zarzadzanie_zdalne.pdf
(
79 KB
)
Pobierz
Microsoft Word - zarzadzanie_zdalne.docx
ZarzĢdzanie zdalne
Do konfiguracji routera Vigor moŇna wykorzystaę dowolnĢ przeglĢdarkħ www obsþugujĢcĢ protokþ http, https lub
dowolny program emulujĢcy terminal (np. HyperTerminal). Programy te mogĢ byę zainstalowane na komputerze o
dowolnej architekturze (PC, MAC) i w Ļrodowisku dowolnego systemu operacyjnego. Wystarczy, Ňe potrafiĢ
komunikowaę siħ z wbudowanym w router serwerem telnet, http lub https.
Dostħp do serwerw telnet, http i https uzyskuje siħ podajĢc adres IP, pod ktrym router jest osiĢgalny. MoŇe to
byę adres interfejsu LAN lub WAN Î ta druga opcja pozwala na peþne zdalne zarzĢdzanie konfiguracjĢ poprzez
Internet. Naturalnie adres przypisany do interfejsu WAN musi byę adresem publicznym. Nastħpnym warunkiem
jest sama aktywnoĻę þĢcza Î dostħp do Internetu musi funkcjonowaę prawidþowo.
Zdalna konfiguracja stanowi jednak Ņrdþo potencjalnych zagroŇeı. Dlatego obok zabezpieczeı realizowanych w
ramach Firewall polityka bezpieczeıstwa kaŇe zwrcię uwagħ na odpowiednie skonfigurowanie opcji zarzĢdzania
routerem. Stosowne ustawienia skupiajĢ siħ w oknie pokazanym na rysunku.
WþĢcz zdalnĢ aktualizacjħ firmware (FTP) Î pozwala uruchomię serwer FTP, ktry jest niezbħdny do
przeprowadzenia aktualizacji oprogramowania firmware przez Internet. Usþuga FTP korzysta z niezawodnych
poþĢczeı TCP, koniecznych dla komunikacji w sieci rozlegþej. Zdalne uaktualnienie firmware bħdzie polegaþo na
nawiĢzaniu poþĢczenia ftp i skopiowaniu pliku do gþwnego katalogu serwera wbudowanego w router.
WþĢcz zarzĢdzanie z Internetu Î wþĢczenie dostħpu do konfiguracji routera (serwery http, https i Telnet) od
strony sieci publicznej. W przypadku serwerw wbudowanych w router nie jest konieczna dodatkowa konfiguracja
NAT.
Nie odpowiadaj na PING z Internetu Î router bħdzie ignorowaþ komunikaty ICMP wysyþane przez narzħdzie
ping (tzw. echo request)
1/2
¨ Brinet sp. z o.o. Î wyþĢczny przedstawiciel DrayTek w Polsce Î www.brinet.pl Î www.draytek.pl
ZarzĢdzanie zdalne
Poza samym uaktywnieniem dostħpu przez Internet istnieje moŇliwoĻę jego ograniczenia do wybranych Ņrdþowych
adresw IP. W konsekwencji dostħp do konfiguracji bħdzie moŇliwy wyþĢcznie z okreĻlonych podsieci lub
konkretnych hostw, obecnych w opcji Lista dostħpu:
•
Lista Î moŇna podaę do trzech odlegþych adresw Ņrdþowych
•
IP Î adres konkretnego hosta lub caþej podsieci
•
Maska podsieci Î maska wyznaczajĢca odlegþĢ podsieę
JeŇeli dostħp zostanie wþĢczony i powyŇsze pola pozostanĢ puste, bħdzie on moŇliwy z dowolnego miejsca. Dlatego
zaleca siħ precyzyjnie okreĻlię zaufane adresy Ņrdþowe.
Porty dla zarzĢdzania - dodatkowym zabezpieczeniem bħdzie zmiana domyĻlnych portw protokoþowych dla
serwerw telnet, http, https i ftp. Standardowo usþugi te stosujĢ powszechnie znane numery portw (23, 80, 443 i
21), a ich zmiana bħdzie stanowię dodatkowĢ barierħ dla nieautoryzowanych prb dostħpu, gdyŇ wprowadzi nowy
element poufnoĻci. NaleŇy jednak unikaę stosowania numerw wþaĻciwych dla innych popularnych usþug (np. 22,
25) czy teŇ wykorzystywanych przez pracujĢcy w sieci lokalnej serwer.
Numer portu naleŇy uwzglħdnię nawiĢzujĢc poþĢczenie z odpowiednim serwerem wbudowanym w router.
Przykþadowo wpisanie w przeglĢdarce Internet Explorer adresu URL w postaci
http://70.80.90.100
spowoduje
uŇycie przez niĢ domyĻlnego portu 80 podczas þĢczenia z serwerem http. JeŇeli numer portu zostaþ zmieniony na
nietypowy, np. 8080, informacjħ tħ naleŇy uwzglħdnię stosujĢc skþadniħ:
http://70.80.90.100:8080
, gdzie numer
portu wystħpuje dodatkowo po dwukropku. Ograniczenie dostħpu do wybranych adresw i portw dotyczy zarwno
dostħpu z sieci lokalnej jak i spod adresw publicznych.
NiezaleŇnie od formy poþĢczenia z routerem, dodatkowĢ barierĢ bħdzie koniecznoĻę wpisania hasþa administratora.
Hasþo to definiuje siħ w ramach ustawieı podstawowych i jest ono wsplne dla wszystkich serwerw (telnet, http,
https, ftp, tftp).
SNMP Î router Vigor moŇe teŇ uczestniczyę w scentralizowanym zarzĢdzaniu infrastrukturĢ sieciowĢ z
wykorzystaniem protokoþu SNMP (ang. Simple Network Management Protocol). Wymaga to uruchomienia tzw.
agenta usþugi SNMP. Odpowiedni proces, rezydujĢcy w routerze bħdzie wwczas zbieraþ typowe dla protokoþu
SNMP informacje statystyczne i diagnostyczne, i kierowaþ je do wþaĻciwego urzĢdzenia monitorujĢcego. Poprawna
konfiguracja tej funkcji wymaga zapoznania siħ z koncepcjĢ zarzĢdzania sieciĢ i stosowanymi przez usþugħ SNMP
operacjami logicznymi. Dla operacji GET, SET i TRAP istnieje moŇliwoĻę wskazania identyfikatora grupy urzĢdzeı
oraz adresu IP urzĢdzenia monitorujĢcego.
Uwaga!
PoniewaŇ proces agenta SNMP moŇe w pewnym stopniu angaŇowaę zasoby sprzħtowe routera (procesor i pamiħę),
naleŇy unikaę jego niepotrzebnego uruchamiania. Warto na przykþad upewnię siħ, czy nie zostaþ on uruchomiony
przypadkowo czy teŇ nieĻwiadomie, podczas gdy w sieci nie wykorzystuje siħ protokoþu SNMP.
2/2
¨ Brinet sp. z o.o. Î wyþĢczny przedstawiciel DrayTek w Polsce Î www.brinet.pl Î www.draytek.pl
Plik z chomika:
internetowy.chomik
Inne pliki z tego folderu:
CzasSystemowy.pdf
(147 KB)
kopia_konfiguracji.pdf
(200 KB)
SysLog.pdf
(1282 KB)
Zarzadzanie.pdf
(793 KB)
zarzadzanie_zdalne.pdf
(79 KB)
Inne foldery tego chomika:
Aplikacje_uslugi
firewall
Firmware
LAN
NAT
Zgłoś jeśli
naruszono regulamin