DSA-3110 Концентратор доступа Руководство пользователя Rev. 2.0.
ОГЛАВЛЕНИЕ: ОПИСАНИЕ УСТРОЙСТВА .............................................................................4 ТИПОВЫЕ СХЕМЫ ПОДКЛЮЧЕНИЯ.........................................................5 ОПИСАНИЕ ТЕХНОЛОГИЙ И ПРОТОКОЛОВ, ИСПОЛЬЗУЕМЫХ В УСТРОЙСТВЕ ......................................................................................................6 Протокол PPTP ..................................................................................................6 Как работает PPTP .....................
Конфигурация ................................................................................................. 47 Журнал событий ............................................................................................. 48 Обновление ПО ............................................................................................... 49 Системное время............................................................................................. 50 Журнал операций .............................................
Описание устройства DSA-3110 представляет собой концентратор доступа, работающий по протоколам PPTP и PPPoE . Устройство обеспечивает подключение и авторизацию пользователей, а также выдачу статистики по подключениям на внешний сервер с использованием технологии NetFlow.
Типовые схемы подключения На рисунках представлены типовые схемы применения DSA-3110. Рисунок 1. Пример использования DSA-3110 в сетях провайдеров услуг Рисунок 2.
Описание технологий и протоколов, используемых в устройстве Протокол PPTP Протокол PPTP (Point to Point Tunneling Protocol) – сетевой протокол, который обеспечивает безопасную передачу пакетов PPP от удаленного клиента серверу доступа к сети через VPN туннель, созданный на основе сетей TCP/IP. Как работает PPTP PPTP инкапсулирует пакеты для их передачи по IP-сети через туннель, созданный между удаленным клиентом и сервером. Инкапсуляция данных перед отправкой в туннель включает два этапа.
MPPE – это протокол, разработанный специально для передачи зашифрованных дейтаграмм по соединению точка-точка (point-to-point). Он совместим только с протоколом аутентификации MSCHAP (версии 1 и 2) и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером. MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. PPTP изменяет значение ключа шифрации после каждого принятого пакета, используя порядковые номера пакетов.
Протокол аутентификации CHAP При использовании проверки прав доступа протокола CHAP сервер доступа после установления канала РРР посылает сообщение-запрос, содержащее случайную строку на удаленный узел. Удаленный узел отвечает значением, вычисленным на основе пароля и значения запроса с использованием односторонней хеш-функции (обычно с помощью алгоритма MD5). Результат отправляется серверу доступа в виде ответного сообщения вместе с CHAP-именем удаленного узла.
Протокол PPPoE Технология использования стека PPP в сети Ethernet является относительно новой, но уже получила достаточное распространение. На данный момент она определяется документом RFC 2516, который был разработан и выпущен в феврале 1999 года. Технология PPPoE на данный момент является одной из самых дешевых и распространенных при предоставлении пользователям доступа к услугам Интернет в жилых комплексах на базе Ethernet и при использовании технологии DSL.
Сервер RADIUS Протокол RADIUS (Remote Authentication Dial-In User Services) был разработан компанией Livingston Enterprises, Inc как протокол аутентификации (authentication) и учета (accounting) удаленных клиентов. RADIUS работает на основе модели клиент/сервер, в которой пользовательская информация передается между сервером и клиентом RADIUS. Концентратор доступа выступает в роли клиента RADIUS и отвечает за взаимодействие с выделенным сервером RADIUS.
NetFlow NetFlow – это технология сбора статистики о пакетах, проходящих через маршрутизирующее устройство сети и выдачи ее на внешний коллектор. NetFlow формирует таблицу потоков для входящих и исходящих IP-пакетов. Поток NetFlow определяется как ненаправленный поток пакетов между данным источником и приемником. Источник и приемник определяются с помощью IP-адресов и номеров портов транспортного уровня.
Характеристики DSA-3110 Аппаратные характеристики: Процессор: Intel Xscale 533MHz 64MB RAM 16 MB Flash ROM 7 портов 10/100Base-TX Fast Ethernet 4 независимо конфигурируемых интерфейса 10/100Base-TX Внешний блок питания 5В 3A Светодиодные индикаторы питания и состояния подключений к интерфейсам Консольный порт RS-232 Программное обеспечение: Базовая операционная система: Linux Сервер PPTP Сервер PPPoE Шейпинг (ограничение пропускной способности PPTP или PPPoE соединений) как при работ
Установка DSA-3110 обеспечивает возможность конфигурирования на основе Web- интерфейса, что позволяет использовать в качестве станции управления любой компьютер, оснащенный Web-браузером, независимо от операционной системы, и через консольное подключения ( читайте об этом подробнее в документе DSA-3110 СLI Guide). Включение DSA-3110. Начало работы с устройством. Перед тем, как начать настройку концентратора доступа, необходимо установить с ним физическое соединение. Для этого потребуется: 1.
Рисунок 4 Рисунок 5 14
Рисунок 6 15
Подключение к Web-интерфейсу Web-интерфейс управления состоит из дружественного пользовательского графического интерфейса (GUI), запускающегося на клиенте и НТТР-сервера, запускающегося на DSA3110. Связь между клиентом и сервером обычно осуществляется через TCP/IP соединение с номером порта НТТР равным 80. Для того чтобы подключиться к Web-интерфейсу управления устройства, на рабочей станции необходимо запустить Web-браузер, в адресной строке которого ввести IP-адрес DSA-3110.
WEB-интерфейс.
Cетевые Интерфейсы Откройте меню Сеть Рисунок 8. Меню Сеть. Выберите Сетевые интерфейсы Рисунок 9. Меню Сеть -> Сетевые интерфейсы Выберите из списка необходимый физический интерфейс для конфигурирования и нажмите на «Изменить» для изменения настроек выбранного интерфейса. В появившейся форме выберите тип интерфейса: Статический, DHCP.
Настройка статического интерфейса Данный тип интерфейса является единственным возможным для интерфейсов eth0(LAN1) и eth1 (LAN2) и одним из вариантов для интерфейсов eth2(WAN1) и eth3(WAN2). Рисунок 10.
Настройка интерфейса DHCP Рисунок 11. Настройка DHCP клиента на интерфейсе. Тип интерфейса: способ конфигурации данного интерфейса (DHCP) Интерфейс: название конфигурируемого интерфейса Способ запуска: позволяет включить или выключить автоматический запуск данного интерфейса при загрузке устройства.
P-t-P интерфейсы Этот пункт меню предназначен для изменения настроек и управления PPTP и PPPoE интерфейсами устройства. Откройте меню Сеть Рисунок 10. Меню Сеть. Выберите P-t-P интерфейсы Рисунок 11.
нажатием соответствующих кнопок в графе действие соответствующего интерфейса. Выберите из списка необходимый физический интерфейс для конфигурирования и нажмите на имя интерфейса (например, LAN1) для изменения настроек выбранного интерфейса, либо нажмите кнопку Добавить для добавления нового p-t-p интерфейса. В появившейся форме выберите тип интерфейса: PPTP, PPPoE. Добавление или изменение настроек интерфейса PPTP Рисунок 12. Настройка PPTP клиента на интерфейсе.
Добавление или изменение настроек интерфейса PPPoE Рисунок 13. Настройка PPPoE клиента на интерфейсе. Тип интерфейса: способ конфигурации данного интерфейса (PPPoE) Название соединения: имя соединения для идентификации. Необязательный параметр. Интерфейс: наименование физического интерфейса устройства, к которому будет «привязан» конфигурируемый PPPoE интерфейс. Пользователь: Имя пользователя для регистрации на PPPoE сервере.
Применение и возврат настроек сетевых и p-t-p интерфейсов После изменения настроек физических интерфейсов или добавления/изменения настроек P-t-p интерфейсов вы получите Новую конфигурацию интерфейсов (см. рис.10). В данной закладке меню вы можете сохранить новую конфигурацию с помощью кнопки Применить, либо отказаться от ее сохранении с помощью кнопки Удалить. Рисунок 14.
Рисунок 15. Откат изменений конфигурации интерфейсов Сетевая статистика Этот пункт меню предназначен для вывода сетевой статистики (количества принятых и отправленных пакетов, ошибок и т д) по всем активным в этот момент физическим и p-t-p интерфейсам. Рисунок 16.
Удаленный доступ Это пункт предназначен как для настройки доступа в WEB-интерфейсу устройства, так и доступа к консоли устройства (протокол SSH). Он позволяет гибко организовать доступ как с локальных интерфейсов (LAN), так и с глобальных (WAN) с фильтрацией по IP адресу, так и протоколу доступа (HTTP,HTTPS,SSH). Меню представляет собой набор правил, которые регламентируют доступ к WEB и консольному интерфейсу. Правила обрабатываются сверху вниз по порядку.
Рисунок 18. Добавление правила удаленного доступа. Маршрутизация Это пункт предназначен для добавления в систему статических маршрутов (маршрутов к сетям, непосредственно не присоединенным к устройству, но доступным через интерфейсы устройства).
Рисунок 19. Добавление статического маршрута Рисунок 20. Применение статического маршрута Нажмите кнопку Применить, для применения новой конфигурации маршрутов.
Трансляция сетевых адресов Выберите этот пункт меню для настройки NAT (Network address translation). Данный пункт меню используется, чтобы объявить подсети, которым требуется трансляция адресов. Физический интерфейс, используемый для трансляции той или иной сети, выбирается автоматически на основании сетевых настроек, сделанных в пункте Сеть Сетевые интерфейсы. По умолчанию NAT осуществляется для сетей 192.168.1.0/24 и 172.22.0.
Рисунок 22. Настройка Трансляции адресов. Серверы имен Этот пункт предназначен для добавления в систему серверов имен (DNS серверов) и доменов поиска. Первые используются для определения IP по имени сервера в Интрасетях или Интернете (обычно указываются провайдером или назначаются администратором сети), вторые нужны для автоподстановки домена первого или второго уровня при указании неполного имени (например, при значении этого параметра .ru, указываете yandex - подставляется yandex.ru) .
Рисунок 23. Добавление сервера имен или домена поиска Настройка DHCP Это пункт предназначен для настройки внутренних DHCP серверов устройства. Данные сервера используются для автоматической выдачи IP адресов пользователям . Начиная с версии 2.0.8 программного обеспечения, устройство может содержать в себе более одного DHCP сервера (например, отдельные DHCP для LAN1 и LAN 2 интерфейсов). По умолчанию создан только один DHCP сервер на интерфейсе LAN1.
затем введите настройки нового DHCP сервера. После добавления настроек нового DHCP сервера нажмите кнопку Сохранить в меню добавления, а затем Применить в меню Настройка DHCP. Рисунок 24. Настройка DHCP серверов Рисунок 25.
Меню-Служба PPP Раздел описывает настройку сервера доступа (внутреннего сервера PPTP или PPPoE). Внимание: Одновременно может использоваться как один из протоколов доступа, так и оба вместе, однако база данных пользователей является общей для обоих протоколов. Настройка параметров сервера доступа осуществляется через Web-интерфейс: Откройте меню Служба PPP PPTP Сервер Этот пункт меню предназначен для определения настроек внутреннего PPTP сервера.
Рисунок 27. Настройка PPTP сервера. Сервер PPTP включен: флаг, включающий или выключающий внутренний PPTP сервер на устройстве Авторизация пользователей: выбор базы данных пользователей – локально или удаленная на внешнем сервере RADUIS Внимание: при использовании базы данных внешнего сервера RADIUS пользователи в локальной базе авторизоваться не будут! Адреса для сервера (localip): список адресов, используемых сервером PPTP со своей стороны.
Рисунок 28. Настройка PPTP сервера. По окончанию изменения настроек нажмите кнопку.
PPPoE Сервер Этот пункт меню предназначен для определения настроек внутреннего PPPoE сервера Выберите пункт меню PPPoE сервер На появившейся странице будет отображена текущая конфигурация сервера PPPoE Рисунок 29. Меню Служба PPP- PPPoE сервер. Нажмите Конфигурация- Редактировать Рисунок 30.
Cервер PPPoE включен: флаг, включающий или выключающий внутренний PPPoЕ сервер на устройстве Авторизация пользователей: выбор базы данных пользователей – локально или удаленная на внешнем сервере RADUIS Внимание: при использовании базы данных внешнего сервера RADIUS пользователи в локальной базе авторизоваться не будут! Ethernet интерфейсы: флаг, определяющий на каких из физических интерфейсов устройства (eth0-eth4) производится авторизация клиентов по протоколу PPPoE внутренним сервером устройства Имя конц
Пользователи PPP Данный пункт меню служит для управления локальной базой пользователей (добавление, редактирование, удаление, блокировка), а также отслеживания текущих PPP ( PPTP и PPPoE)подключений. Локальная база пользователей является таблицей, содержащей учетные записи пользователей. Созданный в локальной базе пользователь может быть использован как при PPTP, так и при PPPoE подключении (при соответствующей активизации обоих серверов).
Для добавления новой записи нажмите на : Рисунок 33. Настройка локальной базы пользователей Пользователь: имя учетной записи, используется как имя пользователя при подключении Пароль: пароль учетной записи Сервер: имя сервера для подключения. необязательный парамет. IP -адрес: позволяет задать данной учетной записи постоянный IP- адрес Макс. Скорость отдачи: максимальная исходящая скорость (в килобайтах в секунду) VPN соединения, создаваемого при подключении данного пользователя к DSA-3110 Макс.
Блокированные пользователи попадают в отдельную таблицу (Блокированные пользователи) и не могут получать доступ по VPN до момента их разблокирования. Для разблокирования пользователей служит кнопка Также отметим, что текущие подключенные пользователи подсвечиваются иконкой таблице Пользователи PPP. Рисунок 34.
Конфигурация сервера сбора статистики Этот пункт меню предназначен для определения настроек внешнего сервера сбора статистики (NetFlow коллектора). Выберите Сервер сбора статистики Рисунок 35. Меню Служба PPP- Сервер сбора статистики. Заводские: нажатие этой кнопки приведет к сбросу настроек сервера к заводским установкам. Используйте эту опцию в случае необходимости возврата настроек к заводским, например в случае повреждения файла настройки в интерфейсе командной строки CLI.
Включено: снятие этой опции приведет к отключению сбора и выдачи статистики. Используйте эту возможность, если вам не требуется сбор статистики о подключенных VPN пользователях или у вас нет сервера сбора статистики. IP- адрес: введите IP-адрес сервера сбора статистики Порт: введите номер порта, через который ПО сбора статистики принимает данные.
Настройка сервера RADIUS Выберите этот пункт меню для определения настроек внешнего RADIUS сервера. Выберите Сервер RADIUS На появившейся странице будет отображена текущая конфигурация сервера RADIUS. Рисунок 37. Меню Служба PPP – RADIUS сервер. Нажмите Редактировать Рисунок 38. Настройка сервера RADIUS.
Адрес сервера авторизации: введите IP-адрес RADIUS-сервера, осуществляющего авторизацию клиентов Пароль для доступа к серверу авторизации: введите пароль (secret), используемый для обмена с данным сервером Адрес сервера аккаунтинга: введите IP-адрес RADIUS-сервера, осуществляющего аккаунтинг подключений Пароль для доступа к серверу аккаунтинга: введите пароль (secret), используемый для обмена с данным сервером По окончанию изменения настроек нажмите кнопку Сохранить 44
Меню-Система Рисунок 39. Меню Система. Перезагрузить - нажатие этой кнопки приводит к перезагрузке устройства Пароль администратора Выберите этот пункт для изменения параметров учетной записи администратора для доступа к WEB-интерфейсу настройки Рисунок 40.
Логин: имя пользователя с правами администратора. Введите новое имя пользователя или оставьте поле без изменений для сохранения старого значения. Пароль: введите новый пароль WEB-администратора Подтверждение пароля: введите новый пароль еще раз для исключения ошибок и опечаток при вводе. Опция Изменить системный пароль позволяет одновременно менять пароль на введенный не только для доступа к WEB- интерфейсу, но и командному (CLI) режиму. Редомендуется держать эту опцию включенной.
Конфигурация Выберите этот пункт для сохранения изменений или сброса параметров устройства к заводским установкам. Рисунок 41. Меню работы с конфигурацией системы Кнопка Сохранить: нажмите для сохранения изменений конфигурации устройства в энергонезависимой памяти. Внимание: Этот пункт меню сохраняет изменение настроек, сделанных во всех разделах меню в энергонезависимой памяти. Кнопка Заводские: нажмите для сброса всех параметров устройства к заводским установкам.
Журнал событий Выберите этот пункт для просмотра внутреннего лог файла системы. В данном логе кроме результатов загрузки устройства и работы внутренней операционной системы устройства будут отмечаться также события входа и выхода пользователей с указанием времени. При указании отметки Удаленное журналирование и вводе IP адреса в поле Сервер, будет осуществляться передача данного лога по протоколу Syslog на UDP порт 514 указанного IP адреса. Рисунок 42.
Обновление ПО Выберите этот пункт для просмотра обновления встроенного ПО устройства. Рисунок 43. Обновление ПО через Web-интерфейс Для обновления ПО: Нажмите кнопку Обзор Выберите файл ПО на локальном компьютере Нажмите Сохранить Подождите несколько минут. В пункте WEB-интерфейса Журнал операция будет показан процесс обновления ПО устройства. По окончанию процедуры устройство будет автоматически перезагружено.
Системное время Выберите этот пункт для ручной синхронизации внутренних часов устройства. Устройство может проводить как ручную, так и автоматическую синхронизацию часов. По умолчанию выбрана синхронизация внутренних часов устройства автоматически по протоколу NTP. Если вы хотите поменять сервер автоматической синхронизации часов, впишите свою запись в поле Cервера времени. Рисунок 44.
Журнал операций Выберите этот пункт для просмотра выполнения последних операций с устройством (Log). На рисунке 45 в журнале выполнения операции показан процесс обновления ПО. Рисунок 45.
Ping Выберите этот пункт меню для проверки доступности того или иного IP адреса непосредственно из WEB-интерфейса устройства. Для этого: Задайте Адрес назначения Количество эхо запросов Нажмите кнопку Запустить В поле Результат появится результат эхо запросов к заданному IP адресу. Рисунок 46.
SYSCTL Данный пункт меню предназначен только для опытных пользователей и позволяет тонко настраивать внутренние параметры ОС LINUX, работающей внутри DSA-3110 Hotspot Edition. Однако обращение с ним требует осторожности, так как может привести к полной неработоспособности системы. Поэтому прежде чем настраивать параметры этого пункта меню обратитесь к документации на OC Linux (man sysctl). Рисунок 47.
