Herunterladen
Teilen
Diese Seite drucken
Siemens SIMATIC NET SCALANCE S615 Erste Schritte
  1. Anleitungen
  2. Marken
  3. Siemens Anleitungen
  4. Router
  5. SIMATIC NET SCALANCE S615
  6. Erste schritte
Siemens SIMATIC NET SCALANCE S615 Erste Schritte

Siemens SIMATIC NET SCALANCE S615 Erste Schritte

Vorschau ausblenden Andere Handbücher für SIMATIC NET SCALANCE S615:

Werbung

Quicklinks

Diese Anleitung herunterladen
SIMATIC NET
Industrial Ethernet Security
SCALANCE S615 Getting Started
Getting Started
02/2018
C79000-G8900-C390-03
___________________
Vorwort
___________________
SCALANCE S615
mit dem WAN verbinden
VPN-Tunnel zwischen
___________
SCALANCE S615 und
SINEMA RC-Server
___________________
NETMAP
mit SCALANCE S615
___________________
VRRPv3 projektieren
1
2
3
4

Werbung

loading

Verwandte Anleitungen für Siemens SIMATIC NET SCALANCE S615

Inhaltszusammenfassung für Siemens SIMATIC NET SCALANCE S615

  • Seite 1 ___________________ Vorwort ___________________ SCALANCE S615 mit dem WAN verbinden VPN-Tunnel zwischen ___________ SCALANCE S615 und SIMATIC NET SINEMA RC-Server ___________________ NETMAP Industrial Ethernet Security mit SCALANCE S615 SCALANCE S615 Getting Started ___________________ VRRPv3 projektieren Getting Started 02/2018 C79000-G8900-C390-03...
  • Seite 2 Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
  • Seite 3 Vorwort Zweck Anhand von Beispielen wird die Projektierung des SCALANCE S615 gezeigt. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Allgemeine Benennung Die Bezeichnung .
  • Seite 4 Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen. Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: 27069465 (https://support.industry.siemens.com/cs/ww/de/view/27069465) SIMATIC NET-Handbücher Die SIMATIC NET-Handbücher finden Sie auf den Internetseiten des Siemens Industry Online Support: ● über die Suchfunktion: Link zum Siemens Industry Online Support (https://support.industry.siemens.com/cs/ww/de/)
  • Seite 5 Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter folgender Adresse: https://www.siemens.com/industrialsecurity Firmware Die Firmware ist signiert und verschlüsselt. Es ist sichergestellt, dass nur von Siemens erstellte Firmware in das Gerät geladen werden kann. Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete ®...
  • Seite 6 Vorwort SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 7 Inhaltsverzeichnis Vorwort ..............................3 SCALANCE S615 mit dem WAN verbinden ..................... 9 Prinzipielles Vorgehen ......................9 SCALANCE S615 und Netzwerk einrichten ................11 Das Web Based Management starten ..................12 Am Web Based Management anmelden ................15 IP-Einstellungen des S615 ändern ..................17 Geräteinformationen festlegen ....................
  • Seite 8 Inhaltsverzeichnis VRRPv3 projektieren ..........................67 Einleitung ..........................67 IP-Subnetz anlegen ....................... 70 VRRPv3 konfigurieren ......................72 4.3.1 VRRPv3-Router anlegen ....................... 72 4.3.2 VRRPv3-Router konfigurieren ....................73 4.3.3 Virtuelle IP-Adresse festlegen ....................75 4.3.4 Schnittstellenüberwachung konfigurieren ................76 Firewall-Regel für VRRPv3 anlegen ..................77 VRRPv3 überprüfen .......................
  • Seite 9 SCALANCE S615 mit dem WAN verbinden Prinzipielles Vorgehen In diesem Beispiel wird dem SCALANCE S615, das sich im Zustand der Werkseinstellungen befindet, eine IP-Adresse zugewiesen. Im Anschluss wird das Gerät über das Web Based Management (WBM) konfiguriert. Der Zugriff auf das WAN über die Ethernet-Schnittstelle P5 des S615 angeschlossen wird.
  • Seite 10 SCALANCE S615 mit dem WAN verbinden 1.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Interface IP-Adresse LAN1 S615 LAN-Port P1 192.168.100.1 (vlan1) 255.255.255.0 WAN-Port P5 192.168.50.1 (vlan2) 255.255.255.0 LAN-Port 192.168.100.20 255.255.255.0 Gateway: IP-Adresse vlan1 Hinweis Die im Beispiel verwendeten IP-Einstellungen sind frei gewählt.
  • Seite 11 SCALANCE S615 mit dem WAN verbinden 1.2 SCALANCE S615 und Netzwerk einrichten SCALANCE S615 und Netzwerk einrichten Hinweis Machen Sie sich mit den Sicherheitshinweisen vertraut, bevor Sie das Gerät in Betrieb nehmen. Die Sicherheitshinweise finden Sie in der Betriebsanleitung. Vorgehensweise 1.
  • Seite 12 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten Das Web Based Management starten Werkseitig ist das SCALANCE S615 unter der folgenden IP-Adresse erreichbar: ● IP-Adresse: 192.168.1.1 ● Subnetzmaske: 255.255.255.0 Der Admin-PC erhält in dieser Beispielkonfiguration folgende IP-Adresseinstellung, um auf das Web Based Management des S615 zu zugreifen.
  • Seite 13 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 5. Geben Sie die Werte nach der obigen Tabelle ein. 6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 14 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 7. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse "192.168.1.1" ein. Standardmäßig ist der Zugriff über HTTPS aktiviert. Wenn Sie über HTTP auf das Gerät zugreifen, wird die Adresse automatisch auf HTTPS umgeleitet. Eine Meldung zum Sicherheitszertifikat erscheint.
  • Seite 15 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden Am Web Based Management anmelden Vorgehensweise 1. Melden Sie sich mit dem Benutzernamen "admin" und dem Passwort "admin" an. Sie werden aufgefordert, das Passwort zu ändern. 2. Bestätigen Sie den Dialog. Automatisch wird die WBM-Seite "Passwörter von Benutzern" geöffnet.
  • Seite 16 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden 6. Klicken Sie auf die Schaltfläche "Einstellungen übernehmen". 7. Der Basic Wizard startet, um Sie bei der Konfiguration der Geräteparameter zu unterstützen. Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Die Änderungen sind sofort wirksam. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 17 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern IP-Einstellungen des S615 ändern Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 2. Geben Sie die IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 9)"...
  • Seite 18 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern 7. Geben Sie die Werte für den PC nach der Tabelle "Verwendete Einstellungen (Seite 9)" ein. 8. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. 9. Geben Sie im Adressfeld des Webbrowsers die IP-Adresse für vlan 1 ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)".
  • Seite 19 SCALANCE S615 mit dem WAN verbinden 1.6 Geräteinformationen festlegen Geräteinformationen festlegen Zur besseren Identifikation der SCALANCE S615 legen Sie allgemeine Geräteinformationen fest. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Allgemein" und im Inhaltsbereich auf das Register "Gerät". 2. Tragen Sie bei "Systemname" einen Namen für das Gerät ein. 3.
  • Seite 20 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SCALANCE S615 Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren.
  • Seite 21 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Systemzeit" und im Inhaltsbereich auf das Register "NTP-Client". 2. Tragen Sie bei "Zeitzone" die lokale Zeitdifferenz zur Weltzeit (UTC) ein. Für mitteleuropäische Sommerzeit (MESZ) +02:00. 3.
  • Seite 22 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen Ergebnis Die Systemzeit über NTP ist eingestellt. Klicken Sie auf "Aktualisieren", um die WBM-Seite zu aktualisieren. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 23 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen IP-Subnetz anlegen Die Schnittstellen werden unterschiedlich behandelt. ● Ethernet-Schnittstelle P1 (vlan1): Anbindung an LAN ● Ethernet-Schnittstelle P5 (vlan 2): Anbindung an WAN Für dieses Konfigurationsbeispiel ist nur das IP-Subnetz für die Ethernet-Schnittstelle P5 zu konfigurieren.
  • Seite 24 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen Ergebnis Die IP-Subnetze sind angelegt. Die IP-Subnetze werden im Register "Übersicht" angezeigt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 25 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server Prinzipielles Vorgehen In dieser Beispielkonfiguration sind zwei dezentrale Stationen mithilfe von SCALANCE S615 angeschlossen. Die Geräte kommunizieren über den SINEMA RC-Server, der in der Zentrale steht. Für die SCALANCE S615-Geräten wird je ein KEY-PLUG SINEMA Remote Connect benötigt.
  • Seite 26 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Zentrale - Anschluss an SINEMA RC Server ● Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist. –...
  • Seite 27 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse Station1 S615_1 LAN-Port P1 192.168.100.1 LAN1 (vlan1) 255.255.255.0 WAN-Port P5 192.168.50.1 (vlan2) 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Routers 192.168.50.2 LAN-Port 192.168.100.20...
  • Seite 28 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Voraussetzung SINEMA RC Server ● Der SINEMA RC Server ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SINEMA Remote Connect". SCALANCE S615 ● Das S615 ist mit dem WAN verbunden, siehe "SCALANCE S615 mit dem WAN verbinden (Seite 9)".
  • Seite 29 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Zugriff auf den SINEM RC-Servers konfigurieren 2.2.1 Route konfigurieren Die Stationen und die Zentrale sind in verschiedenen IP-Subnetzen. Damit die Stationen mit der Zentrale kommunizieren können, wird im S615 die entsprechende Default-Route angelegt.
  • Seite 30 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Übersicht der Konfiguration am S615_2: 2.2.2 IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt. Vorgehensweise 1.
  • Seite 31 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3.
  • Seite 32 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.1 Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist.
  • Seite 33 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Die Teilnehmergruppen sind angelegt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 34 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.2 Geräte anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen. 3.
  • Seite 35 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 36 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.3 Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe zur Zielgruppe Service...
  • Seite 37 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 38 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Fernverbindung auf dem S615 konfigurieren 2.4.1 Gesicherte VPN-Verbindung mit Fingerabdruck Voraussetzung ● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. ● Webbrowser 1 für den Zugriff auf das Web Based Management des SCALANCE S615. ●...
  • Seite 39 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. – Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". –...
  • Seite 40 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 4. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. – Klicken Sie bei "Fingerabdruck" auf das Symbol 5. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615.
  • Seite 41 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Im Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615: Klicken Sie im Navigationsbereich auf "Information"...
  • Seite 42 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 2.4.2 Gesicherte VPN-Verbindung mit CA-Zertifikat 2.4.2.1 Zertifikat laden Voraussetzung ● Auf dem S615 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt. ● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Vorgehensweise 1.
  • Seite 43 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Die Zertifikate sind geladen. Unter "Security > Zertifikate" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. 2.4.2.2 VPN-Verbindung zum SINEMA RC-Server projektieren Voraussetzung ●...
  • Seite 44 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. – Klicken Sie im Navigationsbereich auf "System > SINEMA RC". –...
  • Seite 45 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren – Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 46 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen"...
  • Seite 47 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 49 NETMAP mit SCALANCE S615 In diesen Beispielen werden zwei verschiedene IP-Subnetze über SCALANCE M-800 miteinander verbunden. Zwischen beiden SCALANCE M-Geräten ist ein VPN-Tunnel aufgebaut. Die VPN-Verbindung wird vom M876 aus initiiert. Über den aufgebauten VPN- Tunnel werden die Adressen mit NETMAP umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen.
  • Seite 50 NETMAP mit SCALANCE S615 Entferntes Netz - Anschluss an M-800 ● Im entfernten Netz wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. – PC: repräsentiert einen Teilnehmer des entfernten Netzwerks –...
  • Seite 51 NETMAP mit SCALANCE S615 Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Schnittstelle IP-Adresse Station M876 LAN-Schnittstelle 192.168.20.1 IP-Subnetz 1 255.255.255.0 (vlan1) WAN-Schnittstelle Dynamische IP-Adresse vom Provider (ppp0) Das Gerät ist aber über einen dynamischen DNS-Dienst erreichbar, z. B. example.no-ip.com LAN-Schnittstelle 192.168.20.20 255.255.255.0...
  • Seite 52 NETMAP mit SCALANCE S615 3.1 NETMAP für das lokale Netz NETMAP für das lokale Netz ① Beim NETMAP des lokalen Netzes wird die Quell-IP-Adresse z. B. 192.168.20.20 umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen. In diesem Beispiel ist der Subnetzanteil 192.168.20.0. Dieser ②...
  • Seite 53 NETMAP mit SCALANCE S615 3.1 NETMAP für das lokale Netz Voraussetzung ● Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden". ● Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin"...
  • Seite 54 NETMAP mit SCALANCE S615 3.1 NETMAP für das lokale Netz 5. Klicken Sie im Inhaltsbereich auf das Register "Authentifizierung" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Am M876 Authentifizierung Lokale-ID Remote-ID PSK / PSK bestätigen z. B. 12345678 z.
  • Seite 55 NETMAP mit SCALANCE S615 3.1 NETMAP für das lokale Netz 3.1.2 NETMAP-Regeln erstellen Voraussetzung ● Die VPN-Verbindung M876_to_M816 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 53). Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP".
  • Seite 56 NETMAP mit SCALANCE S615 3.1 NETMAP für das lokale Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 57 NETMAP mit SCALANCE S615 3.2 NETMAP für das entfernte Netz NETMAP für das entfernte Netz ① Beim NETMAP des entfernten Netzes wird die Ziel-IP-Adresse z. B. 192.168.100.10 umgesetzt. In diesem Beispiel ist der Subnetzanteil 192.168.100.0 und wird durch 192.168.10.0 ersetzt. Dadurch ist das entfernte Netz zusätzlich zur 192.168.10.0 auch über ②...
  • Seite 58 NETMAP mit SCALANCE S615 3.2 NETMAP für das entfernte Netz Voraussetzung ● Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden". ● Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als "admin"...
  • Seite 59 NETMAP mit SCALANCE S615 3.2 NETMAP für das entfernte Netz 5. Klicken Sie im Inhaltsbereich auf das Register "Authentication" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Am M876 Authentifizierung Lokale-ID Remote-ID PSK / PSK bestätigen z. B. 12345678 z.
  • Seite 60 NETMAP mit SCALANCE S615 3.2 NETMAP für das entfernte Netz 3.2.2 NETMAP-Regeln erstellen Voraussetzung ● Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 58). Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP".
  • Seite 61 NETMAP mit SCALANCE S615 3.2 NETMAP für das entfernte Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 62 NETMAP mit SCALANCE S615 3.3 NETMAP für das lokale und das entfernte Netz NETMAP für das lokale und das entfernte Netz In diesem Beispiel werden die NETMAP-Regeln aus NETMAP für das lokale Netz (Seite 52)und aus NETMAP für das entfernte Netz (Seite 57) kombiniert. Allerdings gibt es bei den ausgehenden Anfragen eine Besonderheit.
  • Seite 63 NETMAP mit SCALANCE S615 3.3 NETMAP für das lokale und das entfernte Netz Entferntes Netz > Lokales Netz: Das Ziel-IP-Subnetz 192.168.200.0/24 wird durch 192.168.20.0/24 ersetzt Das Quell-IP-Subnetz 192.168.10.0/24 wird durch 192.168.100.0/24 ersetzt Zusätzlich sollen die beiden Geräte über einen VPN-Tunnel miteinander kommunizieren. Voraussetzung ●...
  • Seite 64 NETMAP mit SCALANCE S615 3.3 NETMAP für das lokale und das entfernte Netz 3.3.1 VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3.
  • Seite 65 NETMAP mit SCALANCE S615 3.3 NETMAP für das lokale und das entfernte Netz 6. Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 aktiviert Verschlüsselung AES256 CBC (M87x) AES256 (M81x) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14...
  • Seite 66 NETMAP mit SCALANCE S615 3.3 NETMAP für das lokale und das entfernte Netz 3.3.2 NETMAP-Regeln erstellen Voraussetzung ● Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 64). ● Die NETMAP-Regeln für das lokale Netz (Seite 60)sind angelegt. ● Die NETMAP-Regeln für das entfernte Netz (Seite 55) sind angelegt. Vorgehensweise 1.
  • Seite 67 VRRPv3 projektieren Einleitung In diesem Kapitel wird anhand einer Beispielkonfiguration die Funktion von VRRPv3 gezeigt. Mit dem Virtual Router Redundancy Protocol v3 (VRRPv3) kann dem Ausfall eines Routers in einem Netzwerk begegnet werden. Für den Aufbau der Routerredundanz werden mehrere Geräte zu einer logischen Gruppe zusammengefasst, die zusammen den virtuellen Router bilden.
  • Seite 68 VRRPv3 projektieren 4.1 Einleitung Auf den Geräten ist standardmäßig die Firewall aktiviert. Damit die eingehenden VRRP- Pakete an das Gerät weitergeleitet werden, ist eine Firewall-Regel zu projektieren. Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: VLAN / Router- Gerätename Schnittstelle...
  • Seite 69 VRRPv3 projektieren 4.1 Einleitung Mit dem PC konfigurieren Sie die Geräte über das Web Based Management. Dafür müssen Sie dem PC-Netzwerkadapter die IP-Adresse zuordnen. In den erweiterten TCP/IP- Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP- Adressen hinzuzufügen. IP-Adresse Gateway 192.168.100.20 VRID 1: Virtuelle IP-Adresse: 192.168.100.15...
  • Seite 70 VRRPv3 projektieren 4.2 IP-Subnetz anlegen IP-Subnetz anlegen Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind: ● P1 bis P 4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät. ● P 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät. Die VLANs sind in verschiedenen IP-Subnetzen.
  • Seite 71 VRRPv3 projektieren 4.2 IP-Subnetz anlegen Ergebnis In beiden SCALANCE S615 sind die IP-Subnetze angelegt und werden im Register "Übersicht" angezeigt. Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 72 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren VRRPv3 konfigurieren 4.3.1 VRRPv3-Router anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". 2. Aktivieren Sie die Einstellung "VRRPv3". Bestätigen Sie die Meldung mit OK. Im Kapitel "Firewallregel für VRRP anlegen (Seite 77)"...
  • Seite 73 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren 4.3.2 VRRPv3-Router konfigurieren In diesem Abschnitt werden die VRRPv3-Router konfiguriert. Dabei wird das S615_1 als Master-Router und das S615_2 als Backup-Router projektiert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Konfiguration".
  • Seite 74 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren Ergebnis Die virtuellen Router sind angelegt. Die Projektierung ist auf beiden Geräten gleich. Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 75 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren 4.3.3 Virtuelle IP-Adresse festlegen Damit die angeschlossenen Geräte den Wechsel nicht mitbekommen, wird für jede VRID eine virtuelle IP-Adresse vergeben. Diese virtuelle IP-Adresse wird bei den Geräten als Gateway-Adresse eingetragen. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Adresskonfiguration".
  • Seite 76 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren 4.3.4 Schnittstellenüberwachung konfigurieren Die Schnittstellen P1 und P5 sollen überwacht werden. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Schnittstellenüberwachung". 2. Wählen Sie bei "Schnittstelle" die Schnittstelle "P1" aus. 3.
  • Seite 77 VRRPv3 projektieren 4.4 Firewall-Regel für VRRPv3 anlegen Firewall-Regel für VRRPv3 anlegen Damit die eingehenden VRRP-Pakete an das Gerät weitergeleitet werden, sind folgende Firewallregeln zu konfigurieren. Vorgehensweise IP-Protokoll anlegen 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Firewall" und im Inhaltsbereich auf das Register "IP-Protokoll".
  • Seite 78 VRRPv3 projektieren 4.4 Firewall-Regel für VRRPv3 anlegen Ergebnis Die IP-Regeln sind angelegt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 79 VRRPv3 projektieren 4.5 VRRPv3 überprüfen VRRPv3 überprüfen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". Ergebnis Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: Bei Master-Adresse wird IP-Adresse des S615_1 angezeigt. SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...
  • Seite 80 VRRPv3 projektieren 4.5 VRRPv3 überprüfen SCALANCE S615 Getting Started Getting Started, 02/2018, C79000-G8900-C390-03...