Seite 1 Hirschmann Automation and Control GmbH EAGLE40-07 HiSecOS Rel. 04600 Referenz-Handbuch Grafische Benutzeroberfläche Anwender-Handbuch Konfiguration...
Seite 2 Referenz-Handbuch Grafische Benutzeroberfläche Industrial Security Router EAGLE40-07 RM GUI EAGLE40-07 Technische Unterstützung Release 4.6 06/2023 https://hirschmann-support.belden.com...
Seite 3 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2023 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 4 Inhalt Inhalt Sicherheitshinweise............7 Über dieses Handbuch .
Seite 5 Inhalt Asset ..............105 Protokoll .
Seite 6 Inhalt Routing ..............307 Routing Global .
Seite 7 Inhalt 8.1.3 Alarme (Traps) ............. . 438 System .
Seite 8 Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 9 Sicherheitshinweise RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 10 Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 11 Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 12 Hinweise zur grafischen Benutzeroberfläche Banner Hinweise zur grafischen Benutzeroberfläche Voraussetzung für den Zugriff auf die grafische Benutzeroberfläche des Geräts ist ein Webbrowser mit HTML5-Unterstützung. Die responsive grafische Benutzeroberfläche passt sich automatisch an die Größe Ihres Bild- schirms an. Demzufolge können Sie auf einem großen, hochauflösenden Bildschirm mehr Details sehen als auf einem kleinen Bildschirm.
Seite 13 Hinweise zur grafischen Benutzeroberfläche Banner Wenn Sie die Schaltfläche klicken, öffnet sich die Online-Hilfe in einem neuen Fenster. Wenn Sie die Schaltfläche klicken, zeigt ein Tooltip die folgenden Informationen: • Die Zusammenfassung des Rahmens Geräte-Status. Siehe Dialog Grundeinstellungen > System. •...
Seite 14 Hinweise zur grafischen Benutzeroberfläche Menübereich Menübereich Die grafische Benutzeroberfläche blendet den Menübereich aus, wenn das Fenster des Webbrow- sers zu schmal ist. Um den Menübereich anzuzeigen, klicken Sie im Banner die Schaltfläche Der Menübereich ist wie folgt unterteilt: • Symbolleiste •...
Seite 15 Hinweise zur grafischen Benutzeroberfläche Menübereich Menübaum Der Menübaum enthält einen Eintrag für jeden Dialog in der grafischen Benutzeroberfläche. Wenn Sie einen Menüeintrag klicken, zeigt der Dialogbereich den zugehörigen Dialog. Sie können die Ansicht des Menübaums ändern, indem Sie die Schaltflächen in der Symbolleiste am oberen Rand klicken.
Seite 16 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Dialogbereich Der Dialogbereich zeigt den Dialog, den Sie im Menübaum auswählen, einschließlich seiner Bedienelemente. Hier können Sie abhängig von Ihrer Zugriffsrolle die Einstellungen des Geräts überwachen und ändern. Nachfolgend finden Sie nützliche Informationen zur Bedienung der Dialoge. •...
Seite 17 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Verwirft nicht gespeicherte Änderungen im gegenwärtigen Dialog. Setzt die Werte in den Feldern auf die im Gerät angewendeten Einstellungen zurück. Einstellungen speichern Beim Anwenden der Einstellungen speichert das Gerät die geänderten Einstellungen vorläufig. Führen Sie dazu den folgenden Schritt aus: Klicken Sie die Schaltfläche ...
Seite 18 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Zeilen filtern Der Filter ermöglicht Ihnen, die Anzahl der angezeigten Tabellenzeilen zu verringern. Zeigt im Tabellenkopf eine zweite Tabellenzeile, die für jede Spalte ein Textfeld enthält. Wenn Sie in ein Feld eine Zeichenfolge einfügen, zeigt die Tabelle lediglich noch die Tabellenzeilen, welche in der betreffenden Spalte diese Zeichenfolge enthalten.
Seite 19 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Mehrere Tabellenzeilen auswählen Sie haben die Möglichkeit, mehrere Tabellenzeilen auf einmal auszuwählen und eine Aktion auf die ausgewählten Tabellenzeilen anzuwenden. Dies ist nützlich, wenn Sie in der Tabelle zum Beispiel mehrere Zeilen gleichzeitig entfernen möchten. Um in der Tabelle einzelne Zeilen auszuwählen, markieren Sie das Kontrollkästchen ganz links in der gewünschten Tabellenzeile.
Seite 20 Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System  Netz  Software  Laden/Speichern  Externer Speicher  Port  Neustart  System [ Grundeinstellungen > System ] Dieser Dialog zeigt Informationen zum Betriebszustand des Geräts. Geräte-Status Geräte-Status Zeigt den Geräte-Status und die gegenwärtig vorliegenden Alarme.
Seite 21 Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Sicherheits-Status Zeigt den Sicherheits-Status und die gegenwärtig vorliegenden Alarme. Wenn mindestens ein Alarm vorliegt, ist die Hintergrundfarbe rot. Andernfalls ist die Hintergrundfarbe grün. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 22 Grundeinstellungen [ Grundeinstellungen > System ] Die folgenden Funktionen verwenden den festgelegten Wert als Hostnamen oder Fully Qualified Domain Name (FQDN). Für die Kompatibilität ist es empfehlenswert, nur Kleinbuchstaben zu verwenden, da manche Systeme zwischen Groß- und Kleinschreibung im FQDN unterscheiden. Vergewissern Sie sich, dass dieser Name im gesamten Netz eindeutig ist.
Seite 23 Grundeinstellungen [ Grundeinstellungen > System ] Obere Temp.-Grenze [°C] Legt den oberen Temperaturschwellwert in °C fest. Mögliche Werte: -99..99 (ganze Zahl)  Wenn die Temperatur im Gerät den festgelegten Wert überschreitet, dann zeigt das Gerät einen Alarm. Untere Temp.-Grenze [°C] Legt den unteren Temperaturschwellwert in °C fest.
Seite 24 Grundeinstellungen [ Grundeinstellungen > Netz ] Der externe Speicher ist angeschlossenen, jedoch nicht betriebsbereit. Der externe Speicher ist angeschlossenen und betriebsbereit. Status Port Dieser Rahmen zeigt eine vereinfachte Ansicht der Ports des Geräts zum Zeitpunkt der letzten Anzeigeaktualisierung. Den Port-Status erkennen Sie an der Markierung. In der Grundansicht zeigt der Rahmen lediglich Ports mit aktivem Link.
Seite 25 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] 1.2.1 Global [ Grundeinstellungen > Netz > Global ] Dieser Dialog ermöglicht Ihnen, die VLAN- und HiDiscovery-Einstellungen festzulegen, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Dieser Rahmen ermöglicht Ihnen, das VLAN festzulegen, in dem das Management des Geräts erreichbar ist.
Seite 26 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] Funktion Schaltet die Funktion HiDiscovery im Gerät ein/aus. Mögliche Werte: (Voreinstellung)  Die Funktion HiDiscovery ist eingeschaltet. Sie haben die Möglichkeit, das Gerät mit der HiDiscovery-Software von Ihrem PC aus zu errei- chen.
Seite 27 Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] 1.2.2 IPv4 [ Grundeinstellungen > Netz > IPv4 ] In diesem Dialog legen Sie die IPv4-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. IP-Parameter Dieser Rahmen ermöglicht Ihnen, die IP-Parameter manuell zuzuweisen.
Seite 28 Grundeinstellungen [ Grundeinstellungen > Software ] Netzmaske Legt die Netzmaske fest. Mögliche Werte: Gültige IPv4-Netzmaske  Gateway-Adresse Legt die IP-Adresse eines Routers fest, über den das Gerät andere Geräte außerhalb des eigenen Netzes erreicht. Mögliche Werte: Gültige IPv4-Adresse  Wenn das Gerät das festgelegte Gateway nicht verwendet, dann prüfen Sie, ob ein anderes Stan- dard-Gateway festgelegt ist.
Seite 29 Grundeinstellungen [ Grundeinstellungen > Software ] Wiederherstellen Stellt die als Backup gespeicherte Geräte-Software wieder her. Dabei tauscht das Gerät die Gespei- Versionund die der Geräte-Software. cherte Backup-Version Beim nächsten Systemstart lädt das Gerät die im Feld angezeigte Geräte-Soft- Gespeicherte Version ware.
Seite 30 Grundeinstellungen [ Grundeinstellungen > Software ] Tabelle Datei Ort Zeigt den Speicherort der Geräte-Software. Mögliche Werte:  Flüchtiger Speicher des Geräts flash  Permanenter Speicher (NVM) des Geräts  Externer USB-Speicher (ACA21/ACA22) Index Zeigt den Index der Geräte-Software. Für die der Geräte-Software im Flash hat der Index die folgende Bedeutung: ...
Seite 31 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts permanent in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 32 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurations-Verschlüsselung Aktiv Zeigt, ob die Konfigurations-Verschlüsselung im Gerät aktiv/inaktiv ist. Mögliche Werte: markiert  Die Konfigurations-Verschlüsselung ist aktiv. Das Gerät lädt ein Konfigurationsprofil aus dem permanenten Speicher (NVM) ausschließlich dann, wenn dieses verschlüsselt ist und das Passwort mit dem im Gerät gespeicherten Pass- wort übereinstimmt.
Seite 33 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Installieren Sie im neuen Gerät den externen Speicher aus dem nicht mehr funktionierenden  Gerät. Starten Sie das neue Gerät neu.  Beim nächsten Systemstart lädt das Gerät das Konfigurationsprofil mit den Einstellungen des nicht mehr funktionierenden Geräts vom externen Speicher.
Seite 34 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Timeout [s] für Wiederherstellung nach Verbindungsabbruch Legt die Zeit in Sekunden fest, nach der das Gerät das „ausgewählte“ Konfigurationsprofil aus dem permanenten Speicher (NVM) lädt, wenn die Verbindung abbricht. Mögliche Werte: 30..600 (Voreinstellung: 600) ...
Seite 35 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Löschen Entfernt das in der Tabelle ausgewählte Konfigurationsprofil aus dem permanenten Speicher (NVM) oder vom externen Speicher. Wenn das Konfigurationsprofil als „ausgewählt“...
Seite 36 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Aktivieren Lädt die Einstellungen des in der Tabelle ausgewählten Konfigurationsprofils in den flüchtigen Speicher (RAM). • Das Gerät trennt die Verbindung zur grafischen Benutzeroberfläche. Um wieder auf das Geräte- Management zuzugreifen, führen Sie die folgenden Schritte aus: Laden Sie die grafische Benutzeroberfläche neu.
Seite 37 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Importieren... Öffnet das Fenster Importieren..., um ein Konfigurationsprofile zu importieren. Voraussetzung ist, dass Sie das Konfigurationsprofil zuvor mit der Schaltfläche Exportieren... oder mit dem Link in Spalte exportiert haben. Profilname Wählen Sie in der Dropdown-Liste Select source aus, woher das Gerät das Konfigurationsprofil ...
Seite 38 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Exportieren... Exportiert das in der Tabelle ausgewählte Konfigurationsprofil und speichert es als XML-Datei auf einem Remote-Server. Um die Datei auf Ihrem PC zu speichern, klicken Sie den Link in Spalte Profilname, um den Spei- cherort zu wählen und den Dateinamen festzulegen.
Seite 39 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] config  Bezeichnung des werksseitig vorhandenen Konfigurationsprofils im permanenten Speicher (NVM). benutzerdefinierter Name  Das Gerät ermöglicht Ihnen, ein Konfigurationsprofil mit benutzerdefiniertem Namen zu spei- chern. Wählen Sie dazu die Tabellenzeile eines vorhandenen Konfigurationsprofils, klicken die Schaltfläche und dann den Eintrag Speichern...
Seite 40 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Verschlüsselung verifiziert Zeigt, ob das Passwort des verschlüsselten Konfigurationsprofils mit dem im Gerät gespeicherten Passwort übereinstimmt. Mögliche Werte: markiert  Die Passwörter stimmen überein. Das Gerät ist imstande, das Konfigurationsprofil zu entschlüs- seln. unmarkiert ...
Seite 41 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Anmerkung: Diese Funktion kennzeichnet Änderungen an den Einstellungen des Konfigurations- profils. Die Funktion bietet keinen Schutz davor, das Gerät mit geänderten Einstellungen zu betreiben. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 42 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 43 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Automatisches Software-Update Aktiviert/deaktiviert die automatische Aktualisierung der Geräte-Software während des System- starts. Mögliche Werte: markiert (Voreinstellung)  Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: – die Image-Datei der Geräte-Software –...
Seite 44 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Revision Zeigt die durch den Speicher-Hersteller vorgegebene Revisionsnummer. Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 45 Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Verbindungszustand, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: [Konfiguration] ...
Seite 46 Grundeinstellungen [ Grundeinstellungen > Port ] Zustand Zeigt, ob der Port gegenwärtig physikalisch eingeschaltet oder ausgeschaltet ist. Mögliche Werte: markiert  Der Port ist physikalisch eingeschaltet. unmarkiert  Der Port ist physikalisch ausgeschaltet. Power-State (Port aus) Legt fest, ob der Port physikalisch eingeschaltet oder ausgeschaltet ist, wenn Sie den Port mit der Funktion Port an deaktivieren.
Seite 47 Grundeinstellungen [ Grundeinstellungen > Port ] Manuelle Konfiguration Legt den Betriebsmodus des Ports fest, wenn die Funktion ausgeschaltet Automatische Konfiguration ist. Mögliche Werte: 10 Mbit/s HDX  Halbduplex-Verbindung 10 Mbit/s FDX  Vollduplex-Verbindung 100 Mbit/s HDX  Halbduplex-Verbindung 100 Mbit/s FDX ...
Seite 48 Grundeinstellungen [ Grundeinstellungen > Port ] auto-mdix  Das Gerät erkennt das Sende- und Empfangsleitungspaar des angeschlossenen Geräts und stellt sich automatisch darauf ein. Beispiel: Wenn Sie ein Endgerät mit gekreuztem Kabel anschließen, stellt das Gerät den Port automatisch von mdix auf mdi.
Seite 49 Grundeinstellungen [ Grundeinstellungen > Port ] • Anzahl der vom Gerät gesendeten oder vermittelten Datenpakete/Bytes – Gesendete Pakete – Gesendete Oktets – Gesendete Unicast-Pakete – Gesendete Multicast-Pakete – Gesendete Broadcast-Pakete • Anzahl der vom Gerät erkannten Fehler – Empfangene Fragmente –...
Seite 50 Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Port-Zähler und Adresstabellen zurück- zusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet das Fenster Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 51 Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei leeren Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System-Log. Persistente Log-Datei leeren Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikationsverbindungen aus der State-Tabelle der Fire- wall.
Seite 52 Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen   Grundeinstellungen [ Zeit > Grundeinstellungen ] Nach einem Neustart initialisiert das Gerät seine Uhr auf den 1. Januar 2023, 1.00 Uhr UTC+1. Stellen Sie die Uhrzeit neu ein, wenn Sie das Netzteil vom Gerät trennen oder das Gerät neu starten.
Seite 53 Zeit [ Zeit > Grundeinstellungen ] Mögliche Werte: lokal  Systemuhr des Geräts.  Der NTP-Client ist eingeschaltet und das Gerät ist durch einen NTP-Server synchronisiert. Siehe Dialog Zeit > NTP. Lokaler Offset [min] Legt die Differenz in Minuten zwischen koordinierter Weltzeit (UTC) und Ortszeit fest: Lokaler Offset −...
Seite 54 Zeit [ Zeit > Grundeinstellungen ] Sommerzeit Beginn In diesem Rahmen legen Sie den Zeitpunkt fest, zu dem das Gerät die Uhr von Normalzeit auf Sommerzeit vorstellt. In den ersten 3 Feldern legen Sie den Tag für den Beginn der Sommerzeit fest.
Seite 55 Zeit [ Zeit > Grundeinstellungen ] Systemzeit Legt den Zeitpunkt fest, zu dem das Gerät die Uhr auf Sommerzeit vorstellt. Mögliche Werte: <HH:MM> (Voreinstellung: 00:00)  Sommerzeit Ende In diesem Rahmen legen Sie den Zeitpunkt fest, zu dem das Gerät die Uhr von Sommerzeit auf Normalzeit zurückstellt.
Seite 56 Zeit [ Zeit > NTP ] Juni  Juli  August  September  Oktober  November  Dezember  Systemzeit Legt den Zeitpunkt fest, zu dem das Gerät die Uhr auf Normalzeit zurückstellt. Mögliche Werte: <HH:MM> (Voreinstellung: 00:00)  [ Zeit >...
Seite 57 Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: • Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren NTP-Servern im Netz.
Seite 58 Zeit [ Zeit > NTP > Global ] Client und Server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Gerätemanagement-VLAN sowie in Schicht 3 auf den eingerichteten IP-Schnittstellen. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 59 Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. • Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest- gelegten Server. •...
Seite 60 Zeit [ Zeit > NTP > Server ] Adresse Legt die IP-Adresse des NTP-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Initial burst Aktiviert/deaktiviert den Initial burst-Modus. Im Betrieb sendet der NTP-Client des Geräts ausschließlich einzelne Datenpakete, um die Zeit zu erfragen.
Seite 61 Zeit [ Zeit > NTP > Server ] Mögliche Werte: markiert  Das Gerät verwendet den NTP-Server als bevorzugte Referenzzeitquelle. Verwenden Sie diese Einstellung, um zu vermeiden, dass der NTP-Client häufig zwischen gleichwertigen NTP- Servern wechselt. unmarkiert (Voreinstellung)  Keine bevorzugte Verwendung des NTP-Servers. Status Zeigt den Synchronisierungs-Status.
Seite 62 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung  Authentifizierungs-Liste  LDAP  Management-Zugriff  Pre-Login-Banner  Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 63 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier festgelegt. Das Gerät prüft das Passwort gemäß dieser Richtlinie, unabhängig von der Einstellung des Kont- rollkästchens Richtlinien überprüfen.
Seite 64 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Sonderzeichen (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Sonderzeichen enthält, wie hier festgelegt. Mögliche Werte: 0..16 (Voreinstellung: 1)  Der Wert deaktiviert diese Richtlinie. Tabelle Jeder Benutzer benötigt ein aktives Benutzerkonto, um Zugriff auf das Management des Geräts zu erhalten.
Seite 65 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Passwort Zeigt ***** (Sternchen) anstelle des Passworts, mit dem sich der Benutzer anmeldet. Um das Pass- wort zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 6..64 Zeichen  Das Gerät akzeptiert die folgenden Zeichen: –...
Seite 66 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Benutzer gesperrt Entsperrt das Benutzerkonto. Mögliche Werte: markiert  Das Benutzerkonto ist gesperrt. Der Benutzer hat keinen Zugriff auf das Management des Geräts. Das Gerät sperrt einen Benutzer automatisch, wenn dieser zu oft erfolglos versucht, sich anzu- melden.
Seite 67 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 68 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Löschen Entfernt die ausgewählte Tabellenzeile. Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das Fenster zeigt die Anwendungen, die Sie der ausge- wählten Liste zuordnen können. Klicken und wählen Sie einen Eintrag, um diesen der gegenwärtig ausgewählten Liste zuzu- ...
Seite 69 Gerätesicherheit [ Gerätesicherheit > LDAP ] reject  Abhängig von der Richtlinie, die Sie zuerst anwenden, akzeptiert das Gerät die Authentifizie- rung oder lehnt die Authentifizierung ab. Mögliche Authentifizierungsszenarios sind: – Wenn die erste Richtlinie in der Authentifizierungsliste ist und das Gerät die Anmel- lokal dedaten des Benutzers akzeptiert, meldet das Gerät den Benutzer an, ohne die anderen Authentifizierungsrichtlinien anzuwenden.
Seite 70 Gerätesicherheit [ Gerätesicherheit > LDAP ] Nach erfolgreicher Anmeldung speichert das Gerät die Anmeldedaten flüchtig im Cache. Dies beschleunigt den Anmeldevorgang, wenn sich Benutzer erneut anmelden. In diesem Fall ist keine aufwendige LDAP-Suchoperation notwendig. Das Menü enthält die folgenden Dialoge: LDAP Konfiguration ...
Seite 71 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 72 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Client-Cache-Timeout [min] Legt fest, wie viele Minuten die Anmeldeinformation nach erfolgreicher Anmeldung eines Benut- zers gültig bleibt. Wenn ein Benutzer sich innerhalb dieser Zeit erneut anmeldet, ist keine aufwen- dige LDAP-Suchoperation notwendig. Der Anmeldevorgang ist deutlich schneller. Mögliche Werte: (Voreinstellung: 10) 1..1440...
Seite 73 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Default-Domain Legt die Zeichenfolge fest, mit der das Gerät den Benutzernamen sich anmeldender Benutzer ergänzt, sofern der Benutzername kein @-Zeichen enthält. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  CA certificate Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: •...
Seite 74 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Fügt eine Tabellenzeile hinzu. Löschen Entfernt die ausgewählte Tabellenzeile. Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Das Gerät weist den Wert automa- tisch zu, wenn Sie eine Tabellenzeile hinzufügen.
Seite 75 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: 0..65535 (Voreinstellung: 389)  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Häufig verwendete TCP-Ports: • LDAP: • LDAP over SSL: • Active Directory Global Catalogue: 3268 • Active Directory Global Catalogue SSL: 3269 Verbindungssicherheit...
Seite 76 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Aktiv Aktiviert/deaktiviert die Verwendung des Servers. Mögliche Werte: markiert  Das Gerät verwendet den Server. unmarkiert (Voreinstellung)  Das Gerät verwendet den Server nicht. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 77 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings zu erstellen, um Benutzern eine Zugriffsrolle zuzuweisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenmitgliedschaft dem Benutzer eine Zugriffsrolle zuweist.
Seite 78 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Index-Nummer fest. Index Mögliche Werte: 1..64...
Seite 79 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Parameter Legt abhängig von der Einstellung in Spalte eine Gruppe oder ein Attribut mit einem Attributwert fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. – Wenn in Spalte der Wert festgelegt ist, dann legen Sie das Attribut in der attribute...
Seite 80 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: [Information] ...
Seite 81 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] SNMPv3 Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit SNMP Version 3 ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte SNMP. Mögliche Werte: markiert  Server-Dienst ist aktiv. unmarkiert  Server-Dienst ist inaktiv.
Seite 82 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration SNMPv1 Aktiviert/deaktiviert den Zugriff auf das Gerät per SNMP Version 1. Mögliche Werte: markiert  Zugriff mittels SNMP-Version 1 ist aktiv. – Die Community-Namen legen Sie fest im Dialog Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community.
Seite 83 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] [SSH] Diese Registerkarte ermöglicht Ihnen, den SSH-Server im Gerät ein-/auszuschalten und die für SSH erforderlichen Einstellungen festzulegen. Der Server arbeitet mit SSH-Version 2. Der SSH-Server ermöglicht den Zugriff auf das Management des Geräts per Fernzugriff mit dem Command Line Interface.
Seite 84 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration TCP-Port Legt die Nummer des TCP-Ports fest, auf dem das Gerät SSH-Anfragen von den Clients entgegen- nimmt. Mögliche Werte: (Voreinstellung: 22) 1..65535  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Nach Ändern des Ports startet der Server automatisch neu.
Seite 85 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Erzeugen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des erzeugten Schlüssels: • 2048 Bit (RSA) Damit der SSH-Server den generierten Host-Key verwendet, starten Sie den SSH-Server neu. Alternativ dazu kopieren Sie eigene Schlüssel im PEM-Format in das Gerät.
Seite 86 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Key-Import Legt Pfad und Dateiname Ihres RSA-Host-Keys fest. Das Gerät akzeptiert den RSA-Schlüssel, wenn dieser die folgende Schlüssellänge aufweist: • 2048 bit (RSA) Das Gerät bietet Ihnen folgende Möglichkeiten, den Schlüssel in das Gerät zu kopieren: •...
Seite 87 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTP server Schaltet für den Webserver das Protokoll ein/aus. HTTP Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTP Der Zugriff auf das Management des Geräts ist möglich über eine unverschlüsselte HTTP- Verbindung.
Seite 88 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTPS server Schaltet für den Webserver das Protokoll ein/aus. HTTPS Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTPS Der Zugriff auf das Management des Geräts ist möglich über eine verschlüsselte HTTPS-Verbin- dung.
Seite 89 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Vorhanden Zeigt, ob das digitale Zertifikat im Gerät vorhanden ist. Mögliche Werte: markiert  Das Zertifikat ist vorhanden. unmarkiert  Das Zertifikat wurde entfernt. Erzeugen Generiert ein digitales Zertifikat auf dem Gerät. Bis zum Neustart verwendet der Webserver das vorherige Zertifikat.
Seite 90 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerabdruck-Typ Legt fest, welchen Fingerprint das Feld anzeigt. Fingerabdruck Mögliche Werte: sha1  Das Feld Fingerabdruck zeigt den SHA1-Fingerprint des Zertifikats. sha256 (Voreinstellung)  Das Feld zeigt den SHA256-Fingerprint des Zertifikats. Fingerabdruck Fingerabdruck Hexadezimale Zeichenfolge des vom Server verwendeten digitalen Zertifikats.
Seite 91 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Start Kopiert das im Feld festgelegte Zertifikat in das Gerät. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 92 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf gewisse IP- Adressbereiche und ausgewählte IP-basierte Anwendungen zu beschränken. • Bei ausgeschalteter Funktion ist der Zugriff auf das Management des Geräts von jeder belie- bigen IP-Adresse und mit jeder Anwendung möglich.
Seite 93 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Das Gerät weist den Wert automa- tisch zu, wenn Sie eine Tabellenzeile hinzufügen. Wenn Sie eine Tabellenzeile löschen, bleibt eine Lücke in der Nummerierung. Wenn Sie eine neue Tabellenzeile erzeugen, schließt das Gerät die erste Lücke.
Seite 94 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Aktiviert/deaktiviert den SSH-Zugriff. Mögliche Werte: markiert (Voreinstellung)  Zugriff ist aktiviert für nebenstehenden IP-Adressbereich. unmarkiert  Zugriff ist deaktiviert. Aktiv Aktiviert/deaktiviert die Tabellenzeile. Mögliche Werte: (Voreinstellung) markiert  Die Tabellenzeile ist aktiviert. Das Gerät beschränkt den Zugriff auf das Management des Geräts auf den nebenstehenden IP-Adressbereich und die ausgewählten IP-basierten Anwen- dungen.
Seite 95 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Web-Interface Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des angemeldeten Benutzers.
Seite 96 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Weitere Informati- onen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Interface“. Der Dialog enthält die folgenden Registerkarten: [Global] ...
Seite 97 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] [Login-Banner] In dieser Registerkarte ersetzen Sie den Startbildschirm im Command Line Interface durch einen individuellen Text. In der Voreinstellung zeigt der Startbildschirm Informationen über das Gerät, zum Beispiel die Soft- ware-Version und Geräte-Einstellungen. Mit der Funktion in dieser Registerkarte deaktivieren Sie diese Informationen und ersetzen sie durch einen individuell festgelegten Text.
Seite 98 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie den Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen mittels SNMPv1/v2 mit einem Community-Namen im SNMP- Datenpaket-Header.
Seite 99 Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface. Benutzer, die sich mit SSH anmelden, sehen den Text – abhängig vom verwendeten Client –...
Seite 100 Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht  RADIUS  Asset  Protokoll  Paketfilter  Deep Packet Inspection   Intrusion Detection System  Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt eine Übersicht über die im Gerät verwendeten Netzsicherheits-Regeln.
Seite 101 Netzsicherheit [ Netzsicherheit > RADIUS ] Klappt die Ebenen auf. Die Übersicht zeigt dann jede Ebene der Einträge. Klappt den aktuellen Eintrag auf und zeigt die Einträge der nächsttieferen Ebene. Klappt den Eintrag zu und blendet die Einträge der darunter liegenden Ebenen aus. RADIUS [ Netzsicherheit >...
Seite 102 Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Schaltflächen Zurücksetzen Löscht die Statistik im Dialog Netzsicherheit > RADIUS > Authentication-Statistiken. Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 103 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 104 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] Adresse Legt die IP-Adresse des Servers fest. Mögliche Werte: Gültige IPv4-Adresse  Ziel-UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der Server Anfragen entgegennimmt. Mögliche Werte: 0..65535 (Voreinstellung: 1812)  Ausnahme: Port 2222 ist für interne Funktionen reserviert.
Seite 105 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Tabellen- zeile.
Seite 106 Netzsicherheit [ Netzsicherheit > Asset ] Fehlerhafte Access-Antworten Zeigt, wie viele fehlerhafte Access-Response-Datenpakete das Gerät vom Server empfangen hat (einschließlich Datenpakete mit ungültiger Länge). Fehlerhafter Authentifikator Zeigt, wie viele Access-Response-Datenpakete mit ungültigem Authentifikator das Gerät vom Server empfangen hat. Offene Anfragen Zeigt, wie viele Access-Request-Datenpakete das Gerät an den Server gesendet hat, auf die es noch keine Antwort vom Server empfangen hat.
Seite 107 Netzsicherheit [ Netzsicherheit > Asset ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie einen eindeutigen Namen für das Asset fest. Name Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen, mit Ausnahme des Zeichens...
Seite 108 Netzsicherheit [ Netzsicherheit > Asset ] Hersteller Legt den Hersteller des Assets fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Modell Legt das Modell des Assets fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Ungefährer Standort Legt einen allgemeinen Ort für das Asset fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen ...
Seite 109 Netzsicherheit [ Netzsicherheit > Asset ] MAC-Adresse Legt die MAC-Adresse des Assets fest. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede MAC-Adresse, die mit dem Asset verknüpft ist. Gültige MAC-Adresse  Das Gerät wendet die festgelegte MAC-Adresse auf das Asset an. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 110 Netzsicherheit [ Netzsicherheit > Protokoll ] Protokoll [ Netzsicherheit > Protokoll ] In diesem Dialog legen Sie grundlegende Einstellungen für das benutzerdefinierte Protokoll fest. Das Gerät ermöglicht Ihnen, bis zu 50 benutzerdefinierte Protokolle zu erstellen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 111 Netzsicherheit [ Netzsicherheit > Protokoll ] Protokollname Legt einen eindeutigen Namen für das Protokoll fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen, mit Ausnahme der folgenden Zeichen:  – – icmp – igmp – ipip – – – – – icmpv6 Beschreibung Legt eine Beschreibung für das Protokoll fest.
Seite 112 Netzsicherheit [ Netzsicherheit > Protokoll ] pppoesess  ipxnew  profinet  powerlink  ethercat  vlan8021q  Benutzerspezifischer Ethertype-Wert Legt den Ethertype-Wert der Datenpakete in Dezimalschreibweise fest, den der Schicht-2-Paket- filter anwendet. Voraussetzung ist, dass in Spalte der Wert festgelegt ist.
Seite 113 Netzsicherheit [ Netzsicherheit > Paketfilter ] Paketfilter [ Netzsicherheit > Paketfilter ] In diesem Menü legen Sie die Einstellungen für die Funktionen Paketfilter fest. Das Menü enthält die folgenden Dialoge: Routed-Firewall-Modus  Transparent-Firewall-Modus  4.5.1 Routed-Firewall-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] In diesem Menü...
Seite 114 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Routing/ Paket- Paket- Regeln 1:1 NAT Switching Masquerading NAT Filter Filter Destination NAT Double NAT Double NAT Netz 1 Netz 2...
Seite 115 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] 4.5.1.1 Global [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters.
Seite 116 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 117 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] 4.5.1.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Dieser Dialog ermöglicht es Ihnen, die für den Zugriff auf das Netz zulässigen Verbindungen fest- zulegen. Die maximale Anzahl von Regeln, die Sie mithilfe der Funktion festlegen können, ist abhängig von der Anzahl der im Dialog bereits...
Seite 118 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Information Schaltflächen Start Startet die Lernphase. Das Gerät filtert die Datenpakete an den aktiven Interfaces. Stop Stoppt die Lernphase. Leeren Leert den Speicher. Gelernte Daten können ausschließlich dann gelöscht werden, wenn die Funk- tion gestoppt wird.
Seite 119 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Freier Speicher für Lerndaten [%] Zeigt den prozentualen Anteil des freien Speicherplatzes, der für das Erlernen von Daten verfügbar ist. [Regeln] Diese Registerkarte zeigt den Typ der Daten, welche die ausgewählten Ports passieren. Dies ermöglicht Ihnen, Regeln zur Verwaltung des Datenstroms zu erzeugen, der das Gerät durchquert.
Seite 120 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Erstes Vorkommen Zeigt den Zeitpunkt, zu dem das Gerät das Paket zum ersten Mal ermittelt hat. Connections by Rule Set Zeigt die Anzahl der Verbindungen, die mit den in der unten stehenden Tabelle festgelegten Regeln übereinstimmen.
Seite 121 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Gültige IPv4-Adresse  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse an. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse im festgelegten Subnetz an.
Seite 122 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass in Spalte der Wert oder festgelegt ist. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 123 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Eingangs-Interface Zeigt, ob das Gerät die Paketfilter-Regel auf Datenpakete anwendet, die das Gerät über ein Router- Interface sendet oder empfängt. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt.
Seite 124 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] 4.5.1.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Sie weisen die hier festge- legten Regeln im Dialog Netzsicherheit >...
Seite 125 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Ein der IP-Adresse vorangestelltes Ausrufezeichen (!) verkehrt den Ausdruck ins Gegenteil.  Das Gerät wendet die Regel auf Datenpakete mit beliebiger Quelladresse oder Subnetz an, mit Ausnahme der festgelegten Quelladresse oder des festgelegten Subnetzes. Beispiel: !1.1.1.1 oder...
Seite 126 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] icmpv6  Internet Control Message Protocol for IPv6 (RFC 4443) <user-defined protocols>  Das Gerät verarbeitet auch benutzerdefinierte Protokolle. Sie legen benutzerdefinierte Proto- kolle im Dialog fest. Netzsicherheit > Protokoll Quell-Port Legt den L4-Quell-Port der Datenpakete fest, auf die das Gerät die Regel anwendet.
Seite 127 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Parameter Legt zusätzliche Parameter für diese Regel fest. Geben Sie Parameter in der folgenden Form an: <param>=<val>. Wenn Sie mehrere Parameter eingeben, trennen Sie diese durch ein Komma. Wenn Sie mehrere Werte eingeben, trennen Sie diese durch einen vertikalen Strich.
Seite 128 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] enforce-opc  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Voraussetzung ist, dass in den Spalten Quell-Adresse, ein anderer Wert Ziel-Adresse Ziel-Port festgelegt ist. Der Wert ist ausschließlich im Software-Level IN/UN verfügbar.
Seite 129 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Index DPI-Profil Zeigt an, welche Regel das Gerät auf die Datenpakete anwendet. Voraussetzung ist, dass in Spalte Aktion einer der folgenden Werte festgelegt ist: • enforce-modbus • enforce-opc • enforce-dnp3 •...
Seite 130 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] 4.5.1.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing >...
Seite 131 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen der Funktion Enforcer.
Seite 132 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Mögliche Werte: 0..4294967295 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Regel. Um die Einstellungen auf den Datenstrom anzuwenden, führen Sie die folgenden Schritte aus: Klicken Sie die Schaltfläche , um die gegenwärtigen Einstellungen zu speichern. ...
Seite 133 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] 4.5.1.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 134 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Ziel-Adresse Zeigt den Asset-Namen oder die Zieladresse der Datenpakete, auf die das Gerät die Regel anwendet. Ziel-Port Zeigt den Ziel-TCP-Port oder Ziel-UDP-Port der Datenpakete, auf die das Gerät die Regel anwendet. Protokoll Zeigt das IP-Protokoll, auf das die Paketfilter-Regel beschränkt ist.
Seite 135 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Das Gerät filtert gezielt die unerwünschten Datenpakete heraus, solange die Verbindung unbe- kannt ist. • Wenn ein Datenpaket die Kriterien einer oder mehrerer Regeln erfüllt, dann wendet das Gerät die in der ersten zutreffenden Regel festgelegte Aktion auf den Datenstrom an. Das Gerät igno- riert die Regeln, die der ersten zutreffenden Regel folgen.
Seite 136 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] 4.5.2.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Transparent-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich.
Seite 137 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 138 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 4.5.2.2 Paketfilter Regel [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Die hier festgelegten Regeln weisen Sie im Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung gewünschten nicht-routenden Ports oder VLANs zuweisen.
Seite 139 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] enforce-opc  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Voraussetzung ist, dass in den Spalten Quell-IP-Adresse, ein anderer Ziel-IP-Adresse Ziel-Port Wert als festgelegt ist. Der Wert ist ausschließlich im Software-Level IN/UN verfügbar.
Seite 140 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel-MAC-Adresse Legt den Asset-Namen oder die Zieladresse der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet. Wählen Sie in der Dropdown-Liste einen Eintrag oder legen Sie die Zieladresse fest. Sie legen den Asset-Namen im Dialog Netzsicherheit >...
Seite 141 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 1..5ff  Das Gerät wendet die Regel auf Logical-Link-Control-Datenpakete (LLC) an, deren Längenfeld den festgelegten Wert enthält. Diese Werte sind ausschließlich für Port-basierte Regeln verfügbar. 600..ffff  Das Gerät wendet die Regel ausschließlich auf MAC-Datenpakete an, welche den hier festge- legten Ethertype-Wert enthalten.
Seite 142 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Protokoll Legt den IP-Protokoll- oder Schicht-4-Protokoll-Typ der Datenpakete fest, auf die das Gerät die Regel anwendet. Das Gerät wendet die Regel ausschließlich auf Datenpakete an, die den festge- legten Wert im Feld Protocol enthalten. Mögliche Werte: (Voreinstellung) ...
Seite 143 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet keine Regel auf die Datenpakete an. 1..32  Das Gerät wendet die Regel mit der festgelegten Index-Nummer auf die Datenpakete an. Quell-Port Legt den Quell-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass in Spalte Protokoll der Wert...
Seite 144 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Lastbegrenzung Legt eine Begrenzung der Datenrate für den nicht-routenden Port oder das VLAN fest. Die Begren- zung gilt für gesendete und empfangene Datenpakete zusammen. Mögliche Werte: (Voreinstellung)  Keine Begrenzung der Datentransferrate. 1..10000000 ...
Seite 145 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Mögliche Werte: markiert  Die Protokollierung ist aktiv. Das Gerät protokolliert das Anwenden der Paketfilter-Regel auf ein Datenpaket in der Log-Datei. Siehe Dialog Diagnose >...
Seite 146 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] 4.5.2.3 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den nicht-routenden Ports und VLANs des Geräts eine oder mehrere Paketfilter-Regeln zuzuweisen. Information Zuweisungen Zeigt, wie viele Regeln für die nicht-routenden Ports und VLANs aktiv sind.
Seite 147 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich.
Seite 148 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Richtung Zeigt, ob das Gerät die Paketfilter-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem nicht-routenden Ports oder VLAN-Interface empfängt.
Seite 149 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] 4.5.2.4 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 150 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Ziel-MAC-Adresse Zeigt den Asset-Namen oder die Zieladresse der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Ethertype Zeigt das Ethertype-Schlüsselwort der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Benutzerspezifischer Ethertype-Wert Zeigt den Ethertype-Wert der MAC-Datenpakete, auf die das Gerät die Regel anwendet.
Seite 151 Netzsicherheit [ Netzsicherheit > DPI ] Burst-Size Zeigt das Limit in KByte für das Datenvolumen während temporärer Bursts. Einheit Zeigt die Maßeinheit für die in Spalte Lastbegrenzung festgelegte Datentransferrate. Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Regel auf ein Datenpaket anwendet. Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Regel auf ein Datenpaket anwendet.
Seite 152 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.6.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Profile zu definieren. Die Profile spezifizieren Funktionscodes sowie Register- oder Coil-Adressen. Der Funktionscode TCP-Protokoll legt den Zweck der Datenübertragung fest.
Seite 153 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest. Index Mögliche Werte: 1..32...
Seite 154 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Funktionstyp Legt den Funktionstyp für das Enforcer-Profil fest. Nach dem Klicken der Schaltfläche Modbus weist das Gerät die zugehörigen Typ-IDs zu. Mögliche Werte: (Voreinstellung) read-only  Weist die Funktionscodes für die read-Funktion des Protokolls zu.
Seite 155 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: <FC> | <AR>, <FC> | <AR>, …  Das Gerät ermöglicht Ihnen, mehrere Funktionscodes und für manche Funktionscodes einen zusätzlichen Adressbereich festzulegen. Die Bedeutung der Nummern finden Sie im Abschnitt „Bedeutung der Funktionscode-Werte”...
Seite 156 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 157 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Entfernt den Eintrag aus dem Feld Funktionscode. Bedeutung der Funktionscode-Werte Bedeutung Adressbe- Adressbe- reich (Lesen) reich (Schreiben) Read Coils <0..65535> Read Discrete Inputs <0..65535> Read Holding Registers <0..65535> Read Input Registers <0..65535>...
Seite 158 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.6.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Enforcer- (OLE for Process Control Enforcer)-Einstel- lungen festzulegen und Enforcer-spezifische Profile zu definieren. OPC ist ein Integrationsprotokoll für industrielle Umgebungen.
Seite 159 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest. Index Mögliche Werte: 1..32...
Seite 160 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung für Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiv. Das Gerät prüft die Plausibilität der Datenpakete hinsichtlich Format und Spezifikation. Das Gerät blockiert Datenpakete, die gegen die festgelegten Profile verstoßen. unmarkiert ...
Seite 161 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] 4.6.3 Deep Packet Inspection - DNP3 Enforcer [ Netzsicherheit > DPI > DNP3 Enforcer ] Dieser Dialog ermöglicht Ihnen, die DNP3 Enforcer- (Distributed Network Protocol v3 Enforcer)- Einstellungen festzulegen und DNP3 Enforcer-spezifische Profile zu definieren.
Seite 162 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 4.6.3.1 DNP3-Profil [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die DNP3 Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, basierend auf den festgelegten Werten Datenpakete weiterzuleiten oder zu verwerfen. Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten...
Seite 163 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. • Im Feld legen Sie eine neue Nummer fest, die das kopierte Profil identifiziert. Index Mögliche Werte: 1..32...
Seite 164 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 1..317  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- DNP3 gelegte Index-Nummer enthalten. Dieses Feld ermöglicht Ihnen, folgende Optionen festzulegen: – Eine einzelne Index-Nummer mit einem einzelnen numerischen Wert, zum Beispiel 1. –...
Seite 165 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 166 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Bedeutung Direct Operate Direct Operate-No Response Required Freeze Freeze-No Response Required Freeze Clear Freeze Clear-No Response Required Freeze at Time Freeze at Time-No Response Required Cold Restart Warm Restart Initialize Data Initialize Application Start Application...
Seite 167 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] 4.6.3.2 DNP3-Objekt [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Die Funktion DNP3 verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die Funktion DNP3 verwendet Gruppennummern, um den Datentyp zu kategorisieren, und Variationsnummern, um festzulegen, wie die Daten innerhalb der Gruppe kodiert werden.
Seite 168 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] • Im Funktion-Feld legen Sie den Funktionscode fest. Der Funktionscode kennzeichnet den Zweck der Nachricht. Voraussetzung ist, dass im Feld ein gültiger Wert festgelegt ist. Variation Mögliche Werte: 0..128 ...
Seite 169 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Variation Legt die Variation-Nummer fest. Voraussetzung ist, dass im Feld ein gültiger Wert fest- Gruppen-Nr. gelegt ist. Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, die den DNP3 festgelegten Wert enthalten.
Seite 170 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] single_bit_packed  Wenn die Anzahl der Bit-Werte kein Vielfaches von 8 beträgt, dann füllt das Gerät die gepackten Einzelbit-Werte bis zur nächsten Byte-Grenze auf. double_bit_packed  Wenn die Anzahl der Doppelbit-Werte kein Vielfaches von 4 beträgt, dann füllt das Gerät die gepackten Doppelbit-Werte bis zur nächsten Byte-Grenze auf.
Seite 171 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x06 0x07...
Seite 172 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. DIRECT_OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE_NR 0x00 0x01 0x17 0x28 SELECT 0x07 0x08 OPERATE 0x07 0x08 DIRECT_OPERATE 0x07 0x08 DIRECT_OPERATE_NR...
Seite 173 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. FREEZE_CLEAR 0x00 0x01 0x06 0x17 0x28 FREEZE_CLEAR_NR 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME_NR 0x00...
Seite 174 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 IMMEDIATE_FREEZE 0x00 0x01 0x06 0x17 0x28...
Seite 175 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00...
Seite 176 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE 0x00 0x01 0x17 0x28...
Seite 177 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 READ 0x06 READ 0x06 0x07 0x08 ASSIGN_CLASS 0x06 ENABLE_UNSOLICITED...
Seite 178 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE QC_5B 0x5B WRITE QC_5B 0x5B READ 0x06 READ 0x00 0x01 0x06 0x17 0x28...
Seite 179 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x03 0x04 0x05 0x06 0x17 0x28 WRITE variation 0x00 0x01 0x03 0x04 0x05 0x17 0x28 ACTIVATE_CONFIGURATION variation 0x5B...
Seite 180 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE single_bit_packed 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 181 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x07 0x08 RESPONSE single_bit_packed 0x00 0x01 RESPONSE 0x17...
Seite 182 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17...
Seite 183 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28...
Seite 184 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 185 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 186 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE...
Seite 187 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 188 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B UNSOLICITED_RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B...
Seite 189 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 RESPONSE variation 0x00 0x01 0x17 0x28 UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 4.6.4 Deep Packet Inspection - IEC104 Enforcer [ Netzsicherheit >...
Seite 190 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Mögliche Werte: markiert  Mindestens eines der aktiven Enforcer-Profile, die im Gerät gespeichert sind, enthält IEC104 geänderte Einstellungen. unmarkiert  Enforcer-Profile, die auf den Datenstrom angewendet werden, stimmen mit den IEC104 Profilen überein, die im Gerät gespeichert sind.
Seite 191 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Index Zeigt die fortlaufende Nummer des Profils, auf das sich die Tabellenzeile bezieht. Sie legen die Index-Nummer fest, wenn Sie eine Tabellenzeile hinzufügen. Beschreibung Legt einen Namen für das Profil fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen ...
Seite 192 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Originator-Adress-Liste Legt die Adressen fest, die den Ursprung der Datenpakete repräsentieren. Voraussetzung ist, dass in Spalte der Wert festgelegt ist. Cause of Transmission Size Mögliche Werte: <leer> (Voreinstellung)  Das Gerät lässt Datenpakete mit beliebiger Originator-Adresse zu. 0..255 ...
Seite 193 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] IEC_60870_5_101 zulassen Aktiviert/deaktiviert die in der IEC101-Spezifikation definierten Type-IDs. Mögliche Werte: markiert  Die in der IEC101-Spezifikation definierten Type-IDs sind aktiv. Das Gerät lässt die Type-ID-Werte zu – 2,4,6,8,10,12,14,16,17,18,19,103,104,105,106 zusammen mit den Type-IDs, die auf den in Spalte oder fest- Funktionstyp...
Seite 194 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: markiert  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- IEC104 pakete an. unmarkiert  Das Profil ist inaktiv. [Erweiterte Type-ID-Liste] Erweiterte Type-ID-Liste...
Seite 195 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Bedeutung Event of protection equipment with time tag M_EP_TA_1 Packed start events of protection equipment with time tag M_EP_TB_1 Packed output circuit information of protection equipment with time tag M_EP_TC_1 Packed single-point information with status change detection M_PS_NA_1 Measured value, normalized value without quality descriptor M_ME_ND_1 Single point information with time tag CP56Time2a M_SP_TB_1 Double point information with time tag CP56Time2a M_DP_TB_1...
Seite 196 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer ] Bedeutung Parameter activation P_AC_NA_1 File ready F_FR_NA_1 Section ready F_SR_NA_1 Call directory, select file, call file, call section F_SC_NA_1 Last section, last segment F_LS_NA_1 Ack file, Ack section F_AF_NA_1 Segment F_SG_NA_1 F_DR_TA_1 QueryLog –...
Seite 197 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] 4.6.5.1 AMP Global [ Netzsicherheit > DPI > AMP Enforcer > Global ] In diesem Dialog legen Sie die globalen Einstellungen für das Enforcer-Profil fest. Protect-Modus Program and Mode Protect Aktiviert/deaktiviert die Prüfung der Datenpakete, welche die Taskcodes mit dem Wert config Spalte...
Seite 198 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest.
Seite 199 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Beschreibung Legt einen Namen für den Taskcode fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Modus Legt den zutreffenden Modus für den Taskcode fest. Mögliche Werte: config  Legt Kommandos fest, die mit der Modifikation der Steuerungseinstellungen, des Anwendungs- programms oder des Betriebsmodus der Anlage verknüpft sind.
Seite 200 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] 4.6.5.2 AMP-Profil [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, Datenpakete weiterzuleiten oder zu verwerfen, basierend auf den eingestellten Werten. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 201 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Beschreibung Legt einen Namen für das Profil fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  (Voreinstellung: amp) Protokoll Legt den TCP-Nutzlast-Protokolltyp der Datenpakete fest, auf die das Gerät das Profil anwendet. Das Gerät wendet das Profil ausschließlich auf Datenpakete an, die den festgelegten Wert im Feld Protocol enthalten.
Seite 202 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet das Profil auf jedes Datenpaket an, ohne die Adressklasse zu bewerten. 0000..FFFF  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegten Adressklasse enthalten.
Seite 203 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet das Profil auf jedes Datenpaket an, ohne die Speicheradresse zu bewerten. 0000..FFFF  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegte Spei- cheradresse enthalten.
Seite 204 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Das Gerät ermöglicht Ihnen, mehrere Taskcodes festzulegen. Führen Sie dazu die folgenden Schritte aus: Klicken Sie in die Spalte des betreffenden Profils. Taskcode  Der Dialog zeigt das Fenster Taskcode. Wählen Sie in der Dropdown-Liste den gewünschten Taskcode.
Seite 205 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Zeichen für Blockprüfung Aktiviert/deaktiviert die Überprüfung der Block check characters, um die Prüfsumme in den CAMP- Datenpaketen zu validieren. Voraussetzungen: • In Spalte Protokoll ist der Wert camp festgelegt. •...
Seite 206 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: marked  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- pakete an. unmarked  Das Profil ist inaktiv.
Seite 207 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] Bedeutung Read Random Read Block Select Number of SF Module Task Codes Per Scan Read Number of SF Module Task Codes Per Scan Write VME Memory Area Block/Random Read VME Memory Area Block/Random Bedeutung der Message-Typ-Werte Bedeutung Module General Query Command...
Seite 208 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] Wenn das ENIP Enforcer-Profil aktiv ist, wendet das Gerät das Profil auf den Datenstrom an. Das Gerät lässt ausschließlich Datenpakete zu, welche die in den folgenden Spalten festgelegten Werte enthalten: • Funktionstyp •...
Seite 209 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] 4.6.6.1 ENIP-Profil [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] In diesem Dialog legen Sie die globalen Einstellungen für das ENIP Enforcer-Profil fest. Funktion Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Enforcer-Profile von den im Gerät ENIP...
Seite 210 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. • Im Feld legen Sie die neue Nummer des kopierten Profils fest. Index Mögliche Werte: 1..32...
Seite 211 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Embedded PCCC zulassen Aktiviert/deaktiviert DPI für PCCC-Nachrichten, die in Datenpaketen verpackt sind. PCCC-Nach- richten sind in das Ethernet Industrial Protocol (ENIP) eingebettet. Das Aktivieren dieser Einstel- lung ist sinnvoll beim Absichern von Netzverkehr von und zu PLC-5- und MicroLogix- Controllern. Mögliche Werte: marked ...
Seite 212 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Standard-Objektliste Legt die in der Standard-Objektliste verwenden Index-Nummern fest. Mögliche Werte:  Das Gerät wendet das ENIP Enforcer-Profil auf jedes Datenpaket an, unabhängig von der Index- Nummer. 1..347  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- ENIP...
Seite 213 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] 4.6.6.2 ENIP-Objekt [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Die ENIP-Funktion verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die ENIP-Funktion verwendet Class-IDs und Service-Codes, um festzulegen, wie die Daten innerhalb des Objekts codiert sind.
Seite 214 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Legt die benutzerdefinierten Class-IDs für das Enforcer-Profil fest. ENIP Mögliche Werte: 0x00..0xFFFFFFFF  Service-Codes Legt die Service-Codes fest. Mögliche Werte: 0x00..0x7F  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegten Service-Codes enthalten.
Seite 215 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x05 = Connection 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x11 = Find Next Object Instance 0x4B = Connection Bind 0x4C = Production Application Lookup...
Seite 216 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x0F = Parameter 0x01 = Get Attributes All 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 217 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x23 = Position Sensor Object 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 218 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x2E = Selection Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 219 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x37 = File Object 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 220 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x42 = Motion Device Axis 0x03 = Get Attribute List Object 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x1C = GroupSync 0x4B = Get Axis Attributes List 0x4C = Set Axis Attributes List...
Seite 221 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x47 = Device Level Ring 0x01 = Get Attributes All (DLR) Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x4B = Verify Fault Location 0x4C = Clear Rapid Faults...
Seite 222 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x53 = Power Management 0x01 = Get Attributes All Object 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 223 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0xF6 = EtherNet Link Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x4C = Get And Clear 0x300 = Module Diagnostics 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 224 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x02 = Message Router 0x01= Get Attributes All 0x0E = Get Attribute Single 0x4B = Write Data Table (Rockwell) 0x54 0x04 = Assembly 0x0E = Get Attribute Single 0x18 = Get Member...
Seite 225 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x1E = Discrete Output Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x1F = Discrete Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x20 = Analog Input Group 0x01 = Get Attributes All...
Seite 226 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x38 = S-Partial Pressure Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x4C = Get Instance List 0x4D = Get Pressures 0x4E = Get All Pressures 0x40 = S-Sensor Calibration...
Seite 227 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x50 = Non-Electrical Energy 0x01 = Get Attributes All Object 0x03 = Get Attribute List 0x0E = Get Attribute Single 0x51 = Base Switch Object 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 228 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x400 = Service Port Control 0x01 = Get Attributes All Object 0x0E = Get Attribute Single 0x401 = Dynamic IO Control 0x01 = Get Attributes All Object 0x0E = Get Attribute Single...
Seite 229 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x05 = Connection 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x11 = Find Next Object Instance 0x4B = Connection Bind...
Seite 230 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x0E = Presence Sensing 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x0F = Parameter 0x01 = Get Attributes All 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single...
Seite 231 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x23 = Position Sensor Object 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 232 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x2E = Selection Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 233 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x37 = File Object 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save...
Seite 234 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x42 = Motion Device Axis Object 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x1C = GroupSync 0x4B = Get Axis Attributes List...
Seite 235 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x47 = Device Level Ring (DLR) 0x01 = Get Attributes All Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x4B = Verify Fault Location 0x4C = Clear Rapid Faults...
Seite 236 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x53 = Power Management Object 0x01 = Get Attributes All 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member...
Seite 237 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0xF4 = Port Object 0x01 = Get Attributes All 0x05 = Reset 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0xF5 = TCP/IP Interface Object 0x01 = Get Attributes All 0x02 = Set Attributes All...
Seite 238 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] [Liste der PCCC-Befehlscodes für unterschiedliche Funktionstypen] Tab. 6: PCCC-Befehlscodes für Funktionstyp read-only Befehlscodes Funktionscodes 0x0F 0x04 0x09 0xA7 0xA2 0x17 0x29 0x68 0x01 0x01 None 0x04 None 0x06 0x00 0x01 0x03 0x09...
Seite 239 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 7: PCCC-Befehlscodes für Funktionstyp read-write (Forts.) Befehlscodes Funktionscodes 0x0F 0x02 0x04 0x03 0x5E 0x09 0x08 0xA7 0xAF 0xA2 0xAA 0x17 0x26 0x79 0x29 0x0A 0x12 0x68 0x67 0x53 0x55 0x06 0x01...
Seite 240 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 7: PCCC-Befehlscodes für Funktionstyp read-write (Forts.) Befehlscodes Funktionscodes 0x07 0x00 0x01 0x03 0x08 None Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced Befehlscodes Funktionscodes 0x00 None RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 241 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced (Forts.) Befehlscodes Funktionscodes 0x0F 0x8F 0x02 0x3A 0x82 0x41 0x50 0x52 0x05 0x04 0x03 0x11 0x57 0x5E 0x81 0x09 0x08 0xA7 0xAF 0xA2 0xAA 0x17 0x26...
Seite 242 Netzsicherheit [ Netzsicherheit > DoS ] Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced (Forts.) Befehlscodes Funktionscodes 0x06 0x03 0x00 0x01 0x09 0x07 0x08 0x06 0x0A 0x05 0x04 0x02 0x07 0x00 0x01 0x03 0x04 0x05 0x06 0x08 None [ Netzsicherheit > DoS ] Denial-of-Service (DoS) ist ein Cyber-Angriff, der darauf abzielt, bestimmte Dienste oder Geräte funktionsunfähig zu machen.
Seite 243 Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.7.1 DoS Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. Anmerkung: Wir empfehlen, die Filter zu aktivieren, um das Sicherheitsniveau des Geräts zu erhöhen.
Seite 244 Netzsicherheit [ Netzsicherheit > DoS > Global ] SYN/FIN-Filter Aktiviert/deaktiviert den SYN/FIN-Filter. Das Gerät erkennt eingehende Datenpakete mit gleichzeitig gesetzten TCP-Flags SYN und FIN und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. TCP-Offset-Protection Aktiviert/deaktiviert den TCP-Offset-Schutz.
Seite 245 Netzsicherheit [ Netzsicherheit > DoS > Global ] Min.-Header-Size-Filter Aktiviert/deaktiviert den Minimal-Header-Filter. Der Minimal-Header-Filter vergleicht den TCP-Header von eingehenden Datenpaketen. Wenn der mit 4 multiplizierte Daten-Offset-Wert kleiner ist als die minimale TCP-Header-Größe, dann verwirft der Filter die Datenpakete. Mögliche Werte: markiert ...
Seite 246 Netzsicherheit [ Netzsicherheit > IDS ] Fragmentierte Pakete filtern Aktiviert/deaktiviert den Filter für fragmentierte ICMP-Pakete. Der Filter erkennt fragmentierte ICMP-Pakete und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. Anhand Paket-Größe verwerfen Aktiviert/deaktiviert den Filter für eingehende ICMP-Pakete.
Seite 247 Netzsicherheit [ Netzsicherheit > IDS ] Der TIV-Server wertet die vom Sensor Lite empfangenen Daten aus. Wenn der TIV-Server eine ungewöhnliche oder potenziell unsichere Aktivität im Datenstrom erkennt, dann zeigt das Dash- board des TIV-Servers Alarmmeldungen basierend auf dem Verhaltensmuster der Datenpakete. Dies hilft dabei, Bedrohungen kontinuierlich und zeitnah zu erkennen.
Seite 248 Netzsicherheit [ Netzsicherheit > IDS ] Benutzer-Details IDS-Benutzername Legt das lokale Benutzerkonto fest, das mit der Funktion verknüpft ist. Die Funktion arbeitet mit den Zugriffsrechten dieses Benutzerkontos. Mögliche Werte: <Name des Benutzerkontos>  Die Dropdown-Liste zeigt die lokalen Benutzerkonten mit der Zugriffsrolle administrator. Wenn Sie dem ausgewählten Benutzerkonto im Dialog eine Gerätesicherheit >...
Seite 249 Netzsicherheit 4.8 Intrusion Detection System RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 250 Virtual Private Network [ Virtual Private Network > Übersicht ] 5 Virtual Private Network Das Menü enthält die folgenden Dialoge: VPN Übersicht  VPN Zertifikate  VPN Verbindungen  VPN Übersicht [ Virtual Private Network > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 251 Virtual Private Network [ Virtual Private Network > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter festgelegte Menge ein. Max. Aktive Verbindungen Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 252 Virtual Private Network [ Virtual Private Network > Übersicht ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung.
Seite 253 Virtual Private Network [ Virtual Private Network > Übersicht ] Lokaler Host Zeigt den Namen und/oder die IP-Adresse des lokalen Hosts, den das Gerät mittels IKE erkannt hat. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat.
Seite 254 Virtual Private Network [ Virtual Private Network > Übersicht ] [Diagnose] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite VPN index Zeigt den Index der Tabellenzeile zur eindeutigen Identifizierung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel.
Seite 255 Virtual Private Network [ Virtual Private Network > Übersicht ] negotiation  Wenn Sie den VPN-Tunnel für diese Instanz als Initiator festlegen, gibt der Wert an, dass der Schlüsselaustausch und der Verhandlungsalgorithmus laufen. Wenn der VPN-Tunnel für diese Instanz der Responder ist, dann gibt der Wert an, dass der VPN-Tunnel auf den Beginn des Prozesses wartet.
Seite 256 Virtual Private Network [ Virtual Private Network > Übersicht ] Tunnel status Zeigt den gegenwärtigen Betriebsstatus des IPsec-Tunnels. Mögliche Werte: unbekannt  Der IPsec-Vorschlag wird ausgeführt. Für diese IPsec-SA wurden keine Traffic-Selectors oder Sicherheitsparameter ausgehandelt. created  Schlüsselaustausch und Algorithmus für die Aushandlung ist für diese IPsec-SA abge- schlossen, der Tunnel ist jedoch inaktiv.
Seite 257 Virtual Private Network [ Virtual Private Network > Übersicht ] IPsec Tunnel-Input [Byte] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Bytes. IPsec Tunnel-Input [Pakete] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Pakete. IPsec-Daten zuletzt empfangen [s] Zeigt die Zeit in Sekunden, die seit dem letzten Empfang von Daten im VPN-Tunnel vergangen ist. IPsec Tunnel-Output [Byte] Zeigt die Anzahl der in diesen VPN-Tunnel gesendeten Bytes.
Seite 258 Virtual Private Network [ Virtual Private Network > Übersicht ] Letzter Verbindungsfehler Zeigt die letzte für diesen VPN-Tunnel aufgetretene Fehlerbenachrichtigung. Wenn die Verbindung inaktiv bleibt, hilft Ihnen dieser Wert dabei, erkannte Fehler zu isolieren. Dieser Wert hilft Ihnen, zu bestimmten, ob ein erkannter Fehler im Vorschlagsaustausch oder während des Tunnelaufbaus aufgetreten ist.
Seite 259 Virtual Private Network [ Virtual Private Network > Zertifikate ] VPN Zertifikate [ Virtual Private Network > Zertifikate ] Eine Zertifizierungsstelle (Certificate Authority, CA) stellt Zertifikate zur Authentifizierung der Iden- tität von Geräten aus, die einen VPN-Tunnel anfordern. Sie konfigurieren die Geräte, die einen VPN-Tunnel bilden, dahingehend, dass sie die CA, welche das Zertifikat signiert hat, als vertrau- enswürdig einstufen.
Seite 260 Virtual Private Network [ Virtual Private Network > Zertifikate ] Index Zeigt den Index der Tabellenzeile des Zertifikatseintrages. Mögliche Werte: 1..100  Dateiname Zeigt den Namen der auf das Gerät hochgeladenen Datei. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..64 Zeichen  Betreff Zeigt das Betreff-Feld des Zertifikats.
Seite 261 Virtual Private Network [ Virtual Private Network > Zertifikate ] pkcs12  Der Wert gibt an, dass die hochgeladene Datei ein p12-Paket ist. encryptedkey  Der Wert gibt an, dass die hochgeladene Datei eine Schlüsseldatei mit Kennwortverschlüsse- lung ist. encryptedpkcs12 ...
Seite 262 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Verbindungen [ Virtual Private Network > Verbindungen ] Dieser Dialog ermöglicht Ihnen das Anlegen, Löschen und Bearbeiten von VPN-Tunneln. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM).
Seite 263 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Beschreibung Legt den benutzerdefinierten Namen für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Traffic selector index Zeigt den Indexwert, der zusammen mit dem Wert in Spalte den Eintrag in der Traffic- VPN index Selektor-Tabelle identifiziert.
Seite 264 Virtual Private Network [ Virtual Private Network > Verbindungen ] Quell-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich der Quellen auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät sendet ausschließlich den fest- gelegten Datentyp durch den VPN-Tunnel. Beispiele: •...
Seite 265 Virtual Private Network [ Virtual Private Network > Verbindungen ] ikev1  Das VPN startet mit dem Protokoll IKEv1. ikev2  Das VPN startet mit dem Protokoll IKEv2. Startup Legt fest, ob das Gerät mit dieser Instanz als Responder oder Initiator startet. Wenn Sie den lokalen Peer als Responder festlegen und der entfernte Peer Datenpakete an einen bestimmten Selektor sendet, versucht das Gerät, als Responder die Verbindung herzustellen.
Seite 266 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. Authentifizierungs-Typ Legt den Authentifizierungstyp fest, den das Gerät verwendet. Mögliche Werte: (Voreinstellung) ...
Seite 267 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE auth. cert. CA Legt den Namen der Zertifizierungsstelle (Certificate Authority, CA) fest, die das Zertifikat ausstellt hat. Das Gerät verwendet dieses Zertifikat zur Zertifizierung der Signatur der lokalen und entfernten Zertifikate.
Seite 268 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Verschlüsselter Key/PKCS12-Passphrase Legt die Passphrase fest, die das Gerät für die Entschlüsselung des privaten Schlüssels verwendet, der in Spalte oder im pkcs12-Zertifikat-Container festgelegt ist. Encrypted private key Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen...
Seite 269 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer> (Voreinstellung)  Wenn Sie in Spalte den Wert festlegen, dann legen Sie den Wert unter IKE Local-Identifier-Typ Verwendung einer der folgenden Möglichkeiten fest: – Eine IPv4-Adresse oder ein DNS-Hostname –...
Seite 270 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE key agreement Legt fest, welchen Diffie-Hellman- (DH-) Algorithmus zur Schlüsselvereinbarung das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet. Mögliche Werte:  Das Gerät akzeptiert jeden Algorithmus, wenn das Gerät als Responder festgelegt wurde. (Voreinstellung) modp1024 ...
Seite 271 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE encryption Legt den IKE-Verschlüsselungsalgorithmus fest, den das Gerät verwendet. Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 272 Virtual Private Network [ Virtual Private Network > Verbindungen ] Re-authentication Aktiviert/deaktiviert die Peer-Neuauthentifizierung nach einer IKE-SA-Schlüssel-Erzeugung. Wenn Sie in Spalte den Wert festlegen, dann nimmt das Gerät stets die erneute Authenti- Version ikev1 fizierung des VPN-Tunnels vor, selbst wenn Sie die Markierung des Kontrollkästchens aufheben. Mögliche Werte: markiert ...
Seite 273 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt den Algorithmus für die IPsec-Integrität (MAC) fest, den das Gerät für die Instanz verwendet. Um die Dateien im VPN zu sichern, mischt (hasht) der Hash-based Message Authentication Code- (HMAC-) Prozess im sendenden Gerät die Nachrichtendaten mit einem gemeinsamen geheimen Schlüssel.
Seite 274 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128ctr  AES-CTR mit 128 Schlüssel-Bits. aes192ctr  AES-CTR mit 192 Schlüssel-Bits. aes256ctr  AES-CTR mit 256 Schlüssel-Bits. aes128gcm64  Das Gerät verwendet AES-Galois/Counter Mode (GCM) mit einem 64-Bit-ICV (Integrity Check Value) und 128 Schlüssel-Bits.
Seite 275 Virtual Private Network [ Virtual Private Network > Verbindungen ] Log informational entries Aktiviert/deaktiviert Protokolleinträge ausschließlich für die Fehlersuche. Mögliche Werte: markiert  Das Gerät empfängt und verarbeitet die Informationsnachrichten für diesen VPN-Tunnel und trägt die Nachricht in das Ereignisprotokoll ein. (Voreinstellung) unmarkiert ...
Seite 276 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN index Legt die Index-Nummer für den VPN-Tunnel fest. Mögliche Werte: 1..256  VPN Beschreibung Legt die benutzerdefinierte Beschreibung für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen ...
Seite 277 Virtual Private Network [ Virtual Private Network > Verbindungen ] Authentifizierung - X.509 IKE auth. cert. local Legt den Namen des im Zertifikat eingetragenen lokalen Peers fest. Das Gerät verwendet dieses Zertifikat zur Authentifizierung des lokalen Peers auf der entfernten Seite. Das Zertifikat bindet die Identität des lokalen Peers an den festgelegten öffentlichen Schlüssel, den die im Feld IKE auth.
Seite 278 Virtual Private Network [ Virtual Private Network > Verbindungen ] Legt die Passphrase fest, die das Gerät für die Entschlüsselung des privaten Schlüssels verwendet, der im Feld festgelegt ist. Sie können die Passphrase anzeigen, Encrypted private key indem Sie das Symbol klicken.
Seite 279 Virtual Private Network [ Virtual Private Network > Verbindungen ] Add traffic selector Beschreibung Traffic-Selector Legt die benutzerdefinierte Beschreibung für den Traffic-Selektor fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Quell-Adresse (CIDR) Legt IP-Adresse und Netzmaske des Quell-Hosts fest. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, welche diese IP-Quelladresse enthalten, wendet das Gerät die in diesem Feld festgelegten Einstellungen an.
Seite 280 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ziel-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich des Ziels auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät erwartet vom VPN-Tunnel ausschließlich den festgelegten Datentyp. Beispiele: •...
Seite 281 Virtual Private Network [ Virtual Private Network > Verbindungen ] Advanced configuration - IKE/Key-exchange Version Legt die Version des IKE-Protokolls für die VPN-Verbindung fest. Mögliche Werte: auto (Voreinstellung)  Das VPN startet mit dem Protokoll IKEv2 als Initiator und akzeptiert IKEv1/v2 als Responder. ikev1 ...
Seite 282 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE Local-Identifier-Typ Legt den Typ der lokalen Peer-Kennung fest, die das Gerät für den Parameter IKE local IDver- wendet. Mögliche Werte: default (Voreinstellung)  Das Verhalten ist abhängig von dem Wert, den Sie für die folgenden Authentifizierungsme- thoden festlegen: –...
Seite 283 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ferner Identifier-Typ Legt den Typ der entfernten Peer-Kennung fest, die das Gerät für den Parameter Remote-IDver- wendet. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede empfangene Kennung ohne weitergehende Überprüfung. address ...
Seite 284 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. IKE key agreement Legt fest, welchen Diffie-Hellman- (DH-) Algorithmus zur Schlüsselvereinbarung das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet.
Seite 285 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet. hmacsha512  Das Gerät verwendet SHA-512 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 64-Bit-Wörtern berechnet.
Seite 286 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt den Algorithmus für die IPsec-Integrität (MAC) fest, den das Gerät für die Instanz verwendet. Um die Dateien im VPN zu sichern, mischt (hasht) der Hash-based Message Authentication Code- (HMAC-) Prozess im sendenden Gerät die Nachrichtendaten mit einem gemeinsamen geheimen Schlüssel.
Seite 287 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128ctr  AES-CTR mit 128 Schlüssel-Bits. aes192ctr  AES-CTR mit 192 Schlüssel-Bits. aes256ctr  AES-CTR mit 256 Schlüssel-Bits. aes128gcm64  AES-GCM mit einem 64-Bit-ICV und 128 Schlüssel-Bits. aes128gcm96  AES-GCM mit einem 96-Bit-ICV und 128 Schlüssel-Bits. aes128gcm128 ...
Seite 288 Virtual Private Network [ Virtual Private Network > Verbindungen ] modp4096  Der Wert stellt einen RSA-Algorithmus mit 4096-Bit-Modulus dar, der zur DH-Gruppe DH- Gruppe 16 gehört. kein  Das Gerät schaltet die Funktion PFS aus. Das Ausschalten der Funktion PFSwird als Verlet- zung der Vertraulichkeit und daher als ein Sicherheitsrisiko betrachtet.
Seite 289 Virtual Private Network 5.3 VPN Verbindungen RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 290 Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global  Lastbegrenzer  Filter für MAC-Adressen  QoS/Priority  VLAN  Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: •...
Seite 291 Switching [ Switching > Global ] Die Adresstabelle finden Sie im Dialog Switching > Filter für MAC-Adressen. Im Zusammenhang mit der Router-Redundanz wählen Sie eine Zeit ≥ 30 s. Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert  Die Flusskontrolle ist im Gerät aktiviert. Aktivieren Sie die Flusskontrolle zusätzlich auf den erforderlichen Ports.
Seite 292 Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, die Anzahl der Datenpakete an den Ports zu begrenzen, um auch bei hohem Datenaufkommen einen stabilen Betrieb zu ermöglichen. Wenn die Anzahl der Datenpa- kete auf einem Port den Schwellenwert überschreitet, dann verwirft das Gerät die überschüssigen Datenpakete auf diesem Port.
Seite 293 Switching [ Switching > Lastbegrenzer ] Broadcast-Modus Aktiviert/deaktiviert die Lastbegrenzerfunktion für empfangene Broadcast-Datenpakete. Mögliche Werte: markiert  unmarkiert (Voreinstellung)  Bei Überschreiten des Grenzwerts verwirft das Gerät auf diesem Port die Überlast an Broadcast- Datenpaketen. Broadcast-Grenzwert Legt den Grenzwert für empfangene Broadcasts auf diesem Port fest. Mögliche Werte: (Voreinstellung: 0) 0..14880000...
Seite 294 Switching [ Switching > Lastbegrenzer ] Unknown unicast mode Aktiviert/deaktiviert die Lastbegrenzerfunktion für empfangene Unicast-Datenpakete mit unbe- kannter Zieladresse. Mögliche Werte: markiert  unmarkiert (Voreinstellung)  Bei Überschreiten des Grenzwerts verwirft das Gerät auf diesem Port die Überlast an Unicast- Datenpaketen.
Seite 295 Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die Adresstabelle anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 296 Switching [ Switching > QoS/Priority ] VLAN-ID Zeigt die ID des VLANs, für das die Tabellenzeile gilt. Das Gerät lernt die MAC-Adressen für jedes VLAN separat (Independent VLAN Learning). Status Zeigt, auf welche Weise das Gerät den Adressfilter eingerichtet hat. Mögliche Werte: Learned ...
Seite 297 Switching [ Switching > QoS/Priority ] Anmerkung: Wenn Sie die Funktionen in diesem Menü nutzen, dann schalten Sie die Flusskont- rolle aus. Die Flusskontrolle ist ausgeschaltet, wenn im Dialog Global, Rahmen Switching > Konfigu- ration, das Kontrollkästchen unmarkiert ist. Flusskontrolle Das Menü...
Seite 298 Switching [ Switching > QoS/Priority > Global ] 6.4.1 QoS/Priority Global [ Switching > QoS/Priority > Global ] Das Gerät ermöglicht Ihnen, auch in Situationen mit großer Netzlast Zugriff auf das Management des Geräts zu behalten. In diesem Dialog legen Sie die dazu notwendigen QoS-/Priorisierungsein- stellungen fest.
Seite 299 Switching [ Switching > QoS/Priority > Port-Konfiguration ] 6.4.2 QoS/Priorität Port-Konfiguration [ Switching > QoS/Priority > Port-Konfiguration ] In diesem Dialog legen Sie für jeden Port fest, wie das Gerät empfangene Datenpakete anhand ihrer QoS-/Prioritätsinformation verarbeitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 300 Switching [ Switching > QoS/Priority > 802.1D/p Zuweisung ] 6.4.3 802.1D/p Zuweisung [ Switching > QoS/Priority > 802.1D/p Zuweisung ] Das Gerät vermittelt Datenpakete mit VLAN-Tag anhand der enthaltenen QoS-/Priorisierungsinfor- mation mit höherer oder mit niedrigerer Priorität. In diesem Dialog sehen Sie, welche VLAN-Priorität welcher Verkehrsklasse zugewiesen ist. Die Verkehrsklassen sind den Warteschlangen der Ports (Prioritäts-Queues) fest zugewiesen.
Seite 301 Switching [ Switching > VLAN ] VLAN [ Switching > VLAN ] Mit VLAN (Virtual Local Area Network) verteilen Sie die Datenpakete im physischen Netz auf logi- sche Teilnetze. Das bietet Ihnen folgende Vorteile: • Hohe Flexibilität – Mit VLAN verteilen Sie den Datenpakete auf logische Netze in der vorhandenen Infra- struktur.
Seite 302 Switching [ Switching > VLAN > Global ] 6.5.1 VLAN Global [ Switching > VLAN > Global ] Dieser Dialog ermöglicht Ihnen, sich allgemeine VLAN-Parameter des Geräts anzusehen. Konfiguration Schaltflächen VLAN-Einstellungen zurücksetzen Versetzt die VLAN-Einstellungen des Geräts in den Voreinstellung. Beachten Sie, dass Sie Ihre Verbindung zum Gerät trennen, wenn Sie im Dialog die VLAN-ID für das Management des Geräts geändert haben.
Seite 303 Switching [ Switching > VLAN > Konfiguration ] 6.5.2 VLAN Konfiguration [ Switching > VLAN > Konfiguration ] In diesem Dialog verwalten Sie die VLANs. Um ein VLAN einzurichten, erzeugen Sie eine weitere Tabellenzeile. Dort legen Sie für jeden Port fest, ob er Datenpakete des betreffenden VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten.
Seite 304 Switching [ Switching > VLAN > Konfiguration ] Erstellungszeit Zeigt, seit wann das VLAN eingerichtet ist. Das Feld zeigt den Zeitstempel der Betriebszeit (System Uptime). Name Legt die Bezeichnung des VLANs fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  <Port-Nummer>...
Seite 305 Switching [ Switching > VLAN > Port ] 6.5.3 VLAN Port [ Switching > VLAN > Port ] In diesem Dialog legen Sie fest, wie das Gerät empfangene Datenpakete behandelt, die kein VLAN-Tag haben oder deren VLAN-Tag von der VLAN-ID des Ports abweicht. Dieser Dialog ermöglicht Ihnen, den Ports ein VLAN zuzuweisen und damit die Port-VLAN-ID fest- zulegen.
Seite 306 Switching [ Switching > VLAN > Port ] Ingress-Filtering Aktiviert/deaktiviert die Eingangsfilterung. Mögliche Werte: markiert (Voreinstellung)  Die Eingangsfilterung ist aktiv. Das Gerät vergleicht die im Datenpaket enthaltene VLAN-ID mit den VLANs, in denen der Port Mitglied ist. Siehe Dialog Konfiguration.
Seite 307 Switching 6.5.3 VLAN Port RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 308 Routing [ Routing > Global ] 7 Routing Das Menü enthält die folgenden Dialoge: Routing Global  Routing-Interfaces   Open Shortest Path First  Routing-Tabelle  L3-Relay  Loopback-Interface  L3-Redundanz   Routing Global [ Routing > Global ] Das Menü...
Seite 309 Routing [ Routing > Global ] ICMP-Filter Im Rahmen haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den ICMP-Filter eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von ICMP Error-Nachrichten beeinflusst die Leistung des Routers und redu- ziert die verfügbare Bandbreite im Netz.
Seite 310 Routing [ Routing > Interfaces ] Rate limit burst size Zeigt die maximale Anzahl von ICMP-Datenpaketen, die das Gerät während eines Bursts an jeden Empfänger sendet. Mögliche Werte:  Information Default-TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet.
Seite 311 Routing [ Routing > Interfaces > Konfiguration ] 7.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein Port-basiertes Router-Interface einzurichten, bearbeiten Sie die Tabellenzeilen. Um ein VLAN-basiertes Router-Interface einzurichten, verwenden Sie das Fenster Wizard. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 312 Routing [ Routing > Interfaces > Konfiguration ] Port an Aktiviert/deaktiviert den Port. Mögliche Werte: markiert (Voreinstellung)  Der Port ist aktiv. unmarkiert  Der Port ist inaktiv. Der Port sendet und empfängt keine Daten. Status Port Zeigt den Betriebszustand des Ports. Mögliche Werte: ...
Seite 313 Routing [ Routing > Interfaces > Konfiguration ] Mögliche Werte: markiert  Die Funktion ist aktiv. Routing – Beim Port-basierten Routing wandelt das Gerät den Port in ein Router-Interface um. Das Aktivieren der Funktion entfernt den Port aus den VLANs, in denen er bisher Routing Mitglied war.
Seite 314 Routing [ Routing > Interfaces > Konfiguration ] [Wizard: VLAN-Router-Interface einrichten] Das Fenster ermöglicht Ihnen, VLAN-basierte Router-Interfaces einzurichten. Wizard Das Fenster führt Sie durch die folgenden Schritte: Wizard • VLAN erstellen oder auswählen • VLAN einrichten VLAN erstellen oder auswählen VLAN-ID Zeigt die im Gerät eingerichteten VLANs.
Seite 315 Routing [ Routing > Interfaces > Konfiguration ] <Port-Nummer> Zeigt die Nummer des Ports. Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog Switching > VLAN >...
Seite 316 Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) ...
Seite 317 Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 7.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Seite 318 Routing [ Routing > ARP ] Netzmaske Zeigt die primäre Netzmaske des Router-Interfaces. Siehe Dialog Routing > Interfaces > Konfigura- tion. Weitere IP-Adresse Zeigt weitere IP-Adressen, die dem Router-Interface zugewiesen sind. Weitere Netzmaske Zeigt weitere Netzmasken, die dem Router-Interface zugewiesen sind. [ Routing >...
Seite 319 Routing [ Routing > ARP > Global ] 7.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 320 Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Um den Zähler auf den Wert zurückzusetzen, klicken Sie im Dialog Routing >...
Seite 321 Routing [ Routing > ARP > Aktuell ] 7.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 322 Routing [ Routing > ARP > Aktuell ] statisch  Statisch eingerichteter Eintrag. Der Eintrag bleibt erhalten, wenn Sie mit der Schaltfläche die dynamisch eingerichteten Adressen aus der ARP-Tabelle entfernen. lokal  Kennzeichnet die IP/MAC-Adresszuweisung des Router-Interfaces. invalid  Ungültiger Eintrag. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 323 Routing [ Routing > ARP > Statisch ] 7.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 324 Routing [ Routing > ARP > Statisch ] [Wizard: ARP Das Fenster ermöglicht Ihnen, die IP/MAC-Adresszuweisungen in die ARP-Tabelle einzu- Wizard fügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. ARP-Tabelle bearbeiten Führen Sie die folgenden Schritte aus: Legen Sie die IP-Adresse und die zugeordnete MAC-Adresse fest. ...
Seite 325 Routing [ Routing > OSPF ] IP-Adresse Legt die IP-Adresse des statischen ARP-Eintrags fest. Mögliche Werte: Gültige IPv4-Adresse  MAC-Adresse Legt die MAC-Adresse fest, die das Gerät beim Antworten auf eine ARP-Anfrage der IP-Adresse zuweist. Mögliche Werte: Gültige MAC-Adresse  Open Shortest Path First [ Routing >...
Seite 326 Routing [ Routing > OSPF ] Das Menü enthält die folgenden Dialoge: OSPF Global  OSPF Areas  OSPF Stub Areas  OSPF Not So Stubby Areas  OSPF Interfaces  OSPF Virtual Links  OSPF Ranges  OSPF Diagnose ...
Seite 327 Routing [ Routing > OSPF > Global ] 7.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein]  [Konfiguration]  [Redistribution]  [Allgemein] Diese Registerkarte ermöglicht Ihnen, im Gerät einzuschalten und die Netzparameter fest- OSPF...
Seite 328 Routing [ Routing > OSPF > Global ] Konfiguration Router-ID Legt die eindeutige Kennung für den Router im autonomen System (AS) fest. Es beeinflusst die Wahl der Designated Router (DR) und der Backup Designated Router (BDR). Verwenden Sie idea- lerweise die IP -Adresse eines Router-Interfaces im Gerät. Mögliche Werte: (Voreinstellung: 0.0.0.0) <IP-Adresse eines Interfaces>...
Seite 329 Routing [ Routing > OSPF > Global ] Standard-Metrik Legt den voreingestellten Metrik-Wert für die Funktion fest. OSPF Mögliche Werte: (Voreinstellung)  Die Funktion OSPF weist aus externen Routen gelernten Quellen (statisch oder direkt verbunden) automatisch Kosten von 20 zu. 1..16777214 ...
Seite 330 Routing [ Routing > OSPF > Global ] Exit-Overflow-Intervall [s] Legt die Zeit in Sekunden fest, die ein Router nach Beginn des Overflow-Zustands wartet, bevor er versucht, den Overflow-Zustand zu verlassen. Wenn der Router den Overflow-Zustand verlässt, sendet er neue, nicht voreingestellte AS-External-LSAs. Mögliche Werte: (Voreinstellung: 0) 0..2147483647...
Seite 331 Routing [ Routing > OSPF > Global ] [Konfiguration] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: • die Art, in der das Gerät die Pfadkosten berechnet • wie die Funktion die Standard-Routen leitet OSPF • den Routen-Typ, den die Funktion OSPF für die Pfad-Kostenberechnung verwendet RFC 1583 Kompatibilität...
Seite 332 Routing [ Routing > OSPF > Global ] Präferenz (intra) Legt die „Administrative Distanz“ zwischen Routern innerhalb derselben Area (Intra-Area-OSPF- Routen) fest. Mögliche Werte: 1..255 (Voreinstellung: 110)  Präferenz (inter) Legt die „Administrative Distanz“ zwischen Routern in unterschiedlichen Areas (Inter-Area-OSPF- Routen) fest.
Seite 333 Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert  Der Router meldet stets die Standard-Route 0.0.0.0/0. (Voreinstellung) unmarkiert  Das Gerät verwendet die im Parameter festgelegten Einstellungen. Advertise Metrik Legt die Metrik der Standard-Route fest, die Funktion OSPF meldet, wenn diese von anderen Proto- kollen gelernt wurde.
Seite 334 Routing [ Routing > OSPF > Global ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Quelle Zeigt das Quellprotokoll, aus dem die Funktion die Routen neu verteilt. Dieses Objekt dient OSPF außerdem als Bezeichner für die Tabellenzeile.
Seite 335 Routing [ Routing > OSPF > Global ] Legt einen Tag für Routen fest, die in die Funktion neu verteilt werden. OSPF Wenn Sie einen Routen-Tag setzen, weist die Funktion OSPF den Wert zu jeder neu verteilten Route dieses Quellprotokolls zu. Diese Funktion ist nützlich, wenn 2 oder mehr Border Router ein Autonomous System mit einem externen Netz verbinden.
Seite 336 Routing [ Routing > OSPF > Areas ] 7.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 337 Routing [ Routing > OSPF > Areas ] SPF runs Zeigt, wie oft der Router die Intra-Area-Routing-Tabelle berechnet hat, welche die Link-Status- Datenbank dieser Area verwendet. Der Router verwendet den Dijkstra-Algorithmus für die Routen- Berechnung. Area-Border-Router Zeigt die Gesamtzahl der ABR, die innerhalb dieser Area erreichbar sind. Die Anzahl der erreich- baren Router ist zunächst 0.
Seite 338 Routing [ Routing > OSPF > Stub Areas ] 7.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 339 Routing [ Routing > OSPF > Stub Areas ] External type 1  Der ABR meldet die Metrik als 1, der den Kosten der internen OSPF-Metrik External type plus der externen Metrik des ASBR entspricht. External type 2  Der ABR meldet die Metrik als 2, der den Kosten der externen Metrik des ASBR External type entspricht.
Seite 340 Routing [ Routing > OSPF > NSSA ] 7.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type 7 AS external-LSAs in Type 5 AS external-LSAs umwandelt.
Seite 341 Routing [ Routing > OSPF > NSSA ] Standard-Metrik Legt die im Type 7 default-LSA gemeldete Metrik fest. Mögliche Werte: 1..16777214 (Voreinstellung: 10)  Standard-Metrik-Typ Legt den im Type 7 default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric  Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 342 Routing [ Routing > OSPF > NSSA ] Translator-Stability-Intervall [s] Legt die Zeit in Sekunden fest, in welcher der Router die Übersetzung von Type 7-LSAs in Type 5- LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: 0..65535 (Voreinstellung: 40) ...
Seite 343 Routing [ Routing > OSPF > Interfaces ] 7.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 344 Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router. Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router- ID.
Seite 345 Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: 1..65535 (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen nicht erreichbaren Nachbarn schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: (Voreinstellung) down...
Seite 346 Routing [ Routing > OSPF > Interfaces ] Netzwerktyp Legt den OSPF-Netztyp des autonomen Systems fest. Mögliche Werte: broadcast  Verwenden Sie diesen Wert für Broadcast-Netze wie Ethernet und IEEE 802.5. Die Funktion führt eine Auswahl von DR und BDR durch, mit denen die nicht-designierten Router eine OSPF Adjacency herstellen.
Seite 347 Routing [ Routing > OSPF > Interfaces ] Auth key ID Legt für die Authentifizierungsschlüssel-ID den Wert fest. Die Option zur verschlüsselten Authentifizierung unterstützt Sie dabei, das Netz gegen passive Angriffe zu schützen, und bietet einen wesentlichen Schutz gegen aktive Angriffe. Voraussetzung für das Ändern dieses Wertes ist, dass in Spalte der Wert festgelegt...
Seite 348 Routing [ Routing > OSPF > Virtual Links ] 7.4.6 OSPF Virtual Links [ Routing > OSPF > Virtual Links ] Die Funktion OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone- Area zu verbinden.
Seite 349 Routing [ Routing > OSPF > Virtual Links ] Mögliche Werte: 0..3600 (Voreinstellung: 1)  Retrans-Intervall [s] Legt für Adjacencies, die zu diesem Interface gehören, die Zeit in Sekunden bis zur erneuten Über- tragung von Link State Advertisement fest. Sie verwenden diesen Wert ebenfalls, wenn Sie die Datenbank-Beschreibung (DD) und die Link- Status-Request-Pakete erneut übertragen.
Seite 350 Routing [ Routing > OSPF > Virtual Links ] Auth Typ Legt den Authentifizierungstyp für eine virtuelle Datenverbindung fest. Wenn Sie simple oder festlegen, ist es für diesen Router erforderlich, dass andere Router einen Authentifizierungsprozess durchlaufen, bevor dieser Router die betreffenden Router als Nachbarn akzeptiert.
Seite 351 Routing [ Routing > OSPF > Ranges ] 7.4.7 OSPF Ranges [ Routing > OSPF > Ranges ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 352 Routing [ Routing > OSPF > Ranges ] LSDB Typ Zeigt, welche Route-Informationen durch den Adressbereich zusammengefasst sind. Mögliche Werte: summaryLink  Der Area-Bereich fasst Type 5-Routen-Informationen zusammen. nssaExternalLink  Der Area-Bereich fasst Type 7-Routen-Informationen zusammen. Netzwerk Zeigt die IP-Adresse für das Subnetz der Area. Netzmaske Zeigt die Netzmaske für das Subnetz der Area.
Seite 353 Routing [ Routing > OSPF > Diagnose ] 7.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert die Funktion OSPF auf 2 grundlegenden Prozessen. • Herstellen von Adjacencys • Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus und aktualisieren ihre Routing-Tabellen.
Seite 354 Routing [ Routing > OSPF > Diagnose ] • Type 2-LSAs sind Network-LSAs. Der DR erstellt eine Network-LSA auf der Grundlage von Informationen, die über die Type 1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Network-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 355 Routing [ Routing > OSPF > Diagnose ] LS-Request-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-Link-Status-Request-Pakete, die seit dem Zurücksetzen der Zähler übertragen wurden. LS-Update-Pakete empfangen Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler empfangen wurden. LS-Update-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler über- tragen wurden.
Seite 356 Routing [ Routing > OSPF > Diagnose ] Typ-4 (ASBR) LSAs empfangen Zeigt die Anzahl der Type 4 ASBR summary-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden. Typ-5 (external) LSAs empfangen Zeigt die Anzahl der Type 5 external-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden.
Seite 357 Routing [ Routing > OSPF > Diagnose ] summaryLink  Der Router hat die Informationen von einem ABR empfangen, der Type 3-LSA zur Beschrei- bung von Routen zu Netzen verwendet. Bevor ABR die Routing-Informationen an andere Areas senden, stellen ABR von Type 1-LSAs und Type 2-LSAs gelernte Informationen zusammen, die von den angeschlossenen Areas empfangen wurden.
Seite 358 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Age-Feld des Advertisements erhöht sich mit jedem Router, der die Nachricht über- trägt.
Seite 359 Routing [ Routing > OSPF > Diagnose ] Status Zeigt den Status der Beziehung zu dem in dieser Instanz aufgeführten Nachbarn. Ein Ereignis bewirkt eine Statusänderung, wie der Empfang eines Hello-Pakets. Dieses Ereignis hat abhängig vom gegenwärtigen Status des Nachbarn verschiedene Auswirkungen. Außerdem lösen die Router abhängig vom Status der Änderung des Nachbarn eine DR-Auswahl aus.
Seite 360 Routing [ Routing > OSPF > Diagnose ] [Virtuelle Nachbarn] Die Funktion erfordert eine kontinuierliche Verbindung der Autonomous-System-Backbone- OSPF Area. Außerdem erfordert die Funktion OSPF, dass jede Area über eine Verbindung zur Backbone- Area verfügt. Der physische Standort von Routern lässt häufig nicht zu, dass eine Area direkt an die Backbone-Area angeschlossen wird.
Seite 361 Routing [ Routing > OSPF > Diagnose ] Der Router unterstützt 4 Optionen, indem er, abhängig von den Funktionsmerkmalen des Routers, folgende Bits im Feld Options entweder auf einen hohen oder einen niedrigen Wert setzt. Das Feld zeigt den Wert, indem die folgenden Options-Bits addiert werden. Sie lesen die Felder vom nied- rigstwertigen zum höchstwertigen Bit.
Seite 362 Routing [ Routing > OSPF > Diagnose ] init  Der Router hat kürzlich von seinem Nachbarn ein Hello-Paket empfangen. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das zugehörige Interface listet beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 363 Routing [ Routing > OSPF > Diagnose ] Mögliche Werte: markiert  Der Router unterdrückt Hello-Pakete. unmarkiert  Der Router überträgt Hello-Pakete. [Externe Link-State-Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen.
Seite 364 Routing [ Routing > OSPF > Diagnose ] Wenn ein Router 2 LSAs für dasselbe Segment empfängt, die identische LS-Sequenznummern und LS-Prüfsummen aufweisen, prüft der Router das Alter der LSAs. • LSAs mit dem maximalen Alter verwirft der Router sofort. •...
Seite 365 Routing [ Routing > Routing-Tabelle ] ext-type2  Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die OSPF- Area importiert. Diese Routen verwenden nicht die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). nssa-type1 ...
Seite 366 Routing [ Routing > Routing-Tabelle ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine statische Route zu erzeugen. • Im Feld legen Sie die Adresse des Zielnetzes fest. Netz-Adresse Mögliche Werte: Gültige IPv4-Adresse...
Seite 367 Routing [ Routing > Routing-Tabelle ] Netz-Adresse Zeigt die Adresse des Zielnetzes. Netzmaske Zeigt die Netzmaske. Next-Hop IP-Adresse Zeigt die IP-Adresse des nächsten Routers auf dem Pfad ins Zielnetz. Zeigt den Typ der Route. Mögliche Werte: lokal  Das Router-Interface ist mit dem Zielnetz direkt verbunden. Extern ...
Seite 368 Routing [ Routing > Routing-Tabelle ] Mögliche Werte:  Reserviert für Routen, die das Gerät beim Einrichten der Router-Interfaces erzeugt. Diese Routen haben in Spalte den Wert lokal. Protokoll 1..254  Bei der Routing-Entscheidung bevorzugt das Gerät die Route mit dem kleinsten Wert. ...
Seite 369 Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Layer 3-Subnetz senden Bootstrap Protocol (BOOTP)-/Dynamic Host Configura- tion Protocol (DHCP)-Broadcast-Nachrichten an den DHCP-Server, um Informationen zu Netz- werkeinstellungen, wie IP-Adressen, anzufordern. Router helfen dabei, eine Grenze für Broadcast- Nachrichten zu schaffen, so dass BOOTP/DHCP-Anfragen auf das lokale Subnetz beschränkt bleiben.
Seite 370 Routing [ Routing > L3-Relay ] Mögliche Werte: markiert  Das Gerät fügt die Circuit-ID des DHCP-L3-Relay-Agenten zu den Suboptionen für Client- Anfragen hinzu. (Voreinstellung) unmarkiert  Das Gerät fügt die Circuit-ID seines DHCP-L3-Relay-Agenten nicht zu den Suboptionen für Client-Anfragen hinzu. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit in Sekunden fest, die das Gerät wartet, bevor es die BOOTP/DHCP-Anfrage weiterleitet.
Seite 371 Routing [ Routing > L3-Relay ] Weitergeleitete DHCP-Server-Messages Zeigt die Anzahl der DHCP-Offers, die das Gerät von den in der Tabelle festgelegten Servern empfangen und an die Clients weitergeleitet hat. Empfangene UDP-Nachrichten Zeigt die Anzahl der vom Gerät empfangenen UDP-Requests der Clients. Weitergeleitete UDP-Nachrichten Zeigt die Anzahl der UDP-Requests, die das Gerät an die in der Tabelle festgelegten Server weiter- geleitet hat.
Seite 372 Routing [ Routing > L3-Relay ] • Im Feld UDP-Port legen Sie die Werte der UDP-Helper-Ports für Datenpakete fest, die an diesem Interface empfangen werden. Bei aktiver Funktion leitet das Gerät erhaltene Nachrichten mit diesem Ziel-UDP-Port-Wert an die in im Feld festgelegte IP-Adresse weiter.
Seite 373 Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist ein virtuelles Netz-Interface ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 374 Routing [ Routing > Loopback-Interface ] IP-Adresse Legt die IP-Adresse für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Subnet-Maske Legt die Netzmaske für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0)  Beispiel: 255.255.255.255 Aktiv Zeigt, ob das Loopback-Interface aktiv oder inaktiv ist. Mögliche Werte: markiert (Voreinstellung)
Seite 375 Routing [ Routing > L3-Redundanz ] L3-Redundanz [ Routing > L3-Redundanz ] Das Menü enthält die folgenden Dialoge: VRRP  7.8.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol (VRRP) ist ein Verfahren, das es dem Gerät ermöglicht, auf den Ausfall eines Routers zu reagieren.
Seite 376 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 7.8.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: • bis zu 8 virtuelle Router pro Router-Interface • bis zu 2 Adressen pro virtuellem Router Funktion Funktion Schaltet die VRRP-Redundanz im Gerät ein/aus.
Seite 377 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Voraussetzung ist, dass im Dialog Diagnose > Statuskonfiguration > Alarme (Traps) die Funktion eingeschaltet und mindestens Alarme (Traps) ein Trap-Ziel festgelegt ist. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt.
Seite 378 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Aktiv Aktiviert/deaktiviert die in dieser Tabellenzeile festgelegte VRRP-Instanz. Mögliche Werte: markiert  Die VRRP-Instanz ist aktiv. unmarkiert (Voreinstellung)  Die VRRP-Instanz ist inaktiv. Betriebszustand Zeigt den Status der Tabellenzeile. Der Betriebsmodus des entsprechenden virtuellen Routers bestimmt den Status einer gegenwärtig aktiven Tabellenzeile.
Seite 379 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Priorität Zeigt den Wert für die VRRP-Priorität. Die Priorität legen Sie fest im Dialog Routing > OSPF > Inter- faces. Der Router mit dem höchsten Wert für die Priorität übernimmt die Master-Router-Rolle. Wenn die IP-Adresse des virtuellen Routers mit der IP-Adresse eines Router-Interfaces übereinstimmt, dann ist der Router der Inhaber der IP-Adresse.
Seite 380 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Proxy-ARP Aktiviert/deaktiviert die Funktion Proxy ARP auf dem virtuellen Router-Interface. Diese Funktion ermöglicht Ihnen, Geräte in anderen Netzen so zu erreichen, als wären diese Geräte im lokalen Netz. Die Proxy-ARP-Funktion ist erforderlich, wenn das Gerät die VRRP-Instanz mit 1:1-NAT- Regeln verwendet.
Seite 381 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Öffnen Sie im Fenster Wizard die Seite Eintrag bearbeiten.  – Legen Sie in Registerkarte VRRP, Rahmen die Werte für folgende Parameter Konfiguration fest: Priorität Preempt-Modus Advertisement-Intervall [s] Ping-Antwort Wählen Sie in der Dropdown-Liste die IP-Adresse für den VRRP Master-Kandidat.
Seite 382 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Create or select entry VRRP-Instanzen Zeigt die im Gerät verfügbaren Instanzen. Wählen Sie einen Eintrag, um fortzufahren. Alternativ dazu wählen Sie einen Port und legen im Feld unten einen Wert fest. VRID Port Legt das Port-basierte oder VLAN-basierte Router-Interface fest.
Seite 383 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Konfiguration Basis Priorität Legt die Priorität des virtuellen Routers fest. Wenn sich der Wert vom Wert im Feld unter- Priorität scheidet, dann ist das überwachte Objekt nicht erreichbar oder der virtuelle Router ist Inhaber der IP-Adresse.
Seite 384 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Advertisement-Intervall [s] Legt den zeitlichen Abstand zwischen Nachrichten des Master-Routers in Sekunden fest. Mögliche Werte: 1..255 (Voreinstellung: 1)  Anmerkung: Je länger das Nachrichtenintervall ist, desto größer wird der Zeitraum, über den Backup-Router auf eine Nachricht des Master-Routers warten, bevor die Backup-Router einen neuen Auswahlprozess starten (Master-Down-Intervall).
Seite 385 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Tracking Aktuelle Track-Einträge Zeigt die im Gerät verfügbaren Tracking-Objekte. Tracking-Objekte richten Sie ein im Dialog Konfiguration. Wählen Sie einen Eintrag, um fortzufahren. Alternativ dazu Erweitert > Tracking > wählen Sie im Feld Track-Name unten ein Tracking-Objekt.
Seite 386 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Hinzufügen Erzeugt im Feld einen Eintrag basierend auf den in den Feldern Zugewiesene Track-Einträge Track- festgelegten Werten. Name Dekrement Virtuelle IP-Adressen IP-Adresse Zeigt die primäre IP-Adresse des Router-Interfaces. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 387 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 7.8.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die Funktion VRRP relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 388 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] Authentifizierungs-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Authentifizierungsfehler. IP-TTL-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Seite 389 Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 7.8.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Seite 390 Routing [ Routing > NAT ] Dekrement Legt den Wert fest, um den die VRRP-Instanz die Priorität des virtuellen Routers reduziert, wenn das Überwachungsergebnis negativ ist. Mögliche Werte: 1..253 (Voreinstellung: 20)  Anmerkung: Wenn im Dialog der Wert in Spalte Routing >...
Seite 391 Routing [ Routing > NAT > NAT Global ] 7.9.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Angewendet auf dem Gerät ermöglicht die Funktion Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen Netzen.
Seite 392 Routing [ Routing > NAT > NAT Global ] 1:1-NAT-Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten 1:1-NAT-Regeln von den gespeicherten 1:1- NAT-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine gespeicherte 1:1-NAT-Regel enthält geänderte Einstellungen. Um die noch ausstehenden Regeln auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche unmarkiert ...
Seite 393 Routing [ Routing > NAT > NAT Global ] Masquerading-NAT Schaltflächen Commit Wendet die im Gerät gespeicherten Masquerading-NAT-Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen der Funktion Enforcer.
Seite 394 Routing [ Routing > NAT > NAT Global ] Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich. Double-NAT-Regeln (max.) Zeigt die maximale Anzahl an Double-NAT-Regeln an, die Sie im Gerät einrichten können. Eingerichtete Double-NAT-Regeln Zeigt die Anzahl der im Gerät eingerichteten Double-NAT-Regeln.
Seite 395 Routing [ Routing > NAT > 1:1-NAT ] 7.9.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die Funktion 1:1-NAT ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 396 Routing [ Routing > NAT > 1:1-NAT > Regel ] 7.9.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die 1:1-NAT-Regeln und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Das Gerät ermöglicht, bis zu 255 1:1-NAT- Regeln zu erstellen.
Seite 397 Routing [ Routing > NAT > 1:1-NAT > Regel ] Regelname Zeigt den Namen der 1:1-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  Priorität Legt die Priorität der 1:1-NAT-Regel fest. Anhand der Priorität legen Sie die Reihenfolge fest, in welcher das Gerät mehrere Regeln auf den Datenstrom anwendet.
Seite 398 Routing [ Routing > NAT > 1:1-NAT > Regel ] Ausgangs-Interface Weist der 1:1-NAT-Regel das Router-Interface zu, auf dem das Gerät die modifizierten Datenpakete vermittelt. Im hier angeschlossenen Netz ist das Ziel-Endgerät tatsächlich erreichbar. Mögliche Werte: <Interface-Nummer>  Das Gerät vermittelt die modifizierten Datenpakete auf diesem Router-Interface. no Port ...
Seite 399 Routing [ Routing > NAT > Destination-NAT ] Aktiv Aktiviert/deaktiviert die 1:1-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. 7.9.3 Destination-NAT [ Routing > NAT > Destination-NAT ] Die Funktion Destination-NAT ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten.
Seite 400 Routing [ Routing > NAT > Destination-NAT ] Um die Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein. Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs-...
Seite 401 Routing [ Routing > NAT > Destination-NAT > Regel ] 7.9.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Destination-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing >...
Seite 402 Routing [ Routing > NAT > Destination-NAT > Regel ] Regelname Zeigt den Namen der Destination-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betref- fende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  Quell-Adresse Legt die Quelladresse der Datenpakete fest, auf die das Gerät die Destination-NAT-Regel anwendet. Mögliche Werte: (Voreinstellung) ...
Seite 403 Routing [ Routing > NAT > Destination-NAT > Regel ] Gültige IPv4-Adresse  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Zieladresse enthalten. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, die eine Ziel- adresse im hier festgelegten Subnetz enthalten.
Seite 404 Routing [ Routing > NAT > Destination-NAT > Regel ] Protokoll Beschränkt die Destination-NAT-Regel auf ein IP-Protokoll. Das Gerät wendet die Destination-NAT- Regel ausschließlich auf Datenpakete des festgelegten IP-Protokolls an. Mögliche Werte: icmp  Internet Control Message Protocol (RFC 792) igmp ...
Seite 405 Routing [ Routing > NAT > Destination-NAT > Regel ] Aktiv Aktiviert/deaktiviert die Destination-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 406 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 7.9.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 407 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Destination-NAT-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Destination-NAT-Regel auf Datenpakete an, die es auf dem Router-Inter- face empfängt.
Seite 408 Routing [ Routing > NAT > Destination-NAT > Übersicht ] 7.9.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 409 Routing [ Routing > NAT > Destination-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 410 Routing [ Routing > NAT > Masquerading-NAT ] 7.9.4 Masquerading-NAT [ Routing > NAT > Masquerading-NAT ] Die Funktion Masquerading-NAT versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 411 Routing [ Routing > NAT > Masquerading-NAT > Regel ] 7.9.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Masquerading-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Masquerading-NAT-Regel im Dialog Routing >...
Seite 412 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Gültige IPv4-Adresse  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, die eine Quelladresse im hier festgelegten Subnetz enthalten.
Seite 413 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System- Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der Masquerading-NAT-Regel auf ein Datenpaket in der Log-Datei.
Seite 414 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] 7.9.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading-NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 415 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Masquerading-NAT-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: gehend  Das Gerät wendet die Masquerading-NAT-Regel auf Datenpakete an, die es auf dem Router- Interface sendet.
Seite 416 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] 7.9.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 417 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Masquerading-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Masquerading-NAT-Regel auf ein Datenpaket in der Log-Datei.
Seite 418 Routing [ Routing > NAT > Double-NAT ] 7.9.5 Double-NAT [ Routing > NAT > Double-NAT ] Die Funktion Double-NAT ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 419 Routing [ Routing > NAT > Double-NAT ] Das Menü enthält die folgenden Dialoge: Double-NAT Regel  Double-NAT Zuweisung  Double-NAT Übersicht  RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 420 Routing [ Routing > NAT > Double-NAT > Regel ] 7.9.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Double-NAT-Regeln. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing >...
Seite 421 Routing [ Routing > NAT > Double-NAT > Regel ] • Im Feld Ferne interne IP-Adresse legen Sie für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 422 Routing [ Routing > NAT > Double-NAT > Regel ] Ferne interne IP-Adresse Legt für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 423 Routing [ Routing > NAT > Double-NAT > Zuweisung ] 7.9.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 424 Routing [ Routing > NAT > Double-NAT > Zuweisung ] gehend  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface sendet. beide  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt oder sendet.
Seite 425 Routing [ Routing > NAT > Double-NAT > Übersicht ] 7.9.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 426 Routing [ Routing > NAT > Double-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Double-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 427 Routing 7.9.5.3 Double-NAT Übersicht RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 428 Diagnose [ Diagnose > Statuskonfiguration ] 8 Diagnose Das Menü enthält die folgenden Dialoge: Statuskonfiguration  System  Syslog  Ports  LLDP  Bericht  Statuskonfiguration [ Diagnose > Statuskonfiguration ] Das Menü enthält die folgenden Dialoge: Gerätestatus  Sicherheitsstatus ...
Seite 429 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 8.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 430 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: (Voreinstellung) markiert  Das Senden von SNMP-Traps ist aktiv. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 431 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externen Speicher entfernen Aktiviert/deaktiviert die Überwachung des aktiven externen Speichers. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den aktiven externen Speicher Geräte-Status aus dem Gerät entfernen.
Seite 432 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Verbindungsfehler melden Aktiviert/deaktiviert die Überwachung des Links auf dem Port/Interface. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf dem ausgewählten Geräte-Status Port/Interface abbricht.
Seite 433 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 8.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 434 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Passwort-Voreinstellung unverändert Aktiviert/deaktiviert die Überwachung des Passworts für das lokal eingerichtete Benutzerkonto admin. Mögliche Werte: markiert (Voreinstellung) ...
Seite 435 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Prüfen der Passwort-Richtlinien im Benutzerkonto deaktiviert Aktiviert/deaktiviert die Überwachung der Funktion Richtlinien überprüfen. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn die Funktion Sicherheits-Status Richtlinien über- bei mindestens ein Benutzerkonto inaktiv ist.
Seite 436 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den System-Monitor akti- Sicherheits-Status vieren. unmarkiert (Voreinstellung)  Die Überwachung ist inaktiv. Den System-Monitor aktivieren/deaktivieren Sie im Dialog Diagnose >...
Seite 437 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Unverschlüsselte Konfiguration vom externen Speicher laden Aktiviert/deaktiviert die Überwachung des Ladens unverschlüsselter Konfigurationsprofile vom externen Speicher. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn die Einstellungen dem Gerät Sicherheits-Status ermöglichen, ein unverschlüsseltes Konfigurationsprofil vom externen Speicher zu laden.
Seite 438 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Port eingeschaltet ist Sicherheits-Status (Dialog Port, Registerkarte Konfiguration, Kontrollkästchen...
Seite 439 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] 8.1.3 Alarme (Traps) [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Das Gerät ermöglicht Ihnen, als Reaktion auf bestimmte Ereignisse einen SNMP-Trap zu senden. In diesem Dialog legen Sie die Trap-Ziele fest, an die das Gerät die SNMP-Traps sendet. Die Ereignisse, bei denen das Gerät einen SNMP-Trap auslöst, legen Sie zum Beispiel in den folgenden Dialogen fest: •...
Seite 440 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Name Legt die Bezeichnung des Trap-Ziels fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  Adresse Legt die IP-Adresse und die Port-Nummer des Trap-Ziels fest. Mögliche Werte: <Gültige IPv4-Adresse>:<Port-Nummer>  Aktiv Aktiviert/deaktiviert das Senden von SNMP-Traps an dieses Trap-Ziel.
Seite 441 Diagnose [ Diagnose > System ] System [ Diagnose > System ] Das Menü enthält die folgenden Dialoge: Systeminformationen  Konfigurations-Check   Selbsttest  RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 442 Diagnose [ Diagnose > System > Systeminformationen ] 8.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Systeminformationen speichern Öffnet die HTML-Seite in einem neuen Webbrowser-Fenster oder -Tab.
Seite 443 Diagnose [ Diagnose > System > Konfigurations-Check ] 8.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 444 Diagnose [ Diagnose > System > Konfigurations-Check ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Zeigt detaillierte Informationen über die erkannten Abweichungen im Bereich unterhalb der Tabel- lenzeile. Um die detaillierten Informationen wieder auszublenden, klicken Sie die Schaltfläche Wenn Sie das Symbol in der Kopfzeile der Tabelle klicken, blenden Sie die detaillierten Informati- onen für jede Tabellenzeile ein oder aus.
Seite 445 Diagnose [ Diagnose > System > ARP ] 8.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 446 Diagnose [ Diagnose > System > Selbsttest ] 8.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: • Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden. • Festlegen, wie sich das Gerät im verhält, wenn es einen Fehler erkennt. Konfiguration Die folgenden Einstellungen sperren Ihnen dauerhaft den Zugang zum Gerät, wenn das Gerät beim Neustart kein lesbares Konfigurationsprofil findet.
Seite 447 Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät verhält, wenn es einen Fehler erkennt. Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Ursache Ursachen erkannter Fehler, auf die das Gerät reagiert.
Seite 448 Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 449 Diagnose [ Diagnose > Syslog ] Mögliche Werte: 1..8  IP-Adresse Legt die IP-Adresse des Syslog-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Hostname  Ziel-UDP-Port Legt den UDP-Port fest, auf dem der Syslog-Server die Log-Einträge erwartet. Mögliche Werte: 1..65535 (Voreinstellung: 514) ...
Seite 450 Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge:  RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 451 Diagnose [ Diagnose > Ports > SFP ] 8.4.1 [ Diagnose > Ports > SFP ] Dieser Dialog ermöglicht Ihnen, die gegenwärtige Bestückung des Geräts mit SFP-Transceivern und deren Eigenschaften einzusehen. Tabelle Die Tabelle zeigt ausschließlich dann gültige Werte, wenn das Gerät mit SFP-Transceivern bestückt ist.
Seite 452 Diagnose [ Diagnose > LLDP ] LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät das Link Layer Discovery Protocol (LLDP). Diese Informationen ermöglichen einer Netzma- nagement-Station, die Struktur des Netzes darzustellen. Dieses Menü...
Seite 453 Diagnose [ Diagnose > LLDP > Konfiguration ] 8.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port zu konfigurieren. Funktion Funktion Schaltet die Funktion ein/aus. LLDP Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet.
Seite 454 Diagnose [ Diagnose > LLDP > Konfiguration ] Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: 5..3600 (Voreinstellung: 5)  Nach Senden eines Benachrichtigungs-Traps wartet das Gerät mindestens die hier festgelegte Zeit, bis es den nächsten Benachrichtigungs-Trap sendet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 455 Diagnose [ Diagnose > LLDP > Konfiguration ] Port-Beschreibung senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit der Port-Beschreibung. Mögliche Werte: markiert (Voreinstellung)  Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit der Port-Beschreibung. unmarkiert  Das Senden des TLV ist inaktiv.
Seite 456 Diagnose [ Diagnose > LLDP > Konfiguration ] Nachbarn (max.) Begrenzt für diesen Port die Anzahl der zu erfassenden benachbarten Geräte. Mögliche Werte: 1..50 (Voreinstellung: 10)  FDB-Modus Legt fest, welche Funktion das Gerät verwendet, um benachbarte Geräte auf diesem Port zu erfassen.
Seite 457 Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 8.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs gesendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Seite 458 Diagnose [ Diagnose > Bericht ] Nachbar-Adresse Zeigt die IPv4-Adresse oder den Hostnamen, mit der/dem der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar-IPv6-Adresse Zeigt die IPv6-Adresse, mit welcher der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar-Port-Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts.
Seite 459 Diagnose [ Diagnose > Bericht > Global ] 8.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: • auf der Konsole • auf einen oder mehreren Syslog-Servern •...
Seite 460 Diagnose [ Diagnose > Bericht > Global ] notice  informational  debug  SNMP-Logging Wenn Sie die Protokollierung von SNMP-Anfragen einschalten, sendet das Gerät diese als Ereig- nisse mit dem voreingestellten Schweregrad an die Liste der Syslog-Server. Der voreinge- notice stellte Mindest-Schweregrad für einen Syslog-Server-Eintrag ist critical.
Seite 461 Diagnose [ Diagnose > Bericht > Global ] Schweregrad Get-Request Legt den Schweregrad des Ereignisses fest, welches das Gerät bei SNMP Get-Anfragen protokol- liert. Weitere Informationen finden Sie unter „Bedeutung der Ereignis-Schweregrade” auf Seite 461. Mögliche Werte: emergency  alert ...
Seite 462 Diagnose [ Diagnose > Bericht > Global ] error  warning (Voreinstellung)  notice  informational  debug  CLI-Logging Funktion Schaltet die Funktion ein/aus. CLI-Logging Mögliche Werte:  Die Funktion CLI-Logging ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung) ...
Seite 463 Diagnose [ Diagnose > Bericht > Global ] Schweregrad Bedeutung notice Signifikanter, normaler Zustand Informelle Nachricht informational debug Debug-Nachricht RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 464 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 8.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher permanent zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 465 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: 0..25 (Voreinstellung: 4)
Seite 466 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..25  Das Gerät legt diese Nummer automatisch fest. Dateiname Zeigt den Dateinamen der Log-Datei im externen Speicher. Mögliche Werte: messages ...
Seite 467 Diagnose [ Diagnose > Bericht > System-Log ] 8.6.3 System-Log [ Diagnose > Bericht > System-Log ] Das Gerät protokolliert geräteinterne Ereignisse in einer Log-Datei (System Log). Dieser Dialog zeigt die Log-Datei (System Log). Der Dialog ermöglicht Ihnen, die Log-Datei im HTML-Format auf Ihrem PC zu speichern.
Seite 468 Diagnose [ Diagnose > Bericht > Audit-Trail ] 8.6.4 Audit-Trail [ Diagnose > Bericht > Audit-Trail ] Dieser Dialog zeigt die Log-Datei (Audit Trail). Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Webbrowsers.
Seite 469 Diagnose 8.6.4 Audit-Trail RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 470 Erweitert [ Erweitert > DNS ] 9 Erweitert Das Menü enthält die folgenden Dialoge:  Tracking  Command Line Interface  [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client  DNS-Cache  9.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Seite 471 Erweitert [ Erweitert > DNS > Client > Global ] 9.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Funktion Client ein. Funktion Funktion Schaltet die Funktion ein/aus. Client Mögliche Werte: ...
Seite 472 Erweitert [ Erweitert > DNS > Client > Aktuell ] 9.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 473 Erweitert [ Erweitert > DNS > Client > Statisch ] 9.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, bis zu 4 IP-Adressen festzulegen.
Seite 474 Erweitert [ Erweitert > DNS > Cache ] Adresse Legt die IP-Adresse des DNS-Servers fest. Mögliche Werte: Gültige IPv4-Adresse  Aktiv Aktiviert/deaktiviert die Tabellenzeile. Voraussetzungen: • Im Dialog ist die Funktion DNS client eingeschaltet. Erweitert > DNS > Client > Global •...
Seite 475 Erweitert [ Erweitert > DNS > Cache > Global ] 9.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Funktion Cache ein. Ist die Funktion Cache eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnames an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 476 Erweitert [ Erweitert > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Erweitert > Tracking > Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. •...
Seite 477 Erweitert [ Erweitert > Tracking > Konfiguration ] 9.2.1 Tracking Konfiguration [ Erweitert > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen.
Seite 478 Erweitert [ Erweitert > Tracking > Konfiguration ] Track-ID Legt die Identifikationsnummer des Tracking-Objektes fest. Mögliche Werte: 1..256  Dieser Bereich steht jedem Typ (interface, ping und logical) zur Verfügung. Track-Name Zeigt den Namen des Tracking-Objekts, der sich aus den in Spalte und Spalte ange- Track-ID...
Seite 479 Erweitert [ Erweitert > Tracking > Konfiguration ] Änderungen Zeigt die Anzahl der Zustandsänderungen, seitdem das Tracking-Objekt aktiv ist. Letzte Änderung Zeigt den Zeitpunkt der letzten Zustandsänderung. Trap senden Aktiviert/deaktiviert das Senden eines SNMP-Traps, wenn jemand das Tracking-Objekt aktiviert oder deaktiviert. Mögliche Werte: markiert ...
Seite 480 Erweitert [ Erweitert > Tracking > Konfiguration ] Link-Aggregation-, LRE- und VLAN-Router-Interfaces haben ein negatives Überwachungser- gebnis, wenn die Verbindung jedes aggregierten Ports unterbrochen ist. Ein VLAN-Router-Interface hat ein negatives Überwachungsergebnis, wenn die Verbindung zu jedem physischen Port und Link-Aggregation-Interface, das Mitglied im VLAN ist, unterbrochen ist. Ping-Port Legt für Tracking-Objekte des Typs das Router-Interface fest, über welches das Gerät die...
Seite 481 Erweitert [ Erweitert > Tracking > Konfiguration ] Ankommende Ping-Antworten Legt fest, nach wie vielen empfangenen Antworten das Gerät das Überwachungsergebnis als positiv erkennt. Wenn das Gerät nacheinander sooft wie hier festgelegt eine Antwort auf gesendete ICMP Echo Request-Pakete empfängt, dann zeigt Spalte Status den Wert up.
Seite 482 Erweitert [ Erweitert > Tracking > Konfiguration ] Logischer Operand A Legt für Tracking-Objekte des Typs den ersten Operanden der logischen Verknüpfung logical fest. Mögliche Werte: Eingerichtete Tracking-Objekte  –  Kein Tracking-Objekt des Typs logical. Logischer Operand B Legt für Tracking-Objekte des Typs logical den zweiten Operanden der logischen Verknüpfung fest.
Seite 483 Erweitert [ Erweitert > Tracking > Applikationen ] 9.2.2 Tracking Applikationen [ Erweitert > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 484 Erweitert [ Erweitert > CLI ] Command Line Interface [ Erweitert > CLI ] Dieser Dialog ermöglicht Ihnen, mit dem Command Line Interface auf das Gerät zuzugreifen. Voraussetzungen: • Im Dialog Server, Registerkarte ist der SSH-Server Gerätesicherheit > Management-Zugriff > eingeschaltet.
Seite 485 Erweitert 9.3 Command Line Interface RM GUI EAGLE40-07 Release 4.6 06/2023...
Seite 486 Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............394 802.1D/p-Mapping .
Seite 487 Stichwortverzeichnis Häufig gestellte Fragen ............489 HiDiscovery .
Seite 488 Stichwortverzeichnis Queues ..............297 RADIUS .
Seite 489 Stichwortverzeichnis Warteschlange (Queue) ............297 Watchdog .
Seite 490 Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 491 Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 492 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...
Seite 494 Anwender-Handbuch Konfiguration Industrial Security Router EAGLE40-07 UM Config EAGLE40-07 Technische Unterstützung Release 4.6 06/2023 https://hirschmann-support.belden.com...
Seite 495 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2023 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 496 Inhalt Inhalt Sicherheitshinweise............9 Über dieses Handbuch .
Seite 497 Inhalt Benutzerverwaltung ............54 3.4.1 Berechtigungen .
Seite 498 Inhalt Software-Update aus dem externen Speicher ........102 7.4.1 Manuell –...
Seite 499 Inhalt Netzlaststeuerung ............169 11.1 Gezielte Paketvermittlung .
Seite 500 Inhalt 14.3 Logical-Tracking............. 250 14.4 Tracking konfigurieren .
Seite 501 Inhalt Zugrundeliegende IEEE-Normen ..........295 Zugrundeliegende ANSI-Normen.
Seite 502 Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 503 Sicherheitshinweise UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 504 Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 505 Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 506 Ersetzen eines Geräts Ersetzen eines Geräts Das Gerät bietet die folgenden Plug-and-Play-Lösungen für den Austausch eines Geräts durch ein Gerät desselben Typs, zum Beispiel zur vorbeugenden Wartung oder wenn ein Fehler erkannt wurde. Das neue Gerät lädt das Konfigurationsprofil des ersetzten Geräts vom externen Speicher. ...
Seite 507 Ersetzen eines Geräts UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 508 Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Webbrowser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Seite 509 Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface ermöglicht Ihnen, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten. Als erfahrener Benutzer oder Administrator verfügen Sie über Wissen zu den Grund- lagen und den Einsatz von Hirschmann-Geräten.
Seite 510 Benutzeroberflächen 1.2 Command Line Interface In das Feld Host Name (or IP address) geben Sie die IP-Adresse Ihres Geräts ein.  Die IP-Adresse besteht aus 4 Dezimalzahlen im Wert von bis 255. Die 4 Dezimalzahlen sind durch einen Punkt getrennt. Um den Verbindungstyp auszuwählen, wählen Sie in der Optionsliste das Opti- Connection type...
Seite 511 Benutzeroberflächen 1.2 Command Line Interface Geben Sie das Passwort ein.  Das voreingestellte Passwort ist private. Wenn Sie das voreingestellte Passwort zum ersten Mal eingeben, fordert das Gerät Sie anschließend auf, ein neues Passwort zu vergeben. Drücken Sie die <Enter>-Taste. ...
Seite 512 Benutzeroberflächen 1.2 Command Line Interface Führen Sie die folgenden Schritte aus: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ dazu  verbinden Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken eine beliebige Taste. Alternativ dazu richten Sie die serielle Datenverbindung zum Gerät über die serielle Schnittstelle ...
Seite 513 Benutzeroberflächen 1.2 Command Line Interface Geben Sie das Passwort ein.  Das voreingestellte Passwort ist private. Wenn Sie das voreingestellte Passwort zum ersten Mal eingeben, fordert das Gerät Sie anschließend auf, ein neues Passwort zu vergeben. Drücken Sie die <Enter>-Taste. ...
Seite 514 Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT login logout Die User Exec Kommandos Eingeschränkte sind auch im User Exec Modus Funktion Privileged Exec Modus verfügbar. enable exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen vlan serviceshell...
Seite 515 Benutzeroberflächen 1.2 Command Line Interface Global Config Modus  Der Global Config Modus ermöglicht Ihnen, Modifikationen an der laufenden Konfiguration durchzuführen. In diesem Modus sind allgemeine Setup-Kommandos zusammengefasst. Kommando-Prompt: (EAGLE) (config)# Interface Range Modus  Die Befehle Interface Range Modus wirken sich auf einen bestimmten Port, auf eine ausge- wählte Gruppe von mehreren Ports oder auf alle Ports aus.
Seite 516 Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Kommando Modi, die im jeweiligen Modus sichtbaren Kommando- Prompts (Eingabeaufforderungszeichen) und die Möglichkeit, mit der Sie den Modus beenden. Tab. 2: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus User Exec Erste Zugriffsebene.
Seite 517 Benutzeroberflächen 1.2 Command Line Interface 1.2.5 Ausführen von Kommandos Syntaxanalyse Nach Anmelden mit dem Command Line Interface befinden Sie sich im User Exec Modus. Das Command Line Interface gibt das Prompt auf dem Bildschirm aus. (EAGLE)> Wenn Sie ein Kommando eingeben und die <Eingabetaste> drücken, startet das Command Line Interface die Syntax-Analyse.
Seite 518 Benutzeroberflächen 1.2 Command Line Interface Format der Kommandos Ein Großteil der Kommandos enthält Parameter. Fehlt der Kommando-Parameter, zeigt das Command Line Interface einen Hinweis auf eine erkannte fehlerhafte Syntax des Befehls. Dieses Handbuch stellt die Befehle und Parameter in der Schriftart dar.
Seite 519 Benutzeroberflächen 1.2 Command Line Interface Die folgende Liste zeigt mögliche Parameterwerte innerhalb des Command Line Interface: Tab. 4: Parameterwerte im Command Line Interface Wert Beschreibung IP-Adresse Dieser Parameter stellt eine gültige IPv4-Adresse dar. Die Adresse besteht aus 4 Hexadezimalzahlen vom Wert 0 bis 255. Die 4 Dezimalzahlen sind durch einen Dezimalpunkt getrennt.
Seite 520 Benutzeroberflächen 1.2 Command Line Interface *(Device name)# 1.2.7 Beispiele für Kommandos Beispiel 1: clear arp-table-switch Kommando zum Löschen der ARP-Tabelle des Management-Agenten (Cache). ist die Befehlsbezeichnung. Das Kommando ist ohne weitere Parameter clear arp-table-switch durch Drücken der <Enter>-Taste ausführbar. Beispiel 2: radius server timeout Kommando, um die Zeitüberschreitung des RADIUS Servers zu konfigurieren.
Seite 521 Benutzeroberflächen 1.2 Command Line Interface 1.2.8 Eingabeprompt Kommandomodus Das Command Line Interface zeigt durch das Eingabeprompt, in welchem der Modi Sie sich befinden:  (EAGLE) > User Exec Modus  (EAGLE) # Privileged Exec Modus  (EAGLE) (config)# Global Config Modus ...
Seite 522 Benutzeroberflächen 1.2 Command Line Interface Tab. 6: Verwendung von Wildcards am Eingabeprompt des Command Line Interfaces Wildcard Beschreibung IP-Adresse des Geräts MAC-Adresse des Gerätes Produktbezeichnung des Geräts !(EAGLE)>enable !(EAGLE)#cli prompt %i !192.168.1.5#cli prompt (EAGLE)%d !*(EAGLE)2023-06-19#cli prompt (EAGLE)%d%t !*(EAGLE)2023-06-19 12:27:06#cli prompt %m !*AA:BB:CC:DD:EE:FF# 1.2.9 Tastaturkombinationen...
Seite 523 Benutzeroberflächen 1.2 Command Line Interface Das Help-Kommando listet die möglichen Tastenkombinationen des Command Line Interface auf dem Bildschirm auf: (EAGLE) #help HELP: Special keys: Ctrl-H, BkSp delete previous character Ctrl-A ..go to beginning of line Ctrl-E ..go to end of line Ctrl-F ..
Seite 524 Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein ...
Seite 525 Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Führen Sie dazu die folgenden Schritte aus: Geben Sie ein, um in den Privileged Exec Modus zu wechseln.
Seite 526 Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Service Shell Die Service Shell dient ausschließlich zu Service-Zwecken. Die Service Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen.
Seite 527 Benutzeroberflächen 1.2 Command Line Interface Service Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Geben Sie ein und drücken die <Enter>-Taste.  help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 528 Benutzeroberflächen 1.2 Command Line Interface Geben Sie ein und drücken die <Enter>-Taste.  serviceshell deactivate Um den Aufwand beim Tippen zu reduzieren: – Geben Sie ein und drücken die <Enter>-Taste. – Geben Sie ein und drücken die <Enter>-Taste. Dieser Schritt ist unumkehrbar! ...
Seite 529 Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen  Betriebssystem aktualisieren  Betriebssystem starten  Konfigurationsprofile löschen, Gerät auf Lieferzustand zurücksetzen ...
Seite 530 Benutzeroberflächen 1.3 System-Monitor Führen Sie die folgenden Schritte aus: Verbinden Sie mit Hilfe des Terminal-Kabels die serielle Schnittstelle des Geräts mit dem COM-  Port des PCs. Starten Sie die VT100-Terminalemulation auf dem PC.  Legen Sie folgende Übertragungsparameter fest: ...
Seite 531 Benutzeroberflächen 1.3 System-Monitor UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 532 IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts legen Sie die IP-Parameter fest. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface.  Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
Seite 533 IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry)  Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens)  Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 534 IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
Seite 535 IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste (der ARP-Tabelle) nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 536 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface fest- legen 2.2.1 IPv4 Es gibt folgende Möglichkeiten, die IP-Parameter einzugeben: HiDiscovery-Protokoll  Externer Speicher  Command Line Interface über eine serielle Verbindung  Das Gerät ermöglicht Ihnen, die IP-Parameter über das HiDiscovery-Protokoll oder über die seri- elle Schnittstelle mit Hilfe des Command Line Interfaces festzulegen.
Seite 537 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Geben Sie die IP-Parameter ein.  Lokale IP-Adresse  In der Voreinstellung ist die lokale IP-Adresse 0.0.0.0 Netzmaske  Wenn Sie das Netz in Subnetze aufgeteilt haben und diese mit einer Netzmaske identifi- zieren, geben Sie an dieser Stelle die Netzmaske ein.
Seite 538 Die anderen Parameter konfigurieren Sie komfortabel über die grafische Benutzeroberfläche. Führen Sie die folgenden Schritte aus: Installieren Sie auf Ihrem Rechner das Programm HiDiscovery.  Sie können die Software von https://catalog.belden.com/index.cfm?event=pd&p=PF_HiDisco- very herunterladen. Starten Sie das Programm HiDiscovery.  Abb. 13: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das...
Seite 539 IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen Anmerkung: Schalten Sie die Funktion HiDiscovery im Geräts aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben. Anmerkung: Speichern Sie die Einstellungen, sodass die Eingaben nach einem Neustart wieder zur Verfügung stehen. UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 540 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche fest- legen 2.4.1 IPv4 Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Netz > Global.  In diesem Dialog legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist, und konfigurieren den HiDiscovery-Zugang.
Seite 541 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 542 Zugriff auf das Gerät 3.1 Berechtigungen 3 Zugriff auf das Gerät Berechtigungen Die Funktionen des Gerätes, die Ihnen als Benutzer zur Verfügung stehen, hängen von Ihrer Berechtigungsstufe ab. Der Funktionsumfang einer Berechtigungsstufe ist für Sie verfügbar, wenn Sie als Benutzer mit dieser Berechtigungsstufe angemeldet sind. Die Kommandos, die Ihnen als Benutzer zur Verfügung stehen, sind außerdem abhängig vom Modus des Command Line Interface, in welchem Sie sich gerade befinden.
Seite 543 Passwort zu bestätigen. Melden Sie sich mit Ihrem neuen Passwort erneut an.  Anmerkung: Wenn Sie Ihr Passwort vergessen haben, dann wenden Sie sich an Ihren lokalen Support. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 544 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Authentifizierungs-Listen Wenn ein Benutzer über eine bestimmte Verbindung auf das Gerät zugreift, verifiziert das Gerät die Anmeldedaten des Benutzers in einer Authentifizierungs-Liste, welche die Richtlinien enthält, die das Gerät für die Authentifizierung anwendet. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Seite 545 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Deaktivieren Sie die Authentifizierungs-Liste für diejenigen Anwendungen, über die kein Zugriff  auf das Gerät erfolgt. Heben Sie in Spalte Aktiv der gewünschten Authentifizierungs-Liste die Markierung des  Kontrollkästchens auf. Einstellungen vorläufig anwenden.
Seite 546 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Die Richtlinien radius, lokal reject authlists set-policy loginGUI radius local reject reject reject Authentifizierungs-Liste loginGUI zuweisen. Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Weist der Authentifizierungs-Liste loginGUI eine Anwendung zu.  Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste.
Seite 547 Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie lokal siehe Dialog...
Seite 548 Zugriff auf das Gerät 3.4 Benutzerverwaltung Jedes Benutzerkonto ist mit einer Berechtigung verknüpft, das den Zugriff auf die einzelnen Funk- tionen des Geräts reguliert. Abhängig von der vorgesehenen Tätigkeit des jeweiligen Benutzers weisen Sie ihm eine vordefinierte Berechtigung zu. Das Gerät unterscheidet die folgenden Berech- tigungen.
Seite 549 Zugriff auf das Gerät 3.4 Benutzerverwaltung Tab. 10: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog Diagnose > Bericht > Audit-Trail zu speichern.
Seite 550 Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.3 Voreinstellung Im Lieferzustand ist das Benutzerkonto im Gerät eingerichtet. admin Tab. 11: Voreinstellungen der werkseitig eingerichteten Benutzerkonten Parameter Voreinstellung Benutzername admin Passwort private Rolle administrator unmarkiert Benutzer gesperrt Richtlinien überprüfen unmarkiert SNMP-Authentifizierung hmacmd5 SNMP-Verschlüsselung Ändern Sie das Passwort des Benutzerkontos admin, bevor Sie das Gerät im Netz zugänglich machen.
Seite 551 Zugriff auf das Gerät 3.4 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inac- tive Für das Benutzerkonto <user>...
Seite 552 Zugriff auf das Gerät 3.4 Benutzerverwaltung Für das Benutzerkonto das Prüfen des Pass- USER users password-policy-check USER enable wortes anhand der festgelegten Richtlinien akti- vieren. Damit erzielen Sie eine höhere Komplexität des Passwortes. Für das Benutzerkonto USER das Passwort SECRET users password USER SECRET festlegen.
Seite 553 Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerkonto <user> löschen. users delete <user> Eingerichtete Benutzerkonten anzeigen. show users Einstellungen im permanenten Speicher (nvm) im save „ausgewählten” Konfigurationsprofil speichern. 3.4.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen zu prüfen, ob die Passwörter für die Benutzerkonten der vorgegebenen Richtlinie entsprechen.
Seite 554 Zugriff auf das Gerät 3.4 Benutzerverwaltung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Richtlinie für die Mindestlänge des Passworts fest- passwords min-length 6 legen. Richtlinie für die Mindestanzahl von Kleinbuch- passwords min-lowercase-chars 1 staben im Passwort festlegen. Richtlinie für die Mindestanzahl von Ziffern im passwords min-numeric-chars 1 Passwort festlegen.
Seite 555 Zugriff auf das Gerät 3.5 Funktion LDAP Funktion LDAP Server-Administratoren verwalten Active Directories, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Seite 556 Zugriff auf das Gerät 3.5 Funktion LDAP 3.5.2 Beispiel-Konfiguration Das Gerät ist in der Lage, eine verschlüsselte Verbindung zu einem lokalen Server ausschließlich über den Server-Namen oder zu einem Server in einem anderen Netz über eine IP-Adresse herzu- stellen. Der Server-Administrator verwendet Attribute zur Identifizierung der Anmeldedaten eines Benutzers und für die Zuordnung von individuellen Berechtigungsstufen und Gruppenberechti- gungsstufen.
Seite 557 Zugriff auf das Gerät 3.5 Funktion LDAP Der Eintrag ist optional. Wenn festgelegt, geben Benutzer ihren Benutzer- Bind-Benutzer  namen ein, um sich anzumelden. Der Dienstbenutzer kann jede Person mit Anmeldedaten sein, die im Active Directory unter dem in Spalte festgelegten Attribut Benutzername-Attribut aufgeführt sind.
Seite 558 Zugriff auf das Gerät 3.5 Funktion LDAP Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Geben Sie die vom Server-Administrator erhaltenen Werte für die Zugriffsrolle administ- rator ein. Um die Tabellenzeile zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv. Öffnen Sie den Dialog Gerätesicherheit >...
Seite 559 Zugriff auf das Gerät 3.6 SNMP-Zugriff SNMP-Zugriff Das Simple Network Management Protocol (SNMP) ermöglicht Ihnen, mit einem Netzmanage- mentsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.6.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Seite 560 Zugriff auf das Gerät 3.6 SNMP-Zugriff Um die SNMPv3-Parameter des Benutzerkontos an die Einstellungen im Netzmanagementsystem anzupassen, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Benutzerverwaltung.  Der Dialog zeigt die eingerichteten Benutzerkonten. Klicken Sie in der Tabellenzeile des betreffenden Benutzerkontos in das Feld SNMP- ...
Seite 561 Zugriff auf das Gerät 3.6 SNMP-Zugriff UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 562 VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 563 VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus  Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
Seite 564 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange IKE – Internet Key Exchange IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
Seite 565 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange 4.2.3 Zertifikat mit OpenSSL erzeugen Die Verwendung von OpenSSL ermöglicht Ihnen, ein Serverzertifikat zu erzeugen und zu signieren, das für die VPN-Authentifizierung verwendet wird. Vorraussetzung: Auf einem Windows-System benötigen Sie einen Texteditor, der Unix-Zeilenum- brüche korrekt behandelt, zum Beispiel die Anwendung Notepad++.
Seite 566 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange Die OpenSSL-Anwendung ermöglicht Ihnen außerdem, andere Zertifikatstypen zu erzeugen. Um die möglichen Zertifikatstypen anzuzeigen, öffnen Sie die Anwendung openssl.exe Verzeichnis c:\OpenSSL\bin, und geben Sie im Fenster das Zeichen ein. Command Prompt Um eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erzeugen und zu ...
Seite 567 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Anwendungsbeispiele Die folgenden Beispiele beschreiben die Besonderheiten in häufig verwendeten Anwendungen. 4.3.1 2 Subnetze miteinander verbinden In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, konfigurieren Sie das VPN dahingehend, dass das VPN im Tunnelmodus betrieben wird.
Seite 568 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Führen Sie die folgenden Schritte aus: Erzeugen Sie eine VPN-Verbindung.  Öffnen Sie den Dialog Virtual Private Network > Verbindungen.  Klicken Sie die Schaltfläche  Die Tabelle zeigt die VPN-Verbindungen, die bereits auf dem Gerät Create or select entry verfügbar sind.
Seite 569 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Legen Sie im Dialog die folgenden Einstellungen fest: Add traffic selector  Den Wert in Spalte Traffic selector index  Das Gerät gibt die Index-Nummer ein und ermöglicht Ihnen außerdem, die Index- Nummer zu ändern. Den Wert Any Traffic in Spalte...
Seite 570 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Geben Sie die IKE-Schlüsselaustauschparameter ein.  Das Gerät verwendet die im Dialog festgelegten Werte. In diesem Advanced configuration Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen lautet die Voreinstellung für das Feld 540 s.
Seite 571 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 572 Die Systemzeit im Netz synchronisieren 5.1 Uhrzeit einstellen 5 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: •...
Seite 573 Die Systemzeit im Netz synchronisieren 5.1 Uhrzeit einstellen In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Systemzeit des Geräts einstellen. clock set <YYYY-MM-DD> <HH:MM:SS> Differenz in Minuten zwischen der Ortszeit und der clock timezone offset <-780..840> empfangenen koordinierten Weltzeit (UTC) eingeben.
Seite 574 Die Systemzeit im Netz synchronisieren 5.2 Sommerzeit automatisch umschalten Sommerzeit automatisch umschalten Wenn Sie das Gerät in einer Zeitzone mit Sommerzeitumstellung betreiben, ermöglicht Ihnen das Gerät, die Sommerzeitumstellung automatisch durchzuführen. Wenn der Sommerzeit-Modus eingeschaltet ist, stellt das Gerät während der Sommerzeit seine Ortszeit um eine Stunde vor.
Seite 575 Die Systemzeit im Netz synchronisieren 5.2 Sommerzeit automatisch umschalten Sommerzeit Ende – Woche letzte – Sonntag – Monat Oktober – 03:00 Systemzeit Führen Sie zu diesem Zweck die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen, Registerkarte Sommerzeit. Zeit > ...
Seite 576 Die Systemzeit im Netz synchronisieren 5.3 NTP Das Network Time Protocol (NTP) ermöglicht Ihnen, die Systemzeit im Netz zu synchronisieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schicht bezeichnet werden.
Seite 577 Die Systemzeit im Netz synchronisieren 5.3 NTP Tab. 12: Einstellungen für das Beispiel Gerät 192.168.1.2 192.168.1.3 192.168.1.4 Rahmen Nur Client Client Modus unicast Rahmen Client und Server Server Modus client-server client-server 192.168.43.17 192.168.1.2 192.168.43.17 ServerAdresse Schalten Sie die Funktion auf denen Geräten ein, deren Zeit Sie mittels NTP einstellen ...
Seite 578 Die Systemzeit im Netz synchronisieren 5.3 NTP Für Switch 2:  Legen Sie in Spalte den Wert fest. Adresse 192.168.1.2 Um die Tabellenzeile zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche ...
Seite 579 Die Systemzeit im Netz synchronisieren 5.3 NTP UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 580 Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 581 Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6.1.2 Externer Speicher (ACA) und nichtflüchtiger Speicher (NVM) Sie können erkennen, ob die Einstellungen des „ausgewählten“ Konfigurationsprofils (ACA) im externen Speicher von den Einstellungen des „ausgewählten“ Konfigurationsprofils im perma- nenten Speicher (NVM) abweichen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 582 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Einstellungen speichern 6.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 583 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Die im permanenten Speicher (nvm) enthaltenen show config profiles nvm Konfigurationsprofile anzeigen. In den Privileged-EXEC-Modus wechseln. enable Aktuelle Einstellungen im Konfigurationsprofil mit copy config running-config nvm profile <string> der Bezeichnung <string> im permanenten Spei- cher (nvm) speichern. Wenn vorhanden, über- schreibt das Gerät ein namensgleiches Konfigurationsprofil.
Seite 584 Konfigurationsprofile verwalten 6.2 Einstellungen speichern 6.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Speicher. In der Voreinstellung ist Ausgewählter externer die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 585 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Exportieren Sie das Konfigurationsprofil auf einen Remote-Server. Führen Sie dazu die folgenden Schritte aus: Klicken Sie die Schaltfläche und dann den Eintrag Exportieren.. Der Dialog zeigt das Fenster Exportieren..Legen Sie im Feld die URL der Datei auf dem Remote-Server fest. ...
Seite 586 Konfigurationsprofile verwalten 6.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 6.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Seite 587 Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Vergewissern Sie sich, dass das Gerät beim Systemstart ein Konfigurationsprofil aus dem  externen Speicher lädt. In der Voreinstellung ist die Funktion eingeschaltet. Wenn die Funktion ausgeschaltet ist, schalten Sie sie wie folgt wieder ein: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 588 Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Laden/Speichern.  Klicken Sie die Schaltfläche und dann den Eintrag Importieren.. Der Dialog zeigt das Fenster Importieren..Wählen Sie in der Dropdown-Liste den Speicherort aus, von dem das Gerät Select source ...
Seite 589 Konfigurationsprofile verwalten 6.3 Einstellungen laden In den Privileged-EXEC-Modus wechseln. enable Konfigurationsprofil-Einstellungen von einem copy config remote sftp:// <user name>:<password>@<IP_address>/ SFTP-Server importieren und anwenden. <path>/<file_name> running-config Das Gerät kopiert die Einstellungen in den flüch- tigen Speicher und trennt die Verbindung zum Command Line Interface.
Seite 590 Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Gerät auf Lieferzustand zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 591 Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste.  Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM). Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Speicher gespeicherten Konfigurationsprofile.
Seite 592 Neueste Software laden 7.1 Frühere Software-Version laden 7 Neueste Software laden Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com.
Seite 593 Neueste Software laden 7.2 Software-Update vom PC Software-Update vom PC Voraussetzung ist, dass die Image-Datei der Geräte-Software auf einem Datenträger gespeichert ist, den Sie von Ihrem PC aus erreichen. Führen Sie die folgenden Schritte aus: Öffnen Sie das Verzeichnis, in dem die Image-Datei der Geräte-Software gespeichert ist. ...
Seite 594 Neueste Software laden 7.3 Software-Update von einem Server Software-Update von einem Server Für ein Software-Update mit SFTP oder SCP benötigen Sie einen Server, auf dem die Image-Datei der Geräte-Software abgelegt ist. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 595 Neueste Software laden 7.4 Software-Update aus dem externen Speicher Software-Update aus dem externen Speicher 7.4.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software mit wenigen Mausklicks zu aktualisieren. Voraus- setzung ist, dass sich die Image-Datei der Geräte-Software im externen Speicher befindet. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 596 Neueste Software laden 7.4 Software-Update aus dem externen Speicher Starten Sie das Gerät neu.  Während des Boot-Vorgangs prüft das Gerät automatisch folgende Kriterien: – Ist ein externer Speicher angeschlossen? – Befindet sich im Hauptverzeichnis des externen Speichers eine Datei startup.txt? –...
Seite 597 Neueste Software laden 7.4 Software-Update aus dem externen Speicher UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 598 Ports konfigurieren 8.1 Port ein-/ausschalten 8 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten  Betriebsart wählen  Hardware-LAN-Bypass  Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 599 Ports konfigurieren 8.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Automatische Konfiguration. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Port, Registerkarte Konfiguration. Grundeinstellungen >...
Seite 600 Ports konfigurieren 8.3 Hardware-LAN-Bypass Hardware-LAN-Bypass Der Hardware-LAN-Bypass dient dazu, die Datenkommunikation bei einem Stromausfall oder im Fehlerfall aufrechtzuerhalten. • Wenn der Hardware-LAN-Bypass inaktiv ist, sind die Ports mit den geräteinternen Ports verbunden. Das Gerät vermittelt die Datenpakete ganz normal von und zu den Ports und 1/2.
Seite 601 Ports konfigurieren 8.3 Hardware-LAN-Bypass Status für den System-off-Bypass anzeigen. show hardware systemoff-bypass Systemoff hardware LAN By-Pass Information --------------------- Operation State......enabled Einstellungen im permanenten Speicher (NVM) im save „ausgewählten” Konfigurationsprofil speichern. System-off-Bypass ausschalten Den System-off-Bypass schalten Sie mittels Command Line Interface aus. Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln.
Seite 602 Ports konfigurieren 8.3 Hardware-LAN-Bypass Status für den Run-time-Bypass anzeigen. show hardware runtime-bypass Run-time hardware LAN By-Pass Information --------------------- Operation State......enabled Einstellungen im permanenten Speicher (NVM) im save „ausgewählten” Konfigurationsprofil speichern. Run-time-Bypass ausschalten Den Run-time-Bypass schalten Sie mittels Command Line Interface aus. Verwenden Sie die seri- elle Verbindung oder einen anderen Ports als und 1/2, um auf das Management des Geräts zuzugreifen.
Seite 603 Ports konfigurieren 8.3 Hardware-LAN-Bypass UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 604 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.1 SNMPv1/v2-Community ändern 9 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Seite 605 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Seite 606 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Seite 607 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Seite 608 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren IP-Zugriffsbeschränkung aktivieren In der Voreinstellung erreichen Sie das Management des Geräts von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle. Die IP-Zugriffsbeschränkung ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf ausgewählte IP-Adressbereiche und auf ausgewählte IP-basierte Protokolle zu beschränken.
Seite 609 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren In den Privileged-EXEC-Modus wechseln. enable Zeigen, ob die IP-Zugriffsbeschränkung einge- show network management access global schaltet oder ausgeschaltet ist. Eingerichtete Einträge anzeigen. show network management access rules IP-Zugriffsbeschränkung ausschalten. no network management access operation Eintrag für den Adressbereich des Firmennetzes network management access add 2 erzeugen.
Seite 610 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität eines angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: Command Line Interface: Sessions über eine SSH-Verbindung ...
Seite 611 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Web.  Legen Sie im Rahmen Konfiguration, Feld Web-Interface Session-Timeout [min] die Timeout- ...
Seite 612 Datenverkehr kontrollieren 10 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 613 Datenverkehr kontrollieren 10.1 Asset 10.1 Asset Ein Asset repräsentiert ein physisches Gerät, zum Beispiel eine SPS (Speicherprogrammierbare Steuerung), einen Computer oder ein Gerät im Netz. Ein Asset kann auch ein virtuelles Objekt repräsentieren, zum Beispiel einen Multicast-Adressbereich oder eine Multicast-Adresse. Assets bieten Flexibilität beim Erstellen und Pflegen von Paketfilter-Regeln.
Seite 614 Datenverkehr kontrollieren 10.1 Asset In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Ein Asset erzeugen. asset add 1 name corporate-unity-pro type controller model unity-pro tag • asset add 1 corporate ip-address 192.168.112.5 Asset mit Index = hinzufügen. • name corporate-unity-pro Name festlegen.
Seite 615 Datenverkehr kontrollieren 10.2 Protokoll 10.2 Protokoll Protokolle definieren die einzelnen Dienste, mit denen die Kommunikation zwischen Geräten im Netz erfolgt. Das Gerät verfügt über mehrere vordefinierte Protokolle, die in zahlreichen industri- ellen Systemen zum Einsatz kommen. In bestimmten Fällen kann es jedoch erforderlich sein, neue Protokolle für bestimmte Geräte oder Situationen zu erzeugen.
Seite 616 Datenverkehr kontrollieren 10.2 Protokoll In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Ein benutzerdefiniertes Protokoll erzeugen. protocol add 1 name my-protocol protocol-type tcp port 200 • protocol add 1 Protokoll mit Index = hinzufügen. • name my-protocol Name festlegen.
Seite 617 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus 10.3 Paketfilter – Routed-Firewall-Modus 10.3.1 Beschreibung Der Routed-Firewall-Modus-Paketfilter (Schicht 3) enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen routenden Ports anwendet. Die Filterung beinhaltet naturgemäß das Prüfen und Bewerten des Datenstroms. Das Gerät enthält eine Stateful Firewall. Eine Stateful Fire- wall zeichnet den Status der Verbindungen auf, welche die Firewall durchlaufen.
Seite 618 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Tab. 14: Mögliche Eingaben in Spalte Parameter Eingabe Bedeutung Diese Regel trifft auf jedes Paket zu, das aus neuen oder bereits state=new|est bestehenden Verbindungen stammt. Diese Regel trifft nur auf Pakete mit dem ICMP-Typ 5 zu. type=5 Diese Regel trifft nur auf Pakete zu, bei denen das Flag SYN gesetzt flags=syn...
Seite 619 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Anmerkung: Um die Information aus der State-Tabelle der Firewall zu löschen, klicken Sie im Dialog die Schaltfläche Grundeinstellungen > Neustart Firewall-Tabelle leeren. 10.3.2 Anwendungsbeispiel Die Abbildung zeigt einen typischen Anwendungsfall: Eine Fertigungssteuerung möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist.
Seite 620 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Legen Sie für die Regel die folgenden Einstellungen fest:  Den Wert oder in Spalte 10.0.2.17 10.0.2.17/32 Quell-Adresse  Den Wert in Spalte Quell-Port  Den Wert 10.0.1.5 oder 10.0.1.5/32 in Spalte Ziel-Adresse  Den Wert in Spalte Ziel-Port...
Seite 621 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Erzeugen Sie Regeln für zu sendende IP-Pakete. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel.  Erzeugen Sie eine Regel drop everything, die jedes IP-Paket verwirft. ...
Seite 622 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus 10.4 Paketfilter – Transparent-Firewall-Modus 10.4.1 Beschreibung Der Transparent-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen nicht-routenden Ports oder VLAN-Interfaces anwendet. Der Transparent- Firewall-Modus-Paketfilter wertet jedes Datenpaket, das die Firewall durchläuft, anhand des Verbin- dungsstatus wie unten beschrieben aus: •...
Seite 623 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Transparent-Firewall-Modus Paketfilter folgt einem zweistufigen Konzept zur Aktivierung neu erstellter oder geänderter Regeln. Wenn Sie die Schaltfläche klicken, speichert das Gerät die in der Tabelle enthaltenen Regeln flüchtig im Cache. Um die Regeln auf den Datenstrom anzu- wenden, klicken Sie im Dialog die Schalt- Netzsicherheit >...
Seite 624 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Führen Sie die folgenden Schritte aus: Erstellen Sie eine IP-Regel für Endgerät B.  Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel.  Klicken Sie die Schaltfläche  Das Gerät erzeugt eine Regel. Legen Sie für die Regel die folgenden Einstellungen fest: ...
Seite 625 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Regel für den Transparent-Firewall-Modus-Paketfilter packet-filter l2 rule add 1 action accept src-ip 10.0.1.11 dest-ip erzeugen. 10.0.1.158 ethertype ipv4 description • packet-filter l2 rule add 1 accept ipv4 dev b to dev a Transparent-Firewall-Modus-Paketfilter-Regel mit Index =...
Seite 626 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Eintrag kommend, um die Regel für Richtung ...
Seite 627 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Beispiel 2 In diesem Beispiel möchte der Administrator des Netzes die Datenpakete von den Computern B und C zu Computer A auf Grundlage der MAC-Adresse der Geräte akzeptieren. Die Firewall trennt Computer A vom Firmennetz. Die Firewall hilft dabei, Zugriffe zwischen Computer A und dem rest- lichen Firmennetz zu unterbinden.
Seite 628 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste Port/VLAN den Port 1/1.  Wählen Sie in der Dropdown-Liste Richtung den Eintrag kommend, um die Regel für ...
Seite 629 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Regel für den Transparent-Firewall-Modus-Paketfilter packet-filter l2 rule add 1 action accept src-mac 10:22:33:44:55:66 dest- erzeugen. mac 10:22:33:44:55:99 ethertype • packet-filter l2 rule add 1 vlan8021q vlan 10 description accept Transparent-Firewall-Modus-Paketfilter-Regel mit mac dev b to dev a...
Seite 630 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Eintrag kommend, um die Regel für Richtung ...
Seite 631 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken 10.5 Unterstützung beim Schutz vor DoS-Attacken Denial-of-Service (DoS) ist ein Cyber-Angriff, der darauf abzielt, bestimmte Dienste oder Geräte funktionsunfähig zu machen. Sowohl Angreifer als auch Netzwerkadministratoren können mit der Port-Scan-Methode offene Ports in einem Netzwerk aufspüren, um verwundbare Geräte zu finden. Die Funktion unterstützt Sie beim Schutz des Netzes vor ungültigen oder gefälschten Datenpa- keten, die auf bestimmte Dienste oder Geräte abzielen.
Seite 632 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken In der Voreinstellung ist die Funktion Null-Scan-Filter ausgeschaltet. Um die Funktion Null-Scan-Filter zu aktivieren, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DoS > Global.  Aktivieren Sie die Funktion Null-Scan-Filter. Markieren Sie dazu im Rahmen TCP/UDP ...
Seite 633 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion SYN/FIN-Filter aktivieren Bei der SYN/FIN-Methode sendet die angreifende Station Datenpakete, bei denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind. Das Gerät verwendet die Funktion SYN/FIN-Filter, um empfangene Datenpakete zu verwerfen, in denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind.
Seite 634 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion TCP-SYN-Protection aktivieren Bei der TCP SYN-Methode sendet die angreifende Station Datenpakete, in denen das TCP-Flag SYN gesetzt ist und bei denen der L4- (Schicht 4-) Quell-Port <1024 ist. Das Gerät verwendet die Funktion TCP-SYN-Protection, um eingehende Datenpakete zu verwerfen, in denen das TCP-Flag SYN gesetzt ist und bei denen der L4- (Schicht 4-) Quell-Port <1024 ist.
Seite 635 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion Min.-Header-Size-Filter aktivieren Das Gerät verwendet die Funktion Min.-Header-Size-Filter, um den TCP-Header von empfangenen Datenpaketen zu prüfen. Das Gerät verwirft das Datenpaket, wenn (Daten-Offset-Wert × 4) < minimale TCP-Header-Größe ist. Die Funktion erkennt empfangene Datenpakete mit den folgenden Eigen- Min.-Header-Size-Filter schaften:...
Seite 636 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion aktivieren. Land-Attack-Filter dos ip-land enable Funktion deaktivieren. Land-Attack-Filter no dos ip-land disable Funktion IP-Source-Route verwerfen deaktivieren Das Gerät verwendet die Funktion verwerfen, um die empfangenen IP-Datenpakete IP-Source-Route zu filtern, bei denen die Option Strict Source Routing oder Loose Source Routing gesetzt ist.
Seite 637 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion Fragmentierte Pakete filtern aktivieren Das Gerät verwendet die Funktion filtern, um das Netzwerk vor angreifenden Fragmentierte Pakete Stationen zu schützen, die fragmentierte ICMP-Pakete senden. Fragmentierte ICMP-Pakete können eine Fehlfunktion des Zielgeräts verursachen, wenn das Zielgerät die fragmentierten ICMP-Pakete falsch verarbeitet.
Seite 638 Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection 10.6 Funktion Deep Packet Inspection Die Funktion (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz des Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die Funktion untersucht Datenpakete auf unerwünschte Merkmale und Protokollverletzungen.
Seite 639 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Das Protokoll Modbus ist im Bereich der Automatisierung weit verbreitet. Das Protokoll basiert auf Funktionscode, den Kommandos.  Einige der ermöglichen Ihnen, Register- oder Coil-Adressbereiche festzulegen. Funktionscode ...
Seite 640 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil erzeugen Für den im Anwendungsbeispiel beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit Modbus den oben genannten Werten und dem Namen my-modbus. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 641 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil auf den Datenstrom anwenden Führen Sie den folgenden Schritt aus: Klicken Sie die Schaltfläche  Enforcer-Profile anwenden. Modbus dpi modbus commit UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 642 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer 10.8 Funktion Deep Packet Inspection - OPC Enforcer OLE for Process Control (OPC) ist ein Integrationsprotokoll für industrielle Umgebungen. Die Funk- tion dient der Sicherheit im Netz. Das Gerät blockiert Datenpakete, die gegen die fest- OPC Enforcer gelegten Profile verstoßen.
Seite 643 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer OPC Enforcer-Profil erzeugen Für den im Anwendungsbeispiel beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit den oben genannten Werten und dem Namen my-opc. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 644 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer OPC Enforcer-Profil auf den Datenstrom anwenden Führen Sie den folgenden Schritt aus: Klicken Sie die Schaltfläche  Enforcer-Profile anwenden. dpi opc commit UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 645 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Das Protokoll DNP3 (Distributed Network Protocol v3) umfasst Multiplexing, Fehlerprüfung, Verbin- dungssteuerung, Priorisierung und Schicht-2-Adressierungsdienste für die Benutzerdaten. Das Protokoll basiert auf dem Profil, das Funktionscode-Liste, Objekte und Kommandos ...
Seite 646 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Der Netzadministrator möchte, dass das Gerät Datenpakete vom DNP3-Master an den DNP3- Client (Outstation) weiterleitet. Die Datenpakete enthalten folgende Funktionscodes und Objekte: Funktionscode-Liste:  – 1 (Read) – 2 (Write) –...
Seite 647 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Erzeugen Sie die Objekte und wenden Sie diese auf das Enforcer-Profil an. Führen DNP3  Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > DNP3 Enforcer > Objekt.
Seite 648 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer DNP3 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > DNP3 Enforcer > Profil.  Markieren Sie das Kontrollkästchen in Spalte Profil aktiv. ...
Seite 649 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer Die Funktion IEC104 Enforcer aktiviert die Firewall-Funktionen der Deep Packet Inspection (DPI) für den IEC104-Datenstrom. Das Protokoll basiert auf einem Profil, das folgende Parameter enthält: Type-IDs ...
Seite 650 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil erzeugen Für den im Anwendungsbeispiel beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit IEC104 den oben genannten Werten und dem Namen my-iec104. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 651 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche  aktivieren. IEC104 Enforcer-Profil dpi iec104 enable 1 Nach dem Aktivieren des Profils hilft das Gerät, Änderungen an dem Profil zu verhindern.
Seite 652 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11.1 Beschreibung Die Funktion AMP Enforcer unterstützt das Common ASCII Message Protocol (CAMP) und das Non- Intelligent Terminal Protocol (NITP) mittels Transmission Control Protocol (TCP). Die Funktion wendet die Deep Packet Inspection (DPI) auf den CAMP- und NITP-Datenstrom an.
Seite 653 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11.2 Funktion Program and Mode Protect Das Gerät verwendet die Funktion Protect, um Datenpakete zu vermitteln oder zu Program and Mode verwerfen, die Taskcodes mit dem Modus enthalten. Die Taskcodes mit dem Modus config config sind Kommando- oder Antwortmeldungen.
Seite 654 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer Profil für Datenpakete einrichten (camp) Der Administrator des Netzes möchte, dass das Gerät Datenpakete von der AMP-Leitstelle (Client) an die SPS (Server) weiterleitet. Die Datenpakete enthalten folgende Merkmale: camp Protokoll  Message-Typ: ...
Seite 655 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Enforcer-Profil erzeugen. dpi amp profile add 1 description accept-camp protocol camp message-type • dpi amp profile add 1 04,06 address-class 0001,0004 memory- Enforcer-Profil mit Index = hinzufügen.
Seite 656 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer Zu dem oben beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit den oben genannten Werten und dem Namen accept-nitp. Führen Sie die folgenden Schritte aus: Enforcer-Profil erzeugen.  Öffnen Sie den Dialog Netzsicherheit >...
Seite 657 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion deaktivieren. Program and Mode Protect no dpi amp protect-mode Einen benutzerspezifischen Taskcode erzeugen. dpi amp task-code add 9B description modify-configuration •...
Seite 658 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Das Ethernet Industrial Protocol (ENIP) ist ein Teil des Common Industrial Protocol (CIP). Das Common Industrial Protocol (CIP) definiert die Objektstruktur und beschreibt die Nachrichtenüber- tragung.
Seite 659 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Der Administrator des Netzes möchte, dass das Gerät Datenpakete von der ENIP-Leitstelle (Server) an die SPS (Client) weiterleitet. Die Datenpakete enthalten folgende Merkmale: Funktionstyp advanced  Spalte = markiert Embedded PCCC zulassen ...
Seite 660 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Enforcer-Profil erzeugen. ENIP dpi enip profile add 1 description my- enip function-type advanced def-list 6 • dpi enip profile add 1 wildcard-list 0x01 allow-emb-pccc Enforcer-Profil mit Index hinzufügen.
Seite 661 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Enforcer-Profile anwenden. ENIP dpi enip profile commit ENIP Enforcer-Profile anzeigen. show dpi enip profiletable Enforcer-Objekte anzeigen. ENIP show dpi enip objecttable UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 662 Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, die Ihnen helfen können, die Netzlast zu redu- zieren: Gezielte Paketvermittlung  Lastbegrenzung  Priorisierung - QoS  Flusskontrolle  11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete.
Seite 663 Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (FDB) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 664 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure MAC-Adressfilter erzeugen, bestehend aus mac-filter <MAC address> <VLAN ID> MAC-Adresse und VLAN-ID. In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln. Dem Port einen bereits erzeugten MAC-Adress- mac-filter <MAC address>...
Seite 665 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln. Auf dem Port die Zuweisung des MAC-Adressfil- no mac-filter <MAC address> <VLAN ID> ters aufheben. In den Konfigurationsmodus wechseln. exit MAC-Adressfilter löschen, bestehend aus no mac-filter <MAC address>...
Seite 666 Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt für einen stabilen Betrieb auch bei hohem Datenaufkommen, indem sie die Menge der Datenpakete auf den Ports begrenzt. Die Lastbegrenzung erfolgt indivi- duell für jeden Port sowie getrennt für eingehende und ausgehende Datenpakete. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Seite 667 Netzlaststeuerung 11.3 QoS/Priorität 11.3 QoS/Priorität QoS (Quality of Service) ist ein in IEEE 802.1D beschriebenes Verfahren, mit dem Sie die Ressourcen im Netz verteilen. QoS ermöglicht Ihnen, Daten der wichtigsten Anwendungen zu prio- risieren. Die Priorisierung vermeidet insbesondere bei starker Netzlast, dass Datenpakete mit geringerer Priorität verzögerungsempfindliche Datenpakete stören.
Seite 668 Netzlaststeuerung 11.3 QoS/Priorität Das Gerät wertet bei Datenpaketen mit VLAN-Tags folgende Informationen aus: Prioritätsinformation  VLAN-Tag, sofern VLANs eingerichtet sind  4 Octets Abb. 31: Aufbau des VLAN-Tag Ein Datenpaket, dessen VLAN-Tag eine Prioritätsinformation, aber keine VLAN-Information (VLAN-Kennung = 0) enthält, bezeichnet man als „Priority Tagged Frame“. Anmerkung: Netzprotokolle und Redundanzmechanismen nutzen die höchste Verkehrsklasse 7.
Seite 669 Netzlaststeuerung 11.3 QoS/Priorität VLAN-Priorität einer Verkehrsklasse zuweisen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Switching > QoS/Priority > 802.1D/p Zuweisung.  Um einer VLAN-Priorität eine Verkehrsklasse zuzuweisen, fügen Sie in Spalte Traffic-  den betreffenden Wert ein. Klasse Einstellungen vorläufig anwenden.
Seite 670 Netzlaststeuerung 11.4 Flusskontrolle 11.4 Flusskontrolle Wenn in der Warteschlange eines Ports sehr viele Datenpakete gleichzeitig eintreffen, dann führt dies möglicherweise zum Überlaufen des Port-Speichers. Dies geschieht zum Beispiel, wenn das Gerät Daten auf einem Gigabit-Port empfängt und diese an einen Port mit niedrigerer Bandbreite weiterleitet.
Seite 671 Netzlaststeuerung 11.4 Flusskontrolle 11.4.2 Flusskontrolle bei Vollduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Vollduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät eine Aufforderung an Arbeitsstation 2, beim Senden eine kleine Pause einzulegen. 11.4.3 Flusskontrolle einrichten Führen Sie die folgenden Schritte aus:...
Seite 672 VLANs 12.1 Beispiele für ein VLAN 12 VLANs Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basieren zusätzlich auf logi- schen (statt ausschließlich physischen) Verbindungen zwischen Netzteilnehmern.
Seite 673 VLANs 12.1 Beispiele für ein VLAN 12.1.1 Beispiel 1 Das Beispiel zeigt eine minimale VLAN-Konfiguration (Port-basiertes VLAN). Ein Administrator hat an einem Vermittlungsgerät mehrere Endgeräte angeschlossen und diese 2 VLANs zugewiesen. Dies unterbindet wirksam jeglichen Datenverkehr zwischen verschiedenen VLANs; deren Mitglieder kommunizieren ausschließlich innerhalb ihres eigenen VLANs.
Seite 674 VLANs 12.1 Beispiele für ein VLAN Führen Sie die folgenden Schritte aus: VLAN einrichten  Öffnen Sie den Dialog Switching > VLAN > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld den Wert fest.
Seite 675 VLANs 12.1 Beispiele für ein VLAN Legen Sie in Spalte die VLAN-ID des zugehörigen VLANs fest: Port-VLAN-ID  oder Da Endgeräte in der Regel keine Datenpakete mit Tag interpretieren, legen Sie für die  Endgeräte-Ports in Spalte den Wert fest. Akzeptierte Datenpakete admitAll Einstellungen vorläufig anwenden.
Seite 676 VLANs 12.1 Beispiele für ein VLAN 12.1.2 Beispiel 2 Das zweite Beispiel zeigt eine komplexere Konfiguration mit 3 VLANs (1 bis 3). Zusätzlich zu dem schon bekannten Switch aus Beispiel 1 verwenden Sie einen 2. Switch (im Beispiel rechts gezeichnet). VLAN Management Station (optional)
Seite 677 VLANs 12.1 Beispiele für ein VLAN Tab. 19: Ingress-Tabelle Gerät rechts Endgerät Port Port VLAN Identifer (PVID) Uplink Tab. 20: Egress-Tabelle Gerät links VLAN-ID Port Tab. 21: Egress-Tabelle Gerät rechts VLAN-ID Port Die Kommunikationsbeziehungen sind hierbei wie folgt: Endgeräte an Port 1 und 4 des linken Geräts sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 678 VLANs 12.1 Beispiele für ein VLAN Klicken Sie die Schaltfläche Ok.  Legen Sie für das VLAN den Namen fest: VLAN2  Doppelklicken Sie in Spalte und legen den Namen fest. Name Ändern Sie für VLAN den Wert in Spalte Default auf VLAN1.
Seite 679 VLANs 12.1 Beispiele für ein VLAN Legen Sie für den Uplink-Port in Spalte den Wert Akzeptierte Datenpakete admitOnlyVlan-  fest. Tagged Markieren Sie für den Uplink-Port das kontrollkästchen in Spalte Ingress-Filtering, um  VLAN-Tags auf diesem Port auszuwerten. Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche ...
Seite 680 VLANs 12.1 Beispiele für ein VLAN In den Konfigurationsmodus wechseln. exit In den Privileged-EXEC-Modus wechseln. exit Details zu VLAN anzeigen. show vlan id 3 VLAN ID......3 VLAN Name....VLAN3 VLAN Type....Static VLAN Creation Time...0 days, 00:07:47 (System Uptime) VLAN Routing....disabled Interface Current Configured Tagging...
Seite 681 VLANs 12.1 Beispiele für ein VLAN UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 682 Routing 13.1 Konfiguration 13 Routing 13.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten des Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Seite 683 Routing 13.2 Routing - Grundlagen 13.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren;  eine gemeinsame Basis für die Entwicklung von weiteren Standards für offene Systeme zur ...
Seite 684 Routing 13.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist er in der Lage, durch die systematische Vergabe von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 193 „CIDR”).
Seite 685 Routing 13.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und verschickt die Daten.
Seite 686 Routing 13.2 Routing - Grundlagen Anmerkung: Die Funktion 1:1-NAT ermöglicht Ihnen außerdem, die Geräte in ein größeres L3-Netz zu integrieren. 13.2.2 CIDR Die ursprüngliche Klasseneinteilung der IP-Adressen sah nur 3 für Anwender nutzbare Adress- klassen vor. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Tab.
Seite 687 Routing 13.2 Routing - Grundlagen 13.2.3 Multinetting Multinetting ermöglicht Ihnen, mehrere Subnetze an einem Routerport anzuschließen. Multinetting bietet sich als Lösung an, wenn Sie bestehende Subnetze innerhalb eines physischen Mediums mit einem Router verbinden wollen. In diesem Fall können Sie mit Multinetting dem Router-Inter- face, an dem Sie das physische Medium anschließen, mehrere IP-Adressen für die unterschiedli- chen Subnetze zuweisen.
Seite 688 Routing 13.3 Statisches Routing 13.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Sie legen fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 689 Routing 13.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 42: Einfachster Fall einer Route Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 2/1 face wechseln.
Seite 690 Routing 13.3 Statisches Routing 13.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 691 Routing 13.3 Statisches Routing Port aus VLAN herausnehmen. In der vlan participation exclude 1 Voreinstellung ist jeder Port dem VLAN zuge- wiesen. Port zum Mitglied von VLAN erklären. vlan participation include 2 Die Port-VLAN-ID festlegen. Damit weist das vlan pvid 2 Gerät Datenpakete, die der Port ohne VLAN-Tag empfängt, dem VLAN In den Konfigurationsmodus wechseln.
Seite 692 Routing 13.3 Statisches Routing Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster ARP. Legen Sie im Feld eine Zahl zwischen 4042 fest. VLAN-ID  Für dieses Beispiel legen Sie den Wert fest.
Seite 693 Routing 13.3 Statisches Routing Konfiguration einer einfachen statischen Route Geben Sie für Router A eine statische Route ein, ausgehend von der Konfiguration des Router- Interfaces im vorhergehenden Beispiel. Siehe Abbildung 42 auf Seite 196. Führen Sie dazu die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln.
Seite 694 Routing 13.3 Statisches Routing Die Funktion an diesem Interface akti- Routing ip routing vieren. In den Konfigurationsmodus wechseln. exit Den statischen Routing-Eintrag für die redundante ip route add 10.0.3.0 255.255.255.0 10.0.4.2 preference 2 Route erzeugen. Der Wert am Ende des Kommandos kennzeichnet den Präferenz-Wert.
Seite 695 Routing 13.4 NAT – Network Address Translation 13.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Seite 696 Routing 13.4 NAT – Network Address Translation 13.4.2 1:1 NAT Die Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- 1:1-NAT dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 697 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Sie benötigen 2 NAT-Router.  In jedem Gerät ist die Funktion eingeschaltet. Routing  In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen- ...
Seite 698 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Ingress-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog oder den Dialog Routing > Interfaces > Konfiguration Routing > L3-  Redundanz > VRRP > Konfiguration.
Seite 699 Routing 13.4 NAT – Network Address Translation 13.4.3 Destination NAT Die Funktion ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Destination-NAT Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form der Funktion Destination-NAT ist die Port-Weiterleitung. Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommu- nikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 700 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Funktion eingeschaltet. Routing  Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden.  In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als ...
Seite 701 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Regel erzeugen.  Öffnen Sie den Dialog Routing > NAT > Destination-NAT > Regel.  Fügen Sie eine Tabellenzeile hinzu. Klicken Sie dazu die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld die IP-Adresse des Servers in der Produktionszelle Neue Ziel-Adresse...
Seite 702 Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > NAT Global.  Klicken Sie die Schaltfläche  Wenn sich geänderte Regeln auf bestehende Einträge in der State-Tabelle der Firewall auswirken, hilft es, die State-Tabelle zu löschen. Siehe Schaltfläche Firewall-Tabelle leeren Dialog Neustart.
Seite 703 Routing 13.4 NAT – Network Address Translation 13.4.5 Double-NAT Die Funktion ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in Double-NAT unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 704 Routing 13.4 NAT – Network Address Translation Anwendungsbeispiel für Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 705 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Router-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Markieren Sie auf den Router-Interfaces, die mit dem Firmennetz und mit der Produktions- ...
Seite 706 Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > Double-NAT > Zuweisung.  Klicken Sie die Schaltfläche Zuweisen.  Wählen Sie im Feld das Router-Interface aus, das mit der Produktionszelle verbunden Port  ist. Wählen Sie im Feld den Wert gehend.
Seite 707 Routing 13.5 VRRP 13.5 VRRP Üblicherweise ermöglichen Endgeräte, ein Standard-Gateway zum Vermitteln von Datenpaketen in externe Subnetze festzulegen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mit anderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden. In diesem Fall bietet das Virtual-Router-Redundancy-Protokoll (VRRP) Unterstützung.
Seite 708 Routing 13.5 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 709 Routing 13.5 VRRP VRRP-Priorität  Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den Inhaber der IP-Adresse. VRID  Die Kennung des virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Seite 710 Routing 13.5 VRRP Schalten Sie den virtuellen Router ein.  Weisen Sie die VRRP-Priorität zu.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion global einschalten. Routing ip routing VRRP global einschalten. ip vrrp operation In den Interface-Konfigurationsmodus von Inter- interface 1/3 face wechseln.
Seite 711 Routing 13.5 VRRP Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen  Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway  13.5.3 VRRP mit Multinetting Der Router ermöglicht Ihnen, VRRP mit Multinetting zu kombinieren.
Seite 712 Routing 13.6 OSPF 13.6 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF-Kosten“, die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 713 Routing 13.6 OSPF 13.6.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut. Mit Hilfe von sogenannten Areas unterteilen Sie das Netz. Autonomes System Ein autonomes System (Autonomous System, AS) ist eine Anzahl von Routern, die unter einer administrativen Verwaltung stehen und ein gemeinsames Interior Gateway Protokoll (IGP) benutzen.
Seite 714 Routing 13.6 OSPF Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung. Zwischen den Areas werden die Routing-Informationen so weit wie möglich zusammengefasst (Route Summarization).
Seite 715 Routing 13.6 OSPF Stub-Area:  Eine Area definieren Sie als Stub-Area, wenn externe LSAs nicht in die Area geflutet werden sollen. Extern heißt außerhalb des autonomen Systems. Das sind die gelben und orangefar- benen Verbindungen (siehe Abbildung 57 auf Seite 222).
Seite 716 Routing 13.6 OSPF Virtuelle Verbindung (Virtual Link) OSPF setzt voraus, dass die Backbone-Area mit jeder Area verbunden ist. Ist das aber in der Realität nicht möglich, bietet OSPF eine virtuelle Verbindung (VL) an, um Teile der Backbone-Area miteinander zu verbinden. Eine VL ermöglicht Ihnen außerdem eine Area anzubinden, die über eine andere Area mit der Backbone Area verbunden ist.
Seite 717 Routing 13.6 OSPF Area Border Router (ABR)  ABRs besitzen OSPF-Interfaces in mehreren Areas, darunter auch in der Backbone-Area. ABRs partizipieren somit in mehreren Areas. Wenn möglich, fassen Sie mehrere Routen zusammen und senden Sie „Summary-LSAs“ in die Backbone-Area. Autonomous System Area Border Router (ASBR): ...
Seite 718 Routing 13.6 OSPF 13.6.2 Prinzipielle Arbeitsweise von OSPF OSPF wurde speziell auf die Bedürfnisse von größeren Netzen zugeschnitten und bietet eine schnelle Konvergenz sowie eine minimale Verwendung von Protokollnachrichten. Das Konzept von OSPF basiert auf der Erzeugung, Aufrechterhaltung und Verteilung der soge- nannten Link-State-Database.
Seite 719 Routing 13.6 OSPF Aus Sicherheitsgründen sieht OSPF noch die Wahl eines Backup-Designated-Routers (BDR) vor, der beim Ausfall des DR dessen Aufgaben übernimmt. Der OSPF-Router mit der höchsten Router- Priorität wird DR. Die Router-Priorität legt der Administrator fest. Wenn Router die gleiche Priorität haben, dann wird der Router mit der höheren Router-ID gewählt.
Seite 720 Routing 13.6 OSPF Die folgende Liste enthält die Status der Adjacencies: Noch keine Hello-Pakete empfangen Down Hello-Pakete empfangen Init Bidirektionale Kommunikation, Ermittlung des DR und BDR 2-way Aushandeln von Master/Slave für LSA-Austausch Exstart LSAs werden ausgetauscht bzw. geflutet Exchange Abschluss des LSA-Austauschs. Loading Datenbasis komplett und in der Area einheitlich.
Seite 721 Routing 13.6 OSPF 13.6.5 Routenberechnung Nach dem Lernen der LSDs und und dem Übergang der Nachbarschaftbeziehungen in den "Full State", berechnet jeder Router einen Pfad zu jedem Ziel mit Hilfe des Shortest Path First (SPF) Algorithmus. Nachdem der optimale Weg zu jedem Ziel ermittelt wurde, werden diese Routen in die Routing-Tabelle eingetragen.
Seite 722 Routing 13.6 OSPF Konfigurieren Sie die OSPF-Funktionen. Führen Sie dazu die folgenden Schritte aus: Router Interfaces konfigurieren – IP-Adresse und Netzmaske zuweisen.  Funktion auf dem Port aktivieren. OSPF  Funktion global einschalten. OSPF  Routing global einschalten (falls nicht schon geschehen). ...
Seite 723 Routing 13.6 OSPF Konfiguration für Router B Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 2/2 face wechseln. Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf diesem Port aktivieren.
Seite 724 Routing 13.6 OSPF Die Einstellungen der Interfaces-Konfiguration show ip ospf interface 2/1 prüfen. IP address........10.0.2.2 OSPF admin mode........ enabled OSPF area ID........1.1.1.1 Transmit delay......... 1 Hello interval......... 10 Dead interval........40 Re-transmit interval......5 Authentification type......none OSPF interface type......broadcast Status.........
Seite 725 Routing 13.6 OSPF Das Beispiel gliedert sich in die folgenden Abschnitte: Routen einrichten und verteilen  Route mit permit-Regel explizit freigeben  Route mit deny-Regel explizit sperren  Routen einrichten und verteilen In Router A richten Sie 2 statische Routen für die Subnetze 8.1.2.0/24 8.1.4.0/24 ein.
Seite 726 Routing 13.6 OSPF Router A Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Erstes Router-Interface einrichten. 10.0.1.1/24  Routing aktivieren. Die Funktion auf den Router-Interfaces aktivieren. OSPF In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln.
Seite 727 Routing 13.6 OSPF Statische Route über Gateway 8.1.2.0 10.0.2.2 ip route add 8.1.2.0 255.255.255.0 10.0.2.2 einrichten. Statische Route 8.1.4.0 über Gateway 10.0.2.4 ip route add 8.1.4.0 255.255.255.0 10.0.2.4 einrichten. Eingerichtete Routen in die Funktion OSPF ip ospf re-distribute static subnets enable verteilen.
Seite 728 Routing 13.6 OSPF Router B Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Router-Interface einrichten. 10.0.1.2/24  Routing aktivieren. Die Funktion auf den Router-Interfaces aktivieren. OSPF In den Interface-Konfigurationsmodus von Inter- interface 2/2 face wechseln.
Seite 729 Routing 13.6 OSPF Um eine Route mit einer permit-Regel explizit freizugeben, lesen Sie weiter im Abschnitt „Route mit permit-Regel explizit freigeben” auf Seite 236. Um eine Route mit einer deny-Regel explizit zu sperren, lesen Sie weiter im Abschnitt „Route mit deny-Regel explizit sperren”...
Seite 730 Routing 13.6 OSPF Router A Access-Control-Liste mit expliziter permit-Regel einrichten.  Access-Control-Liste OSPF-rule erstellen. Eine ip access-list extended name OSPF-rule permit src 8.1.2.0-0.0.0.0 dst permit-Regel für das Subnetz einrichten. 8.1.2.0 255.255.255.0-0.0.0.0 proto ip • = Adresse des Ziel- src 8.1.2.0-0.0.0.0 netzes und inverse Maske •...
Seite 731 Routing 13.6 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 732 Routing 13.6 OSPF Router A permit-Regel löschen.  Diese Schritte sind ausschließlich dann notwendig, wenn Sie wie im Abschnitt permit beschrieben eine „Route mit permit-Regel explizit freigeben” auf Seite 236-Regel eingerichtet haben. Access-Control-Liste OSPF-rule von der Funktion no ip ospf distribute-list out static OSPF-rule trennen.
Seite 733 Routing 13.6 OSPF Router A Explizite permit-Regel in Access-Control-Liste einfügen.  Eine permit-Regel für sämtliche Subnetze in die ip access-list extended name OSPF-rule permit src any dst any proto ip Access-Control-Liste einfügen. OSPF-rule Eingerichtete Regeln prüfen.  Eingerichtete Access-Control-Listen und Regeln show access-list ip anzeigen.
Seite 734 Routing 13.6 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 735 Routing 13.6 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 736 Routing 13.7 IP-Parameter eingeben 13.7 IP-Parameter eingeben siehe OSPF Area 0 siehe siehe Port-based Router Interface VLAN-based Router Interface SN 11 SN 10 VLAN 2 SN 12 VRRP SN 13 siehe VRRP SN 14 Abb. 62: Netzplan Zur Konfiguration der Funktion auf Schicht 3 benötigen Sie einen Zugang zum Management des Geräts.
Seite 737 Routing 13.7 IP-Parameter eingeben Die Geräte und deren Verbindungen sind installiert.  Redundante Anbindungen sind offen (siehe VRRP). Um Loops während der Konfigurations-  phase zu vermeiden, schließen Sie die redundanten Verbindungen erst nach der Konfigurati- onsphase. IP = 10.0.200.11/24 Area 0 IP = 10.0.100.10/24 IP = 10.0.11.11/24...
Seite 738 Routing 13.7 IP-Parameter eingeben Weisen Sie die IP-Parameter jedem Schicht-2 und Schicht-3-Gerät gemäß Netzplan zu.  Die Geräte der Subnetze 10 bis 14 erreichen Sie wieder, wenn Sie die folgende Router-Konfi- guration abgeschlossen haben. Konfigurieren Sie die Funktion der Schicht-3-Geräte. Routing ...
Seite 739 Routing 13.7 IP-Parameter eingeben UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 740 Tracking 14.1 Interface-Tracking 14 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: Verbindungsstatus eines Interfaces (Interface-Tracking) ...
Seite 741 Tracking 14.1 Interface-Tracking Das Einstellen einer Verzögerungszeit ermöglicht Ihnen, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Seite 742 Tracking 14.2 Ping-Tracking 14.2 Ping-Tracking Beim Ping-Tracking überwacht das Gerät den Verbindungsstatus zu anderen Geräten durch Ping- Anfragen. PC B PC A Abb. 66: Überwachen einer Leitung mit Ping-Tracking Das Gerät sendet Ping-Anfragen an das Gerät mit der IP-Adresse, die Sie in Spalte IP-Adresse eingegeben haben.
Seite 743 Tracking 14.3 Logical-Tracking 14.3 Logical-Tracking Logical-Tracking ermöglicht Ihnen, mehrere Tracking-Objekte logisch miteinander zu verknüpfen und somit relativ komplexe Überwachungsaufgaben zu realisieren. Mit Logical-Tracking können Sie zum Beispiel den Verbindungsstatus zu einem Netzknoten über- wachen, zu dem redundante Pfade führen. Siehe Abschnitt „Anwendungsbeispiel für Logical- Tracking”...
Seite 744 Tracking 14.4 Tracking konfigurieren 14.4 Tracking konfigurieren Tracking konfigurieren Sie durch das Einrichten von Tracking-Objekten. Das Einrichten von Tracking-Objekten erfordert folgende Schritte: Tracking-Objekt-Identifikationsnummer (Track-ID) eingeben.  Tracking-Typ, zum Beispiel Interface, auswählen.  Abhängig vom Track-Typ weitere Optionen wie „Port” oder „Link-Up-Verzögerung” beim Inter- ...
Seite 745 Tracking 14.4 Tracking konfigurieren In den Privileged-EXEC-Modus wechseln. exit Die konfigurierten Tracks anzeigen. show track interface Name If-Number Link-Up-Delay Link-Down-Delay State Active -------- ---------- ------------- --------------- ----- ------ if-11 14.4.2 Anwendungsbeispiel für Ping-Tracking Das Interface-Tracking überwacht die direkt angeschlossene Verbindung. Siehe Abbildung 65 auf Seite 247.
Seite 746 Tracking 14.4 Tracking konfigurieren Tracking ID ping-21 created Target IP address set to 10.0.2.53 Interface used for sending pings to target set to 1/2 Ping interval for target set to 500 ms Max. no. of missed ping replies from target set to 3 Min.
Seite 747 Tracking 14.4 Tracking konfigurieren Voraussetzungen für die weitere Konfiguration: Die Ping-Tracking-Objekte für die Operanden 1 und 2 sind konfiguriert. Siehe Abschnitt  „Anwendungsbeispiel für Ping-Tracking” auf Seite 252. PC B PC A Abb. 67: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten.
Seite 748 Tracking 14.4 Tracking konfigurieren Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 749 Tracking 14.5 Statisches Route-Tracking 14.5 Statisches Route-Tracking 14.5.1 Beschreibung der Funktion für statisches Routen-Tracking Bestehen beim statischen Routing mehrere Routen zu einem Ziel, wählt der Router die Route mit der höchsten Präferenz. Der Router erkennt eine bestehende Route am Zustand des Router-Inter- faces.
Seite 750 Tracking 14.5 Statisches Route-Tracking 10.0.1.0/24 10.0.2.0/24 10.0.5.0/24 IF 1/4 IF 1/2 IF 1/3 IF 2/2 IF 1/1 IF 1/2 10.0.4.0/24 Abb. 69: Statisches Route-Tracking konfigurieren Die folgende Liste nennt die Voraussetzungen für die weitere Konfiguration: Die IP-Parameter der Router-Interfaces sind konfiguriert. ...
Seite 751 Tracking 14.5 Statisches Route-Tracking Für die Quell-Interface-Nummer der Ping- track modify ping 1 interface 1/2 Tracking-Instanz einstellen. Das Tracking-Objekt aktivieren. track enable ping 1 Ein Tracking-Objekt mit der Track-ID erzeugen. track add ping 2 Den Eintrag ping 2 um die IP-Adresse 10.0.4.2 track modify ping 2 address 10.0.4.2 ergänzen.
Seite 752 Tracking 14.5 Statisches Route-Tracking In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Einen statischen Routing-Eintrag mit der voreinge- ip route add 10.0.5.0 255.255.255.0 10.0.2.53 stellten Präferenz erzeugen. Einen statischen Routing-Eintrag mit der ip route add 10.0.5.0 255.255.255.0 10.0.4.2 preference 2 Präferenz 2 erzeugen.
Seite 753 Tracking 14.5 Statisches Route-Tracking UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 754 Funktionsdiagnose 15.1 SNMP-Traps senden 15 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: SNMP-Traps senden  Gerätestatus überwachen  Ereigniszähler auf Portebene  Erkennen der Nichtübereinstimmung der Duplex-Modi  Auto-Disable  SFP-Zustandsanzeige  Topologie-Erkennung  IP-Adresskonflikte erkennen  Erkennen von Loops ...
Seite 755 Funktionsdiagnose 15.1 SNMP-Traps senden Tab. 28: Mögliche SNMP-Traps (Forts.) Bezeichnung des SNMP-Traps Bedeutung linkDown Wird gesendet, wenn die Verbindung zu einem Port unterbro- chen wird. linkUp Wird gesendet, wenn die Verbindung zu einem Port hergestellt ist. hm2DevMonSensePSState Wird gesendet, wenn sich der Netzteilstatus ändert. Wird gesendet, wenn der sendende Agent zur neuen Wurzel newRoot des Spannbaums wird.
Seite 756 Funktionsdiagnose 15.1 SNMP-Traps senden 15.1.3 SNMP-Trap-Einstellung Das Gerät ermöglicht Ihnen, als Reaktion auf bestimmte Ereignisse einen SNMP-Trap zu senden. Legen Sie mindestens ein Trap-Ziel fest, das SNMP-Traps empfängt. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Diagnose > Statuskonfiguration > Alarme (Traps).
Seite 757 Funktionsdiagnose 15.2 Gerätestatus überwachen 15.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen gegenwärtigen Status als error oder im Rahmen Geräte-Status.
Seite 758 Funktionsdiagnose 15.2 Gerätestatus überwachen 15.2.2 Gerätestatus konfigurieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätestatus, Registerkarte Global. Diagnose > Statuskonfiguration >  Markieren Sie für die zu überwachenden Parameter das Kontrollkästchen in Spalte Über-  wachen. Um einen SNMP-Trap an die Management-Station zu senden, aktivieren Sie die Funktion ...
Seite 759 Funktionsdiagnose 15.2 Gerätestatus überwachen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätestatus, Registerkarte Global. Diagnose > Statuskonfiguration >  Markieren Sie für den Parameter das Kontrollkästchen in Spalte Verbindungsfehler Überwa-  chen. Öffnen Sie den Dialog Diagnose > Statuskonfiguration > Gerätestatus, Registerkarte Port.
Seite 760 Funktionsdiagnose 15.3 Sicherheitsstatus 15.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog System, Rahmen Sicherheits-Status.
Seite 761 Funktionsdiagnose 15.3 Sicherheitsstatus Tab. 30: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Aktivieren Sie diese Funktion, um zu überwachen, ob die Funk- tion HiDiscovery Schreibzugriff auf das Gerät hat. Das Gerät überwacht die Sicherheitseinstellungen für das Unverschlüsselte Konfiguration vom Laden der Konfiguration aus dem externen Speicher.
Seite 762 Funktionsdiagnose 15.3 Sicherheitsstatus HTTP-Server überwachen. Der Wert im Rahmen security-status monitor http-enabled wechselt auf error, wenn Sie Sicherheits-Status den HTTP-Server einschalten. SNMP-Server überwachen. security-status monitor snmp-unsecure Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: •...
Seite 763 Funktionsdiagnose 15.3 Sicherheitsstatus 15.3.3 Anzeigen des Sicherheitsstatus Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  In den Privileged-EXEC-Modus wechseln. enable Gerätestatus und Einstellung zur Ermittlung des show security-status all Gerätestatus anzeigen. UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 764 Funktionsdiagnose 15.4 Portereignis-Zähler 15.4 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, mögliche Unterbrechungen im Netz zu finden. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog können Sie Grundeinstellungen > Neustart die Ereigniszähler zurücksetzen. Tab.
Seite 765 Funktionsdiagnose 15.4 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Duplex-Problem erkannt  Nicht übereinstimmende Duplex-Modi.  Elektromagnetische Interferenz. Netzausdehnung  Die Netzausdehnung ist zu groß bzw. sind zu viele Kaskadenhubs vorhanden. Kollisionen, Late Collisions ...
Seite 766 Funktionsdiagnose 15.5 SFP-Zustandsanzeige 15.5 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp,  Seriennummer des Medien-Moduls  Temperatur in º C,  Sendeleistung in mW,  Empfangsleistung in mW. ...
Seite 767 Funktionsdiagnose 15.6 Topologie-Erkennung 15.6 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht Ihnen die automatische Topologie-Erkennung im lokalen Netz. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein-  samen LANs.
Seite 768 Funktionsdiagnose 15.6 Topologie-Erkennung Das Aktivieren der Einstellung „FDB Einträge anzeigen“ am unteren Ende der Tabelle ermöglicht Ihnen, Geräte ohne aktive LLDP-Unterstützung in der Tabelle anzuzeigen. Das Gerät nimmt in diesem Fall auch Informationen aus seiner FDB (Forwarding Database) auf. Wenn Sie den Port mit Geräten mit einer aktiven Topologie-Erkennungsfunktion verbinden, tauschen die Geräte LLDP Data Units (LLDPDU) aus, und die Topologie-Tabelle zeigt diese benachbarten Geräte.
Seite 769 Funktionsdiagnose 15.7 Berichte 15.7 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei  Die Logdatei ist eine HTML-Datei, in die das Gerät geräteinterne Ereignisse schreibt. Audit Trail  Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 770 Funktionsdiagnose 15.7 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion protokolliert Benutzeran- Protokolliere SNMP-Get-Requests fragen nach Geräte-Konfigurationsinformationen. Die Funktion Protokolliere SNMP-Set-Requests protokolliert Geräte-Konfigurationsereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Seite 771 Funktionsdiagnose 15.7 Berichte 15.7.2 Syslog Das Gerät ermöglicht Ihnen, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog Diagnose >...
Seite 772 Funktionsdiagnose 15.7 Berichte Server IP Port Max. Severity Type Status ----- -------------- ----- -------------- ---------- ------- 10.0.1.159 error systemlog active In den Konfigurationsmodus wechseln. configure SNMP-Get-Anfragen protokollieren. logging snmp-requests get operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests get severity 5 fest, welches das Gerät bei SNMP-GET-Anfragen protokolliert.
Seite 773 Funktionsdiagnose 15.7 Berichte Die folgende Liste enthält Protokollereignisse: Änderungen an Konfigurationsparametern  Kommandos (mit Ausnahme der -Kommandos) im Command Line Interface  show Kommando im Command Line Interface, das den Kommentar  logging audit-trail <string> protokolliert Automatische Änderungen der Systemzeit ...
Seite 774 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden 16 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden Der DNS-Client fordert die DNS-Server dazu auf, die Host-Namen und IP-Adressen von Geräten im Netz aufzulösen. Der DNS-Client konvertiert Namen von Geräten, ähnlich einem Telefonbuch, in IP-Adressen.
Seite 775 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden Zeichenfolge als Domänenname example.com dns client domain-name example.com festlegen. Das Gerät fügt diesen Domain-Namen an Hostnamen ohne Domain-Suffix an. Hinzufügen eines DNS-Servers mit der dns client servers add 1 ip 192.168.3.5 IPv4-Adresse 192.168.3.5 als Index 1.
Seite 776 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Sie können sich über SSH mit dem Gerät verbinden. Führen Sie dazu die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät.  oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Seite 777 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Server, Registerkarte SSH. Gerätesicherheit > Management-Zugriff >  Um den SSH-Server auszuschalten, wählen Sie im Rahmen das Optionsfeld Aus.
Seite 778 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.3 SSH-Client-Programm vorbereiten Das Programm ermöglicht Ihnen, auf das Gerät mit SSH zuzugreifen. Sie können die Soft- PuTTY ware von www.putty.org herunterladen. Führen Sie die folgenden Schritte aus: Starten Sie das Programm mit einem Doppelklick. ...
Seite 779 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Gegen Ende des Verbindungsaufbaus zeigt das Programm PuTTY eine Sicherheitsalarmmeldung und ermöglicht Ihnen, den Fingerabdruck des Schlüssels zu prüfen. Prüfen Sie den Fingerabdruck des Schlüssels, um sich zu vergewissern, dass Sie sich tatsäch-  lich mit dem gewünschten Gerät verbunden haben. Stimmt der Fingerabdruck mit dem Ihres Schlüssels überein, dann klicken Sie die Schaltfläche ...
Seite 780 Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Webbrowser stellt mittels Hypertext Transfer Protocol Secure (HTTPS) die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion im Dialog HTTPS server Gerätesicherheit > Management-Zugriff > Server, Registerkarte einschalten. HTTPS Anmerkung: Software von Drittanbietern wie Webbrowser validieren Zertifikate anhand von Krite- rien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfehlungen.
Seite 781 Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat In den Privileged-EXEC-Modus wechseln. enable HTTPS-Zertifikat aus dem externen nichtflüchtigen copy httpscert envm <file name> Speicher kopieren. In den Konfigurationsmodus wechseln. configure Funktion ausschalten. HTTPS no https server Funktion einschalten. https server HTTPS Anmerkung: Um das Zertifikat nach der Erstellung oder Übertragung zu aktivieren, starten Sie das Gerät neu oder starten Sie den HTTPS-Server neu.
Seite 782 TSN – Time-Sensitive Networking (in Deutsch)  Wolfgang Schulte VDE Verlag, 2020 ISBN 978-3-8007-5078-8 Time-Sensitive Networking For Dummies, Belden/Hirschmann Special Edition (in Englisch)  Oliver Kleineberg und Axel Schneider Wiley, 2018 ISBN 978-1-119-52791-6 (Print), ISBN 978-1-119-52799-2 (eBook) IPv6: Grundlagen - Funktionalität - Integration (in Deutsch) ...
Seite 783 Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 784 Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 785 Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Seite 786 Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 787 Anhang B.4 Liste der RFCs RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Manage- ment Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3418 Management Information Base (MIB)
Seite 788 Anhang B.5 Zugrundeliegende IEEE-Normen Zugrundeliegende IEEE-Normen IEEE 802.1AB Station and Media Access Control Connectivity Discovery IEEE 802.1D MAC Bridges (switching function) IEEE 802.1Q Virtual LANs (VLANs, MRP, Spanning Tree) IEEE 802.3 Ethernet IEEE 802.3ac VLAN Tagging IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet UM Config EAGLE40-07...
Seite 789 Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 790 Anhang B.7 Technische Daten Technische Daten 16.1.2 Switching Größe der MAC-Adress-Tabelle 16384 (inkl. statische Filter) Max. Anzahl statisch konfigurierter MAC-Adressfilter Anzahl Warteschlangen 8 Queues Einstellbare Port-Prioritäten 0..7 MTU (max. erlaubte Länge der 1996 Byte Pakete, die ein Port empfangen oder senden kann) 16.1.3 VLAN...
Seite 791 Anhang B.7 Technische Daten 16.1.6 Max. Anzahl der 1:1-NAT-Regeln Max. Anzahl der Destination-NAT- Regeln Max. Anzahl der Double-NAT-Regeln 255 Max. Anzahl der Masquerading-NAT- Regeln Max. Anzahl der Einträge für Connec- 7768 tion Tracking UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 792 Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog Hilfe > Lizenzen. UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 793 Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Extended Unique Identifier Forwarding Database Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP...
Seite 794 Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............203 ABR .
Seite 795 Stichwortverzeichnis Flüchtiger Speicher (RAM) ........... . . 87 Flusskontrolle .
Seite 796 Stichwortverzeichnis MAC-Adresse ............. . 215 MAC-Adressen-Filter .
Seite 797 Stichwortverzeichnis QoS ..............174 RADIUS .
Seite 798 Stichwortverzeichnis Übertragungssicherheit ............261 Uhrzeit einstellen .
Seite 799 Stichwortverzeichnis UM Config EAGLE40-07 Release 4.6 06/2023...
Seite 800 Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 801 Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 802 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...

Diese Anleitung auch für:

04600

Belden HIRSCHMANN EAGLE40-07 Referenzhandbuch

Quicklinks

Verwandte Anleitungen für Belden HIRSCHMANN EAGLE40-07

Inhaltszusammenfassung für Belden HIRSCHMANN EAGLE40-07

Diese Anleitung auch für: