Seite 1 Anwender-Handbuch Konfiguration Industrial ETHERNET Firewall EAGLE 20 EAGLE Konfiguration Technische Unterstützung Release 5.1 06/2011 HAC.Support@Belden.com...
Seite 2 Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Seite 3: Inhaltsverzeichnis
Inhalt Inhalt Über dieses Handbuch Legende Einleitung Sicherheitskonzept Typische Anwendungen Anwendung konfigurieren 1.3.1 Konfigurationsschritte im Transparent-Modus 1.3.2 Konfigurationsschritte im Router-Modus 1.3.3 Konfigurationsschritte im PPPoE-Modus Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web-based Interface IP-Parameter eingeben Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) 3.1.2 Private IP-Adressen 3.1.3 Netzmaske 3.1.4 Classless Inter-Domain Routing...
Seite 4 Inhalt 3.6.3 IP-Konfiguration im PPPoE-Modus Defekte Geräte ersetzen Grundeinstellungen Konfigurationen bearbeiten und verwalten 4.1.1 Aktivieren einer Konfiguration 4.1.2 Konfiguration speichern 4.1.3 Zurücksetzen der Konfiguration in den Lieferzustand 4.1.4 Laden der aktiven Konfiguration 4.1.5 Kopieren von Konfigurationsdateien 4.1.6 Anzeigen einer Konfigurationsdatei 4.1.7 Löschen einer Konfigurationsdatei 4.1.8 SFTP-Zugriff auf Geräte-Dateien 4.1.9 Konfigurationsänderung widerrufen...
Seite 5 Inhalt Datenverkehr kontrollieren Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion 6.1.2 Anwendungsbeispiel für Paketfilter 6.1.3 Anwendungsbeispiel für den Firewall-Lern-Modus (FLM) NAT - Network Address Translation 6.2.1 IP-Masquerading 6.2.2 1:1-NAT 6.2.3 Portweiterleitung 6.2.4 NAT-Anwendungsbeispiele Benutzer-Firewall 6.3.1 Beschreibung der Benutzer-Firewall-Funktion 6.3.2 Anwendungsbeispiel für die Benutzer-Firewall-Funk- tion Denial of Service 6.4.1 Beschreibung Denial of Service...
Seite 6 Inhalt 8.3.1 Gerätestatus konfigurieren 8.3.2 Gerätestatus anzeigen Out-of-band-Signalisierung 8.4.1 Meldekontakt steuern 8.4.2 Funktionsüberwachung mit Meldekontakt 8.4.3 Gerätestatus mit Meldekontakt überwachen Port-Zustandsanzeige Netzlast und Ereigniszähler auf Portebene 8.6.1 Netzlast 8.6.2 Port-Statistiken Topologie-Erkennung 8.7.1 Beschreibung Topologie-Erkennung 8.7.2 Anzeige der Topologie-Erkennung Konfigurations-Check Berichte Konfigurationsumgebung einrichten DHCP-Server einrichten Zugriff mittels SSH...
Seite 7: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält alle Informationen, die Sie zur Inbetriebnahme der Industrial ETHERNET Firewall EAGLE benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb.
Seite 8 Über dieses Handbuch Die Netzmanagement-Software HiVision/Industrial HiVision bietet Ihnen weitere Möglichkeiten zur komfortablen Konfiguration und Überwachung:  Gleichzeitige Konfiguration mehrerer Geräte  Grafisches Interface mit Netz-Layout  Autotopologie-Erkennung  Ereignislogbuch  Ereignisbehandlung  Client/Server-Struktur  Browser-Interface  ActiveX-Control für SCADA-Integration ...
Seite 9: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen:  Aufzählung Arbeitsschritt   Zwischenüberschrift Link Querverweis mit Verknüpfung Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf Hinweis: eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: WLAN-Access-Point...
Seite 10 Legende Bridge Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter EAGLE Konfiguration Release 5.1 06/2011...
Seite 11: Einleitung
Office-Ebene heraus unerlässlich und setzt die Produktionsanlage der Gefahr einer bewussten oder unbewussten Manipulation aus. Mit der Hirschmann Industrial ETHERNET Firewall EAGLE gehen Sie überall dort auf Nummer „sicher”, wo Prozess- und Fertigungsdaten in bereichs- übergreifende Datenerfassungssysteme einfließen oder Systeme abge- glichen werden.
Seite 12: Sicherheitskonzept
Einleitung 1.1 Sicherheitskonzept 1.1 Sicherheitskonzept Eine Firewall dient in erster Linie der Sicherheit eines abgeschlossenen lokalen Netzes. Auf die Sicherheit haben mehrere Faktoren Einfluss:  Zugänge innerhalb des lokalen Netzes Oftmals wird die Gefahr innerhalb eines lokalen Netzes unterschätzt. Meist unbeabsichtigt gelangen bösartige Programme in das interne lokale Netz durch eigene Mitarbeiter oder Dienstleister, die sich mit eigenen Rechnern mit dem Netz verbinden.
Seite 13: Typische Anwendungen
Einleitung 1.2 Typische Anwendungen 1.2 Typische Anwendungen Die Industrial ETHERNET Firewall findet Ihren Einsatz überall dort, wo sicherheitssensible Netzzellen in rauher Umgebung eine Verbindung aus der Zelle hinaus benötigen. Die Industrial ETHERNET Firewall stellt das Verbin- dungsglied zwischen der „sicheren” Netzzelle und der „unsicheren Außen- welt”...
Seite 14: Einzelne Produktionszellen In Einem Flachen Firmennetz Schützen
Einleitung 1.2 Typische Anwendungen Einzelne Produktionszellen in einem flachen Firmennetz  schützen Einzelne Produktionszellen tauschen mit Geräten im Firmennetz Informa- tionen aus. Firmennetz und Produktionszellen befinden sich im gleichen Layer-2-Netz. Der EAGLE arbeitet wie ein Switch mit integrierter Firewall. 10.0.0.0/8 10.0.0.0/8 10.0.0.0/8 Einzelne Produktionszellen in einem gerouteten...
Seite 15: Identische Produktionszellen An Ein Firmennetz Koppeln
Einleitung 1.2 Typische Anwendungen Identische Produktionszellen an ein Firmennetz koppeln  Einzelne identisch aufgebaute Produktionszellen tauschen mit Geräten im Firmennetz Informationen aus. Firmennetz und Produktionszellen befinden sich in unterschiedlichen Subnetzen. Der EAGLE arbeitet wie ein Router mit integrierter Firewall. Die NAT-Funktion ermöglicht den identisch aufgebauten Produktions- zellen mit dem Firmennetz zu kommunizieren, obwohl die Geräte in den unterschiedlichen Produktionszellen die gleichen IP-Adressen haben.
Seite 16: Eine Produktionszelle Über Ein Öffentliches Netz Mit Dem Büronetz Verbinden
Einleitung 1.2 Typische Anwendungen Eine Produktionszelle über ein öffentliches Netz mit dem  Büronetz verbinden Eine Produktionszelle tauscht mit Geräten im Firmennetz Informationen aus über das öffentliche Internet. Ein virtueller Informationstunnel (virtual private network,VPN) durch das öffentliche Internet schützt die Kommu- nikation.
Seite 17: Anwendung Konfigurieren
Einleitung 1.3 Anwendung konfigurieren 1.3 Anwendung konfigurieren Die Industrial ETHERNET Firewall kennt 3 Betriebsmodi:  Transparent-Modus  Router-Modus  PPPoE-Modus Ihre Wahl des Betriebsmodus hängt von Ihrem Anwendungsfall ab. Die Tabelle unten hilft Ihnen bei der Auswahl des Betriebsmodus. Anwendung Charakteristik Betriebsmodus Einzelne Produktions-...
Seite 18: Konfigurationsschritte Im Transparent-Modus
Einleitung 1.3 Anwendung konfigurieren Abhängig von Ihrer Wahl des Betriebsmodus erfordert die weitere Konfigura- tion der Industrial ETHERNET Firewall ein unterschiedliches Vorgehen. 1.3.1 Konfigurationsschritte im Transparent- Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Die Voreinstellungen bieten Ihnen die Möglichkeit, die Industrial ETHERNET Firewall sofort in Betrieb zu nehmen.
Seite 19: Konfigurationsschritte Im Router-Modus
Einleitung 1.3 Anwendung konfigurieren 1.3.2 Konfigurationsschritte im Router-Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Um den Zugang zur Industrial ETHERNET Firewall zu schützen und weitere Einstellungen vorzunehmen, gehen Sie wie folgt vor:  Verbindung zur Firewall aufnehmen (siehe auf Seite 21 „Zugang zu den Bedienoberflächen“) ...
Seite 20: Konfigurationsschritte Im Pppoe-Modus
Einleitung 1.3 Anwendung konfigurieren 1.3.3 Konfigurationsschritte im PPPoE-Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Um den Zugang zur Industrial ETHERNET Firewall zu schützen und weitere Einstellungen vorzunehmen, gehen Sie wie folgt vor:  Verbindung zur Firewall aufnehmen (siehe auf Seite 21 „Zugang zu den Bedienoberflächen“) ...
Seite 21: Zugang Zu Den Bedienoberflächen
Zugang zu den Bedienoberflächen 2 Zugang zu den Bedienoberflächen Das Gerät hat drei Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen:  System-Monitor über die V.24-Schnittstelle (out-of-band),  Command Line Interface (CLI) – über den V.24-Anschluss (out-of-band), – über SSH (in-band), ...
Seite 22: System-Monitor
Zugang zu den Bedienoberflächen 2.1 System-Monitor 2.1 System-Monitor Der System-Monitor ermöglicht  die Auswahl der zu ladenden Software,  die Durchführung eines Updates der Software,  Starten der ausgewählten Software,  Beenden des System-Monitors,  Löschen der gespeicherten Konfiguration und ...
Seite 23 Zugang zu den Bedienoberflächen 2.1 System-Monitor < Eagle (Boot) Release: 04.4.00 Build: 2009-09-09 09:09 HW: 1.00 > Press <1> to enter System Monitor 1 ... Abb. 1: Bildschirmansicht beim Bootvorgang  Drücken Sie innerhalb von einer Sekunde die „1“-Taste, um den System-Monitor 1 zu starten.
Seite 24: Command Line Interface
Zugang zu den Bedienoberflächen 2.2 Command Line Interface 2.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, alle Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten.
Seite 25 Zugang zu den Bedienoberflächen 2.2 Command Line Interface Das EAGLE-Gerät ist ein Security Device mit VPN-Funktion (SDV). Copyright (c) 2007-2010 Hirschmann Automation and Control GmbH All rights reserved Eagle Release SDV-05.0.00 (Build date 2010-08-08 08:08) System Name: EAGLE-000000 Netw. Mode :...
Seite 26 NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > Abb. 4: CLI-Bildschirm nach dem Einloggen EAGLE Konfiguration Release 5.1 06/2011...
Seite 27: Web-Based Interface
Zugang zu den Bedienoberflächen 2.3 Web-based Interface 2.3 Web-based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, das Gerät von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Gerät über das Simple Network Management Protokoll (SNMP) Daten austauscht.
Seite 28 Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 5: Java installieren  Starten Sie Ihren Web Browser.  Stellen Sie sicher, daß in den Sicherheitseinstellungen Ihres Browsers Javascript und Java eingeschaltet ist.  Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Gerätes, das Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: https://xxx.xxx.xxx.xxx...
Seite 29 Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 6: Login-Fenster  Wählen Sie die gewünschte Sprache aus.  Wählen Sie im Ausklappmenü Login – user, um mit Leserecht oder – admin, um mit Schreib- und Leserecht auf das Gerät zuzugreifen. ...
Seite 30: Öffnen Des Web-Based Interfaces Über Den Externen Port
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Hinweis: Ändern Sie aus Sicherheitsgründen das Passwort des Liefer- zustandes, um einen Zugriff auf das Gerät mit diesem Passwort zu verhindern. Ist das Passwort im Lieferzustand, dann zeigt das Gerät in allen Dialogen in der Kopfzeile „Standardpasswort“ an. Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt das Gerät in seinen flüchtigen Speicher, wenn Sie auf „Schreiben“...
Seite 31: Ip-Parameter Eingeben
IP-Parameter eingeben 3 IP-Parameter eingeben Wahl des Betriebsmodus  Die Einträge zu den IP-Parametern hängen vom gewählten Betriebs- modus ab. – Im Transparent-Modus ist die lokale IP-Adresse auch die IP-Adresse des Managements der Industrial ETHERNET Firewall. – Im Router-/PPPoE-Modus ist die IP-Adresse des internen Interfaces auch die IP-Adresse des Managements der Industrial ETHERNET Firewall.
Seite 32 IP-Parameter eingeben  Konfiguration mit Hilfe des AutoConfiguration Adapter (ACA). Diese Methode wählen Sie, wenn Sie ein Gerät durch ein Gerät des gleichen Typs austauschen und zuvor die Konfiguration auf einem ACA gespeichert haben (siehe Seite 51 „System-Konfiguration vom laden“). ...
Seite 33: Grundlagen Ip-Parameter
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter 3.1 Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) Die IP-Adressen bestehen aus vier Bytes. Die vier Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Class Netzadresse Hostadresse Adressbereich...
Seite 34: Private Ip-Adressen
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B Net ID - 21 bits Host ID - 8 bit s Klasse C Multicast Group ID - 28 bits Klasse D...
Seite 35: Netzmaske
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Internet-Router blockieren Datenpakete mit privaten IP-Adressen. Somit sind die privaten Adressen ausschließlich zur Verwendung in internen Netzen gedacht. Das Network Address Translation Protocol (siehe auf Seite 143 „NAT - Network Address Translation“) bietet Ihnen die Möglichkeit, Geräte mit privater IP-Adresse eines internen Netzes mit Geräten anderer Netze kommunizieren zu lassen.
Seite 36 IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: Dezimale Darstellung 255.255.192.0 Binäre Darstellung 11111111.11111111.11000000.00000000 Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1...
Seite 37: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske  In einem großen Netz ist es möglich, dass Gateways oder Router den Management-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb.
Seite 38: Classless Inter-Domain Routing
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 39 IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Seit 1993 bietet die RFC 1519 mit Classless Inter-Domain Routing (CIDR) eine Lösung. Das CIDR überwindet diese Klassenschranken und unterstützt klassenlose IP-Adressbereiche. Mit CIDR geben Sie die Anzahl der Bits an, die den IP-Adressbereich kenn- zeichnen.
Seite 40: Ip-Parameter Via Cli Eingeben
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2 IP-Parameter via CLI eingeben Sollten Sie weder über DHCP, HiDiscovery Protokoll noch über den Auto- Configuration Adapter ACA das System konfigurieren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor. Eintragen der IP-Adressen PC mit gestartetem Terminalprogramm an die RJ11-Buchse anschliessen...
Seite 41 Der Start-Bildschirm erscheint. NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > EAGLE Konfiguration Release 5.1 06/2011...
Seite 42: Ip-Parameter Im Transparent-Modus
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2.1 IP-Parameter im Transparent-Modus  Stellen Sie den Transparent-Modus ein (Lieferzustand: Transparent- Modus).  Falls DCHP eingeschaltet ist, schalten Sie DHCP aus (Lieferzustand: DHCP ist ausgeschaltet).  Geben Sie die IP-Parameter ein.  Lokale IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 192.168.1.1.
Seite 43: Ip-Parameter Im Router-Modus
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Nach der Eingabe der IP-Parameter können Sie das Gerät über das Web- based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. 3.2.2 IP-Parameter im Router-Modus Internes Interface   Stellen Sie den Router-Modus ein (Lieferzustand: Transparent- Modus).
Seite 44 IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Wechsel in den Privileged-EXEC-Modus. enable Den Router-Modus auswählen (Lieferzustand: network mode router Transparent-Modus). DHCP auf dem internen Router-Interface network router proto int ausschalten. none Dem internen Router-Interface die IP-Adresse network router param int 172.17.1.100 zuweisen.
Seite 45: Verbindungsparameter Im Pppoe-Modus
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben  Speichern Sie die eingegebene Konfiguration mit copy config running-config nv oder save. Wechsel in den Privileged-EXEC-Modus. enable DHCP auf dem externen Router-Interface network router proto ext ausschalten. none Dem externen Router-Interface die IP-Adresse network router param ext 10.0.1.100 zuweisen.
Seite 46 IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben  Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie diese mit einer Netzmaske, dann geben Sie an dieser Stelle die Netzmaske ein. Im Lieferzustand ist die Netzmaske 255.255.255.0 eingetragen.  Speichern Sie die eingegebene Konfiguration mit copy config running-config nv oder save.
Seite 47 IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Wechsel in den Privileged-EXEC-Modus. enable network pppoe username Peter Den Benutzernamen „Peter” eingeben. Das Passwort „Holidays” eingeben. network pppoe password Holi- days Die maximale Paketgröße mit 1492 eingeben. network pppoe mtu-size 1492 copy config running-config nv Die aktuelle Konfiguration in den nichtflüchtigen Speicher sichern.
Seite 48: Ip-Parameter Per Hidiscovery Eingeben
IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben 3.3 IP-Parameter per HiDiscovery eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. Im Lieferzustand ist die HiDiscovery-Funktion des Gerätes ...
Seite 49 IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben  Starten Sie das Programm HiDiscovery. Abb. 10: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt das erste gefundene Netz-Interface des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie das gewünsch- te in der Werkzeugleiste von HiDiscovery auswählen.
Seite 50 IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben Hinweis: Schalten Sie aus Sicherheitsgründen im Web-based Interface die HiDiscovery-Funktion des Gerätes aus, nachdem Sie dem Gerät die IP-Pa- rameter zugewiesen haben (siehe auf Seite 57 „IP-Konfiguration via Web- based Interface“). Hinweis: Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe auf Seite 64 „Konfigurationen bearbeiten und...
Seite 51: System-Konfiguration Vom Aca Laden
IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden 3.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät  zum Speichern der Konfigurationsdaten eines Gerätes und  zum Speichern der Geräte-Software. Der ACA ermöglicht bei einem betriebsunfähigen Gerät, eine denkbar einfa- che Konfigurationsdatenübernahme durch ein Ersatzgerät des gleichen Typs.
Seite 52 IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden Abb. 12: Ablaufdiagramm Konfigurationsdaten vom ACA laden 1 – Gerät starten 2 – ACA vorhanden? 3 – Passwort im Gerät und ACA identisch? 3a – Voreingestelltes Passwort im Gerät? 4 – Konfiguration vom ACA laden, ACA-LEDs blinken synchron 4a –Konfiguration aus lokalem Speicher laden, ACA-LEDs blinken alternierend...
Seite 53: System-Konfiguration Via Dhcp
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP 3.5 System-Konfiguration via DHCP Bei der Inbetriebnahme mit Hilfe von DHCP (Dynamic Host Configuration Protocol) erhält ein Gerät gemäß dem Ablaufdiagramm seine IP-Adresse. DHCP bietet die Konfiguration des Gerätes (DHCP-Client) über einen Namen an. Dieser Name heißt bei DHCP nach RFC 2131 "Client Identifier".
Seite 54 IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Inbetriebnahme Lade Default-Konfiguration Gerät wird initialisiert Gerät arbeitet mit Einstellungen aus lokalem Flash Sende DHCP- DHCP? Requests Nein IP-Parameter Nein Antwort vom lokal speichern DHCP-Server? IP-Stack mit IP-Parametern initialisieren Gerät ist managebar Abb. 13: Ablaufdiagramm DHCP-Prozess Das Gerät übermittelt seinen Systemnamen dem DHCP-Server.
Seite 55 IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Option Bedeutung Subnet Mask Time Offset Router Time server Host Name Client Identifier Tab. 5: DHCP-Optionen, die das Gerät anfordert Der DHCP-Server stellt die Konfigurationsparameter (“lease”) für eine bestimmte Zeitspanne zur Verfügung. Um dies zu umgehen, bieten die meisten DHCP-Server die explizite Konfigurationsmöglichkeit, einem bestimmten Client anhand einer eindeutigen Hardware-ID immer dieselbe IP-Adresse zuzuordnen (sogenannte statische Adressvergabe).
Seite 56 IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Beispiel für eine DHCP-Konfigurationsdatei: # /etc/dhcpd.conf for DHCP Daemon subnet 10.1.112.0 netmask 255.255.240.0 { option subnet-mask 255.255.240.0; option routers 10.1.112.96; # Host berta requests IP configuration # with her MAC address host berta { hardware ethernet 00:80:63:08:65:42;...
Seite 57: Ip-Konfiguration Via Web-Based Interface
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6 IP-Konfiguration via Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält, weisen IP- Parameter zu, definieren die Handhabung von VLANs und konfigurieren den HiDiscovery-Zugriff.
Seite 58: Lokale Ip-Parameter Eingeben
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben   Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein.  Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gateways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
Seite 59: Ip-Konfiguration Im Router-Modus
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6.2 IP-Konfiguration im Router-Modus Im Router-Modus benötigt das Gerät die Eingabe der IP-Parameter am internen und am externen Interface.  Geben Sie im Rahmen „Protokoll“ ein, woher das Gerät seine IP- Parameter bezieht: ...
Seite 60: Ip-Konfiguration Im Pppoe-Modus
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface IP-Parameter über DHCP beziehen   Den für das DHCP-Protokoll relevanten Namen geben Sie im System- Dialog des Web-based Interface in der Zeile „Name“ ein. IP-Konfiguration speichern  Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe Seite 64 „Konfigurationen bearbei- ten und...
Seite 61: Pppoe-Verbindungsparameter Eingeben
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben   Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein.  Geben Sie im Feld „Netzmaske“ die Netzmaske ein.  Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gateways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
Seite 62: Defekte Geräte Ersetzen
IP-Parameter eingeben 3.7 Defekte Geräte ersetzen 3.7 Defekte Geräte ersetzen Das Gerät bietet eine Plug-and-Play-Lösung zum Austauschen eines defekten Gerätes durch einen Gerät des gleichen Typs (Faulty Device Re- placement):  Konfiguration des neuen Gerätes mit Hilfe eines AutoConfiguration Adapters (siehe auf Seite 51 „System-Konfiguration vom ACA laden“).
Seite 63: Grundeinstellungen
Grundeinstellungen 4 Grundeinstellungen Zu den Grundeinstellungen des Gerätes gehören:  das Bearbeiten und Verwalten von Konfigurationen (Geräte- einstellungen).  das Laden der neuesten Software des Gerätes  die Konfiguration der Ports des Gerätes  die Synchronisation der Systemzeit im Netz EAGLE Konfiguration Release 5.1 06/2011...
Seite 64: Konfigurationen Bearbeiten Und Verwalten
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart lädt das Gerät seine Konfigurationen (Einstellungen) von seinem nicht-flüchtigen Speicher, sofern Sie nicht DHCP aktiviert haben und kein ACA am Gerät angeschlossen ist. Während des Betriebs bietet Ihnen das Gerät die Möglichkeit, Konfigurationen (Einstellungen) aus folgenden Quellen zu laden: ...
Seite 65 Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Abb. 14: Dialog Laden/Speichern EAGLE Konfiguration Release 5.1 06/2011...
Seite 66: Aktivieren Einer Konfiguration
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.1 Aktivieren einer Konfiguration Das Gerät bietet Ihnen die Möglichkeit, eine gespeicherte Konfiguration aus der Tabelle „Konfiguration im nicht-flüchtigen Speicher (NVM)“ zu aktivieren.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Wählen Sie in der NVM-Konfigurationstabelle eine nicht-aktive Konfigurationsdatei aus.
Seite 67: Konfigurationen Bearbeiten Und Verwalten
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.2 Konfiguration speichern Das Gerät bietet Ihnen die Möglichkeit, die aktuelle Konfiguration (Einstellung) auf dem Gerät und den ACA  in einer neuen Konfigurationsdatei zu speichern, Konfiguration in einer neuen Konfigurationsdatei speichern   Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Seite 68: Zurücksetzen Der Konfiguration In Den Lieferzustand
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable copy config running-config nv Das Gerät speichert die aktuellen Konfigurations- daten in den lokalen nicht-flüchtigen Speicher und, sofern ein ACA angeschlossen ist, auch in den ACA 4.1.3 Zurücksetzen der Konfiguration in den Lieferzustand Das Gerät bietet Ihnen die Möglichkeit, die Konfiguration in den Lieferzu- stand zurückzusetzen.
Seite 69: Laden Der Aktiven Konfiguration
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Hinweis: Das Gerät löscht alle Tabellen, Einstellungen und Dateien auf dem Gerät und auf einem angeschlossenen ACA. Hinweis: Das Kommando „clear config“ löscht nicht den Namen der aktu- ellen Konfiguration. Verwenden Sie das das Kommando „save profile“, um die gelöschte Konfiguration unter einem neuen Namen abzuspeichern.
Seite 70: Kopieren Von Konfigurationsdateien
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.5 Kopieren von Konfigurationsdateien Kopieren von einem PC auf das Gerät  Das Gerät bietet Ihnen die Möglichkeit, eine Konfigurationsdatei von einem PC auf das Gerät zu kopieren.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. ...
Seite 71: Kopieren Vom Gerät Oder Vom Aca Auf Einen Pc
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart übernimmt das Gerät die Konfigurationsdaten des ACA und speichert sie nicht-flüchtig im Flash-Speicher. Enthält der angeschlossene ACA keine gültigen Daten, z.B. wenn er im Lieferzu- stand ist, dann lädt das Gerät die Daten aus dem Flash-Speicher. Vor dem Laden der Konfigurationsdaten vom ACA vergleicht das Gerät das Passwort im Gerät mit dem Passwort in den Konfigurationsdaten des ACA .
Seite 72: Anzeigen Einer Konfigurationsdatei
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable Konfiguration „name“ auf das Gerät laden. copy config aca profile <name> nv 4.1.6 Anzeigen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine Konfigurationsdatei anzuzeigen.
Seite 73: Löschen Einer Konfigurationsdatei
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.7 Löschen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine nicht-aktive Konfigurationsdatei zu löschen.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Wählen Sie einen nicht aktiven Tabelleneintrag –...
Seite 74 Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Aktivieren Sie dazu den SSH-Zugriff auf das Gerät (siehe auf Seite 105 „CLI- Zugriff konfigurieren“). EAGLE Konfiguration Release 5.1 06/2011...
Seite 75: Konfigurationsänderung Widerrufen
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.9 Konfigurationsänderung widerrufen Das Gerät bietet Ihnen die Möglichkeit, eine Konfigurationsänderung automatisch zu widerrufen, falls das Gerät durch eine Änderung seine Netzverbindung mit der Managementstation verliert, von der aus Sie das Gerät konfigurieren. Ein Beispiel ist das versehentliche Ändern der IP- Adresse des Geräts.
Seite 76 Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Zum Einschalten der Funktion markieren Sie „Funktion“ im Rahmen „Konfigurationsänderung widerrufen“.  Geben Sie die Wartezeit bei „Periode bis zum Widerruf bei Verbin- dungsunterbrechung“ ein.  Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern.
Seite 77: Neueste Software Laden
Grundeinstellungen 4.2 Neueste Software laden 4.2 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann (www.hirschmann-ac.de) eine neuere Release der Geräte- Software finden, als die Release, die auf Ihrem Gerät gespeichert ist.
Seite 78: Software Laden
OS Software Release... SDV-05.5.00 2010-08-08 08:08 OOS Software Release (ROM)..SDV-05.5.00 2010-08-08 08:08 Software Release (BAK)..SDV-04.4.00 2009-09-09 09:09 Device Hardware Revision..1.12 Device Hardware Description... EAGLE 20 TX/TX Serial Number....943011301020201679 Network Operation Mode..Transparent Mode IP address (management)..10.0.1.203 MAC address (management)..
Seite 79: Software Vom Aca Laden
Grundeinstellungen 4.2 Neueste Software laden Wechsel in den Privileged-EXEC-Modus. enable Anzeigen der Systeminformation. show system info  Das CLI gibt Ihnen in der Zeile Serial Number die Seriennummer Ihres EAGLE-Gerätes aus. Vergleichen Sie diese Seriennummer mit der in der folgenden Tabelle angegebenen Seriennummer Ihres EAGLE- Gerätetyps.
Seite 80: Laden Mit Dem Systemmonitor
Grundeinstellungen 4.2 Neueste Software laden  Verbinden Sie den ACA 21-USB, auf den Sie die Geräte-Software kopiert haben, mit dem USB-Port des Gerätes. Laden mit dem Systemmonitor   Öffnen Sie den System-Monitor (siehe Seite 22 „Öffnen des System- Monitors“). ...
Seite 81: Software Über Datei-Auswahl Laden
Grundeinstellungen 4.2 Neueste Software laden Im System-Monitor: Der Menüpunkt „End (reset and reboot)“ des System-Monitors bietet Ihnen die Möglichkeit, die Hardware des Gerätes zurückzusetzen und einen Neustart durchzuführen. 4.2.4 Software über Datei-Auswahl laden Für ein https-Software-Update (über ein Datei-Auswahl-Fenster) benötigen Sie die Geräte-Software auf einem Datenträger, den Sie von Ihrer Work- station aus erreichen ...
Seite 82: Ports Konfigurieren
Grundeinstellungen 4.3 Ports konfigurieren 4.3 Ports konfigurieren Die Portkonfiguration umfasst:  Portnamen eingeben,  Port ein-/ausschalten,  Betriebsart wählen,  Meldung von Verbindungsfehlern aktivieren. Portnamen eingeben  Die Tabellenspalte „Name“ bietet Ihnen die Möglichkeit, dem Port einen beliebigen Namen zu geben. Port ein-/ausschalten ...
Seite 83 Grundeinstellungen 4.3 Ports konfigurieren  Wählen Sie den Dialog Grundeinstellungen:Portkonfiguration.  Falls das an diesem Port angeschlossene Gerät eine feste Einstellung voraussetzt – wählen Sie in der Spalte „Manuelle Konfiguration“ die Betriebsart (Übertragungsgeschwindigkeit, Duplexbetrieb) und – deaktivieren Sie in der Spalte „Automatische Konfiguration“ den Port.
Seite 84: Die Systemzeit Im Netz Synchronisieren
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren 4.4 Die Systemzeit im Netz synchronisieren Das Gerät bietet Ihnen die Möglichkeit, die Zeit in Ihrem Netz zu syn- chronisieren. Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Mit Hilfe von NTP kann das Gerät die Zeit genauer bestimmen als mit SNTP. Somit kann es als NTP-Server auch eine genauere Uhrzeit anbieten.
Seite 85 Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren  Wählen Sie den Dialog Zeit:Grundeinstellungen. Dieser Dialog bietet Ihnen die Möglichkeit, zeitbezogene Einstellungen vorzunehmen.  Die „Systemzeit (UTC)" zeigt die Uhrzeit bezogen auf die koordinier- te Weltzeitskala UTC (Universal Time Coordinated) an. Die Anzeige ist weltweit gleich.
Seite 86: Sntp
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Einstellen der Systemzeit des Gerätes. sntp time <YYYY-MM-DD HH:MM:SS> Eingeben der Zeitdifferenz zwischen der lokalen sntp client offset <-1000 to Zeit und der „SNTP-Zeit“. 1000> 4.4.2 SNTP Beschreibung SNTP  Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren.
Seite 87: Vorbereitung Der Sntp-Konfiguration
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Vorbereitung der SNTP-Konfiguration   Zeichnen Sie einen Netzplan mit allen am SNTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallaufzeit abhängig ist.
Seite 88: Konfiguration Sntp
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Konfiguration SNTP   Wählen Sie den Dialog Zeit:SNTP.  Funktion  In diesem Rahmen schalten Sie die SNTP-Funktion global ein/ aus. Hinweis: Wenn Sie SNTP einschalten, während NTP auf dem Gerät schon aktiv ist, meldet das Gerät einen Fehler. Um SNTP einzuschalten, deaktivieren Sie zuerst NTP.
Seite 89 Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren  Konfiguration SNTP-Client  In „Externe Server-Adresse“ geben Sie die IP-Adresse des SNTP- Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert.  In „Redundante Server-Adresse“ geben Sie die IP-Adresse eines weiteren SNTP-Servers ein. Von diesem fordert das Gerät die Systemzeit an, wenn es 1 Sekunde nach einer Anforderung an die „Externe Server-Adresse“...
Seite 90 Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Gerät 192.168.1.1 192.168.1.2 192.168.1.3 Funktion Server Zieladresse 0.0.0.0 0.0.0.0 0.0.0.0 Server VLAN-ID Sendeintervall Client Externe Server Adresse 192.168.1.0 192.168.1.1 192.168.1.2 Anforderungsintervall Broadcasts akzeptieren nein nein nein Tab. 7: Einstellungen für das Beispiel (siehe Abb. 16) 4.4.3 Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren.
Seite 91 Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Hinweis: Für eine möglichst genaue Systemzeitverteilung verwenden Sie für einen NTP-Client mehrere NTP-Server. Hinweis: Wenn Sie NTP einschalten (einen anderen Wert als off einstel- len), während SNTP auf dem Gerät schon aktiv ist, meldet das Gerät einen Fehler.
Seite 92 Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren EAGLE Konfiguration Release 5.1 06/2011...
Seite 93: Schutz Vor Unberechtigtem Zugriff
Schutz vor unberechtigtem Zugriff 5 Schutz vor unberechtigtem Zugriff Schützen Sie Ihr Gerät vor unberechtigten Zugriffen. Das Gerät bietet Ihnen folgende Funktionen zum Schutz gegen unberechtigte Zugriffe.  Passwort-geschützter Web-Zugriff abschaltbar  Passwort-geschützter CLI-Zugriff abschaltbar  Passwort-geschützter Netzmanagement-Zugriff abschaltbar  HiDiscovery-Funktion abschaltbar ...
Seite 94 Schutz vor unberechtigtem Zugriff  Änderung und Verfälschung der Schreibweise (z.B. „plAuer FOGel“ statt „Blauer Vogel“). Hinweis: Im Lieferzustand ist der SNMPv1- und der SNMPv2-Zugriff aus- geschaltet. Da SNMPv1 und SNMPv2 die Daten unverschlüsselt übertragen, stellt die Verwendung von SNMPv1 und SNMPv2 ein Sicherheitsrisiko dar. Lassen Sie den SNMPv1- oder SNMPv2-Zugriff ausschließlich dann zu, wenn Sie eine Anwendung, die dies erfordert, einsetzen wollen.
Seite 95: Web-Based Interface-Zugriff
HTTPS beinhaltet eine Authentifizierung und eine Verschlüsselung der zu übertragenden Daten. Basis für beides ist ein Zertifikat. Im Lieferzustand bietet das Gerät ein Hirschmann-Zertifikat. Beim Starten des Web-based Interfaces über den Browser wird Sie Ihr Browser, abhängig von dessen Voreinstellungen, fragen, ob Sie dem Zertifikat vertrauen.
Seite 96: Beschreibung Web-Based Interface-Zugriff
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.1 Beschreibung Web-based Interface-Zugriff Das Gerät bietet Ihnen die Möglichkeit, den Zugriff auf das Web-based Interface auf mehrere Arten zu schützen:  Passwort  Wahl des SNMP-Ports Für den Zugriff auf das Web-based Interface benutzt Ihr Browser eine Java-Anwendung, die er vom Gerät herunterlädt.
Seite 97: Web-Based Interface-Zugriff Konfigurieren
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.2 Web-based Interface-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 98 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff  Geben Sie neue Passwörter ein.  Wählen Sie den Dialog Sicherheit:Passwort.  Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben.  Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 99 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Abb. 18: Dialog Passwort  Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 100 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff  Konfigurieren Sie den SNMP-Zugriff.  Wählen Sie den Dialog Sicherheit:SNMP-Zugriff.  Ändern Sie den SNMP-Port auf z.B. 9223. Einschränken der IP-Adressen, die über SNMP zugreifen dürfen:  Klicken Sie auf „Eintrag erzeugen“. ...
Seite 101 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff  Konfigurieren Sie den Web-Zugriff.  Wählen Sie den Dialog Sicherheit:Web-Zugriff.  Ändern Sie den HTTPS-Port auf z.B. 9027. Einschränken der IP-Adressen, die über HTTPS zugreifen dürfen:  Klicken Sie auf „Eintrag erzeugen“. ...
Seite 102 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff  Konfigurieren Sie das automatische Abmelden.  Wählen Sie den Dialog Abmelden.  Klicken Sie im Rahmen „Web-based Interface“ in der Zeile „Automatisch“ auf „An“.  Geben Sie in der Zeile „Nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die HTTPS-Verbindung automatisch bei Inaktivität beendet.
Seite 103 Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 104: Cli-Zugriff
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2 CLI-Zugriff Für den Zugriff auf das Command Line Interface (CLI) benötigen Sie eine direkte Verbindung von Ihrem PC zum Seriellen Port oder eine Secure Shell (SSH)-Verbindung zu Ihrem Gerät (siehe auf Seite 244 „Zugriff mittels SSH“).
Seite 105: Cli-Zugriff Konfigurieren
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2.2 CLI-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 106 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff  Geben Sie neue Passwörter ein.  Wählen Sie den Dialog Sicherheit:Passwort.  Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben.  Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 107 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Abb. 23: Dialog Passwort  Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 108 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff  Konfigurieren Sie den SSH-Zugriff.  Wählen Sie den Dialog Sicherheit:SSH-Zugriff.  Ändern Sie den SSH-Port auf z.B. 9243. Einschränken der IP-Adressen, die über SSH zugreifen dürfen:  Klicken Sie auf „Eintrag erzeugen“.  Wählen Sie in der Zelle „Port“ des neuen Eintrags in der Tabelle int.
Seite 109 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Hinweis: Das Gerät bietet Ihnen die Möglichkeit, per SFTP auf Geräte- Dateien wie Konfigurationsdateien oder den ACA zuzugreifen, ein Firm- ware-Update oder VPN-Zertifikate auf das Gerät zu laden. Verwenden Sie dazu einen SFTP-Client, z. B. WinSCP. Für den SFTP-Zugriff ist der SSH-Zugriff auf das Gerät erforderlich.
Seite 110 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff  Konfigurieren Sie das automatische Abmelden.  Wählen Sie den Dialog Abmelden.  Geben Sie im Rahmen „SSH-Verbindung“ in der Zeile „Automatisch nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die SSH-Verbindung automatisch bei Inaktivität beendet.
Seite 111 Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 112: Netzmanagement-Zugriff
Schutz vor unberechtigtem Zugriff 5.3 Netzmanagement-Zugriff 5.3 Netzmanagement-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Gerät. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Gerätes zugreifen will.
Seite 113: Hidiscovery-Zugriff Aus-/Einschalten
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4.1 Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät im Transparent- Modus anhand seiner MAC-Adresse eine IP-Adresse zuzuweisen (siehe auf Seite 48 „IP-Parameter per HiDiscovery eingeben“). HiDiscovery ist ein Layer 2-Protokoll.
Seite 114: Hidiscovery-Funktion Aus-/Einschalten
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4.2 HiDiscovery-Funktion aus-/einschalten  Wählen Sie den Dialog Grundeinstellungen:Netz:Transpa- rent-Modus.  Im Rahmen „HiDiscovery Protokoll“ schalten Sie die HiDiscovery- Funktion aus oder beschränken Sie den Zugriff auf „read-only“. Wechsel in den Privileged-EXEC-Modus. enable HiDiscovery-Funktion ausschalten.
Seite 115: Externe Authentifizierung
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung 5.5 Externe Authentifizierung 5.5.1 Beschreibung der externen Authentifizie- rung „Externe Authentifizierung“ des Gerätes bietet Ihnen die Möglichkeit, zur Authentifizierung eines Benutzers Benutzer-Firewall-Konten mit zugehöri- gen Passwörtern anzulegen. Für jedes Konto können Sie durch die Wahl einer Authentifizierungsliste drei Authentifizierungsmethoden festlegen, die das Gerät bei einem Zugriff über diesen Kontonamen nacheinander an- wendet.
Seite 116 Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung Parameter Wert Kontoname Service Authentifizierungsliste userFirewallLoginDefaultList Server Service RADIUS-Server Abb. 26: Externe Authentifizierung Anwendungsbeispiel Ablauf der Authentifizierung:  Der Benutzer meldet sich auf dem Gerät im Anmeldefenster des Web- based Interface unter dem Login-Typ „Benutzerfirewall“ mit Benutzer- name und Passwort an.
Seite 117 Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung  Konfigurieren Sie das Benutzer-Firewall-Konto.  Wählen Sie den Dialog Sicherheit:Externe Authentifi- zierung:Benutzer-Firewall Konten.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch öffnen Sie einen Dialog zur Eingabe des Namens für dieses Benutzer-Firewall-Konto.  Geben Sie den Namen für dieses Konto ein, z.B. Service. ...
Seite 118 Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung EAGLE Konfiguration Release 5.1 06/2011...
Seite 119: Datenverkehr Kontrollieren
Datenverkehr kontrollieren 6 Datenverkehr kontrollieren Dieses Kapitel beschreibt die Hauptaufgabe einer Firewall. Eine Firewall überprüft die zur Weiterleitung bestimmten Daten nach vorgegebenen Regeln. Daten, die den Regeln entsprechen, leitet eine Firewall weiter oder blockiert sie. Für Daten, auf die keine Regel zutrifft, ist die Firewall ein unüberwindbares Hindernis.
Seite 120: Paketfilter
Datenverkehr kontrollieren 6.1 Paketfilter 6.1 Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion Bei der paketinhaltsbezogenen Datenverkehrskontrolle überprüft die Firewall den Inhalt der zu vermittelnden Datenpakete. Hierbei bietet die Firewall verschiedene Paket-Gruppen zur Definition der Überprüfungs- kriterien an:  Eingehende IP-Pakete Diese Gruppe bietet Ihnen die Möglichkeit, am externen Port eingehende IP-Pakete nach ihren IP-Adressierungsinformationen und Protokoll- information zu filtern.
Seite 121 Datenverkehr kontrollieren 6.1 Paketfilter Aktion Bedeutung verwerfen (drop) Datenpaket löschen zurückweisen (reject) Datenpaket löschen und den Absender informieren vermitteln (accept) Datenpaket entsprechend der Adressinformationen weiter- leiten. Tab. 8: Behandlung gefilterter Datenpakete Die Firewall überprüft jedes Datenpaket beginnend mit der ersten Regel. Die erste Regel, die zutrifft, bestimmt, wie die Firewall das Datenpaket behandelt.
Seite 122 Datenverkehr kontrollieren 6.1 Paketfilter Das Gerät erzeugt aus einem Paketfilter-Eintrag mit Variablen automa- tisch die passenden Paketfilter-Einträge. Wenn Sie die Adressvorlage für eine Variable ändern, passt das Gerät automatisch die erzeugten Paket- filter-Einträge an. Beispielsweise können Sie für die Adressen in Ihrem internen Netz eine Adressvorlage erstellen und diese als Variable in Ihren Paketfilter-Ein- trägen verwenden.
Seite 123 Datenverkehr kontrollieren 6.1 Paketfilter Führen Sie zur FLM-unterstützten Regel-Erstellung folgende Schritte aus:  Setzen Sie die Firewall an der vorgesehenen Stelle in Ihr Netz ein.  Aktivieren Sie den FLM-Assistenten an den gewünschten Interfaces der Firewall (typischerweise an beiden Interface). ...
Seite 124: Anwendungsbeispiel Für Paketfilter
Datenverkehr kontrollieren 6.1 Paketfilter 6.1.2 Anwendungsbeispiel für Paketfilter Die Abbildung zeigt einen typischen Anwendungsfall: Ein Fertigungssteuerer möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist. Die Firewall soll jeglichen Daten- verkehr zwischen der Fertigungszelle und dem restlichen Firmennetz unter- binden.
Seite 125 Datenverkehr kontrollieren 6.1 Paketfilter  Geben Sie die Filterdaten für eingehende IP-Pakete ein.  Wählen Sie den Dialog Netzsicherheit:Paketfilter:Eingehende IP-Pakete. Im Lieferzustand besitzt der EAGLE bereits einen unsichtbaren Eintrag, der jeglichen Datenverkehr vom externen in das interne Netz unter- bindet. ...
Seite 126 Die Angabe des ICMP-Code ist optional. Mögliche Werte für ICMP- Typ und -Code entnehmen Sie der Tabelle „ICMP-Typen und - Codes” im „Referenz-Handbuch Web-based Interface Industrial ETHERNET Firewall EAGLE 20”.  Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern.
Seite 127: "Beschreibung": Alles Verwerfen
Datenverkehr kontrollieren 6.1 Paketfilter  Geben Sie die Filterdaten für ausgehende IP-Pakete ein.  Wählen Sie den Dialog Netzsicherheit:Paketfilter:Ausgehende IP-Pakete. Im Lieferzustand besitzt der EAGLE bereits einen Eintrag, der jeglichen Datenverkehr vom internen in das externe Netz erlaubt.  Markieren Sie den Eintrag. ...
Seite 128 Datenverkehr kontrollieren 6.1 Paketfilter  Markieren Sie den Eintrag. Klicken Sie auf „“. Wiederholen Sie den Vorgang, bis der Eintrag die erste Zeile der Tabelle darstellt.  Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. ...
Seite 129: Anwendungsbeispiel Für Adressvorlagen
Datenverkehr kontrollieren 6.1 Paketfilter Anwendungsbeispiel für Adressvorlagen  Ein Fertigungssteuerer möchte die Daten eines 2. Produktionsroboters abfragen. Da noch weitere Roboter hinzukommen werden, entschließt er sich, die Adressen der Roboter in einer Adressvorlage anzulegen und die Vorlage als Variable in den bestehenden Paketfilter-Einträgen zu ver- wenden.
Seite 130 Datenverkehr kontrollieren 6.1 Paketfilter  Erstellen Sie die Adressvorlage für die Roboter in der Fertigungszelle.  Wählen Sie den Dialog Netzsicherheit:Paketfilter:Adressvorlagen.  Klicken Sie auf „Eintrag erzeugen“.  Tragen Sie die 1. Adresse der Adressvorlage in den Dialog ein. Eine einzelne Adresse können Sie optional mit der Adressmaske /32 an- geben: „Listen-Name“: robo_zelle_1...
Seite 131 Datenverkehr kontrollieren 6.1 Paketfilter  Nehmen Sie die Variable in die Filterdaten für eingehende IP-Pakete auf.  Wählen Sie den Dialog Netzsicherheit:Paketfilter:Eingehende IP-Pakete.  Wählen Sie den Eintrag „freier Zugang für PC“.  Ersetzen Sie die Zieladresse in den Eintrag „freier Zugang für PC“ durch die Variable.
Seite 132 Datenverkehr kontrollieren 6.1 Paketfilter  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 133: Anwendungsbeispiel Für Den Firewall-Lern-Modus (Flm)
Datenverkehr kontrollieren 6.1 Paketfilter 6.1.3 Anwendungsbeispiel für den Firewall-Lern- Modus (FLM) Die Abbildung zeigt einen typischen Anwendungsfall: Ein Fertigungssteuerer richtet eine neue Fertigungszelle ein. Eine Firewall soll die Fertigungzelle vom Firmennetz trennen. Sie soll ausschließlich den erwünschten Verkehr vom Konfigurations-Computer im Firmennetz zu den Geräten in der Fertigungszelle erlauben und anderen Verkehr, insbesondere aus dem Transfernetz verwerfen.
Seite 134 Datenverkehr kontrollieren 6.1 Paketfilter Bekannt sind die folgenden IP-Adressen: Parameter Roboter Switch Firewall Konfigurations- Computer IP-Adr. interner Port 10.0.1.1 IP-Adr. externer Port 10.115.0.2 IP-Adresse 10.0.1.115 10.0.1.116 172.17.255.134 Default-Gateway 10.0.1.1 10.0.1.1 Im Lieferzustand  erlaubt die Firewall allen Verkehr vom internen zum externen Interface. Diese Konfiguration möchte der Benutzer beibehalten.
Seite 135 Datenverkehr kontrollieren 6.1 Paketfilter Öffnen des Assistenten für den Firewall-Lern-Modus:  Wählen Sie den Dialog Netzsicherheit:Paketfilter:Firewall-Lern-Modus.  Klicken Sie im Rahmen „Funktion“ auf „An“.  Um den Assistenten für den Firewall-Lern-Modus einzuschalten, klicken Sie auf „Schreiben“. Das Web-based Interface weist Sie auf den Eintritt in den Firewall-Lern- Modus hin und fragt Sie, ob Sie die aktuelle Konfiguration des Gerätes speichern möchten.
Seite 136 Datenverkehr kontrollieren 6.1 Paketfilter Das Lernen starten:  Wählen Sie das externe Interface zum Lernen aus.  Um den eigentlichen Lernvorgang auf der Firewall zu starten, klicken Sie auf „Starte Lernmodus“.  Laden Sie auf Ihrem Konfigurations-Computer in einem anderen Browser-Fenster das Web-based Interface des Switch in der Pro- duktionszelle.
Seite 137 Datenverkehr kontrollieren 6.1 Paketfilter Verkehrsdaten inspizieren und mit Hilfe des Assistenten Regeln für er- wünschten Verkehr ableiten:  Wählen Sie die Karteikarte „Externes Interface“.  Sortieren Sie im Rahmen „Erfasste Daten“ die Tabelle aufsteigend nach der Spalte „Quelladresse“.  Suchen Sie die 1. Zeile mit der IP-Adresse des Konfigurations- Computers.
Seite 138 Datenverkehr kontrollieren 6.1 Paketfilter Das Web-based Interface markiert die Zeile dunkelgrün, die die neue Regel abdeckt. Die Zeilen, die die vorher erstellte Regel abdeckt, markiert Web-based Interface hellgrün.  Um die zufälligen Quellports der snmp-Anfragen zu erlauben, ändern Sie den Quellport der Regel auf any. Das Web-based Interface markiert nun im Rahmen „Erfasste Daten“...
Seite 139 Datenverkehr kontrollieren 6.1 Paketfilter Die neu erstellten Paketfilter-Regeln testen:  Klicken Sie auf „Zum Test freigeben“.  Wählen Sie die Karteikarte „FLM-Steuerung“.  Klicken Sie auf „Starte Testmodus“. Das Web-based Interface setzt die Anzahl der bisher im Testmodus gelernten „IP-Einträge“ auf 0. ...
Seite 140 Datenverkehr kontrollieren 6.1 Paketfilter Den Assistenten für den Firewall-Lern-Modus beenden und die neuen Paketfilter-Regeln speichern:  Wählen Sie die Karteikarte „FLM-Steuerung“.  Klicken Sie im Rahmen „Funktion“ auf „Aus“.  Um den Assistenten für den Firewall-Lern-Modus zu beenden, klicken Sie auf „Schreiben“. Das Web-based Interface weist Sie auf das Verlassen des Firewall- Lern-Modus hin und fragt Sie, ob Sie die aktuelle Konfiguration des Gerätes speichern oder die vorherige Konfiguration wiederherstellen...
Seite 141 Datenverkehr kontrollieren 6.1 Paketfilter – Um von allen Konfigurations-Computern im Administrations-Subnetz aus per http und snmp auf die Fertigungszelle zugreifen zu können, ändern Sie die Einträge für „Quelladresse (CIDR)“ auf 172.17.255.0/24. – Um die Web-Server aller Geräte in der Fertigungszelle rasch zu verbergen, ändern Sie bei dem Eintrag mit dem Zielport 80 und dem Protokoll tcp die Aktion auf drop.
Seite 142 Datenverkehr kontrollieren 6.1 Paketfilter Hinweis: Wenn Sie Verkehr an einem Interface lernen, für das Sie eine aktive drop-Regel konfiguriert haben, ignoriert die Firewall beim Lernen den Verkehr, auf den die Regel zutrifft. Um diesen Verkehr zu lernen und zu inspizieren, deaktivieren Sie vor dem Lernen die drop-Regel.
Seite 143: Nat - Network Address Translation
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2 NAT - Network Address Translation Das Network Address Translation (NAT)-Protokol beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. NAT kommt zum Einsatz, wenn IP-Adressen eines internen Netzes nicht nach außen sichtbar sein sollen.
Seite 144: Ip-Masquerading
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.1 IP-Masquerading IP-Masquerading verwenden Sie, um die interne Netzstruktur nach außen hin zu verstecken, sozusagen hinter einer Maske zu verbergen. Beim IP-Masquerading ersetzt die Firewall die Quell-IP-Adresse eines Datenpaketes aus dem internen Netz durch die externe IP-Adresse der Firewall.
Seite 145: Nat - Network Address Translation
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.2 1:1-NAT 1:1-NAT verwenden Sie, wenn Sie identische Produktionszellen mit gleichen IP-Adressen aufbauen und diese mit dem externen Netz verbinden wollen. Die Firewall ordnet dazu den Geräten im internen Netz eine andere IP-Ad- resse im externen Netz zu.
Seite 146 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Inverses 1:1-NAT  Inverses 1:1-NAT verwenden Sie , wenn die Geräte im internen Netz mit den Geräten im externen Netz so kommunizieren sollen, als wären die Geräte des externen Netzes im internen Netz. Die Firewall ordnet dazu den Geräten im externen Netz eine andere IP-Adresse des internen Net- zes zu.
Seite 147 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Double-NAT  Double-NAT, auch Twice-NAT genannt, verwenden Sie , wenn die Gerä- te im internen Netz mit den Geräten im externen Netz so kommunizieren sollen, als wären die Geräte des externen Netzes im internen Netz und umgekehrt.
Seite 148: Portweiterleitung
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.3 Portweiterleitung Portweiterleitung verwenden Sie, wenn Sie die interne Netzstruktur nach außen hin verstecken wollen, aber den Aufbau einer Kommunikations- verbindung von außen nach innen zulassen wollen. Bei der Portweiterleitung bauen ein oder mehrere externe Geräte eine Kom- munikationsverbindung in das interne Netz auf.
Seite 149: Nat-Anwendungsbeispiele
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.4 NAT-Anwendungsbeispiele Eine Produktionszelle über 1:1-NAT mit dem Firmennetz  verbinden Sie haben mehrere identische Produktionszellen und möchten diese mit Ihrem Firmennetz verbinden. Da selbst die verwendeten IP-Adressen in den Produktionszellen identisch sind, übersetzen Sie die IP-Adressen mit Hilfe der 1:1-NAT-Funktion.
Seite 150 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation  Konfigurieren Sie zunächst die Firewall 1. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein.  Wählen Sie den Dialog Netzsicherheit:NAT:1:1-NAT.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Seite 151 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Bekannt sind: Parameter Roboter Workstation IP-Adresse im Produktionsnetz (intern) 10.0.1.194 10.0.1.195 IP-Adresse im Firmennetz (extern) 10.0.2.194 10.0.2.195 Tab. 10: IP-Adressen der Testgeräte a: Diese IP-Adresse wird durch NAT erzeugt Voraussetzungen für die weitere Konfiguration: ...
Seite 152 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation  Geben Sie die Parameter für die Übersetzung der IP-Adressen ein.  Wählen Sie den Dialog Netzsicherheit:NAT:1:1-NAT.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Seite 153 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Einen Switch in einer Produktionszelle von einem PC außer-  halb der Produktionszelle verwalten (Portweiterleitung) Sie haben eine Produktionszelle mit eigenen IP-Adressen, die im Firmen- netz nicht sichtbar sein sollen über eine Firewall mit Ihrem Firmennetz verbunden.
Seite 154 Datenverkehr kontrollieren 6.2 NAT - Network Address Translation  Konfigurieren Sie die Firewall. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein.  Wählen Sie den Dialog Netzsicherheit:NAT:Portweiterleitung.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Seite 155: Benutzer-Firewall
Datenverkehr kontrollieren 6.3 Benutzer-Firewall 6.3 Benutzer-Firewall 6.3.1 Beschreibung der Benutzer-Firewall- Funktion Bei der benutzerbezogenen Datenverkehrskontrolle überprüft die Firewall die Daten eines von Ihnen zuvor definierten Benutzers (siehe auf Seite 115 „Beschreibung der externen Authentifizierung“). Die Firewall bietet Ihnen die Möglichkeit, mehrere Benutzer zu definieren. Für jeden definierten Benutzer können Sie unterschiedliche Regeln erstellen, nach denen die Firewall Da- tenpakete des definierten Benutzers behandelt.
Seite 156 Datenverkehr kontrollieren 6.3 Benutzer-Firewall Die Benutzer-Firewall-Funktion setzen Sie ein, wenn Sie bestimmten Benutzern zeitlich begrenzt einen durch Regeln erweiterten Zugriff auf das interne oder externe Netz gewähren wollen. EAGLE Konfiguration Release 5.1 06/2011...
Seite 157: Anwendungsbeispiel Für Die Benutzer-Firewall-Funktion
Datenverkehr kontrollieren 6.3 Benutzer-Firewall 6.3.2 Anwendungsbeispiel für die Benutzer- Firewall-Funktion Die Abbildung zeigt einen typischen Anwendungsfall: Ein Service-Techniker möchte ein Software-Update für die Wartung eines Roboters von einem Server herunterladen. Bekannt sind: Parameter Firewall Service-PC Server IP-Adresse interner Port 10.0.1.201 Externer Port PPPoE IP-Adresse...
Seite 158 Datenverkehr kontrollieren 6.3 Benutzer-Firewall  Erstellen Sie einen Benutzer-Firewall-Eintrag.  Wählen Sie den Dialog Netzsicherheit:Benutzer-Firewall-Einträge.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu.  Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“.  Wählen Sie die Karteikarte Grundeinstellungen. ...
Seite 159 Datenverkehr kontrollieren 6.3 Benutzer-Firewall  Wählen Sie die Karteikarte Regeln.  Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu.  Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“.  Geben Sie die Daten ein: ...
Seite 160 Datenverkehr kontrollieren 6.3 Benutzer-Firewall  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 161: Denial Of Service
Datenverkehr kontrollieren 6.4 Denial of Service 6.4 Denial of Service 6.4.1 Beschreibung Denial of Service Mit der Denial-of-Service-Funktion schützen Sie Ihr Netz vor einer Über- flutung mit Dienstanforderungen an Teilnehmer im geschützten Netz. Der EAGLE unterstützt die Überwachung folgender Dienstanforderungen: ...
Seite 162: Vpn - Virtuelles Privates Netz
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5 VPN - Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Das besondere an einem VPN ist, wie der Name „privat“ schon ausdrückt, die Abgeschlossenheit gegenüber dem öffentlichen Netz.
Seite 163 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Integritätsschutz Der Integritätsschutz gewährleistet, dass die übertragenen Daten echt sind, d.h. von einem vertrauenswürdigen Absender stammt (authentisch sind) und der Inhalt unverfälscht beim Empfänger ankommt.  Verschlüsselung Die Verschlüsselung gewährleistet, dass kein Unbefugter Einsicht in die Daten erlangt.
Seite 164: Ike - Internet Key Exchange
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5.2 IKE - Internet Key Exchange IPsec benutzt das Internet Key Exchange Protokoll zur Authentisierung, zum Schlüsselaustausch und zur Vereinbarung weiterer Parameter für die Sicher- heitsbeziehung einer VPN-Verbindung. Authentisierung  Ein wesentlicher Bestandteil der Sicherheitsbeziehung ist die Authentisie- rung.
Seite 165 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz In einem ersten Schritt zum Aufbau der IKE-Sicherheitsbeziehung zwischen den Endpunkten der VPN-Verbindung  einigen sich diese auf einen kryptografischen Algorithmus, der später die Schlüssel für die Codierung und Decodierung der IKE-Protokoll- Nachrichten verwendet.
Seite 166: Anwendungsbeipiele
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5.3 Anwendungsbeipiele Die folgenden Beispiele berücksichtigen die Besonderheiten von häufig vorkommenden Anwendungsfällen, darunter auch die Verbindung eines EAGLE mit einem EAGLE einer früherer Version. Zwei Subnetze miteinander verbinden  In einem großen Firmennetz seien alle Subnetze über ein Transfernetz miteinander verbunden.
Seite 167 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie eine neue VPN-Verbindung an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Seite 168: "Starten Als", Initiator
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IKE-Schlüsselaustauschparameter ein.  Wählen Sie die Karteikarte IKE - Schlüssel-Austausch.  Geben Sie im Rahmen Modus ein:  „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 169 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IPsec-Datenaustauschparameter ein.  Wählen Sie die Karteikarte IPsec - Daten-Austausch.  Geben Sie im Rahmen Modus ein.  „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter.
Seite 170 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. ...
Seite 171: Zwei Subnetze Mit Einem Weiteren Subnetz Verbinden
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Zwei Subnetze mit einem weiteren Subnetz verbinden  Steigende Umsätze erfordern im vorhergehenden Beispiel eine Verdop- pelung der Produktionskapazität. Zu diesem Zweck entschließt sich die Firmenleitung zur Errichtung einer zweiten Produktionshalle. Da der Administrator noch einen EAGLE Version 4.2 in seinem Bestand gefunden hat, möchte er diesen jetzt einsetzen.
Seite 172 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie auf dem EAGLE Nr. 1 eine neue VPN-Verbindung zum EAGLE Nr.3 der Version 4.2 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Seite 173 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IKE-Schlüsselaustauschparameter ein.  Wählen Sie die Karteikarte IKE - Schlüssel-Austausch.  Geben Sie im Rahmen Modus ein:  „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 174 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IPsec-Datenaustauschparameter ein.  Wählen Sie die Karteikarte IKE-Schlüsselaustausch.  Geben Sie im Rahmen Modus ein.  „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter. ...
Seite 175 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. ...
Seite 176 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die Authentisierungsparameter ein.  Wählen Sie die Karteikarte Authentifizierung.  Geben Sie im Rahmen Authentisierung ein:  „Authentisierungsverfahren“ PSK  „Pre-Shared Secret Key“, z.B. 456789defghi  Geben Sie im Rahmen VPN Identifier ein: ...
Seite 177 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die Parameter für die Firewall-Regeln für die Daten, die über die VPN-Verbindung übertragen werden sollen, ein. In der Voreinstellung besitzt der EAGLE Rel. 4.2 Regeln, die das Vermitteln aller Daten zuläßt. ...
Seite 178: Mehrere Subnetze Über Ein Gemeinsames Netz Miteinander Verbinden (Hub-And-Spoke-Architektur)
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Mehrere Subnetze über ein gemeinsames Netz miteinander  verbinden (Hub-and-Spoke-Architektur) Eine neu gegründete Abteilung in der 2. Produktionshalle führt Service- arbeiten nicht nur lokal, sondern auch für die 1. Produktionshalle durch. Dabei greifen Geräte über die bestehende VPN-Verbindung auch auf das 1.
Seite 179 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Bekannt sind: Parameter Firewall 1 Firewall 2 Firewall 3 IP-Adresse interner Port 10.0.1.201 10.0.3.201 10.0.4.201 IP-Adresse externer Port 10.0.2.1 10.0.2.2 10.0.2.3 Pre-Shared-Key 456789defghi 456789defghi 456789defghi IKE - Modus, Starten als Initiator Responder Responder IP-Parameter der zu verbindenden Netze 10.0.1.0/24...
Seite 180 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Alle Firewalls haben die Software-Version 4.4 oder höher.  Legen Sie auf der Firewall 1 das Routing für die Firewall 2 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 1“...
Seite 181 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie auf der Firewall 1 das Routing für die Firewall 3 an.  Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“.  Wählen Sie die Karteikarte „IP-Netze“. Das Gerät zeigt eine leere Tabelle an.
Seite 182 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie das Routing auf der Firewall 2 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 1“ aus und klicken Sie auf „Bearbeiten“. ...
Seite 183 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie das Routing auf der Firewall 3 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“. ...
Seite 184 Administration. Das Hirschmann-Adress-Mapping können Sie z.B. einsetzen, um mehrere Produktionszellen zentral zu administrieren. Die Firewall bietet mit dem Hirschmann-Adress-Mapping die Möglichkeit, bei der VPN-Anbindung die internen IP-Adressen durch extern gültige und eindeutige IP-Adressen zu ersetzen. Das Hirschmann-Adress- Mapping arbeitet wie ein in die VPN-Verbindung integrierter 1:1-NAT- Router.
Seite 185 10.0.3.0/24 Gemappte IP-Parameter der Netze 10.0.4.0/24 10.0.5.0/24 Tab. 14: Interface-Einstellungen für Hirschmann-Adress-Mapping auf den beteiligten Firewalls Für das Routing der Firewall 1 stellen Sie die IP-Netze für jede VPN- Verbindung im Dialog VPN:Verbindungen und dort in der Karteikarte IP-Netze nach der folgenden Tabelle ein:...
Seite 186 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Die Geräte im internen Netz haben als Gateway die IP-Adresse des internen Interfaces (Port 1) der jeweiligen Firewall.  Alle Firewalls haben die Software-Version 4.4 oder höher.  Legen Sie auf der Firewall 1 das Routing für die Firewall 2 an. ...
Seite 187 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Speichern Sie Ihre Einstellungen.  Klicken Sie auf „Schreiben“, um die Daten flüchtig zu speichern.  Wählen Sie den Dialog Grundeinstellungen:Laden/Spei- chern, um die Beispielkonfiguration permanent zu speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Daten nichtflüchtig zu speichern.
Seite 188 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie das Routing für die Firewall 3 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“. ...
Seite 189: Einen Pc Mit Einem Subnetz Verbinden
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Einen PC mit einem Subnetz verbinden  Der Produktionsleiter möchte von zu Hause Einblick in die aktuellen Produktionsdaten haben. Zu diesem Zweck baut er eine VPN-Verbindung über einen DSL-Anschluss auf. Da sein DSL-Anschluss keine feste IP- Adresse hat, benutzt er DynDNS zur Ermittlung seiner IP-Adresse.
Seite 190 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz – den bei DynDNS.org registrierten „Hostname“, von der Anmeldung bei DynDNS.org, z.B. „gerhardsFW.dyndns.org“  Wählen Sie den Dialog Erweitert:DNS:DynDNS.  Aktivieren Sie „Registrieren“, damit der EAGLE Nr. 6 dem DynDNS- Server seine aktuelle IP-Adresse mitteilt, sobald sich diese verän- dert.
Seite 191 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Legen Sie auf dem EAGLE Nr. 5 eine neue VPN-Verbindung zum EAGLE Nr.6 an.  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Seite 192 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IKE-Schlüsselaustauschparameter ein.  Wählen Sie die Karteikarte IKE - Schlüssel-Austausch.  Geben Sie im Rahmen Modus ein:  „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 193 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die Parameter für die IP-Netze, deren Daten über die VPN- Verbindung übertragen werden sollen, ein.  Wählen Sie die Karteikarte IP-Netze.  Klicken Sie auf Eintrag erzeugen.  Nach einem Doppelklick in eine Zelle des Eintrags können Sie die Zelle bearbeiten: ...
Seite 194: Einen Lancom Advanced Vpn-Client Mit Einem Privaten Netz Verbinden
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Einen LANCOM Advanced VPN-Client mit einem privaten  Netz verbinden In diesem Fall möchte ein Produktionsleiter von einem beliebigen Stand- ort innerhalb der Firma über eine VPN-Verbindung auf seine Produktions- daten zugreifen. Hierzu benutzt er ein Notebook mit installierter LANCOM-Client-Software.
Seite 195 „Pre-Shared-Key“, z.B. 123456abcdef  Geben Sie im Rahmen Identitäten ein:  „Lokaler Typ“ default  „Entfernter Typ“ fqdn Hiermit legen Sie fest, dass die entfernte Schlüssel-Identifikation ein Teil der Identikation ist.  „Entfernte ID“, z.B. www.hirschmann-ac.com EAGLE Konfiguration Release 5.1 06/2011...
Seite 196 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IKE-Schlüsselaustauschparameter ein.  Wählen Sie die Karteikarte IKE - Schlüssel-Austausch.  Geben Sie im Rahmen Modus ein:  „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 197 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Geben Sie die IPsec-Datenaustauschparameter ein.  Wählen Sie die Karteikarte IPsec - Daten-Austausch.  Geben Sie im Rahmen Modus ein.  „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter.
Seite 198 123456abcdef ein. Wiederholen Sie die Eingabe des Pre-Shared-Key. Wählen Sie den lokalen Identitästyp „Fully Qualified Domain Name“. Geben Sie die lokale Identitäts-ID www.hirschmann-ac.com ein. Klicken Sie auf „Weiter“.  Wählen Sie für die IP-Adressen-Zuweisung die manuelle Vergabe „Lokale IP-Adresse verwenden“.
Seite 199: Vpn-Verbindung Automatisch Aktivieren Und Aktivierung Per Status-Led Anzeigen
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Klicken Sie auf „Gültigkeit“.  Tragen Sie im Rahmen „IPsec-Richtlinie“ unter „Dauer“ 000:01:00:00 ein. Dieser Wert ist gleich der „Lebenszeit“ bei den EAGLE-Einstellungen unter „IPsec - Daten-Austausch“.  Klicken Sie auf „OK“, um das Eingabe-Fenster zu schließen. ...
Seite 200 Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz  Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen.  Klicken Sie auf „Eintrag erzeugen”.  Geben Sie im Feld „Name” einen Namen für die Verbindung ein, zum Beispiel EAGLE_PS2.  Kreuzen Sie das Feld „Service Mode” an, um den Service-Modus für diese Verbindung zu aktivieren.
Seite 201: Redundanz Einrichten
Redundanz einrichten 7 Redundanz einrichten Die Redundanzfunktion der Firewall bietet Ihnen die Möglichkeit, die Firewall und ihre Zuleitungen redundant auszuführen. Fällt eine Firewall oder eine Zuleitung zur Firewall aus, dann übernimmt die andere Firewall mit ihren Zuleitungen die Funktion der ersten Firewall. Hierzu synchronisieren die beiden Firewalls laufend den Zustand der Stateful Firewall.
Seite 202: Transparent-Redundanz
Funktion Im Netz-Transparent-Modus bietet Ihnen die Firewall die Möglichkeit, in die Pfade zweier redundant gekoppelter Netze jeweils eine Firewall zu schalten (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall vollstän- dig die Aufgaben der Haupt-Firewall.
Seite 203: Anwendungsbeispiel Für Die Transparent-Redundanz
Redundanz einrichten 7.1 Transparent-Redundanz 7.1.2 Anwendungsbeispiel für die Transparent-Redundanz Die Transparent-Redundanz setzen Sie in einem flachen Netz ein. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine redundante Kopplung an das Firmennetz angebunden. Um die Produktionszelle zu sichern, installieren Sie die in jedem Pfad zum Firmennetz eine Firewall.
Seite 204 Redundanz einrichten 7.1 Transparent-Redundanz  Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an.  Wählen Sie den Dialog Redundanz:Transparent.  Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Seite 205 Redundanz einrichten 7.1 Transparent-Redundanz  Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an.  Wählen Sie den Dialog Redundanz:Transparent.  Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Seite 206 Ihrer Redundanz-Konfiguration ausgefallen ist. Prüfen Sie den Redun- danzstatus über die Switches im Pfad der redundanten Ring-/Netz- kopplung, in den Sie die Firewall eingebunden haben (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). EAGLE Konfiguration Release 5.1 06/2011...
Seite 207: Router-Redundanz
Redundanz einrichten 7.2 Router-Redundanz 7.2 Router-Redundanz 7.2.1 Beschreibung der Router-Redundanz- Funktion Im Router-Modus bietet Ihnen die Firewall die Möglichkeit, zu einer bestehenden Verbindung zweier Netze über eine Firewall eine Ersatz- Leitung und eine Ersatz-Firewall zu installieren. Endgeräte bieten in der Regel die Möglichkeit, ein Default-Gateway für die Vermittlung von Datenpaketen in fremde Subnetze einzutragen.
Seite 208 Redundanz einrichten 7.2 Router-Redundanz welche Firewall die aktive Vermittlungsfunktion übernimmt. Durch das Eintragen von wichtigen IP-Adressen, z.B. von Servern, Routern, Controllern/PLC in die ICMP-Host-Check-Tabelle gewährleisten Sie im inter- nen und externen Netz eine hohe Verfügbarkeit der Verbindung zu diesen Geräten. Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall voll- ständig die Aufgaben der Haupt-Firewall.
Seite 209: Anwendungsbeispiel Für Die Router-Redundanz
Redundanz einrichten 7.2 Router-Redundanz 7.2.2 Anwendungsbeispiel für die Router-Redundanz Die Router-Redundanz setzen Sie ein, wenn Sie die Firewall im Router- Modus betreiben. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine Ersatz-Leitung mit einer Ersatz-Firewall an das Firmennetz angebunden.
Seite 210 Redundanz einrichten 7.2 Router-Redundanz Firmennetz 10.0.2.0/24 VRIP (extern) = 10.0.2.200 Virtueller Router VRIP (intern) = 10.0.1.200 Hauptleitung Redundante Leitung 10.0.1.0/24 Produktionszelle IP = 10.0.1.121 IP = 10.0.1.124 GW = 10.0.1.200 GW = 10.0.1.200 Abb. 50: Router-Redundanz Anwendungsbeispiel  Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Seite 211 Redundanz einrichten 7.2 Router-Redundanz  Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher.  Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.  Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern.  Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Seite 212 Redundanz einrichten 7.2 Router-Redundanz EAGLE Konfiguration Release 5.1 06/2011...
Seite 213: Funktionsdiagnose
Funktionsdiagnose 8 Funktionsdiagnose Zur Funktionsdiagnose bietet Ihnen das Gerät folgende Diagnosewerkzeuge  Erreichbarkeits-Test (Ping)  Alarmmeldungen versenden  Gerätestatus überwachen  Out-of-band-Signalisierung durch Meldekontakt  Port-Zustandsanzeige  Topologie-Erkennung  Konfigurations-Check  Berichte  MAC-Firewall-Liste  IP-Firewall-Liste EAGLE Konfiguration Release 5.1 06/2011...
Seite 214: Erreichbarkeits-Test (Ping)
Funktionsdiagnose 8.1 Erreichbarkeits-Test (Ping) 8.1 Erreichbarkeits-Test (Ping) Die Firewall bietet Ihnen die Möglichkeit, die Erreichbarkeit eines beliebigen Netzknotens direkt vom Gerät aus zu testen, auch durch einen VPN-Tunnel hindurch. Damit erhalten Sie bei Netzproblemen oder bei der Vorbereitung einer Kon- figuration rasch eine Aussage über die Erreichbarkeit eines bestimmten Netzknotens (z.B.
Seite 215: Alarmmeldungen Versenden
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2 Alarmmeldungen versenden Treten im Normalbetrieb des Gerätes außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter „Polling“ versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände.
Seite 216: Auflistung Der Snmp-Traps
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2.1 Auflistung der SNMP-Traps Eine Liste aller Traps, die das Gerät verschicken kann, finden Sie im „Referenz-Handbuch Web-based Interface“. 8.2.2 SNMP-Traps beim Booten Das Gerät sendet bei jedem Booten die Alarmmeldung „ColdStart“. EAGLE Konfiguration Release 5.1 06/2011...
Seite 217: Trapeinstellung
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2.3 Trapeinstellung  Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit festzulegen, welche Ereignis- se einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen.  Klicken Sie auf „Eintrag erzeugen“, um einen neuen Tabelleneintrag zu erzeugen ...
Seite 218: Gerätestatus Überwachen
Funktionsdiagnose 8.3 Gerätestatus überwachen 8.3 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Gerätes. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Das Gerät zeigt seinen aktuellen Status als „Fehler“ oder „Ok“ im Rahmen „Gerätestatus“...
Seite 219: Gerätestatus Konfigurieren
Funktionsdiagnose 8.3 Gerätestatus überwachen Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet das Gerät das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge zuführen oder die Überwachung ausschalten (siehe auf Seite 219 „Gerätestatus konfigurieren“).
Seite 220: Gerätestatus Anzeigen
Funktionsdiagnose 8.3 Gerätestatus überwachen 8.3.2 Gerätestatus anzeigen  Wählen Sie den Dialog Grundeinstellungen:System . Abb. 52: Gerätestatus- und Alarm-Anzeige 1 - Das Symbol zeigt den Gerätestatus an 2 - Ursache des ältesten, bestehenden Alarms 3 - Beginn des ältesten, bestehenden Alarms Zeigt den Gerätestatus und die Einstellung zur show device-status Gerätestatusermittlung an.
Seite 221: Out-Of-Band-Signalisierung
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktions- überwachung des Gerätes und ermöglichen damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestromschaltung) meldet das Gerät durch Kontaktunterbrechung:  Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Gerät (interne Versorgungsspannung).
Seite 222: Meldekontakt Steuern
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4.1 Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fernzubedienen. Anwendungsmöglichkeiten:  Simulation eines Fehlers bei einer SPS-Fehlerüberwachung.  Fernbedienung eines Gerätes über SNMP, wie z.B. das Einschalten einer Kamera.  Wählen Sie den Dialog Diagnose:Meldekontakt. ...
Seite 223: Funktionsüberwachung Mit Meldekontakt
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4.2 Funktionsüberwachung mit Meldekontakt Funktionsüberwachung konfigurieren   Wählen Sie den Dialog Diagnose:Meldekontakt.  Wählen Sie „Funktionsüberwachung“ im Feld „Modus Melde- kontakt“, um den Kontakt zur Funktionsüberwachung zu nutzen.  Wählen Sie im Feld „Funktionsüberwachung“ die Ereignisse, die Sie überwachen möchten.
Seite 224: Gerätestatus Mit Meldekontakt Überwachen
Funktionsdiagnose 8.4 Out-of-band-Signalisierung Abb. 53: Dialog Meldekontakt Zeigt den Zustand der Funktionsüberwachung show signal-contact und die Einstellung zur Statusermittlung an. 8.4.3 Gerätestatus mit Meldekontakt überwachen Die Auswahl „Gerätestatus“ bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe auf Seite 218 „Gerätestatus überwachen“) über den Meldekontakt zu überwachen.
Seite 225: Port-Zustandsanzeige
Funktionsdiagnose 8.5 Port-Zustandsanzeige 8.5 Port-Zustandsanzeige  Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt das Gerät. Symbole auf den Ports stellen den Status der einzelnen Ports dar. Abb. 54: Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100 MBit/s) ist freigegeben und die Verbindung ist in Ordnung.
Seite 226: Netzlast Und Ereigniszähler Auf Portebene
Ist die durchschnittliche Netzlast über einen langen Zeitraum sehr hoch, sollten Sie das Netz neu dimensionieren und beispielsweise für eine höhere Datenübertragungsrate des Netzes oder Netzlasttrennung sorgen (siehe „Anwender-Handbuch Grundkonfiguration” Ihrer Hirschmann- Switches). Um die Netzlast pro Port anzuzeigen, gehen Sie wie folgt vor: ...
Seite 227: Port-Statistiken
Funktionsdiagnose 8.6 Netzlast und Ereigniszähler auf Portebene 8.6.2 Port-Statistiken Die Port-Statistiktabelle versetzt den erfahrenen Netzbetreuer in die Lage, erkannte eventuelle Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt Ihnen die Inhalte verschiedener Ereigniszähler an. Im Menüpunkt Neustart können Sie mit „Warmstart“, „Kaltstart“ oder „Port- Zähler zurücksetzen“...
Seite 228 Funktionsdiagnose 8.6 Netzlast und Ereigniszähler auf Portebene Das Gerät ermittelt mit Hilfe des Address Resolution Protocols (ARP) zur IP- Adresse eines Gerätes die zugehörige MAC-Adresse und speichert diese Zuordnung in der ARP-Tabelle ab.  Wählen Sie den Dialog Diagnose:Ports:ARP.  Um die Zähler zurückzusetzen, klicken Sie im Dialog Grundeinstel- lungen:Neustart auf „ARP-Tabelle zurücksetzen“.
Seite 229: Topologie-Erkennung
Funktionsdiagnose 8.7 Topologie-Erkennung 8.7 Topologie-Erkennung 8.7.1 Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP  verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs.
Seite 230 01:80:63:2F:FF:0B. Hirschmann-Geräte mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Gerätes hält die LLDP-Informationen in der lldp-MIB und in der privaten hmLLDP vor.
Seite 231: Anzeige Der Topologie-Erkennung
Funktionsdiagnose 8.7 Topologie-Erkennung 8.7.2 Anzeige der Topologie-Erkennung  Wählen Sie den Dialog Diagnose:Topologie-Erkennung. EAGLE Konfiguration Release 5.1 06/2011...
Seite 232 Funktionsdiagnose 8.7 Topologie-Erkennung Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ih- nen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagement-Station in der Lage, die Struk- tur Ihres Netzes darzustellen. Abb.
Seite 233 Funktionsdiagnose 8.7 Topologie-Erkennung Sind an einem Port, z.B. über einen Hub, mehrere Geräte angeschlos- sen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn  Geräte mit aktiver Topologie-Erkennungs-Funktion und  Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie- Tabelle die Geräte ohne aktive Topologie-Erkennung aus.
Seite 234: Konfigurations-Check
Funktionsdiagnose 8.8 Konfigurations-Check 8.8 Konfigurations-Check Diese Funktion bietet Ihnen die Möglichkeit, nach der Installation und Konfiguration Ihre Konfiguration zu überprüfen. Zur Überprüfung bezieht der Konfigurations-Check die Konfiguration der Nachbargeräte mit ein. Mit einem Klick auf eine Zeile finden Sie im unteren Teil des Dialogs Details zum Ergebnis der Prüfung eines Ports.
Seite 235: Berichte
Funktionsdiagnose 8.9 Berichte 8.9 Berichte Folgende Berichte stehen zur Diagnose zur Verfügung:  Systeminformation. Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält.  Wählen Sie den Dialog Diagnose:Bericht.  Mit einem Klick auf „Systeminformation“ öffnen Sie die HTML-Datei im Web-based Interface.
Seite 236 Funktionsdiagnose 8.9 Berichte EAGLE Konfiguration Release 5.1 06/2011...
Seite 237: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A Konfigurationsumgebung einrichten EAGLE Konfiguration Release 5.1 06/2011...
Seite 238: Dhcp-Server Einrichten
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten A.1 DHCP-Server einrichten Auf der Produkt-CD, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT- Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 239 Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 59: DHCP-Einstellung  Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten.  Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf Hinzufügen. Abb. 60: Konfigurationsprofile hinzufügen EAGLE Konfiguration Release 5.1 06/2011...
Seite 240 Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten  Geben Sie die Netzmaske ein und klicken Sie auf Übernehmen. Abb. 61: Netzmaske im Konfigurationsprofil  Wählen Sie die Karteikarte Boot.  Geben Sie die IP-Adresse Ihres tftp-Servers.  Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. EAGLE Konfiguration Release 5.1 06/2011...
Seite 241 Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten  Klicken Sie auf Übernehmen und danach auf OK. Abb. 62: Konfigurationsdatei auf dem tftp-Server  Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf Abb.
Seite 242 Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten  Zur Eingabe der statischen Adressen klicken Sie im Hauptfenster auf Statisch. Abb. 64: Statische Adresseingabe  Klicken Sie auf Hinzufügen. Abb. 65: Statische Adressen hinzufügen  Geben Sie die MAC-Adresse des Gerätes ein.  Geben Sie die IP-Adresse des Gerätes ein. ...
Seite 243 Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 66: Einträge für statische Adressen  Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu. Abb. 67: DHCP-Server mit Einträgen EAGLE Konfiguration Release 5.1 06/2011...
Seite 244: Zugriff Mittels Ssh
Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH A.2 Zugriff mittels SSH Eine Möglichkeit mittels SSH auf Ihr Gerät zuzugreifen bietet das Programm PuTTY. Dieses Programm finden Sie auf der Produkt-CD.  Starten Sie das Programm mit einem Doppelklick.  Geben Sie die IP-Adresse Ihres Gerätes ein. ...
Seite 245 Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH Hinweis: Hirschmann liefert das Gerät mit einem eindeutigen, permanent gespeicherten SSH-RSA/DSA-Geräteschlüssel aus. Dieser eindeutige Schlüssel ermöglicht Ihnen die Identifizierung des Geräts beim SSH-Zugriff. Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Aufbau der Verbindung geben Sie folgenden Befehl ein: ssh admin@10.149.112.53...
Seite 246 Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH EAGLE Konfiguration Release 5.1 06/2011...
Seite 247: B Allgemeine Informationen
Allgemeine Informationen B Allgemeine Informationen EAGLE Konfiguration Release 5.1 06/2011...
Seite 248: B.1 Verwendete Abkürzungen
Allgemeine Informationen B.1 Verwendete Abkürzungen B.1 Verwendete Abkürzungen AutoConfiguration Adapter Access Control List Advanced Encryption Standard BOOTP Bootstrap Protocol CIDR Classless Inter-Domain Routing Command Line Interface DHCP Dynamic Host Configuration Protocol) Data Encryption Standard Distinguished Name GARP General Attribute Registration Protocol Forwarding Database FQDN Fully Qualified Domain Name...
Seite 249 Allgemeine Informationen B.1 Verwendete Abkürzungen Transfer Control Protocol TFTP Trivial File Transfer Protocol Twisted Pair User Datagramm Protocol Uniform Resource Locator Coordinated Universal Time VLAN Virtual Local Area Network EAGLE Konfiguration Release 5.1 06/2011...
Seite 250: B.2 Management Information Base (Mib)
Allgemeine Informationen B.2 Management Information BASE (MIB) B.2 Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt z.B.
Seite 251 Identifizierer unterer (z. B. Grenzwert) Spannungsversorgung Stromversorgung System Benutzer-Schnittstelle (User Interface) oberer (z. B. Grenzwert) vendor = Hersteller (Hirschmann) Definition der verwendeten Syntaxbegriffe: Integer Ganze Zahl im Bereich von -2 IP-Adresse xxx.xxx.xxx.xxx (xxx = ganze Zahl im Bereich von 0-255)
Seite 252: Allgemeine Informationen
6 tcp 16 vacm 7 udp 11 snmp 16 rmon 17 dot1dBridge 26 snmpDot3MauMGT Abb. 69: Baumstruktur der Hirschmann-MIB Die vollständige Beschreibung der MIB finden Sie auf der CD-ROM, die zum Lieferumfang des Gerätes gehört. EAGLE Konfiguration Release 5.1 06/2011...
Seite 253: C Leserkritik
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, damit der Einsatz dieses Produkts problemlos erfolgen kann. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 254 Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück  als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an Hirschmann Automation and Control GmbH Abteilung AED Stuttgarter Str. 45-51 72654 Neckartenzlingen EAGLE Konfiguration Release 5.1 06/2011...
Seite 255: D Stichwortverzeichnis
HTTPS 95, 96 Betriebsmodus HaneWin Bidirektionales NAT Hardware-Reset Booten HiDiscovery 48, 113, 114 Browser HiVision 8, 55 Hirschmann-Adress-Mapping Hostadresse Hub and Spoke-Routing CDROM CIDR IANA 33, 34 Certification Authority ICMP-Echo-Anforderung Classless Inter Domain Routing 38, 39 IEEE-MAC-Adress Command Line Interface...
Seite 256 Stichwortverzeichnis Internet Key Exchange Protokoll Internet Protocol Security Object Description Internet Protocol Security (IPsec) Object-ID Internet-Router Objektklassen Internet-Service-Provider OpenSSH-Suite Inverses 1zu1-NAT PPPoE-Modus 20, 31, 45, 60 Java Runtime Environment Paketfilter 119, 120, 120 Javascript Paketgröße 46, 61 Passwort 25, 29, 96, 104 Ping 161, 214 Kaltstart...
Seite 257 Stichwortverzeichnis Ü System-Monitor 21, 22, 22 Systemname 53, 53 Übertragungsparameter Systemzeit Übertragungssicherheit Systemzeit (Bezug von einem SNTP-Server) Technische Fragen Templates (IP-Adressen) Topologie Transparent-Modus 18, 31, 42, 57 Transparent-Redundanz Trap 215, 217 Trap Destination Table Tunnelmodus Twice-NAT USB-Stick Universal Time Coordinated Update V.24 V.24-Anschlus...
Seite 258 Stichwortverzeichnis EAGLE Konfiguration Release 5.1 06/2011...
Seite 259: E Weitere Unterstützung
Weitere Unterstützung E Weitere Unterstützung Technische Fragen und Schulungsangebote  Bei technischen Fragen wenden Sie sich bitte an den Hirschmann- Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.beldensolutions.com. Darüber hinaus steht Ihnen unsere Hotline zur Verfügung: ...

Hirschmann EAGLE 20 Handbuch

1 Einleitung

2 Zugang zu den Bedienoberflächen

3 IP-Parameter Eingeben

4 Grundeinstellungen

5 Schutz vor Unberechtigtem Zugriff

6 Datenverkehr Kontrollieren

7 Redundanz Einrichten

8 Funktionsdiagnose

Quicklinks

Verwandte Anleitungen für Hirschmann EAGLE 20

Inhaltszusammenfassung für Hirschmann EAGLE 20

Inhaltsverzeichnis