Passer au contenu principal

Nouvelles fonctionnalités spécifiques à ThingPark Enterprise auto-hébergé

Service NTP intégré RDTP-6881

À partir de la version 7.0, le serveur NTP intégré dans le TPE auto-hébergé peut être utilisé par les passerelles pour la synchronisation temporelle.

Plus de détails

En mode Haute Disponibilité (HA), les 3 nœuds du cluster TPE sont synchronisés sur la même horloge de référence.

Principaux avantages pour les clients

Cette fonctionnalité est particulièrement intéressante pour les déploiements de TPE auto-hébergé avec un accès Internet limité (ou inexistant).

Grâce à cette fonctionnalité, toutes les passerelles restent synchronisées temporellement avec l'horloge de référence commune du TPE, éliminant le besoin de déployer un serveur NTP local lorsque les passerelles n'ont pas accès à Internet.

Activation de la fonctionnalité

Pour activer la synchronisation temporelle de la passerelle à travers le serveur NTP intégré au TPE, la configuration de la passerelle doit être mise à jour pour pointer vers l'adresse IP publique du TPE.

Cette configuration est Supporté par l'interface SUPLOG GUI :

note

En mode haute disponibilité, le serveur NTP doit être configuré avec l'adresse IP du répartiteur de charge, ou une adresse IP virtuelle/flottante lorsqu'elle est disponible.

Limitations de la fonctionnalité

La référence temporelle fournie par le serveur NTP intégré peut ne pas être très précise si le serveur TPE n'a pas accès à Internet. Cependant, même si cette horloge de référence dérive, toutes les passerelles doivent rester synchronisées avec la même horloge de référence, ce qui garantit une source de temps commune pour l'ensemble du réseau d'accès radio.

Sécuriser le retour d'information entre la passerelle et le réseau cœur via TLS RDTP-16577

Avant la version 7.0, seul le tunneling IPSec est Supporté entre les passerelles et le réseau cœur ThingPark Enterprise auto-hébergé.

À partir de la version 7.0, le TPE auto-hébergé supporte TLS en plus d'IPSec. Les deux options peuvent coexister au sein de la même plateforme, certaines passerelles utilisant TLS alors que d'autres utilisent IPSec.

Plus de détails

TLS est basé sur le composant HA-PROXY, terminant les flux d'authentification et de chiffrement TLS.

Avantages clés pour les clients

Cette fonctionnalité apporte les avantages suivants aux administrateurs de réseau TPE :

  • Offrir une alternative sécurisée à IPSec, notamment pour les déploiements où les politiques de pare-feu ne sont pas compatibles avec IPSec. TLS est également le mode d'authentification/chiffrement recommandé pour les déploiements TPE auto-hébergés sur une infrastructure Kubernetes.

  • Support des modèles de Passerelles FreeRTOS à faible coût (comme le MiniHub ou MiniHub-Pro de Browan, ainsi que les cartes ST-Nucleo), où TLS est le seul mode de sécurité Supporté sur l'interface de backhaul BS-NS.

Activation de la fonctionnalité

Lors de l'installation initiale d'une plateforme TPE auto-hébergée en version 7.0, ou lors de la mise à niveau d'une plateforme existante vers cette version, TLS est prêt à être utilisé mais est désactivé par défaut, puisque les images BS TPE auto-hébergées génériques utilisent le mode IPSec par défaut.

Pour activer TLS pour une passerelle donnée, la configuration suivante doit être définie dans l'image BS (configuration LRR) :

  • Du côté LRR, un indicateur spécifique doit être configuré dans lrr.ini :

    [services]
    tls=1
    checkvpn2=0

  • L'adresse IP de tous les serveurs distants (LRC, téléchargement/chargement FTP, serveur de support) doit être configurée sur localhost (ou 127.0.0.1), avec un port distinct attribué à chaque serveur. Exemple :

    [download:0]
        ftpaddr=127.0.0.1
        ftpport=2434
    [download:1]
        ftpaddr=127.0.0.1
        ftpport=2435
        
    [support:0]    
        addr=127.0.0.1    
        port=2414
        ftpaddr=127.0.0.1
        ftpport=2424
    [support:1]   
        addr=127.0.0.1    
        port=2415
        ftpaddr=127.0.0.1
        ftpport=2425
        
    [laplrc:0]
        addr=127.0.0.1
        port=2404
    [laplrc:1]
        addr=127.0.0.1
        port=2405

Veuillez contacter votre intégrateur système ou l'équipe de support Actility pour en savoir plus sur les modèles/images BS qui supportent TLS.

De plus, l'activation TLS nécessite la mise en liste blanche des ports suivants, au cas où un proxy/pare-feu serait configuré entre la passerelle et le serveur TPE :

  • Port 3001 : IEC104 sur TLS
  • Port 3002 : SFTP sur TLS
  • Port 3003 : Support (SSH) sur TLS

Limitations de la fonctionnalité

L'activation TLS dans le LRR de la passerelle n'est actuellement pas supportée depuis l'interface utilisateur SUPLOG. Elle peut être soit configurée directement dans une image BS personnalisée ou configurée à distance à travers le service de mise en service de l'infrastructure (ICS).

Dernière mise à jour sur
Copyright © 2025 Actility
Sur cette page