งนี้ทำให้มั่นใจได้ถึงการสื่อสารที่มีการรับรองความถูกต้องอย่างปลอดภัยระหว่างโหนดหลักและโหนดทำให้หน่วยเซิร์ฟเวอร์คอนโซลโหนดสามารถเผยแพร่ภายในเครื่องบน LAN หรือจากระยะไกลทั่วโลก
3.6.1 สร้างและอัปโหลดคีย์ SSH โดยอัตโนมัติ ในการตั้งค่าการตรวจสอบสิทธิ์คีย์สาธารณะ คุณต้องสร้างคู่คีย์ RSA หรือ DSA ก่อน และอัปโหลดลงในเซิร์ฟเวอร์คอนโซลหลักและโหนด ซึ่งสามารถทำได้โดยอัตโนมัติจากหลัก:
44

คู่มือการใช้งาน
1. เลือกระบบ > การดูแลระบบบนคอนโซลการจัดการของหลัก
2. ตรวจสอบสร้างคีย์ SSH โดยอัตโนมัติ 3. คลิกสมัคร
ถัดไป คุณต้องเลือกว่าจะสร้างคีย์โดยใช้ RSA และ/หรือ DSA หรือไม่ (หากไม่แน่ใจ ให้เลือก RSA เท่านั้น) การสร้างชุดคีย์แต่ละชุดต้องใช้เวลาสองนาที และคีย์ใหม่จะทำลายคีย์ประเภทเก่านั้น ในขณะที่รุ่นใหม่กำลังดำเนินการอยู่ ฟังก์ชันที่ใช้คีย์ SSH (เช่น การเรียงซ้อน) อาจหยุดทำงานจนกว่าจะอัปเดตด้วยคีย์ชุดใหม่ ในการสร้างคีย์:
1. ทำเครื่องหมายในช่องสำหรับคีย์ที่คุณต้องการสร้าง 2. คลิกสมัคร
3. เมื่อสร้างคีย์ใหม่แล้ว ให้คลิกลิงก์ คลิกที่นี่เพื่อย้อนกลับ คีย์ถูกอัปโหลด
ไปยังโหนดหลักและโหนดที่เชื่อมต่อ
3.6.2 สร้างและอัปโหลดคีย์ SSH ด้วยตนเอง อีกทางหนึ่งหากคุณมีคู่คีย์ RSA หรือ DSA คุณสามารถอัปโหลดคีย์เหล่านั้นไปยังเซิร์ฟเวอร์คอนโซลหลักและโหนดได้ หากต้องการอัปโหลดคู่คีย์สาธารณะและคีย์ส่วนตัวไปยังเซิร์ฟเวอร์คอนโซลหลัก:
1. เลือกระบบ > การดูแลระบบบนคอนโซลการจัดการของหลัก
2. เรียกดูตำแหน่งที่คุณจัดเก็บคีย์สาธารณะ RSA (หรือ DSA) แล้วอัปโหลดไปยังคีย์สาธารณะ SSH RSA (DSA)
3. เรียกดูคีย์ส่วนตัว RSA (หรือ DSA) ที่เก็บไว้แล้วอัปโหลดไปยังคีย์ส่วนตัว SSH RSA (DSA) 4. คลิกนำไปใช้
45

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
ถัดไป คุณต้องลงทะเบียนคีย์สาธารณะเป็นคีย์ที่ได้รับอนุญาตบนโหนด ในกรณีของหลักหนึ่งรายการที่มีหลายโหนด คุณจะต้องอัปโหลดคีย์สาธารณะ RSA หรือ DSA หนึ่งรายการสำหรับแต่ละโหนด
1. เลือกระบบ > การดูแลระบบบนคอนโซลการจัดการของโหนด 2. เรียกดูคีย์สาธารณะ RSA (หรือ DSA) ที่เก็บไว้และอัปโหลดไปยังคีย์ที่ได้รับอนุญาต SSH ของโหนด
3. คลิก Apply ขั้นตอนต่อไปคือการสแกนลายนิ้วมือแต่ละการเชื่อมต่อ Node-Primary ใหม่ ขั้นตอนนี้จะตรวจสอบว่าคุณกำลังสร้างเซสชัน SSH กับคนที่คุณคิดว่าคุณเป็นใคร ในการเชื่อมต่อครั้งแรก โหนดจะได้รับลายนิ้วมือจากหลักที่ใช้กับการเชื่อมต่อในอนาคตทั้งหมด: หากต้องการสร้างลายนิ้วมือ ให้บันทึกในเซิร์ฟเวอร์หลักในฐานะรูท และสร้างการเชื่อมต่อ SSH กับโฮสต์ระยะไกลของโหนด:
# ssh remhost เมื่อสร้างการเชื่อมต่อ SSH แล้ว คุณจะถูกขอให้ยอมรับรหัส ตอบว่าใช่ จากนั้นลายนิ้วมือจะถูกเพิ่มเข้าไปในรายการโฮสต์ที่รู้จัก หากคุณถูกขอให้ระบุรหัสผ่าน แสดงว่าเกิดปัญหาในการอัปโหลดคีย์ 3.6.3 กำหนดค่าโหนดและพอร์ตอนุกรม เริ่มการตั้งค่าโหนดและกำหนดค่าพอร์ตอนุกรมของโหนดจากเซิร์ฟเวอร์คอนโซลหลัก:
1. เลือกอนุกรมและเครือข่าย > พอร์ตแบบเรียงซ้อนบนคอนโซลการจัดการหลัก: 2. หากต้องการเพิ่มการสนับสนุนการทำคลัสเตอร์ ให้เลือกเพิ่มโหนด
คุณไม่สามารถเพิ่มโหนดได้จนกว่าคุณจะสร้างคีย์ SSH แล้ว ในการกำหนดและกำหนดค่าโหนด:
46

คู่มือการใช้งาน
1. ป้อนที่อยู่ IP ระยะไกลหรือชื่อ DNS สำหรับเซิร์ฟเวอร์คอนโซลโหนด 2. ป้อนคำอธิบายโดยย่อและป้ายกำกับแบบสั้นสำหรับโหนด 3. ป้อนจำนวนพอร์ตอนุกรมเต็มบนหน่วยโหนดในจำนวนพอร์ต 4. คลิกนำไปใช้ สิ่งนี้จะสร้างอุโมงค์ SSH ระหว่างโหนดหลักและโหนดใหม่
เมนูอนุกรมและเครือข่าย > พอร์ตแบบเรียงซ้อนจะแสดงโหนดทั้งหมดและหมายเลขพอร์ตที่ได้รับการจัดสรรบนพอร์ตหลัก หากเซิร์ฟเวอร์คอนโซลหลักมี 16 พอร์ตของตัวเอง พอร์ต 1-16 จะถูกจัดสรรล่วงหน้าให้กับเซิร์ฟเวอร์หลัก ดังนั้นโหนดแรกที่เพิ่มจะถูกกำหนดหมายเลขพอร์ต 17 เป็นต้นไป เมื่อคุณเพิ่มเซิร์ฟเวอร์คอนโซล Node ทั้งหมดแล้ว พอร์ตอนุกรมของ Node และอุปกรณ์ที่เชื่อมต่อจะสามารถกำหนดค่าและเข้าถึงได้จากเมนูคอนโซลการจัดการของหลัก และเข้าถึงได้ผ่านที่อยู่ IP ของหลัก
1. เลือก Serial & Network > Serial Port และ Edit เพื่อกำหนดค่าพอร์ตอนุกรมบน
โหนด
2. เลือกซีเรียลและเครือข่ายที่เหมาะสม > ผู้ใช้และกลุ่ม เพื่อเพิ่มผู้ใช้ใหม่ที่มีสิทธิ์การเข้าถึง
ไปยังพอร์ตอนุกรมของโหนด (หรือเพื่อขยายสิทธิ์การเข้าถึงของผู้ใช้ที่มีอยู่)
3. เลือกซีเรียลและเครือข่ายที่เหมาะสม > เครือข่ายที่เชื่อถือได้ เพื่อระบุที่อยู่เครือข่ายนั้น
สามารถเข้าถึงพอร์ตอนุกรมของโหนดที่ได้รับการเสนอชื่อ 4. เลือกการแจ้งเตือนและการบันทึกที่เหมาะสม > การแจ้งเตือน เพื่อกำหนดค่าการเชื่อมต่อพอร์ตโหนด สถานะ
การแจ้งเตือนการจับคู่รูปแบบการเปลี่ยนแปลง การเปลี่ยนแปลงการกำหนดค่าที่ทำบนโหนดหลักจะเผยแพร่ไปยังโหนดทั้งหมดเมื่อคุณคลิกนำไปใช้
3.6.4 การจัดการโหนด หลักอยู่ในการควบคุมพอร์ตอนุกรมของโหนด สำหรับเช่นampหากเปลี่ยนสิทธิ์การเข้าถึงของผู้ใช้หรือแก้ไขการตั้งค่าพอร์ตอนุกรมใด ๆ ในอุปกรณ์หลัก การกำหนดค่าที่อัปเดต files ถูกส่งไปยังแต่ละโหนดแบบขนาน แต่ละโหนดทำการเปลี่ยนแปลงการกำหนดค่าในเครื่อง (และทำการเปลี่ยนแปลงที่เกี่ยวข้องกับพอร์ตอนุกรมเฉพาะเท่านั้น) คุณสามารถใช้ Node Management Console ภายในเครื่องเพื่อเปลี่ยนการตั้งค่าบนพอร์ตอนุกรมของโหนดใดๆ (เช่น เปลี่ยนอัตรารับส่งข้อมูล) การเปลี่ยนแปลงเหล่านี้จะถูกเขียนทับในครั้งถัดไปที่หลักส่งการกำหนดค่าออกไป file อัปเดต. แม้ว่าอุปกรณ์หลักจะควบคุมฟังก์ชันที่เกี่ยวข้องกับพอร์ตอนุกรมของโหนดทั้งหมด แต่ก็ไม่ใช่อุปกรณ์หลักบนการเชื่อมต่อโฮสต์เครือข่ายของโหนดหรือบนระบบเซิร์ฟเวอร์คอนโซลของโหนด ฟังก์ชันโหนด เช่น การตั้งค่า IP, SMTP และ SNMP, วันที่และเวลา, เซิร์ฟเวอร์ DHCP จะต้องได้รับการจัดการโดยการเข้าถึงแต่ละโหนดโดยตรง และฟังก์ชันเหล่านี้จะไม่ถูกเขียนทับเมื่อการเปลี่ยนแปลงการกำหนดค่าถูกเผยแพร่จากโหนดหลัก ต้องกำหนดค่าโฮสต์เครือข่ายของโหนดและการตั้งค่า IPMI ในแต่ละโหนด
47

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
คอนโซลการจัดการหลักจัดให้มีการรวม view ของการตั้งค่าของตัวเองและพอร์ตอนุกรมของโหนดทั้งหมด หลักไม่ได้จัดให้มีการรวมบัญชีอย่างสมบูรณ์ view. เช่นampอย่างไรก็ตาม หากคุณต้องการค้นหาว่าใครเข้าสู่ระบบพอร์ตอนุกรมแบบเรียงซ้อนจากพอร์ตหลัก คุณจะเห็นว่าสถานะ > ผู้ใช้ที่ใช้งานอยู่แสดงเฉพาะผู้ใช้ที่ใช้งานบนพอร์ตของพอร์ตหลัก ดังนั้นคุณอาจต้องเขียนสคริปต์ที่กำหนดเองเพื่อจัดเตรียมสิ่งนี้ view.
3.7 การเปลี่ยนเส้นทางพอร์ตอนุกรม (PortShare)
ซอฟต์แวร์ Port Share ของ Opengear มอบเทคโนโลยีพอร์ตอนุกรมเสมือนที่แอปพลิเคชัน Windows และ Linux ของคุณต้องการเปิดพอร์ตอนุกรมระยะไกลและอ่านข้อมูลจากอุปกรณ์อนุกรมที่เชื่อมต่อกับคอนโซลเซิร์ฟเวอร์ของคุณ
PortShare ให้บริการฟรีสำหรับคอนโซลเซิร์ฟเวอร์แต่ละเครื่อง และคุณได้รับใบอนุญาตให้ติดตั้ง PortShare บนคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปเพื่อเข้าถึงอุปกรณ์อนุกรมใดๆ ที่เชื่อมต่อกับพอร์ตคอนโซลเซิร์ฟเวอร์ PortShare สำหรับ Windows portshare_setup.exe สามารถดาวน์โหลดได้จากไซต์ ftp ดูคู่มือผู้ใช้ PortShare และการเริ่มต้นอย่างรวดเร็วสำหรับรายละเอียดเกี่ยวกับการติดตั้งและการใช้งาน PortShare สำหรับ Linux ไดรเวอร์ PortShare สำหรับ Linux แมปพอร์ตอนุกรมของเซิร์ฟเวอร์คอนโซลกับพอร์ตลองโฮสต์ Opengear ได้เปิดตัว portshare-serial-client เป็นยูทิลิตี้โอเพ่นซอร์สสำหรับ Linux, AIX, HPUX, SCO, Solaris และ UnixWare ยูทิลิตี้นี้สามารถดาวน์โหลดได้จากไซต์ ftp ตัวเปลี่ยนเส้นทางพอร์ตอนุกรม PortShare นี้อนุญาตให้คุณใช้อุปกรณ์อนุกรมที่เชื่อมต่อกับเซิร์ฟเวอร์คอนโซลระยะไกลราวกับว่ามันเชื่อมต่อกับพอร์ตอนุกรมในเครื่องของคุณ portshare-serial-client สร้างพอร์ต pseudo tty เชื่อมต่อแอปพลิเคชันแบบอนุกรมกับพอร์ต pseudo tty รับข้อมูลจากพอร์ต pseudo tty ส่งไปยังคอนโซลเซิร์ฟเวอร์ผ่านเครือข่าย และรับข้อมูลจากคอนโซลเซิร์ฟเวอร์ผ่านเครือข่าย และส่งมัน ไปยังพอร์ตหลอก .tar file สามารถดาวน์โหลดได้จากเว็บไซต์ ftp ดูคู่มือผู้ใช้ PortShare และการเริ่มต้นอย่างรวดเร็วสำหรับรายละเอียดเกี่ยวกับการติดตั้งและการใช้งาน
48

คู่มือการใช้งาน
3.8 อุปกรณ์ที่มีการจัดการ
หน้าอุปกรณ์ที่ได้รับการจัดการจะแสดงการรวมข้อมูล view ของการเชื่อมต่อทั้งหมดไปยังอุปกรณ์ที่สามารถเข้าถึงและตรวจสอบผ่านคอนโซลเซิร์ฟเวอร์ ถึง view การเชื่อมต่อกับอุปกรณ์ เลือก อนุกรมและเครือข่าย > อุปกรณ์ที่ได้รับการจัดการ
หน้าจอนี้จะแสดงอุปกรณ์ที่ได้รับการจัดการทั้งหมดพร้อมคำอธิบาย/หมายเหตุ และรายการการเชื่อมต่อที่กำหนดค่าไว้ทั้งหมด:
· พอร์ตอนุกรม # (หากเชื่อมต่อแบบอนุกรม) หรือ · USB (หากเชื่อมต่อ USB) · ที่อยู่ IP (หากเชื่อมต่อเครือข่าย) · รายละเอียด PDU/เต้ารับไฟฟ้า (ถ้ามี) และการเชื่อมต่อ UPS ใดๆ อุปกรณ์ เช่น เซิร์ฟเวอร์ อาจมีการเชื่อมต่อไฟมากกว่าหนึ่งจุด (เช่น จ่ายไฟคู่) และการเชื่อมต่อเครือข่ายมากกว่าหนึ่งรายการ (เช่น สำหรับ BMC/ตัวประมวลผลบริการ) ผู้ใช้ทุกคนสามารถ view การเชื่อมต่ออุปกรณ์ที่ได้รับการจัดการเหล่านี้โดยเลือกจัดการ > อุปกรณ์ ผู้ดูแลระบบยังสามารถแก้ไขและเพิ่ม/ลบอุปกรณ์ที่ได้รับการจัดการเหล่านี้และการเชื่อมต่อได้ หากต้องการแก้ไขอุปกรณ์ที่มีอยู่และเพิ่มการเชื่อมต่อใหม่: 1. เลือกแก้ไขบนอนุกรมและเครือข่าย > อุปกรณ์ที่ได้รับการจัดการ แล้วคลิกเพิ่มการเชื่อมต่อ 2. เลือกประเภทการเชื่อมต่อสำหรับการเชื่อมต่อใหม่ (อนุกรม โฮสต์เครือข่าย UPS หรือ RPC) และเลือก
การเชื่อมต่อจากรายการที่นำเสนอของโฮสต์/พอร์ต/เต้ารับที่ไม่ได้จัดสรรที่กำหนดค่าไว้
49

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
ในการเพิ่มอุปกรณ์ที่ได้รับการจัดการที่เชื่อมต่อกับเครือข่ายใหม่: 1. ผู้ดูแลระบบจะเพิ่มอุปกรณ์ที่ได้รับการจัดการที่เชื่อมต่อกับเครือข่ายใหม่โดยใช้เพิ่มโฮสต์บนเมนูอนุกรมและเครือข่าย > โฮสต์เครือข่าย ซึ่งจะสร้างอุปกรณ์ที่ได้รับการจัดการใหม่ที่เกี่ยวข้องโดยอัตโนมัติ 2. เมื่อเพิ่มเครือข่ายใหม่ที่เชื่อมต่อกับอุปกรณ์จ่ายไฟ RPC หรือ UPS คุณจะต้องตั้งค่าโฮสต์เครือข่าย กำหนดเป็น RPC หรือ UPS ไปที่การเชื่อมต่อ RPC หรือการเชื่อมต่อ UPS เพื่อกำหนดค่าการเชื่อมต่อที่เกี่ยวข้อง อุปกรณ์ที่ได้รับการจัดการใหม่ที่สอดคล้องกันซึ่งมีชื่อ /คำอธิบายเดียวกันกับโฮสต์ RPC/UPS จะไม่ถูกสร้างขึ้นจนกว่าขั้นตอนการเชื่อมต่อนี้จะเสร็จสมบูรณ์
หมายเหตุ ชื่อเต้ารับบน PDU ที่สร้างขึ้นใหม่คือเต้ารับ 1 และเต้ารับ 2 เมื่อคุณเชื่อมต่ออุปกรณ์ที่ได้รับการจัดการเฉพาะที่ดึงพลังงานจากเต้ารับ เต้ารับจะใช้ชื่อของอุปกรณ์ที่ได้รับการจัดการที่รับพลังงาน
ในการเพิ่มอุปกรณ์ที่ได้รับการจัดการที่เชื่อมต่อแบบอนุกรมใหม่: 1. กำหนดค่าพอร์ตอนุกรมโดยใช้เมนู อนุกรมและเครือข่าย > พอร์ตอนุกรม (ดูส่วนที่ 3.1 กำหนดค่าพอร์ตอนุกรม) 2. เลือก อนุกรมและเครือข่าย > อุปกรณ์ที่ได้รับการจัดการ และคลิก เพิ่มอุปกรณ์ 3. ป้อนอุปกรณ์ ชื่อและคำอธิบายสำหรับอุปกรณ์ที่ได้รับการจัดการ

4. คลิกเพิ่มการเชื่อมต่อและเลือกพอร์ตอนุกรมและพอร์ตที่เชื่อมต่อกับอุปกรณ์ที่ได้รับการจัดการ

5. หากต้องการเพิ่มการเชื่อมต่อไฟ UPS/RPC หรือการเชื่อมต่อเครือข่าย หรือการเชื่อมต่อแบบอนุกรมอื่นๆ ให้คลิก เพิ่มการเชื่อมต่อ

6. คลิกสมัคร

บันทึก

หากต้องการตั้งค่าอุปกรณ์ RPC UPS หรือ EMD ที่เชื่อมต่อแบบอนุกรม ให้กำหนดค่าพอร์ตอนุกรม กำหนดให้เป็นอุปกรณ์ และป้อนชื่อและคำอธิบายสำหรับอุปกรณ์นั้นใน อนุกรมและเครือข่าย > การเชื่อมต่อ RPC (หรือ การเชื่อมต่อของ UPS หรือ สิ่งแวดล้อม) ซึ่งจะสร้างอุปกรณ์ที่ได้รับการจัดการใหม่ที่สอดคล้องกันซึ่งมีชื่อ /คำอธิบายเดียวกันกับโฮสต์ RPC/UPS ชื่อเต้ารับบน PDU ที่สร้างขึ้นใหม่นี้คือเต้ารับ 1 และเต้ารับ 2 เมื่อคุณเชื่อมต่ออุปกรณ์ที่ได้รับการจัดการซึ่งดึงพลังงานจากเต้ารับ เต้ารับจะใช้ชื่อของอุปกรณ์ที่ได้รับการจัดการที่รับพลังงาน

3.9 ไอพีเซ็ก VPN
ACM7000, CM7100 และ IM7200 ประกอบด้วย Openwan ซึ่งเป็นการใช้งาน Linux ของโปรโตคอล IPsec (IP Security) ซึ่งสามารถใช้เพื่อกำหนดค่า Virtual Private Network (VPN) VPN ช่วยให้หลายไซต์หรือผู้ดูแลระบบระยะไกลสามารถเข้าถึงคอนโซลเซิร์ฟเวอร์และอุปกรณ์ที่ได้รับการจัดการได้อย่างปลอดภัยผ่านทางอินเทอร์เน็ต

คู่มือการใช้งาน
ผู้ดูแลระบบสามารถสร้างการเชื่อมต่อ VPN ที่ได้รับการรับรองความถูกต้องและเข้ารหัสระหว่างคอนโซลเซิร์ฟเวอร์ที่กระจายอยู่ที่ไซต์ระยะไกลและเกตเวย์ VPN (เช่น เราเตอร์ Cisco ที่ใช้ IOS IPsec) บนเครือข่ายสำนักงานกลาง:
· ผู้ใช้ที่สำนักงานกลางสามารถเข้าถึงเซิร์ฟเวอร์คอนโซลระยะไกลได้อย่างปลอดภัยและอุปกรณ์คอนโซลอนุกรมที่เชื่อมต่อและเครื่องบนเครือข่ายย่อย LAN การจัดการที่ตำแหน่งระยะไกลราวกับว่าพวกเขาอยู่ในเครื่อง
· เซิร์ฟเวอร์คอนโซลระยะไกลทั้งหมดนี้สามารถตรวจสอบได้ด้วย CMS6000 บนเครือข่ายกลาง · ด้วยการบริดจ์แบบอนุกรม ข้อมูลอนุกรมจากตัวควบคุมที่เครื่องสำนักงานส่วนกลางจึงปลอดภัยได้
เชื่อมต่อกับอุปกรณ์ควบคุมแบบอนุกรมที่ไซต์ระยะไกล ผู้ดูแลระบบ Road Warrior สามารถใช้ไคลเอนต์ซอฟต์แวร์ VPN IPsec เพื่อเข้าถึงคอนโซลเซิร์ฟเวอร์จากระยะไกลและเครื่องทุกเครื่องบนเครือข่ายย่อย LAN การจัดการที่ตำแหน่งระยะไกล
การกำหนดค่า IPsec ค่อนข้างซับซ้อน ดังนั้น Opengear จึงจัดเตรียมอินเทอร์เฟซ GUI สำหรับการตั้งค่าพื้นฐานตามที่อธิบายไว้ด้านล่าง หากต้องการเปิดใช้งานเกตเวย์ VPN:
1. เลือก IPsec VPN บนเมนูอนุกรมและเครือข่าย
2. คลิก Add และกรอกข้อมูลหน้าจอ Add IPsec Tunnel 3. ป้อนชื่อที่สื่อความหมายที่คุณต้องการระบุ IPsec Tunnel ที่คุณกำลังเพิ่ม เช่น
WestStOutlet-VPN
51

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
4. เลือกวิธีการรับรองความถูกต้องที่จะใช้ ลายเซ็นดิจิทัล RSA หรือความลับที่ใช้ร่วมกัน (PSK) o หากคุณเลือก RSA ระบบจะขอให้คุณคลิกที่นี่เพื่อสร้างคีย์ สิ่งนี้จะสร้างคีย์สาธารณะ RSA สำหรับคอนโซลเซิร์ฟเวอร์ (คีย์สาธารณะด้านซ้าย) ค้นหาคีย์ที่จะใช้บนเกตเวย์ระยะไกล ตัดและวางลงในคีย์สาธารณะที่ถูกต้อง
o หากคุณเลือก แบ่งปันความลับ ให้ป้อนความลับที่แบ่งปันล่วงหน้า (PSK) PSK ต้องตรงกับ PSK ที่กำหนดค่าไว้ที่ปลายอีกด้านหนึ่งของอุโมงค์
5. ใน Authentication Protocol ให้เลือกโปรโตคอลการตรวจสอบความถูกต้องที่จะใช้ ตรวจสอบสิทธิ์โดยเป็นส่วนหนึ่งของการเข้ารหัส ESP (Encapsulating Security Payload) หรือแยกกันโดยใช้โปรโตคอล AH (Authentication Header)
52

คู่มือการใช้งาน
6. ป้อน ID ด้านซ้ายและ ID ด้านขวา นี่คือตัวระบุที่โฮสต์/เกตเวย์ภายในและโฮสต์/เกตเวย์ระยะไกลใช้สำหรับการเจรจาและการรับรองความถูกต้องของ IPsec แต่ละ ID ต้องมี @ และสามารถรวมชื่อโดเมนแบบเต็มได้ ( เช่น left@example.com)
7. ป้อนที่อยู่ IP สาธารณะหรือ DNS ของเกตเวย์ Opengear VPN นี้เป็นที่อยู่ด้านซ้าย คุณสามารถเว้นว่างไว้เพื่อใช้อินเทอร์เฟซของเส้นทางเริ่มต้น
8. ใน ที่อยู่ด้านขวา ป้อนที่อยู่ IP สาธารณะหรือที่อยู่ DNS ของปลายระยะไกลของอุโมงค์ (เฉพาะในกรณีที่ปลายระยะไกลมีที่อยู่แบบคงที่หรือ DynDNS) มิฉะนั้นจะเว้นว่างไว้
9. หากเกตเวย์ Opengear VPN ทำหน้าที่เป็นเกตเวย์ VPN ไปยังซับเน็ตท้องถิ่น (เช่น คอนโซลเซิร์ฟเวอร์มีการกำหนดค่า LAN การจัดการ) ให้ป้อนรายละเอียดซับเน็ตส่วนตัวใน Left Subnet ใช้รูปแบบ CIDR (โดยที่หมายเลขที่อยู่ IP ตามด้วยเครื่องหมายทับและจำนวน 'หนึ่ง' บิตในรูปแบบไบนารี่ของเน็ตมาสก์) สำหรับเช่นample, 192.168.0.0/24 ระบุที่อยู่ IP โดยที่ 24 บิตแรกถูกใช้เป็นที่อยู่เครือข่าย นี่เหมือนกับ 255.255.255.0 หากการเข้าถึง VPN ทำได้เฉพาะกับคอนโซลเซิร์ฟเวอร์และอุปกรณ์คอนโซลอนุกรมที่เชื่อมต่อ ให้ปล่อย Subnet ด้านซ้ายว่างไว้
10. หากมีเกตเวย์ VPN ที่ระยะไกล ให้ป้อนรายละเอียดซับเน็ตส่วนตัวใน Right Subnet ใช้รูปแบบ CIDR และเว้นว่างไว้หากมีเฉพาะโฮสต์ระยะไกล
11. เลือก Initiate Tunnel หากการเชื่อมต่อทันเนลจะเริ่มต้นจากฝั่งคอนโซลเซิร์ฟเวอร์ด้านซ้าย สิ่งนี้สามารถเริ่มต้นได้จากเกตเวย์ VPN (ซ้าย) เท่านั้น หากปลายทางระยะไกลได้รับการกำหนดค่าด้วยที่อยู่ IP แบบคงที่ (หรือ DynDNS)
12. คลิก ใช้ เพื่อบันทึกการเปลี่ยนแปลง
หมายเหตุ รายละเอียดการกำหนดค่าที่ตั้งค่าบนคอนโซลเซิร์ฟเวอร์ (เรียกว่าโฮสต์ด้านซ้ายหรือในพื้นที่) จะต้องตรงกับการตั้งค่าที่ป้อนเมื่อกำหนดค่าโฮสต์/เกตเวย์ระยะไกล (ขวา) หรือไคลเอ็นต์ซอฟต์แวร์ ดู http://www.opengear.com/faq.html สำหรับรายละเอียดเกี่ยวกับการกำหนดค่าปลายระยะไกลเหล่านี้
3.10 โอเพ่นVPN
ACM7000, CM7100 และ IM7200 ที่มีเฟิร์มแวร์ V3.2 และใหม่กว่าจะมี OpenVPN OpenVPN ใช้ไลบรารี OpenSSL สำหรับการเข้ารหัส การรับรองความถูกต้อง และการรับรอง ซึ่งหมายความว่าใช้ SSL/TSL (Secure Socket Layer/Transport Layer Security) สำหรับการแลกเปลี่ยนคีย์ และสามารถเข้ารหัสทั้งข้อมูลและช่องทางการควบคุม การใช้ OpenVPN ช่วยให้สามารถสร้าง VPN ข้ามแพลตฟอร์มแบบจุดต่อจุดโดยใช้ X.509 PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) หรือการกำหนดค่าแบบกำหนดเอง fileส. OpenVPN อนุญาตให้มีการเจาะข้อมูลอย่างปลอดภัยผ่านพอร์ต TCP/UDP เดียวบนเครือข่ายที่ไม่ปลอดภัย จึงให้การเข้าถึงที่ปลอดภัยไปยังหลาย ๆ ไซต์และการดูแลระบบระยะไกลที่ปลอดภัยไปยังเซิร์ฟเวอร์คอนโซลผ่านทางอินเทอร์เน็ต OpenVPN ยังอนุญาตให้ใช้ที่อยู่ IP แบบไดนามิกโดยทั้งเซิร์ฟเวอร์และไคลเอนต์ ดังนั้นจึงให้ความคล่องตัวไคลเอนต์ สำหรับเช่นampอย่างไรก็ตาม อุโมงค์ OpenVPN อาจถูกสร้างขึ้นระหว่างไคลเอนต์ Windows โรมมิ่งและเซิร์ฟเวอร์คอนโซล Opengear ภายในศูนย์ข้อมูล การกำหนดค่า OpenVPN อาจมีความซับซ้อน ดังนั้น Opengear จึงจัดเตรียมอินเทอร์เฟซ GUI สำหรับการตั้งค่าพื้นฐานตามที่อธิบายไว้ด้านล่าง ข้อมูลรายละเอียดเพิ่มเติมสามารถดูได้ที่ http://www.openvpn.net
3.10.1 เปิดใช้งาน OpenVPN 1. เลือก OpenVPN บนเมนู Serial & Networks
53

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
2. คลิกเพิ่มและกรอกข้อมูลหน้าจอเพิ่มอุโมงค์ OpenVPN 3. ป้อนชื่อที่สื่อความหมายที่คุณต้องการระบุอุโมงค์ OpenVPN ที่คุณกำลังเพิ่ม เช่นample
NorthStOutlet-VPN
4. เลือกวิธีการรับรองความถูกต้องที่จะใช้ หากต้องการตรวจสอบสิทธิ์โดยใช้ใบรับรอง ให้เลือก PKI (ใบรับรอง X.509) หรือเลือกการกำหนดค่าแบบกำหนดเอง เพื่ออัปโหลดการกำหนดค่าแบบกำหนดเอง fileส. การกำหนดค่าแบบกำหนดเองจะต้องเก็บไว้ใน /etc/config
หมายเหตุ หากคุณเลือก PKI ให้สร้าง: ใบรับรองแยกต่างหาก (หรือที่เรียกว่าคีย์สาธารณะ) ใบรับรองนี้ File คือ *.crt file พิมพ์คีย์ส่วนตัวสำหรับเซิร์ฟเวอร์และไคลเอ็นต์แต่ละรายการ รหัสส่วนตัวนี้ File คือ *.คีย์ file พิมพ์
ใบรับรองและคีย์ของผู้ออกใบรับรองหลัก (CA) ที่ใช้ในการลงนามแต่ละเซิร์ฟเวอร์
และใบรับรองลูกค้า ใบรับรอง Root CA นี้คือ *.crt file สำหรับเซิร์ฟเวอร์ คุณอาจต้องใช้ dh1024.pem (พารามิเตอร์ Diffie Hellman) ดู http://openvpn.net/easyrsa.html สำหรับคำแนะนำเกี่ยวกับการจัดการคีย์ RSA ขั้นพื้นฐาน สำหรับวิธีการตรวจสอบสิทธิ์แบบอื่น โปรดดู http://openvpn.net/index.php/documentation/howto.html#auth
5. เลือกไดรเวอร์อุปกรณ์ที่จะใช้ Tun-IP หรือ Tap-Ethernet ไดรเวอร์ TUN (อุโมงค์เครือข่าย) และ TAP (แตะเครือข่าย) เป็นไดรเวอร์เครือข่ายเสมือนที่รองรับ IP tunneling และ Ethernet tunneling ตามลำดับ TUN และ TAP เป็นส่วนหนึ่งของเคอร์เนล Linux
6. เลือก UDP หรือ TCP เป็นโปรโตคอล UDP เป็นโปรโตคอลเริ่มต้นและเป็นที่ต้องการสำหรับ OpenVPN 7. เลือกหรือยกเลิกการเลือกปุ่มการบีบอัดเพื่อเปิดหรือปิดการบีบอัด 8. ในโหมดทันเนล ระบุว่านี่คือจุดสิ้นสุดของไคลเอ็นต์หรือเซิร์ฟเวอร์ของทันเนล เมื่อวิ่งเป็น
เซิร์ฟเวอร์ คอนโซลเซิร์ฟเวอร์รองรับไคลเอนต์หลายตัวที่เชื่อมต่อกับเซิร์ฟเวอร์ VPN ผ่านพอร์ตเดียวกัน
54

คู่มือการใช้งาน
3.10.2 กำหนดค่าเป็นเซิร์ฟเวอร์หรือไคลเอนต์
1. กรอกรายละเอียดไคลเอ็นต์หรือรายละเอียดเซิร์ฟเวอร์ให้ครบถ้วน โดยขึ้นอยู่กับโหมดทันเนลที่เลือก o หากเลือกไคลเอ็นต์ ที่อยู่เซิร์ฟเวอร์หลักจะเป็นที่อยู่ของเซิร์ฟเวอร์ OpenVPN o หากเลือกเซิร์ฟเวอร์ ให้ป้อนที่อยู่เครือข่าย IP Pool และมาสก์เครือข่าย IP Pool สำหรับพูล IP เครือข่ายที่กำหนดโดยที่อยู่/มาสก์เครือข่าย IP Pool ใช้เพื่อระบุที่อยู่สำหรับการเชื่อมต่อไคลเอ็นต์
2. คลิก ใช้ เพื่อบันทึกการเปลี่ยนแปลง
55

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3. เพื่อป้อนใบรับรองการตรวจสอบความถูกต้องและ fileให้เลือกจัดการ OpenVPN Fileแท็บ อัปโหลดหรือเรียกดูใบรับรองการตรวจสอบที่เกี่ยวข้องและ files.
4. นำไปใช้เพื่อบันทึกการเปลี่ยนแปลง บันทึกแล้ว files จะแสดงเป็นสีแดงทางด้านขวาของปุ่มอัปโหลด
5. หากต้องการเปิดใช้งาน OpenVPN ให้แก้ไขอุโมงค์ OpenVPN
56

คู่มือการใช้งาน
6. ตรวจสอบปุ่มเปิดใช้งาน 7. นำไปใช้เพื่อบันทึกการเปลี่ยนแปลง หมายเหตุ ตรวจสอบให้แน่ใจว่าเวลาของระบบคอนโซลเซิร์ฟเวอร์ถูกต้องเมื่อทำงานกับ OpenVPN เพื่อหลีกเลี่ยง
ปัญหาการตรวจสอบสิทธิ์
8. เลือกสถิติบนเมนูสถานะเพื่อตรวจสอบว่าอุโมงค์ทำงานอยู่
57

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3.10.3 การตั้งค่าไคลเอนต์และเซิร์ฟเวอร์ Windows OpenVPN ส่วนนี้สรุปการติดตั้งและการกำหนดค่าไคลเอนต์ Windows OpenVPN หรือเซิร์ฟเวอร์ Windows OpenVPN และการตั้งค่าการเชื่อมต่อ VPN ไปยังเซิร์ฟเวอร์คอนโซล เซิร์ฟเวอร์คอนโซลสร้างการกำหนดค่าไคลเอนต์ Windows โดยอัตโนมัติจาก GUI สำหรับความลับที่แชร์ล่วงหน้า (คีย์คงที่ File) การกำหนดค่า
สามารถดาวน์โหลดซอฟต์แวร์ OpenVPN GUI สำหรับ Windows (ซึ่งรวมถึงแพ็คเกจ OpenVPN มาตรฐานและ Windows GUI) ได้จาก http://openvpn.net เมื่อติดตั้งบนเครื่อง Windows แล้ว ไอคอน OpenVPN จะถูกเพิ่มลงในพื้นที่แจ้งเตือนที่อยู่ทางด้านขวาของแถบงาน คลิกขวาที่ไอคอนนี้เพื่อเริ่มและหยุดการเชื่อมต่อ VPN แก้ไขการกำหนดค่า และ view บันทึก
เมื่อซอฟต์แวร์ OpenVPN เริ่มทำงาน C:Program Fileโฟลเดอร์ sOpenVPNconfig ถูกสแกนหา .opvn fileส. โฟลเดอร์นี้ได้รับการตรวจสอบอีกครั้งสำหรับการกำหนดค่าใหม่ fileเมื่อใดก็ตามที่ไอคอน OpenVPN GUI ถูกคลิกขวา เมื่อติดตั้ง OpenVPN แล้ว ให้สร้างการกำหนดค่า file:
58

คู่มือการใช้งาน

ใช้โปรแกรมแก้ไขข้อความสร้าง xxxx.ovpn file และบันทึกลงใน C:Program FilesOpenVPNconfig. สำหรับเช่นampเลอ, C:โปรแกรม FilesOpenVPNconfigclient.ovpn
อดีตampของการกำหนดค่าไคลเอนต์ OpenVPN Windows file ดังแสดงด้านล่างนี้:
# คำอธิบาย: IM4216_client ไคลเอ็นต์โปรโต udp กริยา 3 dev tun ระยะไกล 192.168.250.152 พอร์ต 1194 ca c:\openvpnkeys\ca.crt ใบรับรอง c:\openvpnkeys\client.crt คีย์ c:\openvpnkeys\client.key nobind ยืนยันคีย์คงอยู่- tun comp-lzo
อดีตampของการกำหนดค่า OpenVPN Windows Server file ดังแสดงด้านล่างนี้:
เซิร์ฟเวอร์ 10.100.10.0 255.255.255.0 พอร์ต 1194 keepalive 10 120 proto udp mssfix 1400 คีย์คงอยู่คงอยู่ tun dev tun ca c:\openvpnkeys\ca.crt ใบรับรอง c:\openvpnkeys\server.crt คีย์ c:\openvpnkeys\server คีย์ dh c:\openvpnkeys\dh.pem comp-lzo กริยา 1 syslog IM4216_OpenVPN_Server
การกำหนดค่าไคลเอ็นต์/เซิร์ฟเวอร์ Windows file ตัวเลือกคือ:

ตัวเลือก #description: เซิร์ฟเวอร์ไคลเอ็นต์ proto udp proto tcp mssfix กริยา
dev tun dev แตะ

คำอธิบาย นี่คือความคิดเห็นที่อธิบายการกำหนดค่า บรรทัดความคิดเห็นขึ้นต้นด้วย `#' และ OpenVPN จะไม่สนใจ ระบุว่านี่จะเป็นการกำหนดค่าไคลเอ็นต์หรือเซิร์ฟเวอร์ file- ในการกำหนดค่าเซิร์ฟเวอร์ fileกำหนดกลุ่มที่อยู่ IP และเน็ตมาสก์ สำหรับเช่นampเซิร์ฟเวอร์ 10.100.10.0 255.255.255.0 ตั้งค่าโปรโตคอลเป็น UDP หรือ TCP ไคลเอนต์และเซิร์ฟเวอร์ต้องใช้การตั้งค่าเดียวกัน Mssfix กำหนดขนาดสูงสุดของแพ็กเก็ต สิ่งนี้มีประโยชน์สำหรับ UDP เท่านั้นหากเกิดปัญหาขึ้น
ตั้งค่าบันทึก file ระดับคำฟุ่มเฟือย ระดับคำฟุ่มเฟือยของบันทึกสามารถตั้งค่าได้ตั้งแต่ 0 (ขั้นต่ำ) ถึง 15 (สูงสุด) สำหรับเช่นample, 0 = เงียบยกเว้นข้อผิดพลาดร้ายแรง 3 = เอาต์พุตปานกลาง เหมาะสำหรับการใช้งานทั่วไป 5 = ช่วยแก้ปัญหาการเชื่อมต่อ 9 = ละเอียด ดีเยี่ยมสำหรับการแก้ไขปัญหา เลือก `dev tun' เพื่อสร้างเส้นทาง IP tunnel หรือ `dev tap' เพื่อสร้าง อุโมงค์อีเทอร์เน็ต ไคลเอนต์และเซิร์ฟเวอร์ต้องใช้การตั้งค่าเดียวกัน

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้

ระยะไกล พอร์ตคีพอะไลฟ์
http-พร็อกซี แคลิฟอร์เนียfile ชื่อ>
ใบรับรองfile ชื่อ>
สำคัญfile ชื่อ>
วันfile ชื่อ> Nobind ยังคงมีคีย์คงรหัสคงอยู่ BF-CBC Blowfish (ค่าเริ่มต้น) รหัส AES-128-CBC AES รหัส DES-EDE3-CBC Triple-DES comp-lzo syslog

ชื่อโฮสต์/IP ของเซิร์ฟเวอร์ OpenVPN เมื่อใช้งานในฐานะไคลเอนต์ ป้อนชื่อโฮสต์ DNS หรือที่อยู่ IP แบบคงที่ของเซิร์ฟเวอร์ พอร์ต UDP/TCP ของเซิร์ฟเวอร์ Keepalive ใช้ ping เพื่อรักษาเซสชัน OpenVPN ให้คงอยู่ 'Keepalive 10 120′ ปิงทุก ๆ 10 วินาทีและถือว่าเพียร์ระยะไกลไม่ทำงานหากไม่มีการปิงใด ๆ ในช่วงเวลา 120 วินาที หากจำเป็นต้องใช้พร็อกซีในการเข้าถึงเซิร์ฟเวอร์ ให้ป้อนชื่อ DNS ของพร็อกซีเซิร์ฟเวอร์หรือ IP และหมายเลขพอร์ต ป้อนใบรับรอง CA file ชื่อและที่ตั้ง ใบรับรอง CA เดียวกัน file สามารถใช้งานได้โดยเซิร์ฟเวอร์และไคลเอนต์ทั้งหมด หมายเหตุ: ตรวจสอบให้แน่ใจว่าแต่ละ `' ในเส้นทางไดเร็กทอรีถูกแทนที่ด้วย ` \' สำหรับเช่นample, c:openvpnkeysca.crt จะกลายเป็น c:\openvpnkeys\ca.crt ป้อนใบรับรองของไคลเอ็นต์หรือเซิร์ฟเวอร์ file ชื่อและที่ตั้ง ลูกค้าแต่ละรายควรมีใบรับรองและรหัสของตนเอง fileส. หมายเหตุ: ตรวจสอบให้แน่ใจว่าแต่ละ `' ในเส้นทางไดเร็กทอรีถูกแทนที่ด้วย ` \' ป้อน file ชื่อและที่ตั้งของคีย์ของลูกค้าหรือเซิร์ฟเวอร์ ลูกค้าแต่ละรายควรมีใบรับรองและรหัสของตนเอง fileส. หมายเหตุ: ตรวจสอบให้แน่ใจว่าแต่ละ `' ในเส้นทางไดเร็กทอรีถูกแทนที่ด้วย ` \' สิ่งนี้ถูกใช้โดยเซิร์ฟเวอร์เท่านั้น ป้อนเส้นทางไปยังคีย์ด้วยพารามิเตอร์ Diffie-Hellman `Nobind' ถูกใช้เมื่อไคลเอนต์ไม่จำเป็นต้องผูกกับที่อยู่ในเครื่องหรือหมายเลขพอร์ตในเครื่องเฉพาะ นี่เป็นกรณีในการกำหนดค่าไคลเอนต์ส่วนใหญ่ ตัวเลือกนี้ป้องกันการรีโหลดคีย์ระหว่างการรีสตาร์ท ตัวเลือกนี้ป้องกันการปิดและเปิดอุปกรณ์ TUN/TAP ใหม่ระหว่างการรีสตาร์ท เลือกรหัสเข้ารหัส ไคลเอนต์และเซิร์ฟเวอร์ต้องใช้การตั้งค่าเดียวกัน
เปิดใช้งานการบีบอัดบนลิงก์ OpenVPN จะต้องเปิดใช้งานทั้งบนไคลเอนต์และเซิร์ฟเวอร์ ตามค่าเริ่มต้น บันทึกจะอยู่ใน syslog หรือหากทำงานเป็นบริการบน Window ก็จะอยู่ใน Program Fileไดเรกทอรี sOpenVPNlog

เพื่อเริ่มต้นอุโมงค์ OpenVPN หลังจากการสร้างการกำหนดค่าไคลเอนต์/เซิร์ฟเวอร์ files: 1. คลิกขวาที่ไอคอน OpenVPN ในพื้นที่แจ้งเตือน 2. เลือกการกำหนดค่าไคลเอนต์หรือเซิร์ฟเวอร์ที่สร้างขึ้นใหม่ 3. คลิก เชื่อมต่อ

4. บันทึก file จะแสดงขึ้นเมื่อมีการเชื่อมต่อเกิดขึ้น
60

คู่มือการใช้งาน
5. เมื่อสร้างแล้ว ไอคอน OpenVPN จะแสดงข้อความระบุว่าการเชื่อมต่อสำเร็จและ IP ที่กำหนด ข้อมูลนี้รวมถึงเวลาที่สร้างการเชื่อมต่อสามารถดูได้โดยการเลื่อนไปที่ไอคอน OpenVPN
3.11 พีทีพี VPN
เซิร์ฟเวอร์คอนโซลประกอบด้วยเซิร์ฟเวอร์ PPTP (Point-to-Point Tunneling Protocol) PPTP ใช้สำหรับการสื่อสารผ่านลิงก์อนุกรมแบบฟิสิคัลหรือเสมือน จุดสิ้นสุด PPP กำหนดที่อยู่ IP เสมือนให้กับตัวเอง เส้นทางไปยังเครือข่ายสามารถกำหนดได้ด้วยที่อยู่ IP เหล่านี้เป็นเกตเวย์ ซึ่งส่งผลให้การรับส่งข้อมูลถูกส่งข้ามอุโมงค์ PPTP สร้างอุโมงค์ระหว่างจุดสิ้นสุด PPP ทางกายภาพและส่งข้อมูลอย่างปลอดภัยข้ามอุโมงค์
จุดแข็งของ PPTP คือความง่ายในการกำหนดค่าและบูรณาการเข้ากับโครงสร้างพื้นฐานของ Microsoft ที่มีอยู่ โดยทั่วไปจะใช้สำหรับเชื่อมต่อไคลเอนต์ Windows ระยะไกลตัวเดียว หากคุณนำคอมพิวเตอร์แบบพกพาเดินทางไปทำธุรกิจ คุณสามารถกดหมายเลขท้องถิ่นเพื่อเชื่อมต่อกับผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณ และสร้างการเชื่อมต่อที่สอง (ทันเนล) เข้าสู่เครือข่ายสำนักงานของคุณผ่านอินเทอร์เน็ต และเข้าถึงเครือข่ายสำนักงานของคุณได้เช่นเดียวกัน เครือข่ายองค์กรเสมือนว่าคุณเชื่อมต่อโดยตรงจากสำนักงานของคุณ ผู้ใช้โทรคมนาคมยังสามารถตั้งค่าอุโมงค์ VPN ผ่านเคเบิลโมเด็มหรือลิงก์ DSL ไปยัง ISP ในพื้นที่ของตนได้
61

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
วิธีตั้งค่าการเชื่อมต่อ PPTP จากไคลเอนต์ Windows ระยะไกลไปยังอุปกรณ์ Opengear และเครือข่ายท้องถิ่นของคุณ:
1. เปิดใช้งานและกำหนดค่าเซิร์ฟเวอร์ PPTP VPN บนอุปกรณ์ Opengear ของคุณ 2. ตั้งค่าบัญชีผู้ใช้ VPN บนอุปกรณ์ Opengear และเปิดใช้งานที่เหมาะสม
การรับรองความถูกต้อง 3. กำหนดค่าไคลเอนต์ VPN ที่ไซต์ระยะไกล ลูกค้าไม่จำเป็นต้องใช้ซอฟต์แวร์พิเศษเช่น
เซิร์ฟเวอร์ PPTP รองรับซอฟต์แวร์ไคลเอนต์ PPTP มาตรฐานที่มาพร้อมกับ Windows NT และใหม่กว่า 4. เชื่อมต่อกับ VPN ระยะไกล 3.11.1 เปิดใช้งานเซิร์ฟเวอร์ PPTP VPN 1. เลือก PPTP VPN บนเมนูอนุกรมและเครือข่าย
2. เลือกช่องทำเครื่องหมาย Enable เพื่อเปิดใช้งานเซิร์ฟเวอร์ PPTP 3. เลือกการตรวจสอบสิทธิ์ขั้นต่ำที่จำเป็น การเข้าถึงถูกปฏิเสธโดยผู้ใช้ระยะไกลที่พยายามจะ
เชื่อมต่อโดยใช้รูปแบบการตรวจสอบสิทธิ์ที่อ่อนแอกว่ารูปแบบที่เลือก แผนการต่างๆ อธิบายไว้ด้านล่างนี้ เรียงจากมากไปน้อย · การรับรองความถูกต้องแบบเข้ารหัส (MS-CHAP v2): ประเภทการรับรองความถูกต้องที่เข้มงวดที่สุดที่จะใช้ นี่คือ
ตัวเลือกที่แนะนำ · การตรวจสอบสิทธิ์ที่เข้ารหัสอย่างอ่อนแอ (CHAP): นี่คือรหัสผ่านที่เข้ารหัสประเภทที่อ่อนแอที่สุด
การรับรองความถูกต้องที่จะใช้ ไม่แนะนำให้ไคลเอนต์เชื่อมต่อโดยใช้สิ่งนี้ เนื่องจากมีการป้องกันรหัสผ่านน้อยมาก โปรดทราบว่าไคลเอ็นต์ที่เชื่อมต่อโดยใช้ CHAP จะไม่สามารถเข้ารหัสการรับส่งข้อมูลได้
62

คู่มือการใช้งาน
· การตรวจสอบสิทธิ์แบบไม่มีการเข้ารหัส (PAP): นี่คือการตรวจสอบสิทธิ์ด้วยรหัสผ่านข้อความธรรมดา เมื่อใช้การรับรองความถูกต้องประเภทนี้ รหัสผ่านไคลเอ็นต์จะถูกส่งโดยไม่มีการเข้ารหัส
· ไม่มี 4. เลือกระดับการเข้ารหัสที่ต้องการ การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ระยะไกลที่พยายามเชื่อมต่อ
ที่ไม่ได้ใช้ระดับการเข้ารหัสนี้ 5. ใน Local Address ให้ป้อนที่อยู่ IP เพื่อกำหนดให้กับจุดสิ้นสุดของการเชื่อมต่อ VPN ของเซิร์ฟเวอร์ 6. ใน Remote Addresses ให้ป้อนกลุ่มที่อยู่ IP เพื่อกำหนดให้กับ VPN ของไคลเอ็นต์ขาเข้า
การเชื่อมต่อ (เช่น 192.168.1.10-20) นี่ต้องเป็นที่อยู่ IP ฟรีหรือช่วงที่อยู่จากเครือข่ายที่กำหนดผู้ใช้ระยะไกลในขณะที่เชื่อมต่อกับอุปกรณ์ Opengear 7. ป้อนค่าที่ต้องการของหน่วยการส่งสัญญาณสูงสุด (MTU) สำหรับอินเทอร์เฟซ PPTP ลงในฟิลด์ MTU (ค่าเริ่มต้นเป็น 1400) 8. ในฟิลด์ DNS Server ให้ป้อนที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่กำหนดที่อยู่ IP สำหรับการเชื่อมต่อไคลเอนต์ PPTP 9. ในฟิลด์ WINS Server ให้ป้อนที่อยู่ IP ของเซิร์ฟเวอร์ WINS ที่กำหนดที่อยู่ IP สำหรับการเชื่อมต่อไคลเอนต์ PPTP 10. เปิดใช้งาน Verbose Logging เพื่อช่วยในการดีบักปัญหาการเชื่อมต่อ 11. คลิก ใช้การตั้งค่า 3.11.2 เพิ่มผู้ใช้ PPTP 1. เลือก Users & Groups บนเมนู Serial & Networks และกรอกข้อมูลในฟิลด์ตามที่กล่าวถึงในส่วน 3.2 2. ตรวจสอบให้แน่ใจว่าได้ตรวจสอบกลุ่ม pptpd เพื่ออนุญาตการเข้าถึงเซิร์ฟเวอร์ PPTP VPN หมายเหตุ – ผู้ใช้ในกลุ่มนี้จะมีรหัสผ่านเก็บไว้เป็นข้อความที่ชัดเจน 3. จดชื่อผู้ใช้และรหัสผ่านไว้เมื่อคุณต้องการเชื่อมต่อกับการเชื่อมต่อ VPN 4. คลิกนำไปใช้
63

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3.11.3 ตั้งค่าไคลเอนต์ PPTP ระยะไกล ตรวจสอบให้แน่ใจว่าพีซีไคลเอนต์ VPN ระยะไกลมีการเชื่อมต่ออินเทอร์เน็ต หากต้องการสร้างการเชื่อมต่อ VPN ผ่านอินเทอร์เน็ต คุณต้องตั้งค่าการเชื่อมต่อเครือข่ายสองรายการ การเชื่อมต่อหนึ่งสำหรับ ISP และการเชื่อมต่ออีกอันสำหรับอุโมงค์ VPN ไปยังอุปกรณ์ Opengear หมายเหตุ ขั้นตอนนี้ตั้งค่าไคลเอนต์ PPTP ในระบบปฏิบัติการ Windows Professional ขั้นตอนต่างๆ
อาจแตกต่างกันเล็กน้อยขึ้นอยู่กับการเข้าถึงเครือข่ายของคุณ หรือหากคุณใช้ Windows เวอร์ชันอื่น คำแนะนำโดยละเอียดเพิ่มเติมจาก Microsoft web เว็บไซต์. 1. เข้าสู่ระบบไคลเอนต์ Windows ของคุณด้วยสิทธิ์ผู้ดูแลระบบ 2. จาก Network & Sharing Center บนแผงควบคุม เลือก Network Connections และสร้างการเชื่อมต่อใหม่
64

คู่มือการใช้งาน
3. เลือกใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน (VPN) และป้อนที่อยู่ IP ของอุปกรณ์ Opengear เพื่อเชื่อมต่อไคลเอนต์ VPN ระยะไกลกับเครือข่ายท้องถิ่น คุณจะต้องทราบชื่อผู้ใช้และรหัสผ่านสำหรับบัญชี PPTP ที่คุณเพิ่ม เช่นเดียวกับ IP อินเทอร์เน็ต ที่อยู่ของอุปกรณ์ Opengear หาก ISP ของคุณไม่ได้จัดสรรที่อยู่ IP แบบคงที่ให้กับคุณ ให้พิจารณาใช้บริการ DNS แบบไดนามิก มิฉะนั้นคุณจะต้องแก้ไขการกำหนดค่าไคลเอนต์ PPTP ทุกครั้งที่ที่อยู่ IP อินเทอร์เน็ตของคุณเปลี่ยนแปลง
65

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้

3.12 โทรกลับบ้าน
คอนโซลเซิร์ฟเวอร์ทั้งหมดมีคุณสมบัติ Call Home ซึ่งเริ่มต้นการตั้งค่าอุโมงค์ SSH ที่ปลอดภัยจากคอนโซลเซิร์ฟเวอร์ไปยัง Opengear Lighthouse แบบรวมศูนย์ คอนโซลเซิร์ฟเวอร์ลงทะเบียนเป็นผู้สมัครใน Lighthouse เมื่อยอมรับแล้ว จะกลายเป็นเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการ
Lighthouse ตรวจสอบเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการ และผู้ดูแลระบบสามารถเข้าถึงเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการระยะไกลผ่านทาง Lighthouse การเข้าถึงนี้สามารถใช้ได้แม้ว่าเซิร์ฟเวอร์คอนโซลระยะไกลจะอยู่หลังไฟร์วอลล์ของบริษัทอื่นหรือมีที่อยู่ IP ส่วนตัวที่ไม่สามารถกำหนดเส้นทางได้

บันทึก

Lighthouse จะรักษาการเชื่อมต่อ SSH ที่ได้รับการตรวจสอบสิทธิ์ด้วยคีย์สาธารณะกับเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการแต่ละเซิร์ฟเวอร์ การเชื่อมต่อเหล่านี้ใช้สำหรับการตรวจสอบ กำหนดทิศทาง และการเข้าถึงเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการและอุปกรณ์ที่ได้รับการจัดการซึ่งเชื่อมต่อกับเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการ

ในการจัดการเซิร์ฟเวอร์คอนโซลภายในหรือเซิร์ฟเวอร์คอนโซลที่สามารถเข้าถึงได้จาก Lighthouse การเชื่อมต่อ SSH จะเริ่มต้นโดย Lighthouse

ในการจัดการเซิร์ฟเวอร์คอนโซลระยะไกล หรือเซิร์ฟเวอร์คอนโซลที่เป็นไฟร์วอลล์ ไม่สามารถกำหนดเส้นทางได้ หรือไม่สามารถเข้าถึงได้จาก Lighthouse การเชื่อมต่อ SSH จะเริ่มต้นโดย Managed ConsoleServer ผ่านการเชื่อมต่อ Call Home เริ่มต้น

สิ่งนี้ทำให้มั่นใจได้ถึงการสื่อสารที่ปลอดภัยและได้รับการรับรองความถูกต้อง และช่วยให้สามารถแจกจ่ายหน่วยเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการภายในระบบ LAN หรือจากระยะไกลทั่วโลก

3.12.1 ตั้งค่าตัวเลือก Call Home หากต้องการตั้งค่าคอนโซลเซิร์ฟเวอร์เป็นผู้มีสิทธิ์การจัดการ Call Home บน Lighthouse:
1. เลือก Call Home บนเมนู Serial & Network

2. หากคุณยังไม่ได้สร้างหรืออัปโหลดคู่คีย์ SSH สำหรับคอนโซลเซิร์ฟเวอร์นี้ ให้ดำเนินการก่อนดำเนินการต่อ
3. คลิกเพิ่ม

4. ป้อนที่อยู่ IP หรือชื่อ DNS (เช่น ที่อยู่ DNS แบบไดนามิก) ของ Lighthouse
5. ป้อนรหัสผ่านที่คุณกำหนดค่าบน CMS เป็นรหัสผ่าน Call Home
66

คู่มือการใช้งาน
6. คลิก ใช้ขั้นตอนเหล่านี้ เพื่อเริ่มต้นการเชื่อมต่อ Call Home จากคอนโซลเซิร์ฟเวอร์ไปยัง Lighthouse ซึ่งจะสร้างพอร์ต SSHlistening บน Lighthouse และตั้งค่าคอนโซลเซิร์ฟเวอร์ให้เป็นตัวเลือก
เมื่อผู้สมัครได้รับการยอมรับบน Lighthouse แล้ว อุโมงค์ SSH ไปยังคอนโซลเซิร์ฟเวอร์จะถูกเปลี่ยนเส้นทางกลับไปยังการเชื่อมต่อ Call Home คอนโซลเซิร์ฟเวอร์ได้กลายเป็นเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการ และ Lighthouse สามารถเชื่อมต่อและติดตามตรวจสอบผ่านอุโมงค์นี้ได้ 3.12.2 ยอมรับผู้สมัคร Call Home เป็นเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการบน Lighthouse ส่วนนี้ให้มากกว่าview ในการกำหนดค่า Lighthouse เพื่อตรวจสอบเซิร์ฟเวอร์คอนโซล Lighthouse ที่เชื่อมต่อผ่าน Call Home สำหรับรายละเอียดเพิ่มเติม โปรดดูคู่มือผู้ใช้ Lighthouse:
1. ป้อนรหัสผ่าน Call Home ใหม่บน Lighthouse รหัสผ่านนี้ใช้สำหรับการยอมรับ
เรียก Homeconnections จากคอนโซลเซิร์ฟเวอร์ที่เหมาะสม
2. คอนโซลเซิร์ฟเวอร์สามารถติดต่อ Lighthouse ได้โดยต้องมี IP แบบคงที่
ที่อยู่ หรือหากใช้ DHCP จะต้องกำหนดค่าให้ใช้บริการ DNS แบบไดนามิก
หน้าจอกำหนดค่า > เซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการบน Lighthouse จะแสดงสถานะของ
เซิร์ฟเวอร์คอนโซลและผู้สมัครที่ได้รับการจัดการระยะไกลและระยะไกล
ส่วนเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการจะแสดงเซิร์ฟเวอร์คอนโซลที่ได้รับการตรวจสอบโดย
Lighthouse ส่วนเซิร์ฟเวอร์คอนโซลที่ตรวจพบประกอบด้วย:
o เมนูแบบเลื่อนลง Local Console Servers ซึ่งแสดงรายการเซิร์ฟเวอร์คอนโซลทั้งหมดที่อยู่ในนั้น
ซับเน็ตเดียวกับ Lighthouse และไม่ได้รับการตรวจสอบ
67

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
o เมนูแบบเลื่อนลงเซิร์ฟเวอร์คอนโซลระยะไกลซึ่งแสดงรายการเซิร์ฟเวอร์คอนโซลทั้งหมดที่สร้างการเชื่อมต่อ Call Home และไม่ได้รับการตรวจสอบ (เช่น ตัวเลือก) คุณสามารถคลิกรีเฟรชเพื่ออัปเดตได้
หากต้องการเพิ่มตัวเลือกเซิร์ฟเวอร์คอนโซลลงในรายการ Managed Console Server ให้เลือกจากรายการดรอปดาวน์เซิร์ฟเวอร์คอนโซลระยะไกลแล้วคลิกเพิ่ม ป้อนที่อยู่ IP และพอร์ต SSH (หากช่องเหล่านี้ไม่ได้กรอกข้อมูลอัตโนมัติ) และป้อนคำอธิบายและชื่อเฉพาะสำหรับเซิร์ฟเวอร์ Managed Console ที่คุณกำลังเพิ่ม
ป้อนรหัสผ่านรูทระยะไกล (เช่น รหัสผ่านระบบที่ตั้งค่าไว้บนเซิร์ฟเวอร์ Managed Console นี้) รหัสผ่านนี้ถูกใช้โดย Lighthouse เพื่อเผยแพร่คีย์ SSH ที่สร้างขึ้นอัตโนมัติและจะไม่ถูกเก็บไว้ คลิกสมัคร Lighthouse จะตั้งค่าการเชื่อมต่อ SSH ที่ปลอดภัยไปและกลับจากเซิร์ฟเวอร์คอนโซลที่ได้รับการจัดการ และดึงข้อมูลอุปกรณ์ที่ได้รับการจัดการ รายละเอียดบัญชีผู้ใช้ และการแจ้งเตือนที่กำหนดค่าไว้ 3.12.3 การเรียก Home ไปยังเซิร์ฟเวอร์ SSH ส่วนกลางทั่วไป หากคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ SSH ทั่วไป (ไม่ใช่ Lighthouse) คุณสามารถกำหนดการตั้งค่าขั้นสูงได้: · ป้อนพอร์ตเซิร์ฟเวอร์ SSH และผู้ใช้ SSH · ป้อนรายละเอียดสำหรับการส่งต่อพอร์ต SSH ที่จะสร้าง
โดยการเลือก Listening Server คุณสามารถสร้างพอร์ตระยะไกลส่งต่อจากเซิร์ฟเวอร์ไปยังหน่วยนี้ หรือพอร์ตภายในเครื่องส่งต่อจากหน่วยนี้ไปยังเซิร์ฟเวอร์:
68

คู่มือการใช้งาน
· ระบุพอร์ตการฟังที่จะส่งต่อ เว้นช่องนี้ว่างไว้เพื่อจัดสรรพอร์ตที่ไม่ได้ใช้ · ป้อนเซิร์ฟเวอร์เป้าหมายและพอร์ตเป้าหมายที่จะเป็นผู้รับการเชื่อมต่อที่ส่งต่อ
3.13 การส่งผ่าน IP
IP Passthrough ใช้เพื่อทำให้การเชื่อมต่อโมเด็ม (เช่น โมเด็มเซลลูลาร์ภายใน) ดูเหมือนการเชื่อมต่ออีเทอร์เน็ตปกติกับเราเตอร์ดาวน์สตรีมของบริษัทอื่น ซึ่งช่วยให้เราเตอร์ดาวน์สตรีมใช้การเชื่อมต่อโมเด็มเป็นอินเทอร์เฟซ WAN หลักหรือสำรอง
อุปกรณ์ Opengear มอบที่อยู่ IP ของโมเด็มและรายละเอียด DNS ให้กับอุปกรณ์ดาวน์สตรีมผ่าน DHCP และส่งผ่านการรับส่งข้อมูลเครือข่ายไปยังและจากโมเด็มและเราเตอร์
ในขณะที่ IP Passthrough เปลี่ยน Opengear ให้เป็นฮาล์ฟบริดจ์ของโมเด็มเป็นอีเธอร์เน็ต บริการเลเยอร์ 4 บางส่วน (HTTP/HTTPS/SSH) อาจถูกยกเลิกที่ Opengear (การสกัดกั้นบริการ) นอกจากนี้ บริการที่ทำงานบน Opengear ยังสามารถเริ่มต้นการเชื่อมต่อเซลลูล่าร์ขาออกโดยไม่ขึ้นอยู่กับเราเตอร์ดาวน์สตรีม
ซึ่งช่วยให้สามารถใช้ Opengear สำหรับการจัดการและการแจ้งเตือนนอกแบนด์ต่อไปได้ และยังได้รับการจัดการผ่าน Lighthouse ขณะอยู่ในโหมด IP Passthrough
3.13.1 การตั้งค่าเราเตอร์ดาวน์สตรีม หากต้องการใช้การเชื่อมต่อเฟลโอเวอร์บนเราเตอร์ดาวน์สตรีม (หรือที่เรียกว่า Failover to Cellular หรือ F2C) จะต้องมีอินเทอร์เฟซ WAN สองตัวขึ้นไป
หมายเหตุ การเฟลโอเวอร์ในบริบท IP Passthrough ดำเนินการโดยเราเตอร์ดาวน์สตรีม และตรรกะการเฟลโอเวอร์นอกแบนด์ในตัวบน Opengear จะไม่พร้อมใช้งานขณะอยู่ในโหมด IP Passthrough
เชื่อมต่ออินเทอร์เฟซ Ethernet WAN บนเราเตอร์ดาวน์สตรีมเข้ากับอินเทอร์เฟซเครือข่ายหรือพอร์ต LAN การจัดการของ Opengear ด้วยสายอีเธอร์เน็ต
กำหนดค่าอินเทอร์เฟซนี้บนเราเตอร์ดาวน์สตรีมเพื่อรับการตั้งค่าเครือข่ายผ่าน DHCP หากจำเป็นต้องมีการเฟลโอเวอร์ ให้กำหนดค่าเราเตอร์ดาวน์สตรีมสำหรับการเฟลโอเวอร์ระหว่างอินเทอร์เฟซหลักและพอร์ตอีเทอร์เน็ตที่เชื่อมต่อกับ Opengear
3.13.2 การกำหนดค่าล่วงหน้าของ IP Passthrough ขั้นตอนที่จำเป็นในการเปิดใช้งาน IP Passthrough คือ:
1. กำหนดค่าอินเทอร์เฟซเครือข่ายและอินเทอร์เฟซ LAN การจัดการที่เกี่ยวข้องด้วยการตั้งค่าเครือข่ายแบบคงที่ · คลิก อนุกรมและเครือข่าย > IP · สำหรับอินเทอร์เฟซเครือข่ายและ LAN การจัดการที่เกี่ยวข้อง ให้เลือกคงที่สำหรับวิธีการกำหนดค่า และป้อนการตั้งค่าเครือข่าย (ดูหัวข้อการกำหนดค่าเครือข่ายสำหรับคำแนะนำโดยละเอียด) · สำหรับอินเทอร์เฟซที่เชื่อมต่อกับเราเตอร์ดาวน์สตรีม คุณสามารถเลือกเครือข่ายส่วนตัวเฉพาะใดๆ เครือข่ายนี้ที่มีอยู่ระหว่าง Opengear และเราเตอร์ดาวน์สตรีมเท่านั้น และไม่สามารถเข้าถึงได้ตามปกติ · สำหรับอินเทอร์เฟซอื่น ให้กำหนดค่าตามปกติบนเครือข่ายท้องถิ่น · สำหรับอินเทอร์เฟซทั้งสอง ให้ปล่อยเกตเวย์ว่างไว้
2. กำหนดค่าโมเด็มในโหมด Always On Out-of-band
69

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
· สำหรับการเชื่อมต่อเซลลูลาร์ ให้คลิก ระบบ > โทร: โมเด็มเซลลูล่าร์ภายใน · เลือกเปิดใช้งานการโทรออก และป้อนรายละเอียดของผู้ให้บริการ เช่น APN (ดูหัวข้อโมเด็มเซลลูลาร์
การเชื่อมต่อสำหรับคำแนะนำโดยละเอียด) 3.13.3 การกำหนดค่า IP Passthrough เพื่อกำหนดค่า IP Passthrough:
· คลิก อนุกรมและเครือข่าย > IP Passthrough และทำเครื่องหมายที่ Enable · เลือก Opengear Modem เพื่อใช้สำหรับการเชื่อมต่ออัปสตรีม · หรือป้อนที่อยู่ MAC ของอินเทอร์เฟซที่เชื่อมต่อของเราเตอร์ดาวน์สตรีม หากเป็นที่อยู่ MAC
ไม่ได้ระบุ Opengear จะส่งผ่านไปยังอุปกรณ์ดาวน์สตรีมเครื่องแรกที่ร้องขอที่อยู่ DHCP · เลือกอินเทอร์เฟซ Opengear Ethernet เพื่อใช้สำหรับเชื่อมต่อกับเราเตอร์ดาวน์สตรีม
· คลิกสมัคร 3.13.4 การสกัดกั้นบริการ สิ่งเหล่านี้ทำให้ Opengear สามารถให้บริการต่อไปได้ เช่นampสำหรับการจัดการนอกแบนด์เมื่ออยู่ในโหมด IP Passthrough การเชื่อมต่อกับที่อยู่โมเด็มบนพอร์ตสกัดกั้นที่ระบุได้รับการจัดการโดย Opengear แทนที่จะส่งผ่านไปยังเราเตอร์ดาวน์สตรีม
· สำหรับบริการที่จำเป็นของ HTTP, HTTPS หรือ SSH ให้ทำเครื่องหมายที่ เปิดใช้งาน · ปรับเปลี่ยนพอร์ตสกัดกั้นเป็นพอร์ตอื่น (เช่น 8443 สำหรับ HTTPS) ทางเลือกนี้จะมีประโยชน์หากคุณ
ต้องการอนุญาตให้เราเตอร์ดาวน์สตรีมยังคงสามารถเข้าถึงได้ผ่านพอร์ตปกติ 3.13.5 สถานะการส่งผ่าน IP รีเฟรชหน้าเป็น view ส่วนสถานะ โดยจะแสดงที่อยู่ IP ภายนอกของโมเด็มที่ถูกส่งผ่าน ที่อยู่ MAC ภายในของเราเตอร์ดาวน์สตรีม (เติมเฉพาะเมื่อเราเตอร์ดาวน์สตรีมยอมรับการเช่า DHCP) และสถานะการทำงานโดยรวมของบริการ IP Passthrough คุณอาจได้รับการแจ้งเตือนถึงสถานะเฟลโอเวอร์ของเราเตอร์ดาวน์สตรีมโดยการกำหนดค่าการตรวจสอบการใช้ข้อมูลตามเส้นทางภายใต้การแจ้งเตือนและการบันทึก > การตอบกลับอัตโนมัติ 3.13.6 Caveats เราเตอร์ดาวน์สตรีมบางตัวอาจไม่เข้ากันกับเส้นทางเกตเวย์ สิ่งนี้สามารถเกิดขึ้นได้เมื่อ IP Passthrough กำลังเชื่อมโยงเครือข่ายเซลลูล่าร์ 3G โดยที่ที่อยู่เกตเวย์เป็นที่อยู่ปลายทางแบบจุดต่อจุด และไม่มีข้อมูลเครือข่ายย่อย Opengear ส่ง DHCP netmask เป็น 255.255.255.255 โดยปกติอุปกรณ์จะตีความว่าเป็นเส้นทางโฮสต์เดียวบนอินเทอร์เฟซ แต่อุปกรณ์ดาวน์สตรีมรุ่นเก่าบางรุ่นอาจมีปัญหา
70

คู่มือการใช้งาน
การสกัดกั้นบริการในพื้นที่จะไม่ทำงานหาก Opengear ใช้เส้นทางเริ่มต้นอื่นที่ไม่ใช่โมเด็ม นอกจากนี้ จะไม่ทำงานเว้นแต่จะเปิดใช้งานบริการและเปิดใช้งานการเข้าถึงบริการ (ดูระบบ > บริการ ภายใต้แท็บการเข้าถึงบริการ ให้ค้นหาการโทรออก/เซลลูลาร์)
รองรับการเชื่อมต่อขาออกที่มาจาก Opengear ไปยังบริการระยะไกล (เช่น การส่งการแจ้งเตือนทางอีเมล SMTP, กับดัก SNMP, การรับเวลา NTP, ช่องสัญญาณ IPSec) มีความเสี่ยงเล็กน้อยที่การเชื่อมต่อจะล้มเหลวหากทั้ง Opengear และอุปกรณ์ดาวน์สตรีมพยายามเข้าถึงพอร์ต UDP หรือ TCP เดียวกันบนโฮสต์ระยะไกลเดียวกันในเวลาเดียวกัน เมื่ออุปกรณ์เหล่านั้นสุ่มเลือกหมายเลขพอร์ตท้องถิ่นต้นทางเดียวกัน
3.14 การกำหนดค่าผ่าน DHCP (ZTP)
สามารถจัดเตรียมอุปกรณ์ Opengear ได้ในระหว่างการบูตครั้งแรกจากเซิร์ฟเวอร์ DHCPv4 หรือ DHCPv6 โดยใช้ config-over-DHCP การจัดเตรียมบนเครือข่ายที่ไม่น่าเชื่อถือสามารถอำนวยความสะดวกได้โดยการจัดหาคีย์ในแฟลชไดรฟ์ USB ฟังก์ชัน ZTP ยังสามารถใช้เพื่ออัปเกรดเฟิร์มแวร์ในการเชื่อมต่อครั้งแรกกับเครือข่าย หรือลงทะเบียนอินสแตนซ์ Lighthouse 5 ได้อีกด้วย
การเตรียมการ ขั้นตอนทั่วไปสำหรับการกำหนดค่าบนเครือข่ายที่เชื่อถือได้คือ:
1. กำหนดค่าอุปกรณ์ Opengear รุ่นเดียวกัน 2. บันทึกการกำหนดค่าเป็นข้อมูลสำรอง Opengear (.opg) file- 3. เลือก ระบบ > การสำรองข้อมูลการกำหนดค่า > การสำรองข้อมูลระยะไกล 4. คลิกบันทึกข้อมูลสำรอง การกำหนดค่าการสำรองข้อมูล file — model-name_iso-format-date_config.opg — ถูกดาวน์โหลดจากอุปกรณ์ Opengear ไปยังระบบโลคัล คุณสามารถบันทึกการกำหนดค่าเป็น xml ได้ file: 1. เลือก ระบบ > การสำรองข้อมูลการกำหนดค่า > การกำหนดค่า XML ฟิลด์ที่สามารถแก้ไขได้ซึ่งมี
การกำหนดค่า file ในรูปแบบ XML จะปรากฏขึ้น 2. คลิกเข้าไปในช่องเพื่อให้ใช้งานได้ 3. หากคุณใช้เบราว์เซอร์ใดๆ บน Windows หรือ Linux ให้คลิกขวาและเลือก เลือกทั้งหมด จาก
เมนูตามบริบทหรือกด Control-A คลิกขวาและเลือกคัดลอกจากเมนูตามบริบทหรือกด Control-C 4. หากคุณใช้เบราว์เซอร์ใดๆ บน macOS ให้เลือกแก้ไข > เลือกทั้งหมด หรือกด Command-A เลือกแก้ไข > คัดลอก หรือกด Command-C 5. ในโปรแกรมแก้ไขข้อความที่คุณต้องการ ให้สร้างเอกสารเปล่าใหม่ วางข้อมูลที่คัดลอกไว้ในเอกสารเปล่า และบันทึก file. อะไรก็ตาม file-ชื่อที่คุณเลือก จะต้องมี .xml fileคำต่อท้ายชื่อ. 6. คัดลอกไฟล์ .opg หรือ .xml ที่บันทึกไว้ file ไปยังไดเร็กทอรีที่เปิดเผยต่อสาธารณะบน file เซิร์ฟเวอร์ที่ให้บริการอย่างน้อยหนึ่งในโปรโตคอลต่อไปนี้: HTTPS, HTTP, FTP หรือ TFTP (เฉพาะ HTTPS เท่านั้นที่สามารถใช้งานได้หากมีการเชื่อมต่อระหว่าง file เซิร์ฟเวอร์และอุปกรณ์ Opengear ที่ต้องกำหนดค่าจะเดินทางผ่านเครือข่ายที่ไม่น่าเชื่อถือ) 7. กำหนดค่าเซิร์ฟเวอร์ DHCP ของคุณเพื่อรวมตัวเลือก 'เฉพาะผู้จำหน่าย' สำหรับอุปกรณ์ Opengear (ซึ่งจะดำเนินการในลักษณะเฉพาะของเซิร์ฟเวอร์ DHCP) ควรตั้งค่าตัวเลือกเฉพาะของผู้จำหน่ายเป็นสตริงที่มี URL ของ .opg หรือ .xml ที่เผยแพร่ file ในขั้นตอนข้างต้น สตริงตัวเลือกต้องมีความยาวไม่เกิน 250 อักขระ และต้องลงท้ายด้วย .opg หรือ .xml
71

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
8. เชื่อมต่ออุปกรณ์ Opengear ใหม่ ไม่ว่าจะรีเซ็ตเป็นค่าจากโรงงานหรือ Config-Erased เข้ากับเครือข่ายและจ่ายไฟ อุปกรณ์อาจใช้เวลาถึง 5 นาทีในการรีบูตตัวเอง
Exampการกำหนดค่าเซิร์ฟเวอร์ ISC DHCP (dhcpd)
ต่อไปนี้เป็นอดีตampส่วนการกำหนดค่าเซิร์ฟเวอร์ DHCP สำหรับการให้บริการอิมเมจการกำหนดค่า .opg ผ่านเซิร์ฟเวอร์ ISC DHCP dhcpd:
ตัวเลือกพื้นที่รหัส opengear กว้าง 1 ยาวกว้าง 1; ตัวเลือก opengear.config-url รหัส 1 = ข้อความ; คลาส "opengear-config-over-dhcp-test" {
จับคู่ถ้าตัวเลือกผู้ขาย-คลาส-ระบุ ~~ “^Opengear/”; opengear ผู้ขายตัวเลือกพื้นที่; ตัวเลือก opengear.config-url “https://เช่นample.com/opg/${คลาส}.opg”; -
การตั้งค่านี้สามารถแก้ไขได้เพื่ออัปเกรดอิมเมจการกำหนดค่าโดยใช้ opengear.image-url และจัดเตรียม URI ให้กับอิมเมจเฟิร์มแวร์
ตั้งค่าเมื่อ LAN ไม่น่าเชื่อถือ หากการเชื่อมต่อระหว่าง file เซิร์ฟเวอร์และอุปกรณ์ Opengear ที่ต้องกำหนดค่ามีเครือข่ายที่ไม่น่าเชื่อถือ วิธีการแบบสองมือสามารถบรรเทาปัญหาได้
หมายเหตุ แนวทางนี้แนะนำขั้นตอนทางกายภาพสองขั้นตอนซึ่งการไว้วางใจอาจเป็นเรื่องยากหรือเป็นไปไม่ได้ที่จะสร้างอย่างสมบูรณ์ ประการแรก ห่วงโซ่การดูแลตั้งแต่การสร้างแฟลชไดรฟ์ USB ที่เก็บข้อมูลไปจนถึงการใช้งาน ประการที่สอง มือเชื่อมต่อแฟลชไดรฟ์ USB เข้ากับอุปกรณ์ Opengear
· สร้างใบรับรอง X.509 สำหรับอุปกรณ์ Opengear
· เชื่อมต่อใบรับรองและคีย์ส่วนตัวเข้าด้วยกันเป็นอันเดียว file ชื่อ client.pem
·คัดลอก client.pem ไปยังแฟลชไดรฟ์ USB
· ตั้งค่าเซิร์ฟเวอร์ HTTPS เพื่อให้เข้าถึง .opg หรือ .xml file จำกัดเฉพาะไคลเอ็นต์ที่สามารถจัดเตรียมใบรับรองไคลเอ็นต์ X.509 ที่สร้างขึ้นข้างต้นได้
· ใส่สำเนาใบรับรอง CA ที่ลงนามใบรับรองของเซิร์ฟเวอร์ HTTP — ca-bundle.crt — ลงบนแฟลชไดรฟ์ USB ที่มี client.pem
· ใส่แฟลชไดรฟ์ USB ลงในอุปกรณ์ Opengear ก่อนที่จะต่อสายไฟหรือเครือข่าย
· ทำตามขั้นตอนต่อจาก `คัดลอกไฟล์ .opg หรือ .xml ที่บันทึกไว้ file ไปยังไดเร็กทอรีที่เปิดเผยต่อสาธารณะบน file เซิร์ฟเวอร์' ด้านบนโดยใช้โปรโตคอล HTTPS ระหว่างไคลเอนต์และเซิร์ฟเวอร์
เตรียมไดรฟ์ USB และสร้างใบรับรอง X.509 และคีย์ส่วนตัว
· สร้างใบรับรอง CA เพื่อให้สามารถลงนามคำขอลงนามใบรับรอง (CSR) ของไคลเอ็นต์และเซิร์ฟเวอร์ได้
# cp /etc/ssl/openssl.cnf # mkdir -p เช่นampleCA/newcerts # echo 00 > เช่นampleCA/serial # echo 00 > เช่นampleCA/crlnumber # touch เช่นampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -ใหม่ -x509 -วัน 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=เช่นampleCA # cp demoCA/cacert.pem ca-bundle.crt
ขั้นตอนนี้จะสร้างใบรับรองชื่อ ExampleCA แต่สามารถใช้ชื่อใบรับรองที่ได้รับอนุญาตได้ นอกจากนี้โพรซีเดอร์นี้ยังใช้ openssl ca หากองค์กรของคุณมีกระบวนการสร้าง CA ที่ปลอดภัยทั่วทั้งองค์กร ก็ควรใช้กระบวนการนั้นแทน
72

คู่มือการใช้งาน
·สร้างใบรับรองเซิร์ฟเวอร์
# openssl genrsa -out server.key 4096 # openssl req -ใหม่ -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca - วัน 365 - ใน server.csr - ออก server.crt
-สำคัญfile ca.key -policy Policy_anything -batch -notext
หมายเหตุ ชื่อโฮสต์หรือที่อยู่ IP ต้องเป็นสตริงเดียวกับที่ใช้ในการให้บริการ URL. ในอดีตampข้างต้น ชื่อโฮสต์คือ demo.exampเลอ.คอม
·สร้างใบรับรองไคลเอ็นต์
# openssl genrsa -out client.key 4096 # openssl req - ใหม่ -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca - วัน 365 - ใน client.csr - ออก client.crt
-สำคัญfile ca.key -policy Policy_anything -batch -notext # cat client.key client.crt > client.pem
· ฟอร์แมตแฟลชไดรฟ์ USB เป็นโวลุ่ม FAT32 เดียว
· ย้าย client.pem และ ca-bundle.crt fileลงในไดเรกทอรีรากของแฟลชไดรฟ์
การแก้ไขข้อบกพร่องของปัญหา ZTP ใช้คุณลักษณะบันทึก ZTP เพื่อแก้ไขปัญหา ZTP ขณะที่อุปกรณ์พยายามดำเนินการ ZTP ข้อมูลบันทึกจะถูกเขียนลงใน /tmp/ztp.log บนอุปกรณ์
ต่อไปนี้เป็นอดีตampของบันทึก file จากการรัน ZTP ที่ประสบความสำเร็จ
# cat /tmp/ztp.log วันพุธที่ 13 ธันวาคม 22:22:17 UTC 2017 [ประกาศ 5127] odhcp6c.eth0: กำลังกู้คืนการกำหนดค่าผ่าน DHCP วันพุธที่ 13 ธันวาคม 22:22:17 UTC 2017 [ประกาศ 5127] odhcp6c.eth0: รอ 10 วินาที สำหรับเครือข่ายที่จะชำระวันพุธที่ 13 ธันวาคม 22:22:27 UTC 2017 [ประกาศ 5127] odhcp6c.eth0: NTP ข้าม: ไม่มีเซิร์ฟเวอร์ วันพุธที่ 13 ธันวาคม 22:22:27 UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' วันพุธที่ 13 ธันวาคม 22:22:27 UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.2 (n/a) วันพุธ 13 ธ.ค. 22:22:27 น. UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.3 (n/a) วันพุธที่ 13 ธ.ค. 22:22:27 น. UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.4 (n/a ) พุธที่ 13 ธันวาคม เวลา 22:22:27 น. UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.5 (n/a) วันพุธที่ 13 ธันวาคม 22:22:28 น. UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: vendorspec.6 (n /a) วันพุธที่ 13 ธันวาคม 22:22:28 UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: ไม่มีเฟิร์มแวร์ให้ดาวน์โหลด (vendorspec.2) backup-url: พยายาม http://[fd07:2218:1350:44::1]/tftpboot/config.sh … สำรองข้อมูล-url: บังคับให้โหมด wan config เป็นการสำรองข้อมูล DHCP-url: ตั้งชื่อโฮสต์เป็น acm7004-0013c601ce97 backup-url: โหลดสำเร็จแล้ว วันพุธที่ 13 ธันวาคม 22:22:36 UTC 2017 [ประกาศ 5127] odhcp6c.eth0: โหลดการกำหนดค่าสำเร็จแล้ว วันพุธที่ 13 ธันวาคม 22:22:36 UTC 2017 [ข้อมูล 5127] odhcp6c.eth0: ไม่มีการกำหนดค่าประภาคาร (vendorspec.3/ 4/5/6) วันพุธที่ 13 ธันวาคม 22:22:36 UTC 2017 [ประกาศ 5127] odhcp6c.eth0: การจัดเตรียมเสร็จสมบูรณ์ ไม่ได้รีบูตเครื่อง
ข้อผิดพลาดจะถูกบันทึกไว้ในบันทึกนี้
3.15 การลงทะเบียนเข้าสู่ประภาคาร
ใช้ Enrollment into Lighthouse เพื่อลงทะเบียนอุปกรณ์ Opengear ลงในอินสแตนซ์ Lighthouse โดยให้การเข้าถึงพอร์ตคอนโซลแบบรวมศูนย์ และอนุญาตการกำหนดค่าส่วนกลางของอุปกรณ์ Opengear
ดูคู่มือผู้ใช้ Lighthouse สำหรับคำแนะนำในการลงทะเบียนอุปกรณ์ Opengear เข้าสู่ Lighthouse
73

บทที่ 3: พอร์ตอนุกรม อุปกรณ์ และการกำหนดค่าผู้ใช้
3.16 เปิดใช้งานรีเลย์ DHCPv4
บริการส่งต่อ DHCP ส่งต่อแพ็กเก็ต DHCP ระหว่างไคลเอนต์และเซิร์ฟเวอร์ DHCP ระยะไกล สามารถเปิดใช้งานบริการส่งต่อ DHCP บนเซิร์ฟเวอร์คอนโซล Opengear ได้ เพื่อให้สามารถรับฟังไคลเอ็นต์ DHCP บนอินเทอร์เฟซด้านล่างที่กำหนด ล้อมและส่งต่อข้อความไปยังเซิร์ฟเวอร์ DHCP โดยใช้เส้นทางปกติ หรือออกอากาศโดยตรงไปยังอินเทอร์เฟซด้านบนที่กำหนด ดังนั้นตัวแทนการถ่ายทอด DHCP จึงได้รับข้อความ DHCP และสร้างข้อความ DHCP ใหม่เพื่อส่งออกไปยังอินเทอร์เฟซอื่น ในขั้นตอนด้านล่าง คอนโซลเซิร์ฟเวอร์สามารถเชื่อมต่อกับรหัสวงจร อีเธอร์เน็ต หรือโมเด็มเซลล์โดยใช้บริการรีเลย์ DHCPv4
โครงสร้างพื้นฐานรีเลย์ DHCPv4 + ตัวเลือก DHCP 82 (รหัสวงจร) – เซิร์ฟเวอร์ DHCP ภายใน, ACM7004-5 สำหรับรีเลย์ และอุปกรณ์อื่นๆ สำหรับไคลเอนต์ อุปกรณ์ใดๆ ที่มีบทบาท LAN สามารถใช้เป็นรีเลย์ได้ ในตัวอย่างนี้amp192.168.79.242 เป็นที่อยู่สำหรับอินเทอร์เฟซรีเลย์ของไคลเอ็นต์ (ตามที่กำหนดในการกำหนดค่าเซิร์ฟเวอร์ DHCP file ด้านบน) และ 192.168.79.244 คือที่อยู่อินเทอร์เฟซด้านบนของกล่องรีเลย์ และ enp112s0 เป็นอินเทอร์เฟซดาวน์สตรีมของเซิร์ฟเวอร์ DHCP
1 โครงสร้างพื้นฐาน – รีเลย์ DHCPv4 + ตัวเลือก DHCP 82 (รหัสวงจร)
ขั้นตอนบนเซิร์ฟเวอร์ DHCP 1. ตั้งค่าเซิร์ฟเวอร์ DHCP v4 ในเครื่อง โดยเฉพาะอย่างยิ่ง ควรมีรายการ “โฮสต์” ตามด้านล่างสำหรับไคลเอนต์ DHCP: โฮสต์ cm7116-2-dac { # ฮาร์ดแวร์อีเธอร์เน็ต 00:13:C6:02:7E :41; ตัวเลือกตัวระบุโฮสต์ agent.circuit-id “relay1”; ที่อยู่คงที่ 192.168.79.242; } หมายเหตุ: บรรทัด "ฮาร์ดแวร์อีเธอร์เน็ต" ถูกตัดออก ดังนั้นเซิร์ฟเวอร์ DHCP จะใช้การตั้งค่า "circuit-id" เพื่อกำหนดที่อยู่สำหรับไคลเอ็นต์ที่เกี่ยวข้อง 2. รีสตาร์ทเซิร์ฟเวอร์ DHCP เพื่อโหลดการกำหนดค่าที่เปลี่ยนแปลงไปใหม่ file- pkill -HUP dhcpd
74

คู่มือการใช้งาน
3. เพิ่มเส้นทางโฮสต์ไปยังอินเทอร์เฟซ "รีเลย์" ของไคลเอนต์ด้วยตนเอง (อินเทอร์เฟซด้านหลังรีเลย์ DHCP ไม่ใช่อินเทอร์เฟซอื่น ๆ ที่ไคลเอนต์อาจมี:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 สิ่งนี้จะช่วยหลีกเลี่ยงปัญหาการกำหนดเส้นทางแบบไม่สมมาตรเมื่อไคลเอนต์และเซิร์ฟเวอร์ DHCP ต้องการเข้าถึงซึ่งกันและกันผ่านอินเทอร์เฟซแบบรีเลย์ของไคลเอนต์ เมื่อไคลเอนต์มีอินเทอร์เฟซอื่น ๆ ในลักษณะเดียวกัน ซับเน็ตของกลุ่มที่อยู่ DHCP
หมายเหตุ: ขั้นตอนนี้เป็นขั้นตอนที่ต้องมีเพื่อรองรับเซิร์ฟเวอร์ dhcp และไคลเอนต์ที่สามารถเข้าถึงได้
ขั้นตอนบนกล่องรีเลย์ – ACM7004-5
1. ตั้งค่า WAN/eth0 ในโหมดคงที่หรือโหมด dhcp (ไม่ใช่โหมดที่ไม่ได้กำหนดค่า) หากอยู่ในโหมดคงที่ จะต้องมีที่อยู่ IP ภายในกลุ่มที่อยู่ของเซิร์ฟเวอร์ DHCP
2. ใช้การกำหนดค่านี้ผ่าน CLI (โดยที่ 192.168.79.1 คือที่อยู่เซิร์ฟเวอร์ DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. อินเทอร์เฟซด้านล่างของรีเลย์ DHCP ต้องมีที่อยู่ IP แบบคงที่ภายในกลุ่มที่อยู่ของเซิร์ฟเวอร์ DHCP ในตัวอย่างนี้ampเลอ เกียดเดอร์ = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. รอสักครู่เพื่อให้ลูกค้าได้รับสัญญาเช่า DHCP ผ่านทางรีเลย์
ขั้นตอนบนไคลเอนต์ (CM7116-2-dac ในตัวอย่างนี้ample หรือ OG CS อื่น ๆ)
1. เสียบ LAN/eth1 ของไคลเอ็นต์เข้ากับ LAN/eth1 ของรีเลย์ 2. กำหนดค่า LAN ของไคลเอ็นต์เพื่อรับที่อยู่ IP ผ่าน DHCP ตามปกติ 3. เมื่อ clie

เอกสาร / แหล่งข้อมูล

opengear ACM7000 เกตเวย์ไซต์ระยะไกล [พีดีเอฟ] คู่มือการใช้งาน
เกตเวย์ไซต์ระยะไกล ACM7000, ACM7000, เกตเวย์ไซต์ระยะไกล, เกตเวย์ไซต์, เกตเวย์

อ้างอิง

คู่มือการใช้งาน

opengear ACM7000 เกตเวย์ไซต์ระยะไกล

ข้อมูลสินค้า

คำแนะนำการใช้ผลิตภัณฑ์

คำถามที่พบบ่อย

คู่มือนี้

การกำหนดค่าระบบ

พอร์ตอนุกรม โฮสต์ อุปกรณ์ และการกำหนดค่าผู้ใช้

เอกสาร / แหล่งข้อมูล

อ้างอิง

ฝากความคิดเห็น

ยกเลิกการตอบ