Многие сетевые устройства оборудованы одним интересным портом - "Console". Порт этот предназначен для непосредственного подключения к консоли управления устройством, через интерфейс RS232, и служит для настройки устройства через терминальную программу (например, Hyperterminal). При этом, как правило, устройство можно также настраивать через Telnet или веб-интерфейс, подключившись к нему по сети. Однако, наличие порта "Console" не случайно - это один из элементов концепции "выделенной сети для управления" ("Out Of Band Management"). Суть этой концепции заключается в том, что для управления сетевыми устройствами организуется отдельная сеть, которая изолирована от т.н. "рабочей" ("production") сети, то есть той, которая передает "пользовательские" данные.
Назначение такой сети для управления состоит в том, чтобы отделить информацию, которой управляется сетевая инфраструктура, от информации, которая передается по сетям, доступным пользователям.
Это позволяет, во-первых, повысить уровень безопасности сети, поскольку не все устройства поддерживают шифрование данных. Например, поддерживают только Telnet, но не SSH, или только SNMP v1, но не v2.
Во-вторых, защищает от случаев, когда пользователь по какой-то причине узнал пароль для управления устройством, - он все равно не сможет из своей "рабочей" сети попасть в сеть управления.
В-третьих, это позволяет сделать управление устройствами более надежным: защищает от атак типа DOS ("Deny Of Service"), которые направлены, как правило, на пользовательские сети, перегрузок каналов связи и ошибок в настройке межсетевых экранов (когда в результате ошибки настройки устройство становится недоступным для управления по IP).
Реализуется эта концепция путем установки дополнительных сетевых адаптеров и подключения их к выделенной сети управления, плюс организация управления по консольным портам по протоколу RS232 (для устройств и серверов, это поддерживающих).
Если установить вторую сетевую плату и подключить ее к сети управления довольно просто, то "пробросить" по сети порт RS232 можно только с применением специального устройства - консольного сервера. Консольный сервер подключается непосредственно к портам "console" сетевых устройств и делает их доступными через терминальные протоколы для IP-сетей, в частности, Telnet, SSH и Java-версию Telnet. Такая схема управления может применяться и для серверов с поддержкой управления через порт RS232, а именно - различных Unix-серверов.
Altusen SN0108
Altusen SN0108 - это консольный сервер, к которому можно подключить до 8 устройств по интерфейсу RS232, на скорости до 115200 бит/с, и сделать их доступными по протоколам Telnet, SSH или через веб-браузер с поддержкой Java. Один из RS232-портов можно переключить в режим "OOBC Console" ("Out Of Band Configuration"), что позволит управлять устройством не только через IP-сеть, но и через порт RS232, аналогично другим, управляемым таким образом устройствам.
Altusen - это торговая марка уже известной у нас по KVM-коммутаторам фирмы Aten. Под брэндом "Altusen" Aten предлагает решения уровня предприятий, а концепция "Out Of Band Management" как раз и относится к этому уровню.
Комплект поставки
В коробке мы нашли:
- само устройство Altusen SN0108;
- кабель питания 220 В.;
- переходники DB9-RJ45, типа "папа" (8 шт.);
- переходник DB9-RJ45, типа "мама";
- резиновые ножки для установки на стол;
- комплект креплений для шкафа (однорамной стойки) 19";
- CD-диск с ПО и документацией в формате PDF;
- документацию по настройке на английском языке;
- документацию по быстрой установке на английском языке.
Стоит отметить, что с устройством из кабелей поставляется только кабель питания. Для подключения к портам RS232 применяются переходники DB9-RJ45 типа "папа", которые соединяются с устройством посредством стандартных патч-кордов. В случае необходимости подключения к портам с разъемом DB25 переходники придется докупать отдельно. В комплекте идет один переходник DB9-RJ45 типа "мама" для подключения внешнего модема и организации управления устройством по схеме OOBC, о чем будет рассказано далее.
Первоначальная настройка
По умолчанию устройство работает на адресе 192.168.0.10. Для изменения адреса можно воспользоваться следующими интерфейсами управления:
- Telnet;
- SSH;
- Веб-браузер.
Помимо этого, возможно задание IP-адреса специальной утилитой IPInstaller под Windows.
Минимальная настройка сводится к выбору IP-адреса, установке текущего времени, смене пароля администратора и установке сертификатов в веб-браузер и SSH-клиент. Дальнейшая настройка производится согласно индивидуальным потребностям.
Для снижения возможности осуществления атаки типа "Man in Middle" (злоумышленник между вами и устройством) следует осуществлять первоначальную настройку через прямое подключение по Ethernet-кабелю и импортировать сертификат, предъявляемый устройством (для Internet Explorer). Далее пометить его как доверенный (в случае Firefox) и импортировать публичный ключ сервера в SSH-клиент.
Доступ к устройству и портам RS232
Настройка устройства
Для доступа можно использовать Telnet, SSH или веб-браузер с поддержкой Java. Для настройки самого устройства, дополнительно к этим способам, можно использовать прямое подключение к консольному порту. Консольным может являться любой из 8 портов, что указывается в разделе конфигуратора "OOBC".
Консольный порт можно использовать либо при непосредственном подключении к компьютеру по RS232, либо подсоединить к нему модем, и подключаться через модем. Судя по документации, устройство должно дополнительно поддерживать на консольном порту подключения по PPP, но на практике запустить эту опцию нам не удалось.
Для настройки устройства используются следующие порты:
- Telnet: 23/TCP
- SSH: 22/TCP
- HTTPS: 443/TCP (при использовании HTTP по порту 80/TCP устройство автоматически перенаправляет на HTTP 443/TCP).
Доступ к RS232-портам
Для доступа к RS232-портам через Telnet следует установить соединение на порт, рассчитанный по формуле = 5000 + номер RS232-порта. Например, для порта COM1 это будет порт 5001, для COM2 - 5002 и т.д.
В случае соединения по SSH номер порта рассчитывается по формуле = 5100 + номер порта RS232.
После подключения работа с портом идет аналогично тому, как если бы подключение было установлено непосредственно по RS232. При нажатии "Ctrl-D" можно вызвать меню, из которого можно послать сигнал "break" или перейти к настройке CN0108. После вызова меню можно вернуться к работе с устройством, подключенным по RS232.
Доступ через веб-браузер осуществляется путем выбора порта для подключения, после чего запускается приложение Java, и, через защищенный канал HTTPS, предоставляется возможность работать в терминальном режиме.
Авторизация доступа
Для того, чтобы разграничить возможность доступа к портам устройства, в CN0108 имеется локальная база пользователей. Можно создавать дополнительно до 15 пользователей и указывать индивидуально для каждого, с какими RS232-портами он может работать и может ли изменять настройки этих портов.
Помимо доступа к портам, пользователи могут использовать административные интерфейсы для просмотра общедоступной статистики, смены своего пароля и настройки параметров портов (если им дано на это право).
Уведомление о сообщениях с
консолей
Интересной функцией данного устройства является возможность мониторинга сообщений, поступающих с консольных портов устройств, и пересылка их через электронную почту, в случае обнаружения заданных фраз. Это позволяет настроить уведомления на различные критические события, которые требуют вмешательства администратора. Всего можно задать до 10 условных фраз для каждого порта.
Порты RS232
Устройство позволяет просматривать текущее состояние и задавать параметры всех портов RS232.
Состояние "Busy" означает, что в данный момент с портом работает пользователь. Так же отображается состояние "Online", которое показывает, подключено ли к этому порту устройство.
Чтобы не запутаться, какое устройство к какому порту подключено, для каждого порта можно задать не только его параметры, но и его имя. Обычно имя порту присваивают по имени устройства, которое к нему подключено.
Лог
Устройство ведет довольно подробный лог событий. Причем, лог хранится в энергонезависимой памяти и не сбрасывается при отключении устройства. Просматривать лог можно как целиком, так и выбрав определенную дату. Для корректного отображения времени следует его установить вручную или настроить синхронизацию с NTP-сервером.
Выводы
В целом, устройство выполнено и работает довольно качественно. Сразу установлена последняя версия прошивки, хорошо и продуманно реализованы интерфейсы управления. Стоимость устройства на начало октября 2005 - около $700, что не так мало, но, как мы уже писали, это корпоративный сегмент рынка, со своими законами и ценами.
В дополнение, мы бы порекомендовали использовать для защиты трафика управления протоколы IPSec, L2TP или OpenVPN.
Сильные стороны:
- качественное исполнение;
- подробный лог хранится в энергонезависимой памяти;
- подробная документация в комплекте;
- возможность настройки уведомлений, при обнаружении на консолях заданных фраз;
- широкий выбор способов доступа к портам.
Слабые стороны:
- не работают некоторые второстепенные функции, не описано использование RADIUS;
- невозможно задать адрес NTP-сервера вручную;
- за такие деньги можно было включить в комплект еще пару переходников DB25-RJ45.
Алексей ГРЕЧАНИНОВ,
ag@techlabs.by
Консольный сервер Altusen SN0108 для обзора предоставлен официальным дистрибьютером Aten в РБ компанией ОДО "Мультисофт"
Горячие темы