Seite 2
Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Inhalt Inhalt Über dieses Handbuch Legende Einleitung Sicherheitskonzept Typische Anwendungen Anwendung konfigurieren 1.3.1 Konfigurationsschritte im Transparent-Modus 1.3.2 Konfigurationsschritte im Router-Modus 1.3.3 Konfigurationsschritte im PPPoE-Modus Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web-based Interface IP-Parameter eingeben Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) 3.1.2 Private IP-Adressen 3.1.3 Netzmaske 3.1.4 Classless Inter-Domain Routing...
Seite 4
Inhalt 3.6.3 IP-Konfiguration im PPPoE-Modus Defekte Geräte ersetzen Grundeinstellungen Konfigurationen bearbeiten und verwalten 4.1.1 Aktivieren einer Konfiguration 4.1.2 Konfiguration speichern 4.1.3 Zurücksetzen der Konfiguration in den Lieferzustand 4.1.4 Laden der aktiven Konfiguration 4.1.5 Kopieren von Konfigurationsdateien 4.1.6 Anzeigen einer Konfigurationsdatei 4.1.7 Löschen einer Konfigurationsdatei 4.1.8 SFTP-Zugriff auf Geräte-Dateien 4.1.9 Konfigurationsänderung widerrufen...
Seite 5
Inhalt Datenverkehr kontrollieren Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion 6.1.2 Anwendungsbeispiel für Paketfilter 6.1.3 Anwendungsbeispiel für den Firewall-Lern-Modus (FLM) NAT - Network Address Translation 6.2.1 IP-Masquerading 6.2.2 1:1-NAT 6.2.3 Portweiterleitung 6.2.4 NAT-Anwendungsbeispiele Benutzer-Firewall 6.3.1 Beschreibung der Benutzer-Firewall-Funktion 6.3.2 Anwendungsbeispiel für die Benutzer-Firewall-Funk- tion Denial of Service 6.4.1 Beschreibung Denial of Service...
Seite 6
Inhalt 8.3.1 Gerätestatus konfigurieren 8.3.2 Gerätestatus anzeigen Out-of-band-Signalisierung 8.4.1 Meldekontakt steuern 8.4.2 Funktionsüberwachung mit Meldekontakt 8.4.3 Gerätestatus mit Meldekontakt überwachen Port-Zustandsanzeige Netzlast und Ereigniszähler auf Portebene 8.6.1 Netzlast 8.6.2 Port-Statistiken Topologie-Erkennung 8.7.1 Beschreibung Topologie-Erkennung 8.7.2 Anzeige der Topologie-Erkennung Konfigurations-Check Berichte Konfigurationsumgebung einrichten DHCP-Server einrichten Zugriff mittels SSH...
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält alle Informationen, die Sie zur Inbetriebnahme der Industrial ETHERNET Firewall EAGLE benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb.
Seite 8
Über dieses Handbuch Die Netzmanagement-Software HiVision/Industrial HiVision bietet Ihnen weitere Möglichkeiten zur komfortablen Konfiguration und Überwachung: Gleichzeitige Konfiguration mehrerer Geräte Grafisches Interface mit Netz-Layout Autotopologie-Erkennung Ereignislogbuch Ereignisbehandlung Client/Server-Struktur Browser-Interface ActiveX-Control für SCADA-Integration ...
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Zwischenüberschrift Link Querverweis mit Verknüpfung Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf Hinweis: eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: WLAN-Access-Point...
Seite 10
Legende Bridge Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter EAGLE Konfiguration Release 5.1 06/2011...
Office-Ebene heraus unerlässlich und setzt die Produktionsanlage der Gefahr einer bewussten oder unbewussten Manipulation aus. Mit der Hirschmann Industrial ETHERNET Firewall EAGLE gehen Sie überall dort auf Nummer „sicher”, wo Prozess- und Fertigungsdaten in bereichs- übergreifende Datenerfassungssysteme einfließen oder Systeme abge- glichen werden.
Einleitung 1.1 Sicherheitskonzept 1.1 Sicherheitskonzept Eine Firewall dient in erster Linie der Sicherheit eines abgeschlossenen lokalen Netzes. Auf die Sicherheit haben mehrere Faktoren Einfluss: Zugänge innerhalb des lokalen Netzes Oftmals wird die Gefahr innerhalb eines lokalen Netzes unterschätzt. Meist unbeabsichtigt gelangen bösartige Programme in das interne lokale Netz durch eigene Mitarbeiter oder Dienstleister, die sich mit eigenen Rechnern mit dem Netz verbinden.
Einleitung 1.2 Typische Anwendungen 1.2 Typische Anwendungen Die Industrial ETHERNET Firewall findet Ihren Einsatz überall dort, wo sicherheitssensible Netzzellen in rauher Umgebung eine Verbindung aus der Zelle hinaus benötigen. Die Industrial ETHERNET Firewall stellt das Verbin- dungsglied zwischen der „sicheren” Netzzelle und der „unsicheren Außen- welt”...
Einleitung 1.2 Typische Anwendungen Einzelne Produktionszellen in einem flachen Firmennetz schützen Einzelne Produktionszellen tauschen mit Geräten im Firmennetz Informa- tionen aus. Firmennetz und Produktionszellen befinden sich im gleichen Layer-2-Netz. Der EAGLE arbeitet wie ein Switch mit integrierter Firewall. 10.0.0.0/8 10.0.0.0/8 10.0.0.0/8 Einzelne Produktionszellen in einem gerouteten...
Einleitung 1.2 Typische Anwendungen Identische Produktionszellen an ein Firmennetz koppeln Einzelne identisch aufgebaute Produktionszellen tauschen mit Geräten im Firmennetz Informationen aus. Firmennetz und Produktionszellen befinden sich in unterschiedlichen Subnetzen. Der EAGLE arbeitet wie ein Router mit integrierter Firewall. Die NAT-Funktion ermöglicht den identisch aufgebauten Produktions- zellen mit dem Firmennetz zu kommunizieren, obwohl die Geräte in den unterschiedlichen Produktionszellen die gleichen IP-Adressen haben.
Einleitung 1.2 Typische Anwendungen Eine Produktionszelle über ein öffentliches Netz mit dem Büronetz verbinden Eine Produktionszelle tauscht mit Geräten im Firmennetz Informationen aus über das öffentliche Internet. Ein virtueller Informationstunnel (virtual private network,VPN) durch das öffentliche Internet schützt die Kommu- nikation.
Einleitung 1.3 Anwendung konfigurieren 1.3 Anwendung konfigurieren Die Industrial ETHERNET Firewall kennt 3 Betriebsmodi: Transparent-Modus Router-Modus PPPoE-Modus Ihre Wahl des Betriebsmodus hängt von Ihrem Anwendungsfall ab. Die Tabelle unten hilft Ihnen bei der Auswahl des Betriebsmodus. Anwendung Charakteristik Betriebsmodus Einzelne Produktions-...
Einleitung 1.3 Anwendung konfigurieren Abhängig von Ihrer Wahl des Betriebsmodus erfordert die weitere Konfigura- tion der Industrial ETHERNET Firewall ein unterschiedliches Vorgehen. 1.3.1 Konfigurationsschritte im Transparent- Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Die Voreinstellungen bieten Ihnen die Möglichkeit, die Industrial ETHERNET Firewall sofort in Betrieb zu nehmen.
Einleitung 1.3 Anwendung konfigurieren 1.3.2 Konfigurationsschritte im Router-Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Um den Zugang zur Industrial ETHERNET Firewall zu schützen und weitere Einstellungen vorzunehmen, gehen Sie wie folgt vor: Verbindung zur Firewall aufnehmen (siehe auf Seite 21 „Zugang zu den Bedienoberflächen“) ...
Einleitung 1.3 Anwendung konfigurieren 1.3.3 Konfigurationsschritte im PPPoE-Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Transparent-Modus. Um den Zugang zur Industrial ETHERNET Firewall zu schützen und weitere Einstellungen vorzunehmen, gehen Sie wie folgt vor: Verbindung zur Firewall aufnehmen (siehe auf Seite 21 „Zugang zu den Bedienoberflächen“) ...
Zugang zu den Bedienoberflächen 2 Zugang zu den Bedienoberflächen Das Gerät hat drei Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen: System-Monitor über die V.24-Schnittstelle (out-of-band), Command Line Interface (CLI) – über den V.24-Anschluss (out-of-band), – über SSH (in-band), ...
Zugang zu den Bedienoberflächen 2.1 System-Monitor 2.1 System-Monitor Der System-Monitor ermöglicht die Auswahl der zu ladenden Software, die Durchführung eines Updates der Software, Starten der ausgewählten Software, Beenden des System-Monitors, Löschen der gespeicherten Konfiguration und ...
Seite 23
Zugang zu den Bedienoberflächen 2.1 System-Monitor < Eagle (Boot) Release: 04.4.00 Build: 2009-09-09 09:09 HW: 1.00 > Press <1> to enter System Monitor 1 ... Abb. 1: Bildschirmansicht beim Bootvorgang Drücken Sie innerhalb von einer Sekunde die „1“-Taste, um den System-Monitor 1 zu starten.
Zugang zu den Bedienoberflächen 2.2 Command Line Interface 2.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, alle Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten.
Seite 25
Zugang zu den Bedienoberflächen 2.2 Command Line Interface Das EAGLE-Gerät ist ein Security Device mit VPN-Funktion (SDV). Copyright (c) 2007-2010 Hirschmann Automation and Control GmbH All rights reserved Eagle Release SDV-05.0.00 (Build date 2010-08-08 08:08) System Name: EAGLE-000000 Netw. Mode :...
Seite 26
NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > Abb. 4: CLI-Bildschirm nach dem Einloggen EAGLE Konfiguration Release 5.1 06/2011...
Zugang zu den Bedienoberflächen 2.3 Web-based Interface 2.3 Web-based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, das Gerät von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Gerät über das Simple Network Management Protokoll (SNMP) Daten austauscht.
Seite 28
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 5: Java installieren Starten Sie Ihren Web Browser. Stellen Sie sicher, daß in den Sicherheitseinstellungen Ihres Browsers Javascript und Java eingeschaltet ist. Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Gerätes, das Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: https://xxx.xxx.xxx.xxx...
Seite 29
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 6: Login-Fenster Wählen Sie die gewünschte Sprache aus. Wählen Sie im Ausklappmenü Login – user, um mit Leserecht oder – admin, um mit Schreib- und Leserecht auf das Gerät zuzugreifen. ...
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Hinweis: Ändern Sie aus Sicherheitsgründen das Passwort des Liefer- zustandes, um einen Zugriff auf das Gerät mit diesem Passwort zu verhindern. Ist das Passwort im Lieferzustand, dann zeigt das Gerät in allen Dialogen in der Kopfzeile „Standardpasswort“ an. Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt das Gerät in seinen flüchtigen Speicher, wenn Sie auf „Schreiben“...
IP-Parameter eingeben 3 IP-Parameter eingeben Wahl des Betriebsmodus Die Einträge zu den IP-Parametern hängen vom gewählten Betriebs- modus ab. – Im Transparent-Modus ist die lokale IP-Adresse auch die IP-Adresse des Managements der Industrial ETHERNET Firewall. – Im Router-/PPPoE-Modus ist die IP-Adresse des internen Interfaces auch die IP-Adresse des Managements der Industrial ETHERNET Firewall.
Seite 32
IP-Parameter eingeben Konfiguration mit Hilfe des AutoConfiguration Adapter (ACA). Diese Methode wählen Sie, wenn Sie ein Gerät durch ein Gerät des gleichen Typs austauschen und zuvor die Konfiguration auf einem ACA gespeichert haben (siehe Seite 51 „System-Konfiguration vom laden“). ...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter 3.1 Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) Die IP-Adressen bestehen aus vier Bytes. Die vier Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Class Netzadresse Hostadresse Adressbereich...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B Net ID - 21 bits Host ID - 8 bit s Klasse C Multicast Group ID - 28 bits Klasse D...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Internet-Router blockieren Datenpakete mit privaten IP-Adressen. Somit sind die privaten Adressen ausschließlich zur Verwendung in internen Netzen gedacht. Das Network Address Translation Protocol (siehe auf Seite 143 „NAT - Network Address Translation“) bietet Ihnen die Möglichkeit, Geräte mit privater IP-Adresse eines internen Netzes mit Geräten anderer Netze kommunizieren zu lassen.
Seite 36
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: Dezimale Darstellung 255.255.192.0 Binäre Darstellung 11111111.11111111.11000000.00000000 Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske In einem großen Netz ist es möglich, dass Gateways oder Router den Management-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb.
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 39
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Seit 1993 bietet die RFC 1519 mit Classless Inter-Domain Routing (CIDR) eine Lösung. Das CIDR überwindet diese Klassenschranken und unterstützt klassenlose IP-Adressbereiche. Mit CIDR geben Sie die Anzahl der Bits an, die den IP-Adressbereich kenn- zeichnen.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2 IP-Parameter via CLI eingeben Sollten Sie weder über DHCP, HiDiscovery Protokoll noch über den Auto- Configuration Adapter ACA das System konfigurieren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor. Eintragen der IP-Adressen PC mit gestartetem Terminalprogramm an die RJ11-Buchse anschliessen...
Seite 41
Der Start-Bildschirm erscheint. NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > EAGLE Konfiguration Release 5.1 06/2011...
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2.1 IP-Parameter im Transparent-Modus Stellen Sie den Transparent-Modus ein (Lieferzustand: Transparent- Modus). Falls DCHP eingeschaltet ist, schalten Sie DHCP aus (Lieferzustand: DHCP ist ausgeschaltet). Geben Sie die IP-Parameter ein. Lokale IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 192.168.1.1.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Nach der Eingabe der IP-Parameter können Sie das Gerät über das Web- based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. 3.2.2 IP-Parameter im Router-Modus Internes Interface Stellen Sie den Router-Modus ein (Lieferzustand: Transparent- Modus).
Seite 44
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Wechsel in den Privileged-EXEC-Modus. enable Den Router-Modus auswählen (Lieferzustand: network mode router Transparent-Modus). DHCP auf dem internen Router-Interface network router proto int ausschalten. none Dem internen Router-Interface die IP-Adresse network router param int 172.17.1.100 zuweisen.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Speichern Sie die eingegebene Konfiguration mit copy config running-config nv oder save. Wechsel in den Privileged-EXEC-Modus. enable DHCP auf dem externen Router-Interface network router proto ext ausschalten. none Dem externen Router-Interface die IP-Adresse network router param ext 10.0.1.100 zuweisen.
Seite 46
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie diese mit einer Netzmaske, dann geben Sie an dieser Stelle die Netzmaske ein. Im Lieferzustand ist die Netzmaske 255.255.255.0 eingetragen. Speichern Sie die eingegebene Konfiguration mit copy config running-config nv oder save.
Seite 47
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Wechsel in den Privileged-EXEC-Modus. enable network pppoe username Peter Den Benutzernamen „Peter” eingeben. Das Passwort „Holidays” eingeben. network pppoe password Holi- days Die maximale Paketgröße mit 1492 eingeben. network pppoe mtu-size 1492 copy config running-config nv Die aktuelle Konfiguration in den nichtflüchtigen Speicher sichern.
IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben 3.3 IP-Parameter per HiDiscovery eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. Im Lieferzustand ist die HiDiscovery-Funktion des Gerätes ...
Seite 49
IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben Starten Sie das Programm HiDiscovery. Abb. 10: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt das erste gefundene Netz-Interface des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie das gewünsch- te in der Werkzeugleiste von HiDiscovery auswählen.
Seite 50
IP-Parameter eingeben 3.3 IP-Parameter per HiDiscovery eingeben Hinweis: Schalten Sie aus Sicherheitsgründen im Web-based Interface die HiDiscovery-Funktion des Gerätes aus, nachdem Sie dem Gerät die IP-Pa- rameter zugewiesen haben (siehe auf Seite 57 „IP-Konfiguration via Web- based Interface“). Hinweis: Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe auf Seite 64 „Konfigurationen bearbeiten und...
IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden 3.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät zum Speichern der Konfigurationsdaten eines Gerätes und zum Speichern der Geräte-Software. Der ACA ermöglicht bei einem betriebsunfähigen Gerät, eine denkbar einfa- che Konfigurationsdatenübernahme durch ein Ersatzgerät des gleichen Typs.
Seite 52
IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden Abb. 12: Ablaufdiagramm Konfigurationsdaten vom ACA laden 1 – Gerät starten 2 – ACA vorhanden? 3 – Passwort im Gerät und ACA identisch? 3a – Voreingestelltes Passwort im Gerät? 4 – Konfiguration vom ACA laden, ACA-LEDs blinken synchron 4a –Konfiguration aus lokalem Speicher laden, ACA-LEDs blinken alternierend...
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP 3.5 System-Konfiguration via DHCP Bei der Inbetriebnahme mit Hilfe von DHCP (Dynamic Host Configuration Protocol) erhält ein Gerät gemäß dem Ablaufdiagramm seine IP-Adresse. DHCP bietet die Konfiguration des Gerätes (DHCP-Client) über einen Namen an. Dieser Name heißt bei DHCP nach RFC 2131 "Client Identifier".
Seite 54
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Inbetriebnahme Lade Default-Konfiguration Gerät wird initialisiert Gerät arbeitet mit Einstellungen aus lokalem Flash Sende DHCP- DHCP? Requests Nein IP-Parameter Nein Antwort vom lokal speichern DHCP-Server? IP-Stack mit IP-Parametern initialisieren Gerät ist managebar Abb. 13: Ablaufdiagramm DHCP-Prozess Das Gerät übermittelt seinen Systemnamen dem DHCP-Server.
Seite 55
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Option Bedeutung Subnet Mask Time Offset Router Time server Host Name Client Identifier Tab. 5: DHCP-Optionen, die das Gerät anfordert Der DHCP-Server stellt die Konfigurationsparameter (“lease”) für eine bestimmte Zeitspanne zur Verfügung. Um dies zu umgehen, bieten die meisten DHCP-Server die explizite Konfigurationsmöglichkeit, einem bestimmten Client anhand einer eindeutigen Hardware-ID immer dieselbe IP-Adresse zuzuordnen (sogenannte statische Adressvergabe).
Seite 56
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Beispiel für eine DHCP-Konfigurationsdatei: # /etc/dhcpd.conf for DHCP Daemon subnet 10.1.112.0 netmask 255.255.240.0 { option subnet-mask 255.255.240.0; option routers 10.1.112.96; # Host berta requests IP configuration # with her MAC address host berta { hardware ethernet 00:80:63:08:65:42;...
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6 IP-Konfiguration via Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält, weisen IP- Parameter zu, definieren die Handhabung von VLANs und konfigurieren den HiDiscovery-Zugriff.
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein. Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gateways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6.2 IP-Konfiguration im Router-Modus Im Router-Modus benötigt das Gerät die Eingabe der IP-Parameter am internen und am externen Interface. Geben Sie im Rahmen „Protokoll“ ein, woher das Gerät seine IP- Parameter bezieht: ...
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface IP-Parameter über DHCP beziehen Den für das DHCP-Protokoll relevanten Namen geben Sie im System- Dialog des Web-based Interface in der Zeile „Name“ ein. IP-Konfiguration speichern Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe Seite 64 „Konfigurationen bearbei- ten und...
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein. Geben Sie im Feld „Netzmaske“ die Netzmaske ein. Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gateways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
IP-Parameter eingeben 3.7 Defekte Geräte ersetzen 3.7 Defekte Geräte ersetzen Das Gerät bietet eine Plug-and-Play-Lösung zum Austauschen eines defekten Gerätes durch einen Gerät des gleichen Typs (Faulty Device Re- placement): Konfiguration des neuen Gerätes mit Hilfe eines AutoConfiguration Adapters (siehe auf Seite 51 „System-Konfiguration vom ACA laden“).
Grundeinstellungen 4 Grundeinstellungen Zu den Grundeinstellungen des Gerätes gehören: das Bearbeiten und Verwalten von Konfigurationen (Geräte- einstellungen). das Laden der neuesten Software des Gerätes die Konfiguration der Ports des Gerätes die Synchronisation der Systemzeit im Netz EAGLE Konfiguration Release 5.1 06/2011...
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart lädt das Gerät seine Konfigurationen (Einstellungen) von seinem nicht-flüchtigen Speicher, sofern Sie nicht DHCP aktiviert haben und kein ACA am Gerät angeschlossen ist. Während des Betriebs bietet Ihnen das Gerät die Möglichkeit, Konfigurationen (Einstellungen) aus folgenden Quellen zu laden: ...
Seite 65
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Abb. 14: Dialog Laden/Speichern EAGLE Konfiguration Release 5.1 06/2011...
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.1 Aktivieren einer Konfiguration Das Gerät bietet Ihnen die Möglichkeit, eine gespeicherte Konfiguration aus der Tabelle „Konfiguration im nicht-flüchtigen Speicher (NVM)“ zu aktivieren. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie in der NVM-Konfigurationstabelle eine nicht-aktive Konfigurationsdatei aus.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.2 Konfiguration speichern Das Gerät bietet Ihnen die Möglichkeit, die aktuelle Konfiguration (Einstellung) auf dem Gerät und den ACA in einer neuen Konfigurationsdatei zu speichern, Konfiguration in einer neuen Konfigurationsdatei speichern Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable copy config running-config nv Das Gerät speichert die aktuellen Konfigurations- daten in den lokalen nicht-flüchtigen Speicher und, sofern ein ACA angeschlossen ist, auch in den ACA 4.1.3 Zurücksetzen der Konfiguration in den Lieferzustand Das Gerät bietet Ihnen die Möglichkeit, die Konfiguration in den Lieferzu- stand zurückzusetzen.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Hinweis: Das Gerät löscht alle Tabellen, Einstellungen und Dateien auf dem Gerät und auf einem angeschlossenen ACA. Hinweis: Das Kommando „clear config“ löscht nicht den Namen der aktu- ellen Konfiguration. Verwenden Sie das das Kommando „save profile“, um die gelöschte Konfiguration unter einem neuen Namen abzuspeichern.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.5 Kopieren von Konfigurationsdateien Kopieren von einem PC auf das Gerät Das Gerät bietet Ihnen die Möglichkeit, eine Konfigurationsdatei von einem PC auf das Gerät zu kopieren. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. ...
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart übernimmt das Gerät die Konfigurationsdaten des ACA und speichert sie nicht-flüchtig im Flash-Speicher. Enthält der angeschlossene ACA keine gültigen Daten, z.B. wenn er im Lieferzu- stand ist, dann lädt das Gerät die Daten aus dem Flash-Speicher. Vor dem Laden der Konfigurationsdaten vom ACA vergleicht das Gerät das Passwort im Gerät mit dem Passwort in den Konfigurationsdaten des ACA .
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable Konfiguration „name“ auf das Gerät laden. copy config aca profile <name> nv 4.1.6 Anzeigen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine Konfigurationsdatei anzuzeigen.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.7 Löschen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine nicht-aktive Konfigurationsdatei zu löschen. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie einen nicht aktiven Tabelleneintrag –...
Seite 74
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Aktivieren Sie dazu den SSH-Zugriff auf das Gerät (siehe auf Seite 105 „CLI- Zugriff konfigurieren“). EAGLE Konfiguration Release 5.1 06/2011...
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.9 Konfigurationsänderung widerrufen Das Gerät bietet Ihnen die Möglichkeit, eine Konfigurationsänderung automatisch zu widerrufen, falls das Gerät durch eine Änderung seine Netzverbindung mit der Managementstation verliert, von der aus Sie das Gerät konfigurieren. Ein Beispiel ist das versehentliche Ändern der IP- Adresse des Geräts.
Seite 76
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Zum Einschalten der Funktion markieren Sie „Funktion“ im Rahmen „Konfigurationsänderung widerrufen“. Geben Sie die Wartezeit bei „Periode bis zum Widerruf bei Verbin- dungsunterbrechung“ ein. Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern.
Grundeinstellungen 4.2 Neueste Software laden 4.2 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann (www.hirschmann-ac.de) eine neuere Release der Geräte- Software finden, als die Release, die auf Ihrem Gerät gespeichert ist.
Grundeinstellungen 4.2 Neueste Software laden Wechsel in den Privileged-EXEC-Modus. enable Anzeigen der Systeminformation. show system info Das CLI gibt Ihnen in der Zeile Serial Number die Seriennummer Ihres EAGLE-Gerätes aus. Vergleichen Sie diese Seriennummer mit der in der folgenden Tabelle angegebenen Seriennummer Ihres EAGLE- Gerätetyps.
Grundeinstellungen 4.2 Neueste Software laden Verbinden Sie den ACA 21-USB, auf den Sie die Geräte-Software kopiert haben, mit dem USB-Port des Gerätes. Laden mit dem Systemmonitor Öffnen Sie den System-Monitor (siehe Seite 22 „Öffnen des System- Monitors“). ...
Grundeinstellungen 4.2 Neueste Software laden Im System-Monitor: Der Menüpunkt „End (reset and reboot)“ des System-Monitors bietet Ihnen die Möglichkeit, die Hardware des Gerätes zurückzusetzen und einen Neustart durchzuführen. 4.2.4 Software über Datei-Auswahl laden Für ein https-Software-Update (über ein Datei-Auswahl-Fenster) benötigen Sie die Geräte-Software auf einem Datenträger, den Sie von Ihrer Work- station aus erreichen ...
Grundeinstellungen 4.3 Ports konfigurieren 4.3 Ports konfigurieren Die Portkonfiguration umfasst: Portnamen eingeben, Port ein-/ausschalten, Betriebsart wählen, Meldung von Verbindungsfehlern aktivieren. Portnamen eingeben Die Tabellenspalte „Name“ bietet Ihnen die Möglichkeit, dem Port einen beliebigen Namen zu geben. Port ein-/ausschalten ...
Seite 83
Grundeinstellungen 4.3 Ports konfigurieren Wählen Sie den Dialog Grundeinstellungen:Portkonfiguration. Falls das an diesem Port angeschlossene Gerät eine feste Einstellung voraussetzt – wählen Sie in der Spalte „Manuelle Konfiguration“ die Betriebsart (Übertragungsgeschwindigkeit, Duplexbetrieb) und – deaktivieren Sie in der Spalte „Automatische Konfiguration“ den Port.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren 4.4 Die Systemzeit im Netz synchronisieren Das Gerät bietet Ihnen die Möglichkeit, die Zeit in Ihrem Netz zu syn- chronisieren. Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Mit Hilfe von NTP kann das Gerät die Zeit genauer bestimmen als mit SNTP. Somit kann es als NTP-Server auch eine genauere Uhrzeit anbieten.
Seite 85
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Wählen Sie den Dialog Zeit:Grundeinstellungen. Dieser Dialog bietet Ihnen die Möglichkeit, zeitbezogene Einstellungen vorzunehmen. Die „Systemzeit (UTC)" zeigt die Uhrzeit bezogen auf die koordinier- te Weltzeitskala UTC (Universal Time Coordinated) an. Die Anzeige ist weltweit gleich.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Einstellen der Systemzeit des Gerätes. sntp time <YYYY-MM-DD HH:MM:SS> Eingeben der Zeitdifferenz zwischen der lokalen sntp client offset <-1000 to Zeit und der „SNTP-Zeit“. 1000> 4.4.2 SNTP Beschreibung SNTP Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Vorbereitung der SNTP-Konfiguration Zeichnen Sie einen Netzplan mit allen am SNTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallaufzeit abhängig ist.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Konfiguration SNTP Wählen Sie den Dialog Zeit:SNTP. Funktion In diesem Rahmen schalten Sie die SNTP-Funktion global ein/ aus. Hinweis: Wenn Sie SNTP einschalten, während NTP auf dem Gerät schon aktiv ist, meldet das Gerät einen Fehler. Um SNTP einzuschalten, deaktivieren Sie zuerst NTP.
Seite 89
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Konfiguration SNTP-Client In „Externe Server-Adresse“ geben Sie die IP-Adresse des SNTP- Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert. In „Redundante Server-Adresse“ geben Sie die IP-Adresse eines weiteren SNTP-Servers ein. Von diesem fordert das Gerät die Systemzeit an, wenn es 1 Sekunde nach einer Anforderung an die „Externe Server-Adresse“...
Seite 90
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Gerät 192.168.1.1 192.168.1.2 192.168.1.3 Funktion Server Zieladresse 0.0.0.0 0.0.0.0 0.0.0.0 Server VLAN-ID Sendeintervall Client Externe Server Adresse 192.168.1.0 192.168.1.1 192.168.1.2 Anforderungsintervall Broadcasts akzeptieren nein nein nein Tab. 7: Einstellungen für das Beispiel (siehe Abb. 16) 4.4.3 Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren.
Seite 91
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Hinweis: Für eine möglichst genaue Systemzeitverteilung verwenden Sie für einen NTP-Client mehrere NTP-Server. Hinweis: Wenn Sie NTP einschalten (einen anderen Wert als off einstel- len), während SNTP auf dem Gerät schon aktiv ist, meldet das Gerät einen Fehler.
Seite 92
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren EAGLE Konfiguration Release 5.1 06/2011...
Schutz vor unberechtigtem Zugriff 5 Schutz vor unberechtigtem Zugriff Schützen Sie Ihr Gerät vor unberechtigten Zugriffen. Das Gerät bietet Ihnen folgende Funktionen zum Schutz gegen unberechtigte Zugriffe. Passwort-geschützter Web-Zugriff abschaltbar Passwort-geschützter CLI-Zugriff abschaltbar Passwort-geschützter Netzmanagement-Zugriff abschaltbar HiDiscovery-Funktion abschaltbar ...
Seite 94
Schutz vor unberechtigtem Zugriff Änderung und Verfälschung der Schreibweise (z.B. „plAuer FOGel“ statt „Blauer Vogel“). Hinweis: Im Lieferzustand ist der SNMPv1- und der SNMPv2-Zugriff aus- geschaltet. Da SNMPv1 und SNMPv2 die Daten unverschlüsselt übertragen, stellt die Verwendung von SNMPv1 und SNMPv2 ein Sicherheitsrisiko dar. Lassen Sie den SNMPv1- oder SNMPv2-Zugriff ausschließlich dann zu, wenn Sie eine Anwendung, die dies erfordert, einsetzen wollen.
HTTPS beinhaltet eine Authentifizierung und eine Verschlüsselung der zu übertragenden Daten. Basis für beides ist ein Zertifikat. Im Lieferzustand bietet das Gerät ein Hirschmann-Zertifikat. Beim Starten des Web-based Interfaces über den Browser wird Sie Ihr Browser, abhängig von dessen Voreinstellungen, fragen, ob Sie dem Zertifikat vertrauen.
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.1 Beschreibung Web-based Interface-Zugriff Das Gerät bietet Ihnen die Möglichkeit, den Zugriff auf das Web-based Interface auf mehrere Arten zu schützen: Passwort Wahl des SNMP-Ports Für den Zugriff auf das Web-based Interface benutzt Ihr Browser eine Java-Anwendung, die er vom Gerät herunterlädt.
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.2 Web-based Interface-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 98
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Geben Sie neue Passwörter ein. Wählen Sie den Dialog Sicherheit:Passwort. Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben. Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 99
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Abb. 18: Dialog Passwort Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 100
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie den SNMP-Zugriff. Wählen Sie den Dialog Sicherheit:SNMP-Zugriff. Ändern Sie den SNMP-Port auf z.B. 9223. Einschränken der IP-Adressen, die über SNMP zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. ...
Seite 101
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie den Web-Zugriff. Wählen Sie den Dialog Sicherheit:Web-Zugriff. Ändern Sie den HTTPS-Port auf z.B. 9027. Einschränken der IP-Adressen, die über HTTPS zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. ...
Seite 102
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie das automatische Abmelden. Wählen Sie den Dialog Abmelden. Klicken Sie im Rahmen „Web-based Interface“ in der Zeile „Automatisch“ auf „An“. Geben Sie in der Zeile „Nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die HTTPS-Verbindung automatisch bei Inaktivität beendet.
Seite 103
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2 CLI-Zugriff Für den Zugriff auf das Command Line Interface (CLI) benötigen Sie eine direkte Verbindung von Ihrem PC zum Seriellen Port oder eine Secure Shell (SSH)-Verbindung zu Ihrem Gerät (siehe auf Seite 244 „Zugriff mittels SSH“).
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2.2 CLI-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 106
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Geben Sie neue Passwörter ein. Wählen Sie den Dialog Sicherheit:Passwort. Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben. Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 107
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Abb. 23: Dialog Passwort Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Seite 108
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Konfigurieren Sie den SSH-Zugriff. Wählen Sie den Dialog Sicherheit:SSH-Zugriff. Ändern Sie den SSH-Port auf z.B. 9243. Einschränken der IP-Adressen, die über SSH zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. Wählen Sie in der Zelle „Port“ des neuen Eintrags in der Tabelle int.
Seite 109
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Hinweis: Das Gerät bietet Ihnen die Möglichkeit, per SFTP auf Geräte- Dateien wie Konfigurationsdateien oder den ACA zuzugreifen, ein Firm- ware-Update oder VPN-Zertifikate auf das Gerät zu laden. Verwenden Sie dazu einen SFTP-Client, z. B. WinSCP. Für den SFTP-Zugriff ist der SSH-Zugriff auf das Gerät erforderlich.
Seite 110
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Konfigurieren Sie das automatische Abmelden. Wählen Sie den Dialog Abmelden. Geben Sie im Rahmen „SSH-Verbindung“ in der Zeile „Automatisch nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die SSH-Verbindung automatisch bei Inaktivität beendet.
Seite 111
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Schutz vor unberechtigtem Zugriff 5.3 Netzmanagement-Zugriff 5.3 Netzmanagement-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Gerät. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Gerätes zugreifen will.
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4.1 Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät im Transparent- Modus anhand seiner MAC-Adresse eine IP-Adresse zuzuweisen (siehe auf Seite 48 „IP-Parameter per HiDiscovery eingeben“). HiDiscovery ist ein Layer 2-Protokoll.
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Zugriff aus-/ einschalten 5.4.2 HiDiscovery-Funktion aus-/einschalten Wählen Sie den Dialog Grundeinstellungen:Netz:Transpa- rent-Modus. Im Rahmen „HiDiscovery Protokoll“ schalten Sie die HiDiscovery- Funktion aus oder beschränken Sie den Zugriff auf „read-only“. Wechsel in den Privileged-EXEC-Modus. enable HiDiscovery-Funktion ausschalten.
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung 5.5 Externe Authentifizierung 5.5.1 Beschreibung der externen Authentifizie- rung „Externe Authentifizierung“ des Gerätes bietet Ihnen die Möglichkeit, zur Authentifizierung eines Benutzers Benutzer-Firewall-Konten mit zugehöri- gen Passwörtern anzulegen. Für jedes Konto können Sie durch die Wahl einer Authentifizierungsliste drei Authentifizierungsmethoden festlegen, die das Gerät bei einem Zugriff über diesen Kontonamen nacheinander an- wendet.
Seite 116
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung Parameter Wert Kontoname Service Authentifizierungsliste userFirewallLoginDefaultList Server Service RADIUS-Server Abb. 26: Externe Authentifizierung Anwendungsbeispiel Ablauf der Authentifizierung: Der Benutzer meldet sich auf dem Gerät im Anmeldefenster des Web- based Interface unter dem Login-Typ „Benutzerfirewall“ mit Benutzer- name und Passwort an.
Seite 117
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung Konfigurieren Sie das Benutzer-Firewall-Konto. Wählen Sie den Dialog Sicherheit:Externe Authentifi- zierung:Benutzer-Firewall Konten. Klicken Sie auf „Eintrag erzeugen“. Hierdurch öffnen Sie einen Dialog zur Eingabe des Namens für dieses Benutzer-Firewall-Konto. Geben Sie den Namen für dieses Konto ein, z.B. Service. ...
Seite 118
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung EAGLE Konfiguration Release 5.1 06/2011...
Datenverkehr kontrollieren 6 Datenverkehr kontrollieren Dieses Kapitel beschreibt die Hauptaufgabe einer Firewall. Eine Firewall überprüft die zur Weiterleitung bestimmten Daten nach vorgegebenen Regeln. Daten, die den Regeln entsprechen, leitet eine Firewall weiter oder blockiert sie. Für Daten, auf die keine Regel zutrifft, ist die Firewall ein unüberwindbares Hindernis.
Datenverkehr kontrollieren 6.1 Paketfilter 6.1 Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion Bei der paketinhaltsbezogenen Datenverkehrskontrolle überprüft die Firewall den Inhalt der zu vermittelnden Datenpakete. Hierbei bietet die Firewall verschiedene Paket-Gruppen zur Definition der Überprüfungs- kriterien an: Eingehende IP-Pakete Diese Gruppe bietet Ihnen die Möglichkeit, am externen Port eingehende IP-Pakete nach ihren IP-Adressierungsinformationen und Protokoll- information zu filtern.
Seite 121
Datenverkehr kontrollieren 6.1 Paketfilter Aktion Bedeutung verwerfen (drop) Datenpaket löschen zurückweisen (reject) Datenpaket löschen und den Absender informieren vermitteln (accept) Datenpaket entsprechend der Adressinformationen weiter- leiten. Tab. 8: Behandlung gefilterter Datenpakete Die Firewall überprüft jedes Datenpaket beginnend mit der ersten Regel. Die erste Regel, die zutrifft, bestimmt, wie die Firewall das Datenpaket behandelt.
Seite 122
Datenverkehr kontrollieren 6.1 Paketfilter Das Gerät erzeugt aus einem Paketfilter-Eintrag mit Variablen automa- tisch die passenden Paketfilter-Einträge. Wenn Sie die Adressvorlage für eine Variable ändern, passt das Gerät automatisch die erzeugten Paket- filter-Einträge an. Beispielsweise können Sie für die Adressen in Ihrem internen Netz eine Adressvorlage erstellen und diese als Variable in Ihren Paketfilter-Ein- trägen verwenden.
Seite 123
Datenverkehr kontrollieren 6.1 Paketfilter Führen Sie zur FLM-unterstützten Regel-Erstellung folgende Schritte aus: Setzen Sie die Firewall an der vorgesehenen Stelle in Ihr Netz ein. Aktivieren Sie den FLM-Assistenten an den gewünschten Interfaces der Firewall (typischerweise an beiden Interface). ...
Datenverkehr kontrollieren 6.1 Paketfilter 6.1.2 Anwendungsbeispiel für Paketfilter Die Abbildung zeigt einen typischen Anwendungsfall: Ein Fertigungssteuerer möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist. Die Firewall soll jeglichen Daten- verkehr zwischen der Fertigungszelle und dem restlichen Firmennetz unter- binden.
Seite 125
Datenverkehr kontrollieren 6.1 Paketfilter Geben Sie die Filterdaten für eingehende IP-Pakete ein. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Eingehende IP-Pakete. Im Lieferzustand besitzt der EAGLE bereits einen unsichtbaren Eintrag, der jeglichen Datenverkehr vom externen in das interne Netz unter- bindet. ...
Seite 126
Die Angabe des ICMP-Code ist optional. Mögliche Werte für ICMP- Typ und -Code entnehmen Sie der Tabelle „ICMP-Typen und - Codes” im „Referenz-Handbuch Web-based Interface Industrial ETHERNET Firewall EAGLE 20”. Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern.
Datenverkehr kontrollieren 6.1 Paketfilter Geben Sie die Filterdaten für ausgehende IP-Pakete ein. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Ausgehende IP-Pakete. Im Lieferzustand besitzt der EAGLE bereits einen Eintrag, der jeglichen Datenverkehr vom internen in das externe Netz erlaubt. Markieren Sie den Eintrag. ...
Seite 128
Datenverkehr kontrollieren 6.1 Paketfilter Markieren Sie den Eintrag. Klicken Sie auf „“. Wiederholen Sie den Vorgang, bis der Eintrag die erste Zeile der Tabelle darstellt. Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. ...
Datenverkehr kontrollieren 6.1 Paketfilter Anwendungsbeispiel für Adressvorlagen Ein Fertigungssteuerer möchte die Daten eines 2. Produktionsroboters abfragen. Da noch weitere Roboter hinzukommen werden, entschließt er sich, die Adressen der Roboter in einer Adressvorlage anzulegen und die Vorlage als Variable in den bestehenden Paketfilter-Einträgen zu ver- wenden.
Seite 130
Datenverkehr kontrollieren 6.1 Paketfilter Erstellen Sie die Adressvorlage für die Roboter in der Fertigungszelle. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Adressvorlagen. Klicken Sie auf „Eintrag erzeugen“. Tragen Sie die 1. Adresse der Adressvorlage in den Dialog ein. Eine einzelne Adresse können Sie optional mit der Adressmaske /32 an- geben: „Listen-Name“: robo_zelle_1...
Seite 131
Datenverkehr kontrollieren 6.1 Paketfilter Nehmen Sie die Variable in die Filterdaten für eingehende IP-Pakete auf. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Eingehende IP-Pakete. Wählen Sie den Eintrag „freier Zugang für PC“. Ersetzen Sie die Zieladresse in den Eintrag „freier Zugang für PC“ durch die Variable.
Seite 132
Datenverkehr kontrollieren 6.1 Paketfilter Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Datenverkehr kontrollieren 6.1 Paketfilter 6.1.3 Anwendungsbeispiel für den Firewall-Lern- Modus (FLM) Die Abbildung zeigt einen typischen Anwendungsfall: Ein Fertigungssteuerer richtet eine neue Fertigungszelle ein. Eine Firewall soll die Fertigungzelle vom Firmennetz trennen. Sie soll ausschließlich den erwünschten Verkehr vom Konfigurations-Computer im Firmennetz zu den Geräten in der Fertigungszelle erlauben und anderen Verkehr, insbesondere aus dem Transfernetz verwerfen.
Seite 134
Datenverkehr kontrollieren 6.1 Paketfilter Bekannt sind die folgenden IP-Adressen: Parameter Roboter Switch Firewall Konfigurations- Computer IP-Adr. interner Port 10.0.1.1 IP-Adr. externer Port 10.115.0.2 IP-Adresse 10.0.1.115 10.0.1.116 172.17.255.134 Default-Gateway 10.0.1.1 10.0.1.1 Im Lieferzustand erlaubt die Firewall allen Verkehr vom internen zum externen Interface. Diese Konfiguration möchte der Benutzer beibehalten.
Seite 135
Datenverkehr kontrollieren 6.1 Paketfilter Öffnen des Assistenten für den Firewall-Lern-Modus: Wählen Sie den Dialog Netzsicherheit:Paketfilter:Firewall-Lern-Modus. Klicken Sie im Rahmen „Funktion“ auf „An“. Um den Assistenten für den Firewall-Lern-Modus einzuschalten, klicken Sie auf „Schreiben“. Das Web-based Interface weist Sie auf den Eintritt in den Firewall-Lern- Modus hin und fragt Sie, ob Sie die aktuelle Konfiguration des Gerätes speichern möchten.
Seite 136
Datenverkehr kontrollieren 6.1 Paketfilter Das Lernen starten: Wählen Sie das externe Interface zum Lernen aus. Um den eigentlichen Lernvorgang auf der Firewall zu starten, klicken Sie auf „Starte Lernmodus“. Laden Sie auf Ihrem Konfigurations-Computer in einem anderen Browser-Fenster das Web-based Interface des Switch in der Pro- duktionszelle.
Seite 137
Datenverkehr kontrollieren 6.1 Paketfilter Verkehrsdaten inspizieren und mit Hilfe des Assistenten Regeln für er- wünschten Verkehr ableiten: Wählen Sie die Karteikarte „Externes Interface“. Sortieren Sie im Rahmen „Erfasste Daten“ die Tabelle aufsteigend nach der Spalte „Quelladresse“. Suchen Sie die 1. Zeile mit der IP-Adresse des Konfigurations- Computers.
Seite 138
Datenverkehr kontrollieren 6.1 Paketfilter Das Web-based Interface markiert die Zeile dunkelgrün, die die neue Regel abdeckt. Die Zeilen, die die vorher erstellte Regel abdeckt, markiert Web-based Interface hellgrün. Um die zufälligen Quellports der snmp-Anfragen zu erlauben, ändern Sie den Quellport der Regel auf any. Das Web-based Interface markiert nun im Rahmen „Erfasste Daten“...
Seite 139
Datenverkehr kontrollieren 6.1 Paketfilter Die neu erstellten Paketfilter-Regeln testen: Klicken Sie auf „Zum Test freigeben“. Wählen Sie die Karteikarte „FLM-Steuerung“. Klicken Sie auf „Starte Testmodus“. Das Web-based Interface setzt die Anzahl der bisher im Testmodus gelernten „IP-Einträge“ auf 0. ...
Seite 140
Datenverkehr kontrollieren 6.1 Paketfilter Den Assistenten für den Firewall-Lern-Modus beenden und die neuen Paketfilter-Regeln speichern: Wählen Sie die Karteikarte „FLM-Steuerung“. Klicken Sie im Rahmen „Funktion“ auf „Aus“. Um den Assistenten für den Firewall-Lern-Modus zu beenden, klicken Sie auf „Schreiben“. Das Web-based Interface weist Sie auf das Verlassen des Firewall- Lern-Modus hin und fragt Sie, ob Sie die aktuelle Konfiguration des Gerätes speichern oder die vorherige Konfiguration wiederherstellen...
Seite 141
Datenverkehr kontrollieren 6.1 Paketfilter – Um von allen Konfigurations-Computern im Administrations-Subnetz aus per http und snmp auf die Fertigungszelle zugreifen zu können, ändern Sie die Einträge für „Quelladresse (CIDR)“ auf 172.17.255.0/24. – Um die Web-Server aller Geräte in der Fertigungszelle rasch zu verbergen, ändern Sie bei dem Eintrag mit dem Zielport 80 und dem Protokoll tcp die Aktion auf drop.
Seite 142
Datenverkehr kontrollieren 6.1 Paketfilter Hinweis: Wenn Sie Verkehr an einem Interface lernen, für das Sie eine aktive drop-Regel konfiguriert haben, ignoriert die Firewall beim Lernen den Verkehr, auf den die Regel zutrifft. Um diesen Verkehr zu lernen und zu inspizieren, deaktivieren Sie vor dem Lernen die drop-Regel.
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2 NAT - Network Address Translation Das Network Address Translation (NAT)-Protokol beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. NAT kommt zum Einsatz, wenn IP-Adressen eines internen Netzes nicht nach außen sichtbar sein sollen.
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.1 IP-Masquerading IP-Masquerading verwenden Sie, um die interne Netzstruktur nach außen hin zu verstecken, sozusagen hinter einer Maske zu verbergen. Beim IP-Masquerading ersetzt die Firewall die Quell-IP-Adresse eines Datenpaketes aus dem internen Netz durch die externe IP-Adresse der Firewall.
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.2 1:1-NAT 1:1-NAT verwenden Sie, wenn Sie identische Produktionszellen mit gleichen IP-Adressen aufbauen und diese mit dem externen Netz verbinden wollen. Die Firewall ordnet dazu den Geräten im internen Netz eine andere IP-Ad- resse im externen Netz zu.
Seite 146
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Inverses 1:1-NAT Inverses 1:1-NAT verwenden Sie , wenn die Geräte im internen Netz mit den Geräten im externen Netz so kommunizieren sollen, als wären die Geräte des externen Netzes im internen Netz. Die Firewall ordnet dazu den Geräten im externen Netz eine andere IP-Adresse des internen Net- zes zu.
Seite 147
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Double-NAT Double-NAT, auch Twice-NAT genannt, verwenden Sie , wenn die Gerä- te im internen Netz mit den Geräten im externen Netz so kommunizieren sollen, als wären die Geräte des externen Netzes im internen Netz und umgekehrt.
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.3 Portweiterleitung Portweiterleitung verwenden Sie, wenn Sie die interne Netzstruktur nach außen hin verstecken wollen, aber den Aufbau einer Kommunikations- verbindung von außen nach innen zulassen wollen. Bei der Portweiterleitung bauen ein oder mehrere externe Geräte eine Kom- munikationsverbindung in das interne Netz auf.
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation 6.2.4 NAT-Anwendungsbeispiele Eine Produktionszelle über 1:1-NAT mit dem Firmennetz verbinden Sie haben mehrere identische Produktionszellen und möchten diese mit Ihrem Firmennetz verbinden. Da selbst die verwendeten IP-Adressen in den Produktionszellen identisch sind, übersetzen Sie die IP-Adressen mit Hilfe der 1:1-NAT-Funktion.
Seite 150
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Konfigurieren Sie zunächst die Firewall 1. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein. Wählen Sie den Dialog Netzsicherheit:NAT:1:1-NAT. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Seite 151
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Bekannt sind: Parameter Roboter Workstation IP-Adresse im Produktionsnetz (intern) 10.0.1.194 10.0.1.195 IP-Adresse im Firmennetz (extern) 10.0.2.194 10.0.2.195 Tab. 10: IP-Adressen der Testgeräte a: Diese IP-Adresse wird durch NAT erzeugt Voraussetzungen für die weitere Konfiguration: ...
Seite 152
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Geben Sie die Parameter für die Übersetzung der IP-Adressen ein. Wählen Sie den Dialog Netzsicherheit:NAT:1:1-NAT. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Seite 153
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Einen Switch in einer Produktionszelle von einem PC außer- halb der Produktionszelle verwalten (Portweiterleitung) Sie haben eine Produktionszelle mit eigenen IP-Adressen, die im Firmen- netz nicht sichtbar sein sollen über eine Firewall mit Ihrem Firmennetz verbunden.
Seite 154
Datenverkehr kontrollieren 6.2 NAT - Network Address Translation Konfigurieren Sie die Firewall. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein. Wählen Sie den Dialog Netzsicherheit:NAT:Portweiterleitung. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. ...
Datenverkehr kontrollieren 6.3 Benutzer-Firewall 6.3 Benutzer-Firewall 6.3.1 Beschreibung der Benutzer-Firewall- Funktion Bei der benutzerbezogenen Datenverkehrskontrolle überprüft die Firewall die Daten eines von Ihnen zuvor definierten Benutzers (siehe auf Seite 115 „Beschreibung der externen Authentifizierung“). Die Firewall bietet Ihnen die Möglichkeit, mehrere Benutzer zu definieren. Für jeden definierten Benutzer können Sie unterschiedliche Regeln erstellen, nach denen die Firewall Da- tenpakete des definierten Benutzers behandelt.
Seite 156
Datenverkehr kontrollieren 6.3 Benutzer-Firewall Die Benutzer-Firewall-Funktion setzen Sie ein, wenn Sie bestimmten Benutzern zeitlich begrenzt einen durch Regeln erweiterten Zugriff auf das interne oder externe Netz gewähren wollen. EAGLE Konfiguration Release 5.1 06/2011...
Datenverkehr kontrollieren 6.3 Benutzer-Firewall 6.3.2 Anwendungsbeispiel für die Benutzer- Firewall-Funktion Die Abbildung zeigt einen typischen Anwendungsfall: Ein Service-Techniker möchte ein Software-Update für die Wartung eines Roboters von einem Server herunterladen. Bekannt sind: Parameter Firewall Service-PC Server IP-Adresse interner Port 10.0.1.201 Externer Port PPPoE IP-Adresse...
Seite 158
Datenverkehr kontrollieren 6.3 Benutzer-Firewall Erstellen Sie einen Benutzer-Firewall-Eintrag. Wählen Sie den Dialog Netzsicherheit:Benutzer-Firewall-Einträge. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“. Wählen Sie die Karteikarte Grundeinstellungen. ...
Seite 159
Datenverkehr kontrollieren 6.3 Benutzer-Firewall Wählen Sie die Karteikarte Regeln. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“. Geben Sie die Daten ein: ...
Seite 160
Datenverkehr kontrollieren 6.3 Benutzer-Firewall Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Konfiguration Release 5.1 06/2011...
Datenverkehr kontrollieren 6.4 Denial of Service 6.4 Denial of Service 6.4.1 Beschreibung Denial of Service Mit der Denial-of-Service-Funktion schützen Sie Ihr Netz vor einer Über- flutung mit Dienstanforderungen an Teilnehmer im geschützten Netz. Der EAGLE unterstützt die Überwachung folgender Dienstanforderungen: ...
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5 VPN - Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Das besondere an einem VPN ist, wie der Name „privat“ schon ausdrückt, die Abgeschlossenheit gegenüber dem öffentlichen Netz.
Seite 163
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Integritätsschutz Der Integritätsschutz gewährleistet, dass die übertragenen Daten echt sind, d.h. von einem vertrauenswürdigen Absender stammt (authentisch sind) und der Inhalt unverfälscht beim Empfänger ankommt. Verschlüsselung Die Verschlüsselung gewährleistet, dass kein Unbefugter Einsicht in die Daten erlangt.
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5.2 IKE - Internet Key Exchange IPsec benutzt das Internet Key Exchange Protokoll zur Authentisierung, zum Schlüsselaustausch und zur Vereinbarung weiterer Parameter für die Sicher- heitsbeziehung einer VPN-Verbindung. Authentisierung Ein wesentlicher Bestandteil der Sicherheitsbeziehung ist die Authentisie- rung.
Seite 165
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz In einem ersten Schritt zum Aufbau der IKE-Sicherheitsbeziehung zwischen den Endpunkten der VPN-Verbindung einigen sich diese auf einen kryptografischen Algorithmus, der später die Schlüssel für die Codierung und Decodierung der IKE-Protokoll- Nachrichten verwendet.
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz 6.5.3 Anwendungsbeipiele Die folgenden Beispiele berücksichtigen die Besonderheiten von häufig vorkommenden Anwendungsfällen, darunter auch die Verbindung eines EAGLE mit einem EAGLE einer früherer Version. Zwei Subnetze miteinander verbinden In einem großen Firmennetz seien alle Subnetze über ein Transfernetz miteinander verbunden.
Seite 167
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie eine neue VPN-Verbindung an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 169
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IPsec - Daten-Austausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter.
Seite 170
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. ...
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Zwei Subnetze mit einem weiteren Subnetz verbinden Steigende Umsätze erfordern im vorhergehenden Beispiel eine Verdop- pelung der Produktionskapazität. Zu diesem Zweck entschließt sich die Firmenleitung zur Errichtung einer zweiten Produktionshalle. Da der Administrator noch einen EAGLE Version 4.2 in seinem Bestand gefunden hat, möchte er diesen jetzt einsetzen.
Seite 172
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie auf dem EAGLE Nr. 1 eine neue VPN-Verbindung zum EAGLE Nr.3 der Version 4.2 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Seite 173
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 174
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IKE-Schlüsselaustausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter. ...
Seite 175
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. ...
Seite 176
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die Authentisierungsparameter ein. Wählen Sie die Karteikarte Authentifizierung. Geben Sie im Rahmen Authentisierung ein: „Authentisierungsverfahren“ PSK „Pre-Shared Secret Key“, z.B. 456789defghi Geben Sie im Rahmen VPN Identifier ein: ...
Seite 177
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die Parameter für die Firewall-Regeln für die Daten, die über die VPN-Verbindung übertragen werden sollen, ein. In der Voreinstellung besitzt der EAGLE Rel. 4.2 Regeln, die das Vermitteln aller Daten zuläßt. ...
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Mehrere Subnetze über ein gemeinsames Netz miteinander verbinden (Hub-and-Spoke-Architektur) Eine neu gegründete Abteilung in der 2. Produktionshalle führt Service- arbeiten nicht nur lokal, sondern auch für die 1. Produktionshalle durch. Dabei greifen Geräte über die bestehende VPN-Verbindung auch auf das 1.
Seite 179
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Bekannt sind: Parameter Firewall 1 Firewall 2 Firewall 3 IP-Adresse interner Port 10.0.1.201 10.0.3.201 10.0.4.201 IP-Adresse externer Port 10.0.2.1 10.0.2.2 10.0.2.3 Pre-Shared-Key 456789defghi 456789defghi 456789defghi IKE - Modus, Starten als Initiator Responder Responder IP-Parameter der zu verbindenden Netze 10.0.1.0/24...
Seite 180
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Alle Firewalls haben die Software-Version 4.4 oder höher. Legen Sie auf der Firewall 1 das Routing für die Firewall 2 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 1“...
Seite 181
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie auf der Firewall 1 das Routing für die Firewall 3 an. Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“. Wählen Sie die Karteikarte „IP-Netze“. Das Gerät zeigt eine leere Tabelle an.
Seite 182
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie das Routing auf der Firewall 2 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 1“ aus und klicken Sie auf „Bearbeiten“. ...
Seite 183
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie das Routing auf der Firewall 3 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“. ...
Seite 184
Administration. Das Hirschmann-Adress-Mapping können Sie z.B. einsetzen, um mehrere Produktionszellen zentral zu administrieren. Die Firewall bietet mit dem Hirschmann-Adress-Mapping die Möglichkeit, bei der VPN-Anbindung die internen IP-Adressen durch extern gültige und eindeutige IP-Adressen zu ersetzen. Das Hirschmann-Adress- Mapping arbeitet wie ein in die VPN-Verbindung integrierter 1:1-NAT- Router.
Seite 185
10.0.3.0/24 Gemappte IP-Parameter der Netze 10.0.4.0/24 10.0.5.0/24 Tab. 14: Interface-Einstellungen für Hirschmann-Adress-Mapping auf den beteiligten Firewalls Für das Routing der Firewall 1 stellen Sie die IP-Netze für jede VPN- Verbindung im Dialog VPN:Verbindungen und dort in der Karteikarte IP-Netze nach der folgenden Tabelle ein:...
Seite 186
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Die Geräte im internen Netz haben als Gateway die IP-Adresse des internen Interfaces (Port 1) der jeweiligen Firewall. Alle Firewalls haben die Software-Version 4.4 oder höher. Legen Sie auf der Firewall 1 das Routing für die Firewall 2 an. ...
Seite 187
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Speichern Sie Ihre Einstellungen. Klicken Sie auf „Schreiben“, um die Daten flüchtig zu speichern. Wählen Sie den Dialog Grundeinstellungen:Laden/Spei- chern, um die Beispielkonfiguration permanent zu speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Daten nichtflüchtig zu speichern.
Seite 188
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie das Routing für die Firewall 3 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Wählen Sie die Verbindung mit dem Namen „Fertigungssteuerung- Produktionshalle 2“ aus und klicken Sie auf „Bearbeiten“. ...
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Einen PC mit einem Subnetz verbinden Der Produktionsleiter möchte von zu Hause Einblick in die aktuellen Produktionsdaten haben. Zu diesem Zweck baut er eine VPN-Verbindung über einen DSL-Anschluss auf. Da sein DSL-Anschluss keine feste IP- Adresse hat, benutzt er DynDNS zur Ermittlung seiner IP-Adresse.
Seite 190
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz – den bei DynDNS.org registrierten „Hostname“, von der Anmeldung bei DynDNS.org, z.B. „gerhardsFW.dyndns.org“ Wählen Sie den Dialog Erweitert:DNS:DynDNS. Aktivieren Sie „Registrieren“, damit der EAGLE Nr. 6 dem DynDNS- Server seine aktuelle IP-Adresse mitteilt, sobald sich diese verän- dert.
Seite 191
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Legen Sie auf dem EAGLE Nr. 5 eine neue VPN-Verbindung zum EAGLE Nr.6 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Seite 192
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 193
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die Parameter für die IP-Netze, deren Daten über die VPN- Verbindung übertragen werden sollen, ein. Wählen Sie die Karteikarte IP-Netze. Klicken Sie auf Eintrag erzeugen. Nach einem Doppelklick in eine Zelle des Eintrags können Sie die Zelle bearbeiten: ...
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Einen LANCOM Advanced VPN-Client mit einem privaten Netz verbinden In diesem Fall möchte ein Produktionsleiter von einem beliebigen Stand- ort innerhalb der Firma über eine VPN-Verbindung auf seine Produktions- daten zugreifen. Hierzu benutzt er ein Notebook mit installierter LANCOM-Client-Software.
Seite 195
„Pre-Shared-Key“, z.B. 123456abcdef Geben Sie im Rahmen Identitäten ein: „Lokaler Typ“ default „Entfernter Typ“ fqdn Hiermit legen Sie fest, dass die entfernte Schlüssel-Identifikation ein Teil der Identikation ist. „Entfernte ID“, z.B. www.hirschmann-ac.com EAGLE Konfiguration Release 5.1 06/2011...
Seite 196
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus.
Seite 197
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IPsec - Daten-Austausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket inklusive der IP-Adressen der Kommunikationsparnter.
Seite 198
123456abcdef ein. Wiederholen Sie die Eingabe des Pre-Shared-Key. Wählen Sie den lokalen Identitästyp „Fully Qualified Domain Name“. Geben Sie die lokale Identitäts-ID www.hirschmann-ac.com ein. Klicken Sie auf „Weiter“. Wählen Sie für die IP-Adressen-Zuweisung die manuelle Vergabe „Lokale IP-Adresse verwenden“.
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Klicken Sie auf „Gültigkeit“. Tragen Sie im Rahmen „IPsec-Richtlinie“ unter „Dauer“ 000:01:00:00 ein. Dieser Wert ist gleich der „Lebenszeit“ bei den EAGLE-Einstellungen unter „IPsec - Daten-Austausch“. Klicken Sie auf „OK“, um das Eingabe-Fenster zu schließen. ...
Seite 200
Datenverkehr kontrollieren 6.5 VPN - Virtuelles privates Netz Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen”. Geben Sie im Feld „Name” einen Namen für die Verbindung ein, zum Beispiel EAGLE_PS2. Kreuzen Sie das Feld „Service Mode” an, um den Service-Modus für diese Verbindung zu aktivieren.
Redundanz einrichten 7 Redundanz einrichten Die Redundanzfunktion der Firewall bietet Ihnen die Möglichkeit, die Firewall und ihre Zuleitungen redundant auszuführen. Fällt eine Firewall oder eine Zuleitung zur Firewall aus, dann übernimmt die andere Firewall mit ihren Zuleitungen die Funktion der ersten Firewall. Hierzu synchronisieren die beiden Firewalls laufend den Zustand der Stateful Firewall.
Funktion Im Netz-Transparent-Modus bietet Ihnen die Firewall die Möglichkeit, in die Pfade zweier redundant gekoppelter Netze jeweils eine Firewall zu schalten (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall vollstän- dig die Aufgaben der Haupt-Firewall.
Redundanz einrichten 7.1 Transparent-Redundanz 7.1.2 Anwendungsbeispiel für die Transparent-Redundanz Die Transparent-Redundanz setzen Sie in einem flachen Netz ein. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine redundante Kopplung an das Firmennetz angebunden. Um die Produktionszelle zu sichern, installieren Sie die in jedem Pfad zum Firmennetz eine Firewall.
Seite 204
Redundanz einrichten 7.1 Transparent-Redundanz Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an. Wählen Sie den Dialog Redundanz:Transparent. Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Seite 205
Redundanz einrichten 7.1 Transparent-Redundanz Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an. Wählen Sie den Dialog Redundanz:Transparent. Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Seite 206
Ihrer Redundanz-Konfiguration ausgefallen ist. Prüfen Sie den Redun- danzstatus über die Switches im Pfad der redundanten Ring-/Netz- kopplung, in den Sie die Firewall eingebunden haben (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). EAGLE Konfiguration Release 5.1 06/2011...
Redundanz einrichten 7.2 Router-Redundanz 7.2 Router-Redundanz 7.2.1 Beschreibung der Router-Redundanz- Funktion Im Router-Modus bietet Ihnen die Firewall die Möglichkeit, zu einer bestehenden Verbindung zweier Netze über eine Firewall eine Ersatz- Leitung und eine Ersatz-Firewall zu installieren. Endgeräte bieten in der Regel die Möglichkeit, ein Default-Gateway für die Vermittlung von Datenpaketen in fremde Subnetze einzutragen.
Seite 208
Redundanz einrichten 7.2 Router-Redundanz welche Firewall die aktive Vermittlungsfunktion übernimmt. Durch das Eintragen von wichtigen IP-Adressen, z.B. von Servern, Routern, Controllern/PLC in die ICMP-Host-Check-Tabelle gewährleisten Sie im inter- nen und externen Netz eine hohe Verfügbarkeit der Verbindung zu diesen Geräten. Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall voll- ständig die Aufgaben der Haupt-Firewall.
Redundanz einrichten 7.2 Router-Redundanz 7.2.2 Anwendungsbeispiel für die Router-Redundanz Die Router-Redundanz setzen Sie ein, wenn Sie die Firewall im Router- Modus betreiben. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine Ersatz-Leitung mit einer Ersatz-Firewall an das Firmennetz angebunden.
Seite 210
Redundanz einrichten 7.2 Router-Redundanz Firmennetz 10.0.2.0/24 VRIP (extern) = 10.0.2.200 Virtueller Router VRIP (intern) = 10.0.1.200 Hauptleitung Redundante Leitung 10.0.1.0/24 Produktionszelle IP = 10.0.1.121 IP = 10.0.1.124 GW = 10.0.1.200 GW = 10.0.1.200 Abb. 50: Router-Redundanz Anwendungsbeispiel Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Seite 211
Redundanz einrichten 7.2 Router-Redundanz Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Funktionsdiagnose 8.1 Erreichbarkeits-Test (Ping) 8.1 Erreichbarkeits-Test (Ping) Die Firewall bietet Ihnen die Möglichkeit, die Erreichbarkeit eines beliebigen Netzknotens direkt vom Gerät aus zu testen, auch durch einen VPN-Tunnel hindurch. Damit erhalten Sie bei Netzproblemen oder bei der Vorbereitung einer Kon- figuration rasch eine Aussage über die Erreichbarkeit eines bestimmten Netzknotens (z.B.
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2 Alarmmeldungen versenden Treten im Normalbetrieb des Gerätes außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter „Polling“ versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände.
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2.1 Auflistung der SNMP-Traps Eine Liste aller Traps, die das Gerät verschicken kann, finden Sie im „Referenz-Handbuch Web-based Interface“. 8.2.2 SNMP-Traps beim Booten Das Gerät sendet bei jedem Booten die Alarmmeldung „ColdStart“. EAGLE Konfiguration Release 5.1 06/2011...
Funktionsdiagnose 8.2 Alarmmeldungen versenden 8.2.3 Trapeinstellung Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit festzulegen, welche Ereignis- se einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen. Klicken Sie auf „Eintrag erzeugen“, um einen neuen Tabelleneintrag zu erzeugen ...
Funktionsdiagnose 8.3 Gerätestatus überwachen 8.3 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Gerätes. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Das Gerät zeigt seinen aktuellen Status als „Fehler“ oder „Ok“ im Rahmen „Gerätestatus“...
Funktionsdiagnose 8.3 Gerätestatus überwachen Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet das Gerät das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge zuführen oder die Überwachung ausschalten (siehe auf Seite 219 „Gerätestatus konfigurieren“).
Funktionsdiagnose 8.3 Gerätestatus überwachen 8.3.2 Gerätestatus anzeigen Wählen Sie den Dialog Grundeinstellungen:System . Abb. 52: Gerätestatus- und Alarm-Anzeige 1 - Das Symbol zeigt den Gerätestatus an 2 - Ursache des ältesten, bestehenden Alarms 3 - Beginn des ältesten, bestehenden Alarms Zeigt den Gerätestatus und die Einstellung zur show device-status Gerätestatusermittlung an.
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktions- überwachung des Gerätes und ermöglichen damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestromschaltung) meldet das Gerät durch Kontaktunterbrechung: Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Gerät (interne Versorgungsspannung).
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4.1 Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fernzubedienen. Anwendungsmöglichkeiten: Simulation eines Fehlers bei einer SPS-Fehlerüberwachung. Fernbedienung eines Gerätes über SNMP, wie z.B. das Einschalten einer Kamera. Wählen Sie den Dialog Diagnose:Meldekontakt. ...
Funktionsdiagnose 8.4 Out-of-band-Signalisierung 8.4.2 Funktionsüberwachung mit Meldekontakt Funktionsüberwachung konfigurieren Wählen Sie den Dialog Diagnose:Meldekontakt. Wählen Sie „Funktionsüberwachung“ im Feld „Modus Melde- kontakt“, um den Kontakt zur Funktionsüberwachung zu nutzen. Wählen Sie im Feld „Funktionsüberwachung“ die Ereignisse, die Sie überwachen möchten.
Funktionsdiagnose 8.4 Out-of-band-Signalisierung Abb. 53: Dialog Meldekontakt Zeigt den Zustand der Funktionsüberwachung show signal-contact und die Einstellung zur Statusermittlung an. 8.4.3 Gerätestatus mit Meldekontakt überwachen Die Auswahl „Gerätestatus“ bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe auf Seite 218 „Gerätestatus überwachen“) über den Meldekontakt zu überwachen.
Funktionsdiagnose 8.5 Port-Zustandsanzeige 8.5 Port-Zustandsanzeige Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt das Gerät. Symbole auf den Ports stellen den Status der einzelnen Ports dar. Abb. 54: Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100 MBit/s) ist freigegeben und die Verbindung ist in Ordnung.
Ist die durchschnittliche Netzlast über einen langen Zeitraum sehr hoch, sollten Sie das Netz neu dimensionieren und beispielsweise für eine höhere Datenübertragungsrate des Netzes oder Netzlasttrennung sorgen (siehe „Anwender-Handbuch Grundkonfiguration” Ihrer Hirschmann- Switches). Um die Netzlast pro Port anzuzeigen, gehen Sie wie folgt vor: ...
Funktionsdiagnose 8.6 Netzlast und Ereigniszähler auf Portebene 8.6.2 Port-Statistiken Die Port-Statistiktabelle versetzt den erfahrenen Netzbetreuer in die Lage, erkannte eventuelle Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt Ihnen die Inhalte verschiedener Ereigniszähler an. Im Menüpunkt Neustart können Sie mit „Warmstart“, „Kaltstart“ oder „Port- Zähler zurücksetzen“...
Seite 228
Funktionsdiagnose 8.6 Netzlast und Ereigniszähler auf Portebene Das Gerät ermittelt mit Hilfe des Address Resolution Protocols (ARP) zur IP- Adresse eines Gerätes die zugehörige MAC-Adresse und speichert diese Zuordnung in der ARP-Tabelle ab. Wählen Sie den Dialog Diagnose:Ports:ARP. Um die Zähler zurückzusetzen, klicken Sie im Dialog Grundeinstel- lungen:Neustart auf „ARP-Tabelle zurücksetzen“.
Funktionsdiagnose 8.7 Topologie-Erkennung 8.7 Topologie-Erkennung 8.7.1 Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs.
Seite 230
01:80:63:2F:FF:0B. Hirschmann-Geräte mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Gerätes hält die LLDP-Informationen in der lldp-MIB und in der privaten hmLLDP vor.
Funktionsdiagnose 8.7 Topologie-Erkennung 8.7.2 Anzeige der Topologie-Erkennung Wählen Sie den Dialog Diagnose:Topologie-Erkennung. EAGLE Konfiguration Release 5.1 06/2011...
Seite 232
Funktionsdiagnose 8.7 Topologie-Erkennung Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ih- nen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagement-Station in der Lage, die Struk- tur Ihres Netzes darzustellen. Abb.
Seite 233
Funktionsdiagnose 8.7 Topologie-Erkennung Sind an einem Port, z.B. über einen Hub, mehrere Geräte angeschlos- sen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn Geräte mit aktiver Topologie-Erkennungs-Funktion und Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie- Tabelle die Geräte ohne aktive Topologie-Erkennung aus.
Funktionsdiagnose 8.8 Konfigurations-Check 8.8 Konfigurations-Check Diese Funktion bietet Ihnen die Möglichkeit, nach der Installation und Konfiguration Ihre Konfiguration zu überprüfen. Zur Überprüfung bezieht der Konfigurations-Check die Konfiguration der Nachbargeräte mit ein. Mit einem Klick auf eine Zeile finden Sie im unteren Teil des Dialogs Details zum Ergebnis der Prüfung eines Ports.
Funktionsdiagnose 8.9 Berichte 8.9 Berichte Folgende Berichte stehen zur Diagnose zur Verfügung: Systeminformation. Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. Wählen Sie den Dialog Diagnose:Bericht. Mit einem Klick auf „Systeminformation“ öffnen Sie die HTML-Datei im Web-based Interface.
Seite 236
Funktionsdiagnose 8.9 Berichte EAGLE Konfiguration Release 5.1 06/2011...
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten A.1 DHCP-Server einrichten Auf der Produkt-CD, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT- Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 239
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 59: DHCP-Einstellung Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten. Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf Hinzufügen. Abb. 60: Konfigurationsprofile hinzufügen EAGLE Konfiguration Release 5.1 06/2011...
Seite 240
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Geben Sie die Netzmaske ein und klicken Sie auf Übernehmen. Abb. 61: Netzmaske im Konfigurationsprofil Wählen Sie die Karteikarte Boot. Geben Sie die IP-Adresse Ihres tftp-Servers. Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. EAGLE Konfiguration Release 5.1 06/2011...
Seite 241
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Klicken Sie auf Übernehmen und danach auf OK. Abb. 62: Konfigurationsdatei auf dem tftp-Server Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf Abb.
Seite 242
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Zur Eingabe der statischen Adressen klicken Sie im Hauptfenster auf Statisch. Abb. 64: Statische Adresseingabe Klicken Sie auf Hinzufügen. Abb. 65: Statische Adressen hinzufügen Geben Sie die MAC-Adresse des Gerätes ein. Geben Sie die IP-Adresse des Gerätes ein. ...
Seite 243
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 66: Einträge für statische Adressen Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu. Abb. 67: DHCP-Server mit Einträgen EAGLE Konfiguration Release 5.1 06/2011...
Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH A.2 Zugriff mittels SSH Eine Möglichkeit mittels SSH auf Ihr Gerät zuzugreifen bietet das Programm PuTTY. Dieses Programm finden Sie auf der Produkt-CD. Starten Sie das Programm mit einem Doppelklick. Geben Sie die IP-Adresse Ihres Gerätes ein. ...
Seite 245
Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH Hinweis: Hirschmann liefert das Gerät mit einem eindeutigen, permanent gespeicherten SSH-RSA/DSA-Geräteschlüssel aus. Dieser eindeutige Schlüssel ermöglicht Ihnen die Identifizierung des Geräts beim SSH-Zugriff. Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Aufbau der Verbindung geben Sie folgenden Befehl ein: ssh admin@10.149.112.53...
Allgemeine Informationen B.1 Verwendete Abkürzungen B.1 Verwendete Abkürzungen AutoConfiguration Adapter Access Control List Advanced Encryption Standard BOOTP Bootstrap Protocol CIDR Classless Inter-Domain Routing Command Line Interface DHCP Dynamic Host Configuration Protocol) Data Encryption Standard Distinguished Name GARP General Attribute Registration Protocol Forwarding Database FQDN Fully Qualified Domain Name...
Seite 249
Allgemeine Informationen B.1 Verwendete Abkürzungen Transfer Control Protocol TFTP Trivial File Transfer Protocol Twisted Pair User Datagramm Protocol Uniform Resource Locator Coordinated Universal Time VLAN Virtual Local Area Network EAGLE Konfiguration Release 5.1 06/2011...
Allgemeine Informationen B.2 Management Information BASE (MIB) B.2 Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt z.B.
Seite 251
Identifizierer unterer (z. B. Grenzwert) Spannungsversorgung Stromversorgung System Benutzer-Schnittstelle (User Interface) oberer (z. B. Grenzwert) vendor = Hersteller (Hirschmann) Definition der verwendeten Syntaxbegriffe: Integer Ganze Zahl im Bereich von -2 IP-Adresse xxx.xxx.xxx.xxx (xxx = ganze Zahl im Bereich von 0-255)
6 tcp 16 vacm 7 udp 11 snmp 16 rmon 17 dot1dBridge 26 snmpDot3MauMGT Abb. 69: Baumstruktur der Hirschmann-MIB Die vollständige Beschreibung der MIB finden Sie auf der CD-ROM, die zum Lieferumfang des Gerätes gehört. EAGLE Konfiguration Release 5.1 06/2011...
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, damit der Einsatz dieses Produkts problemlos erfolgen kann. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 254
Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder per Post an Hirschmann Automation and Control GmbH Abteilung AED Stuttgarter Str. 45-51 72654 Neckartenzlingen EAGLE Konfiguration Release 5.1 06/2011...
Weitere Unterstützung E Weitere Unterstützung Technische Fragen und Schulungsangebote Bei technischen Fragen wenden Sie sich bitte an den Hirschmann- Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.beldensolutions.com. Darüber hinaus steht Ihnen unsere Hotline zur Verfügung: ...