Seite 1 Vorwort Einleitung Benutzerschnittstelle SIMATIC NET Erste Schritte Industrial Ethernet-Switches Web User Interface (Web UI) Gerätemanagement SINEC OS v2.3 Systemadministration Projektierungshandbuch Security Schnittstellenverwaltung IP-Adressvergabe Netzwerkredundanz Netzwerkerkennung und -management Kontrolle und Klassifikation von Datenverkehr Zeiteinstellungen Multicast-Filterung Für RUGGEDCOM RST2428P Diagnose Fehlerbehebung 04/2023 C79000-G8900-C680-01...
Seite 2 Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und...
Seite 3 Inhaltsverzeichnis Vorwort ..............................17 Systemvoraussetzungen/-empfehlungen ................17 Security-Hinweise ......................17 Firmware-/Software-Support ....................18 Open Source........................18 Marken ..........................18 Ergänzende Dokumente..................... 19 Schulungsprogramm......................20 Kundendienst ........................20 Einleitung ............................21 Funktionen und Vorteile..................... 21 Security-Empfehlungen...................... 23 Mengengerüst ........................27 Verfügbare Dienste ......................29 Zugriffsrechte ........................
Seite 4 Inhaltsverzeichnis 3.2.7 Einzelne Konfigurationsänderungen löschen ..............48 3.2.8 Alle Konfigurationsänderungen verwerfen................49 3.2.9 Gespeicherte Konfigurationen anzeigen ................49 3.2.10 Eine Konfiguration wiederherstellen (Rollback) ..............50 Grundlegende Bedienung ....................50 3.3.1 Mit Tabellen arbeiten ......................50 3.3.1.1 Eine neue Zeile hinzufügen ....................51 3.3.1.2 Eine Zeile selektieren ......................
Seite 5 Inhaltsverzeichnis 4.4.1 Grundeinstellungen konfigurieren ..................79 4.4.1.1 Den Hostnamen ändern ..................... 79 4.4.1.2 Den Gerätestandort angeben ..................... 79 4.4.1.3 Einen Ansprechpartner für das Gerät festlegen ..............80 4.4.1.4 Das Default-Gateway manuell konfigurieren ............... 80 4.4.2 Das Default-Gateway anzeigen ................... 81 Gerätemanagement ..........................
Seite 6 Inhaltsverzeichnis Meldekontakt ........................109 5.9.1 Den Modus des Meldekontakts einstellen ................. 109 5.10 Tasterfunktion ......................... 109 5.10.1 Wissenswertes zur Tasterfunktion..................110 5.10.2 Die Tasterfunktion 'Auf Default-Einstellungen zurücksetzen' aktivieren......110 5.11 Configuration and License PLUG ..................111 5.11.1 Wissenswertes zum CLP ....................111 5.11.1.1 Gerätetausch ........................
Seite 7 Inhaltsverzeichnis 7.1.1.1 Funktionsweise des Präventionsmechanismus ..............131 7.1.1.2 Zugehörige Ereignisse...................... 132 7.1.2 BFA-Prävention konfigurieren ................... 132 7.1.2.1 Die Zeit für das automatisches Rücksetzen ändern ............132 7.1.2.2 Die maximale Anzahl fehlgeschlagener Anmeldeversuche ändern........133 7.1.2.3 Den Zeitraum zwischen fehlgeschlagenen Anmeldeversuchen ändern ......134 7.1.2.4 Die BFA-Prävention aktivieren...................
Seite 8 Inhaltsverzeichnis Benutzerauthentifizierung....................164 7.4.1 Wissenswertes zur Benutzerauthentifizierung ..............165 7.4.1.1 Authentifizierungsmodus ....................165 7.4.1.2 RADIUS-Authentifizierung....................165 7.4.2 Die Benutzerauthentifizierung konfigurieren ..............167 7.4.3 RADIUS-Authentifizierung konfigurieren ................167 7.4.3.1 Ein RADIUS-Server-Profil konfigurieren ................167 7.4.3.2 Eine Verbindung zu einem RADIUS-Server prüfen ............. 168 7.4.4 Den Benutzerauthentifizierungs-Modus auswählen............
Seite 9 Inhaltsverzeichnis 8.1.5.3 Sende-/Empfangs-Statistiken für alle Schnittstellen anzeigen ..........195 8.1.5.4 Sende-/Empfangs-Statistiken nur für Bridge-Ports anzeigen..........195 8.1.5.5 Stecktransceiver überwachen................... 197 MAC-Adressentabelle ....................... 198 8.2.1 Wissenswertes zur MAC-Adressentabelle ................198 8.2.1.1 Dynamische MAC-Einträge ....................198 8.2.1.2 Statische MAC-Einträge ....................199 8.2.2 MAC-Adressentabelle konfigurieren ..................
Seite 10 Inhaltsverzeichnis 10.1.2.5 Die maximale Alterungszeit konfigurieren................. 236 10.1.2.6 Die Transmit-Hold-Zahl konfigurieren ................236 10.1.2.7 Die Verzögerungszeit bis zum Weiterleiten konfigurieren ..........237 10.1.3 STP für Bridge-Ports konfigurieren ..................237 10.1.3.1 STP für einen Bridge-Port aktivieren.................. 238 10.1.3.2 Die Bridge-Port-Kosten konfigurieren ................238 10.1.3.3 Die Priorität für einen Bridge-Port auswählen..............
Seite 11 Inhaltsverzeichnis Netzwerkerkennung und -management ................... 269 11.1 LLDP ..........................269 11.1.1 Das Senden und Empfangen von LLDPDUs für einen Bridge-Port konfigurieren ....269 11.1.2 Die LLDP-Informationen von Nachbargeräten überwachen..........269 11.2 DCP ..........................270 11.2.1 Wissenswertes zu DCP...................... 270 11.2.2 DCP konfigurieren ......................
Seite 12 Inhaltsverzeichnis 12.2.3 VLAN-Einstellungen für Bridge-Ports konfigurieren............299 12.2.3.1 Die Art der Port-Mitgliedschaft auswählen................ 299 12.2.3.2 Die VLAN-ID des Ports konfigurieren ................. 300 12.2.3.3 Akzeptierte Frame-Typen auswählen ................300 12.2.3.4 PVID-Tagging bei ausgehendem Datenverkehr aktivieren ..........301 12.2.3.5 Den Ingress-Filter aktivieren ..................... 301 12.2.3.6 Die VLAN-Mitgliedschaft beschränken ................
Seite 13 Inhaltsverzeichnis 13.6.1.5 Best Master Clock Algorithm (BMCA) ................325 13.6.1.6 Transparent Clocks......................326 13.6.2 PTP konfigurieren ......................327 13.6.2.1 Die PTP-Domäne definieren ....................327 13.6.2.2 PTP für einen Bridge Port aktivieren .................. 328 13.6.2.3 PTP global aktivieren ......................328 13.6.3 PTP überwachen ......................
Seite 14 Inhaltsverzeichnis 15.2.2 Die Systembetriebszeit anzeigen ..................345 15.3 Systemprotokollierung ..................... 345 15.3.1 Wissenswertes zur Systemprotokollierung ................ 346 15.3.1.1 Aufbau eines Systemprotokolleintrags ................346 15.3.1.2 Schweregrade........................347 15.3.1.3 Syslog-Komponenten ....................... 347 15.3.1.4 Remote-Logging ......................347 15.3.1.5 Ereignisfilter........................348 15.3.2 Remote-Systemprotokollierung konfigurieren ..............348 15.3.2.1 Remote-Systemprotokollierung konfigurieren ..............
Seite 15 Inhaltsverzeichnis 15.6.2.1 Eine Datenverkehrsquelle auswählen ................376 15.6.2.2 Ein Spiegelungsziel definieren ..................377 15.6.2.3 Die Spiegelung von Datenverkehr aktivieren ..............378 15.6.3 Konfigurationsbeispiele....................378 15.6.3.1 Die Spiegelung von Datenverkehr in einem Layer-2-Netzwerk konfigurieren ...... 378 15.6.3.2 Remote Traffic Mirroring konfigurieren................379 15.7 Kabeldiagnose .........................
Seite 16 Inhaltsverzeichnis Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 17 Für weitere Informationen zu den Systemvoraussetzungen sowie zur Bedienung von SINEC PNI siehe "Ergänzende Dokumente (Seite 19)". Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht.
Seite 18 Vorwort 1.5 Marken Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter: https://www.siemens.com/cert (https://www.siemens.com/cert) Firmware-/Software-Support Informieren Sie sich regelmäßig über neue Firmware-/Software-Versionen oder Sicherheits- Updates und wenden Sie diese an.
Seite 19 Die aufgeführten Dokumente sind die zur Zeit der Publikation verfügbaren Dokumente. Neuere Versionen dieser Dokumente oder der zugehörigen Produkte sind möglicherweise verfügbar. Weitere Informationen finden Sie in SIOS oder Sie wenden sich an den Siemens-Kundendienst. Produkthinweise Produkthinweise sind online über SIOS (https://support.industry.siemens.com/cs/ww/de/ps/...
Seite 20 Schulungsprogramm (https://support.industry.siemens.com/cs/ww/de/sc/2226), oder Sie wenden sich an einen Siemens-Vertriebsmitarbeiter. Kundendienst Der Kundendienst steht allen Siemens-Kunden 24 Stunden am Tag, 7 Tage die Woche zur Verfügung. Für technischen Support oder allgemeine Informationen wenden Sie sich auf eine der folgenden Arten an den Siemens-Kundendienst: Online Besuchen Sie (https://www.siemens.com/automation/support-request), um eine...
Seite 21 Einleitung Willkommen beim SINEC OS Web UI-Konfigurationshandbuch. Dieses Dokument erläutert, wie Sie Ihr Gerät über die Web-Benutzeroberfläche für SINEC OS konfigurieren. Hinweis Die Web-Benutzeroberfläche für SINEC OS bietet beschränkte Konfigurationsoptionen und eine Übersicht ausgewählter Leistungsmerkmale. Vollständige Konfigurations- und Betriebsinformationen sind über das Command Line Interface (CLI) verfügbar. In diesem Dokument werden daher nur die eingeschränkten Funktionen der Web-Benutzeroberfläche beschrieben.
Seite 22 NETCONF kann für direktes Bearbeiten und Abfragen eines Geräts verwendet oder in Skriptbefehle integriert werden. Für weitere Informationen zur Verwendung von NETCONF siehe "NETCONF für SINEC OS Referenzhandbuch (https://support.industry.siemens.com/cs/ww/de/view/109814712)". Für Informationen zum Konfigurieren von NETCONF-Sitzungen in SINEC OS siehe "Die NETCONF-Benutzerschnittstelle konfigurieren (Seite 61)".
Seite 23 Einleitung 2.2 Security-Empfehlungen • Network Time Protocol (NTP) NTP ruft die aktuelle Zeit von einem NTP-Server ab und synchronisiert automatisch die internen Uhren aller NTP-fähigen Geräte im Netzwerk. Dadurch können bei der Fehlerdiagnose Zeitstempel genutzt werden, um die Zusammenhänge zwischen Ereignissen auszuwerten.
Seite 24 Für weitere Informationen siehe Industrial Security (https://www.siemens.com/ industrialsecurity). • Prüfen Sie die Benutzerdokumentation anderer Siemens-Produkte, die zusammen mit dem Gerät verwendet werden, auf weitere Security-Empfehlungen. • Sorgen Sie mit Hilfe der Remote-Systemprotokollierung dafür, dass die Systemprotokolle an einen zentralen Syslog-Server weitergeleitet werden. Achten Sie darauf, dass der Server sich innerhalb des geschützten Netzwerks befindet, und schauen Sie regelmäßig in den...
Seite 25 • Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12". • Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit. • Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der Rückkehr des Geräts zerstört werden können.
Seite 26 Einleitung 2.2 Security-Empfehlungen • Wenn Sie eine sichere Verbindung zu einem Server (beispielsweise für ein sicheres Upgrade) herstellen, achten Sie darauf, dass serverseitig starke Verschlüsselungsverfahren und Protokolle konfiguriert sind. • Beenden Sie Managementverbindungen (z.B. HTTP, HTTPS, SSH) ordnungsgemäß. • Stellen Sie sicher, dass das Gerät vollständig abgeschaltet wurde, bevor Sie es aus dem Betrieb nehmen.
Seite 27 ProductCERT Security Advisories (https://www.siemens.com/cert/de/cert-security- advisories.htm). Updates zu den Security Advisories für Siemens-Produkte erhalten Sie, indem Sie sich beim RSS-Feed auf der Webseite ProductCert Security Advisories anmelden oder @ProductCert auf Twitter folgen. • Aktivieren Sie nur die Dienste, die auf dem Gerät verwendet werden, einschließlich physischer Ports.
Seite 28 Einleitung 2.3 Mengengerüst Security Funktion Grenzwert Schlüssel und Zertifikate Schlüsselpaare Zertifikate pro Schlüsselpaar Zertifikate-Mappen Zertifikate pro Zertifikate-Mappe Schlüsselmappen Bekannte Hosts pro Schlüsselmappe Management-ACL Regeleinträge Systemadministration Funktion Grenzwert Benutzer Anzahl Benutzer Sitzungen Anzahl CLI-Sitzungen Anzahl NETCONF-Sitzungen Anzahl SNMP-Sitzungen Anzahl Web-Benutzeroberflächen-Sitzungen Puffergröße (Byte) pro SSH-Sitzung 16834 Schnittstellenverwaltung Funktion...
Seite 29 Einleitung 2.4 Verfügbare Dienste Kontrolle und Klassifikation von Datenverkehr Funktion Grenzwert VLANs Anzahl Layer 2-VLANs Verfügbare VLAN-IDs 1 – 4094 Traffic-Klassen Anzahl Zuordnungen Priorität/Traffic-Klasse pro Warteschlange Anzahl Zuordnungen DSCP/Traffic-Klasse pro War‐ teschlange Uhrzeitdienste Funktion Grenzwert Anzahl der gesicherten NTP-Server Anzahl der ungesicherten NTP-Server Anzahl der Authentifizierungsschlüssel Multicast-Filterung Funktion...
Seite 30 Einleitung 2.4 Verfügbare Dienste • Remote-Default-Portnummer Die dem Remote-Server zugeordnete Default-Portnummer. • Default-Serverstatus Der Default-Zustand des Servers. • Konfigurierbarer Dienst Gibt an, ob der Dienst konfiguriert werden kann oder nicht. • Konfigurierbare Portnummer Gibt an, ob die Portnummer konfiguriert werden kann. •...
Seite 31 Einleitung 2.5 Zugriffsrechte Dienst Proto‐ Lokale De‐ Remote-De‐ Default Konfigurier‐ Konfigurier‐ Authentifi‐ Ver‐ koll fault- fault-Port‐ -Serversta‐ barer bare Port‐ zierung schlüsse‐ Portnum‐ nummer Dienst nummer lung SNMPv1/v2c Deaktiviert ✓ ✓ Konfigurier‐ SNMPv3 Deaktiviert ✓ ✓ Konfigurier‐ Konfigu‐ rierbar Aktiviert ✓ ✓...
Seite 32 Einleitung 2.5 Zugriffsrechte Die folgende Tabelle zeigt Abweichungen bei Aktionen. Der Eintrag "-" zeigt an, dass es keine Abweichung zu den grundsätzlichen Zugriffsrechten gibt. Tätigkeit Zugriffsrechte pro Benutzerprofil Admin Guest Mit dem Debug-Benutzerkonto anmelden Eine IP-Adresse/Host pingen (Ping) Den Datenpfad zu einem Host er‐ mitteln (Traceroute) Die folgende Tabelle zeigt Abweichungen bei Konfigurationsdaten.
Seite 33 Einleitung 2.6 Gerätekonfiguration Gerätekonfiguration SINEC OS unterstützt ein zweistufiges Konfigurationskonzept, bei dem die laufende Konfiguration auf dem Gerät unverändert bleibt, bis Sie Konfigurationsänderungen bestätigen. Hierzu verfügt SINEC OS über zwei Datenspeicher: • Running-Datenspeicher Im Running-Datenspeicher befindet sich die Konfiguration, mit der das Gerät aktuell läuft. •...
Seite 34 Einleitung 2.7 Unterstützte Funktionen Konfigurationsänderungen bestätigen Um die Konfigurationsänderungen in die laufende Konfiguration zu übernehmen, müssen Sie diese explizit bestätigen. Sie haben verschiedene Möglichkeiten, um die Konfigurationsänderungen zu bestätigen. Für weitere Informationen siehe "Konfigurationsänderungen bestätigen (Commit) (Seite 46)". Bevor Sie die Konfigurationsänderungen bestätigen, können Sie prüfen, ob es zu Konflikten mit der laufenden Konfiguration kommt.
Seite 35 Einleitung 2.7 Unterstützte Funktionen Funktion Web UI Tasterfunktion Configuration License PLUG Passwortrichtlinie Benutzerverwaltung Debug Verhinderung von Brute-Force-Angriffen Schlüssel und Zertifikate Benutzerauthentifizierung Bridge-Ports VLAN-Schnittstellen MAC-Adressentabelle Statische IP-Adressvergabe Statisches DNS DHCP Spanning Tree Protocol Erkennung von Netzwerkschleifen LLDP SNMP Begrenzung der Übertragungsgeschwindigkeit VLANs Traffic-Klassen Datum und Systemzeit Zeitverschiebung und Sommerzeit...
Seite 36 Einleitung 2.8 Unterstützte Internet-Browser Funktion Web UI Ereignismanagement Ping Traceroute Systemprotokollierung SMTP Spiegelung von Datenverkehr Kabeldiagnose Unterstützte Internet-Browser Das SINEC OS Web UI wurde mit den folgenden Internet-Browsern getestet: Internet-Browser Ab Version Google Chrome Mozilla Firefox ESR 91.3.0 Microsoft Edge Chromium Hinweis Verwendung des Microsoft Internet Explorers ist nicht freigegeben Das SINEC OS Web UI ist nicht für die Verwendung mit dem Microsoft Internet Explorer freigegeben.
Seite 37 Benutzerschnittstelle In diesem Kapitel wird beschrieben, wie Sie das SINEC OS Web User Interface (Web UI) nutzen. Benutzeroberfläche In diesem Abschnitt wird der Aufbau der grafischen Benutzeroberfläche des Web UI beschrieben. 3.1.1 Anmeldeseite Die folgende Grafik zeigt die Anmeldeseite. Bild 3-1 Anmeldeseite des Web UI von SINEC OS Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 38 Für weitere Informationen zur Anmeldung im Web UI siehe "Anmelden (Seite 76)". • Support Wenn Sie auf den Link Support klicken, wird in einem neuen Register die Internetseite des Siemens Industry Online Support geöffnet. 3.1.2 Startseite Wenn Sie sich erfolgreich angemeldet haben, befinden Sie sich auf der Startseite. Am Beispiel der Startseite sehen Sie in der folgenden Grafik die einzelnen Bereiche des Web UI.
Seite 39 In der Kopfleiste stehen Ihnen folgende Elemente zur Verfügung: • Logo der Siemens AG Wenn Sie auf das SIEMENS-Logo klicken, laden Sie die Startseite des Web UI. • Name des Geräts Der Gerätename zeigt an, mit welchem Gerät Sie verbunden sind. Sie können den Gerätenamen nicht ändern.
Seite 40 Benutzerschnittstelle 3.1 Benutzeroberfläche Bezeichnung Symbol Beschreibung Schnelle Konfigurati‐ Wenn Sie auf das Symbol klicken, werden alle ausstehenden onsbestätigung Konfigurationsänderungen direkt geprüft und bestätigt. Die Anzahl der unbestätigten Änderungen sowie Fehler beim Prüfen und Bestätigen der Konfigurationsänderungen werden am folgenden Symbol für Konfigurationstransaktionen ange‐ zeigt.
Seite 41 Benutzerschnittstelle 3.1 Benutzeroberfläche Bezeichnung Symbol Beschreibung Benutzerprofil Wenn Sie auf das Symbol klicken, werden folgende Informatio‐ nen angezeigt: • Username - Name des angemeldeten Benutzers • IP Address - IP-Adresse des Client-PCs, über den der Benutzer auf das Web UI zugreift •...
Seite 42 In der Kopfleiste stehen folgende Informationen zur Verfügung: – Das Logo der Siemens AG oben links Wenn Sie auf das SIEMENS-Logo klicken, laden Sie die Startseite der Online-Hilfe. – Der Dokumenttitel oben rechts Der Dokumenttitel gibt an, für welche Version von SINEC OS die Online-Hilfe gilt.
Seite 43 Sie können die Grafik mit den Lupen-Symbolen oder dem Mausrad weiter vergrößern bzw. verkleinern. Schließt die vergrößerte Ansicht der Grafik. • Fußleiste Die Fußleiste enthält Links zu allgemeinen Siemens-Informationen. 3.1.4.3 In der Online-Hilfe suchen Um in der Online-Hilfe zu suchen, gehen Sie wie folgt vor: 1.
Seite 44 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 4. Um eine Suche zu starten, klicken Sie auf einen Suchbegriff oder neben dem Eingabefeld Anstelle der Suchbegriffe werden die Kapitel aufgelistet, in denen der Suchbegriff vorkommt. 5. Um einen Kapitelinhalt anzuzeigen, klicken Sie auf das Kapitel. Die Liste der Kapitel wird weiterhin angezeigt. Der Suchbegriff ist im Text Orange hervorgehoben.
Seite 45 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.2 Konfigurationsänderungen anzeigen Um unbestätigte Konfigurationsänderungen anzuzeigen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. Vom rechten Rand des Browser-Fensters wird der Bereich für Konfigurationstransaktionen im Inhaltsbereich eingeblendet. Die Informations- und Konfigurationsseiten sind weiterhin verfügbar.
Seite 46 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.3 Konfigurationsänderungen prüfen Um die Konfigurationsänderungen zu prüfen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3. Klicken Sie im Untermenü der Schaltfläche Commit auf Validate. Mögliche Optionen: –...
Seite 47 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.5.1 Konfigurationsänderungen in einem Schritt prüfen und bestätigen Um Konfigurationsänderungen in einem Schritt zu prüfen und zu bestätigen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3.
Seite 48 Benutzerschnittstelle 3.2 Konfigurationstransaktionen Fehlermeldung ausgegeben und in Konflikt stehende Konfigurationsänderungen werden mit einem roten Ausrufezeichen angezeigt. Component Operation New Value Old Value Conflict System Information > Hostna‐ value_set switch02 localhost Für weitere Informationen siehe "Konfigurationsänderungen anzeigen (Seite 45)". In einer Web UI-Sitzung gibt es folgende Alternativen, um Konfigurationskonflikte zu klären. Die Konfigurationsänderung überschreiben Um die Änderung der anderen Sitzung mit Ihrem konfigurierten Wert zu überschreiben, gehen Sie wie folgt vor:...
Seite 49 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.8 Alle Konfigurationsänderungen verwerfen Um die Konfigurationsänderungen zu verwerfen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3. Klicken Sie auf die Schaltfläche Abort. 3.2.9 Gespeicherte Konfigurationen anzeigen Bevor Sie Konfigurationsänderungen bestätigen, wird ein Zeitstempel erstellt, um die vor der...
Seite 50 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.2.10 Eine Konfiguration wiederherstellen (Rollback) Wenn Sie eine Konfiguration wiederherstellen, wird die laufende Konfiguration auf einen älteren Stand zurückgesetzt. Hinweis Nach dem Laden einer Firmware-Datei mit einer abweichenden Firmware-Version, werden alle gespeicherten Konfigurationsstände gelöscht. Die aktuelle Konfiguration bleibt erhalten und wird nicht verändert.
Seite 51 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.3.1.1 Eine neue Zeile hinzufügen Um eine neue Zeile hinzuzufügen, gehen Sie wie folgt vor: 1. Klicken Sie auf die Schaltfläche Add. 2. [Optional] Konfigurieren Sie die Parameter der Zeile. 3. Bestätigen Sie die Änderungen. 3.3.1.2 Eine Zeile selektieren Um eine Zeile zu selektieren, klicken Sie auf das Häkchen in der ersten Spalte.
Seite 52 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3. Geben Sie in der ersten Zeile unter Transmission Interval den gewünschten Wert ein. Der Wert wird für alle Bridge-Ports übernommen. In jeder Zeile wird ein blaues Häkchen neben dem Eingabefeld angezeigt. 4. Bestätigen Sie die Änderungen. 3.3.1.5 Aktionen für alle Zeilen einer Tabelle gleichzeitig ausführen Manche Tabellen haben eine erste Zeile mit dem Schlüsselwort All.
Seite 53 Mit dieser Schaltfläche gelangen Sie zur ersten Seite. 3.3.2 Auf die Startseite wechseln Um auf die Startseite zu wechseln, klicken Sie in der Kopfleiste links auf das SIEMENS-Logo. 3.3.3 Mehrfachauswahl in Drop-Down-Listen Es gibt verschiedene Arten von Drop-Down-Listen. In manchen Drop-Down-Listen können Sie nur einen der angezeigten Einträge auswählen, z.
Seite 54 Benutzerschnittstelle 3.3 Grundlegende Bedienung Öffnen Sie die Drop-Down-Liste und wählen Sie beliebig viele Einträge aus und auch wieder Die ausgewählten Einträge werden in der ursprünglichen Reihenfolge angezeigt, in der sie aufgelistet sind. Wenn das Feld nicht ausreicht, um alle ausgewählten Einträge anzuzeigen, werden diese mit "..."...
Seite 55 Benutzerschnittstelle 3.3 Grundlegende Bedienung Zum Laden und Speichern über einen Remote-Server werden folgende Angaben benötigt: • Protokoll Es werden folgende Protokolle unterstützt: – FTP – SFTP Um eine Verbindung mit einem SFTP-Server aufzubauen, muss der Fingerprint des öffentlichen Schlüssels im Truststore des Geräts hinterlegt sein. Beim ersten Verbindungsaufbau mit einem SFTP-Server erfolgt eine Sicherheitsabfrage.
Seite 56 Benutzerschnittstelle 3.3 Grundlegende Bedienung • Port Den Port müssen Sie nur angeben, wenn nicht der voreingestellte Port verwendet werden soll: Protokoll Voreingestellter Port TCP-Port 21 SFTP TCP-Port 22 TFTP UDP-Port 69 HTTP TCP-Port 80 • Pfad zur Datei inklusive des Dateinamens Bei dem Protokoll SFTP müssen Sie den gesamten Pfad auf dem Remote-Server bis zu der Datei angeben.
Seite 57 Benutzerschnittstelle 3.3 Grundlegende Bedienung 10.[Optional] Wenn Sie unter File Password ein Passwort vergeben haben, wiederholen Sie das Passwort unter File Password-Confirm. 11.Klicken Sie auf Load bzw. Save. Beim speichern auf einem lokalen Client-PC ist es von den Einstellungen Ihres Internet- Browsers abhängig, ob die Datei direkt in einem vorgegebenen Ordner abgespeichert wird oder ob eine Abfrage erfolgt und Sie zunächst den Speicherort wählen können.
Seite 58 Benutzerschnittstelle 3.3 Grundlegende Bedienung Zeitdauer Beschreibung 1m30.5s 1 Minute, 30.5 Sekunden Minus 6 Monate 20 Monate (Die Angabe der Monate ist nicht auf 12 begrenzt.) Negative Beispiele Die folgende Tabelle zeigt ungültige Zeitdauern. Zeitdauer Beschreibung Ein leerer Eintrag ist nicht zulässig. 1M2Y Die Reihenfolge der Zeitangaben muss beachtet werden.
Seite 59 Benutzerschnittstelle 3.3 Grundlegende Bedienung Optische Rückmeldung Beschreibung Grünes Häkchen Eine Eingabe wurde erfolgreich gegen die bestehende Konfiguration geprüft und ist gültig. Um die Prüfung zu starten, verwenden Sie im Bereich Konfigurationst‐ ransaktionen die Funktion Validate. Für weitere Informationen siehe "Konfigurationsänderungen prüfen (Seite 46)". Nur gültige Konfigurationsänderungen können bestätigt werden.
Seite 60 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.3.8 Das Web UI mit der Tastatur bedienen Abhängig vom Browser können einige Tastenkombinationen variieren. Aktion Taste/Tastenkombination Zum nächsten Element springen Tabulator-Taste Eine Schaltfläche bedienen Enter-Taste Ein Optionskästchen aktivieren bzw. deaktivieren Leertaste Durch die Einträge einer Drop-Down-Liste navigieren Pfeiltasten hoch und runter Auf die zuvor ausgewählte Seite springen [Alt] + [Pfeil links]...
Seite 61 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen CLI SSH Endpunkt Default Name default Endpunkt aktiviert IP-Adresse 0.0.0.0 Port Web UI HTTP Endpunkt Default Name unsecure Endpunkt aktiviert Nein IP-Adresse 0.0.0.0 Port Web UI HTTPS Endpunkt Default Name secure Endpunkt aktiviert IP-Adresse 0.0.0.0 Port NETCONF SSH Endpunkt Default...
Seite 62 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 4. Konfigurieren Sie das SSH-Schlüsselaustauschverfahren für einen NETCONF-Server- Endpunkt. Für weitere Informationen siehe "Das SSH-Schlüsselaustauschverfahren für einen NETCONF- Server-Endpunkt ändern (Seite 63)". 5. Aktivieren Sie einen Server-Endpunkt für NETCONF. Für weitere Informationen siehe "Einen Server-Endpunkt für NETCONF aktivieren (Seite 65)".
Seite 63 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.1.3 Einen Server-Endpunkt für NETCONF konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein Server-Endpunkt NETCONF- Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 64 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Das Schlüsselaustauschverfahren bestimmt die Schlüsselstärke. Je größer die Nummer der Diffie-Hellman-Gruppe, desto stärker und sicherer ist der Schlüssel. Ein stärkerer Schlüssel erfordert jedoch auch mehr Rechenzeit und -leistung. Hinweis Eine Zuordnung der elliptischen Kurven zu Diffie-Hellman-Gruppen finden Sie hier: Internet Key Exchange Version 2 (IKEv2) Parameters (https://www.iana.org/assignments/ikev2- parameters/ikev2-parameters.xhtml#ikev2-parameters-8)
Seite 65 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.1.5 Einen Server-Endpunkt für NETCONF aktivieren Standardmäßig ist der Server-Endpunkt für NETCONF aktiviert. Nur Benutzer mit dem Benutzerprofil Admin können einen Server-Endpunkt aktivieren. Um einen Server-Endpunkt für NETCONF zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter NETCONF ≫...
Seite 66 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um den Inaktivitäts-Timeout global für CLI-Sitzungen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter CLI ändern Sie den Parameter Idle Timeout. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 67 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Unter Endpoint wählen Sie einen Endpunkt und ändern Sie in der Spalte IP Address die IP- Adresse, über die CLI-Anfragen bearbeitet werden. Default: 0.0.0.0 Die Default-IP-Adresse lässt Client-Anfragen auf allen lokalen Adressen zu. 4. Bestätigen Sie die Änderungen. 3.4.2.3 Das SSH-Schlüsselaustauschverfahren für einen CLI-Server-Endpunkt ändern Beim Aufbau einer SSH-Verbindung erfolgt ein Schlüsselaustausch, um gemeinsame...
Seite 68 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Unter Cipher Selection wählen Sie ein SSH-Schlüsselaustauschverfahren aus. Mögliche Optionen: – curve448-sha512 Für weitere Informationen siehe RFC8731 (https://www.ietf.org/rfc/rfc8731.html) – curve25519-sha256 Für weitere Informationen siehe RFC8731 (https://www.ietf.org/rfc/rfc8731.html) – diffie-hellman-group14-sha1 Für weitere Informationen siehe RFC4253 (https://www.ietf.org/rfc/rfc4253.html) – diffie-hellman-group16-sha512 Für weitere Informationen siehe RFC8268 (https://www.ietf.org/rfc/rfc8268.html) –...
Seite 69 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.3 Die Web-Benutzerschnittstelle konfigurieren Um die Web-Benutzerschnittstelle zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie die Web-Benutzerschnittstelle. Für weitere Informationen siehe "Die Web-Benutzerschnittstelle aktivieren (Seite 69)". 2. [Optional] Ändern Sie den Inaktivitäts-Timeout für Web UI-Sitzungen. Für weitere Informationen siehe "Den Inaktivitäts-Timeout für Web UI-Sitzungen ändern (Seite 69)".
Seite 70 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um den Inaktivitäts-Timeout für Web UI-Sitzungen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter WebUI (HTTP/HTTPS) ändern Sie den Parameter Idle Timeout. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 71 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen HTTP-Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTP-Server-Endpunkt angezeigt. 2. Unter Endpoint wählen Sie einen HTTP-Server-Endpunkt und ändern Sie in der Spalte TCP Port den Port, über den Web UI-Anfragen bearbeitet werden.
Seite 72 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.3.5 Einen HTTPS-Server-Endpunkt für das Web UI konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein HTTPS-Server-Endpunkt Web UI-Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 73 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen HTTPS-Server-Endpunkt für das Web UI zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTPS-Server-Endpunkt angezeigt. 2. Unter Endpoint wählen Sie einen HTTPS-Server-Endpunkt und ändern Sie den Parameter Status in Enabled.
Seite 74 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 75 Erste Schritte In diesem Kapitel wird beschrieben, welche grundlegenden Schritte bei der Erstinbetriebnahme des Geräts auszuführen sind. Zu den Aufgaben gehören die Herstellung der Verbindung zu dem Gerät, der Zugriff auf die Benutzeroberfläche und das Konfigurieren eines Basisnetzwerks. Über eine Netzwerkverbindung auf das Web UI zugreifen Um auf das Web UI (Web User Interface) zuzugreifen, stellen Sie zwischen einem Client-PC und einem Gerät eine Remote-Verbindung über das Netzwerk her.
Seite 76 Erste Schritte 4.2 Anmelden Eine Verbindung zu einem Gerät herstellen Um auf das Web UI zuzugreifen, gehen Sie wie folgt vor: 1. Öffnen Sie einen Internet-Browser. 2. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse oder die URL des Geräts ein. 3.
Seite 77 Erste Schritte 4.2 Anmelden Wenn Sie sich bei einem Gerät mit Default-Einstellungen anmelden, gehen Sie wie folgt vor: 1. Stellen Sie eine Verbindung zu dem Gerät her und rufen Sie das Web UI auf. Die Anmeldeseite des Web UI wird angezeigt. Für weitere Informationen siehe "Über eine Netzwerkverbindung auf das Web UI zugreifen (Seite 75)".
Seite 78 Erste Schritte 4.4 Grundeinstellungen 6. Klicken Sie in das Feld Confirm Password und geben Sie das neue Passwort erneut ein. 7. Klicken Sie auf Change Password oder drücken Sie die Eingabetaste. Das Gerät prüft die Eingaben. Als optische Rückmeldung erscheint rechts neben den Feldern ein Ladesymbol.
Seite 79 Erste Schritte 4.4 Grundeinstellungen 4.4.1 Grundeinstellungen konfigurieren Um die Grundeinstellungen für das Gerät zu konfigurieren, gehen Sie wie folgt vor: 1. Ändern Sie den Hostnamen für das Gerät. Für weitere Informationen siehe "Den Hostnamen ändern (Seite 79)". 2. Geben Sie den physischen Standort des Geräts an. Für weitere Informationen siehe "Den Gerätestandort angeben (Seite 79)".
Seite 80 Erste Schritte 4.4 Grundeinstellungen Um anzugeben, wo sich das Gerät befindet, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Information & State. 2. Unter System Information geben Sie eine Beschreibung des Standorts ein, der unter Location angegeben ist. Bedingung: –...
Seite 81 Erste Schritte 4.4 Grundeinstellungen 4.4.2 Das Default-Gateway anzeigen Die IP-Adresse des Default-Gateways kann für das Gerät manuell oder über ein Netzwerkmanagement-Protokoll (z. B. DHCP) konfiguriert werden. Wenn das Default-Gateway über beide Wege konfiguriert wurde, hat die dynamische Zuweisung über DHCP eine höhere Priorität. Um das Default-Gateway anzuzeigen, navigieren Sie zu Interfaces ≫ IP Interfaces. Unter IPv4 Default Gateway im Feld Default Gateway Address wird die IP-Adresse des Default-Gateways angezeigt, die das Gerät verwendet.
Seite 82 Erste Schritte 4.4 Grundeinstellungen Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 83 Gerätemanagement In diesem Kapitel wird beschrieben, wie Sie die Gerätehardware verwalten, etwa wie Sie einen Neustart durchführen oder das Gerät herunterfahren, die Firmware verwalten oder die Konfigurationsdateien verwalten. Neustarten und Herunterfahren des Geräts Dieses Kapitel beschreibt, wie Sie das Gerät neu starten und herunterfahren. 5.1.1 Wissenswertes zum Neustarten und Herunterfahren des Geräts In diesem Abschnitt wird beschrieben, welche Auswirkungen ein Neustarten und...
Seite 84 Gerätemanagement 5.2 Das Gerät auf Default-Einstellungen zurücksetzen localhost# system restart Are you sure you want to restart the device? [no,yes] yes There are 1 other active user session(s) which would be killed. Are you sure you want to continue? [no,yes] yes 5.1.1.3 Konfigurationsänderungen berücksichtigen Wenn ein Benutzer Konfigurationsänderungen bestätigt hat (commit), wird diese Aktion...
Seite 85 Gerätemanagement 5.3 Das Gerät außer Betrieb nehmen Hinweis Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, werden alle Konfigurationen gelöscht, inklusive: • der IP-Adresse • der angelegten Benutzer • der Passwörter • der benutzerdefinierten Schlüssel und Zertifikate Das Gerät ist danach nur über die serielle Schnittstelle erreichbar. Wenn Sie dem Gerät über DHCP oder DCP (z.
Seite 86 Gerätemanagement 5.4 Firmware Um das Gerät außer Betrieb zu nehmen, gehen Sie wie folgt vor: 1. Beziehen Sie eine Kopie der aktuell auf dem Gerät installierten Firmware. Für weitere Informationen siehe "Ein Firmware-Paket beziehen (Seite 87)". 2. Laden Sie die aktuelle Firmware erneut und setzen Sie die Konfigurationseinstellungen auf die Default-Einstellungen zurück.
Seite 87 Installierte Version des Bootloaders, der auf dem Gerät läuft 5.4.3 Ein Firmware-Paket beziehen Standardmäßig stehen gültige Firmware-Pakete zum Download im Siemens Industry Online Support (SIOS (https://support.industry.siemens.com/cs/de/de/ps/15296/dl)) zur Verfügung. Alternativ erhalten Sie Firmware-Pakete auch über den Siemens-Kundendienst. Um ein Firmware-Paket über SIOS zu beziehen, gehen Sie wie folgt vor: 1.
Seite 88 Gerätemanagement 5.4 Firmware 5.4.4 Die Firmware upgraden Sie können eine Firmware-Datei von einem lokalen Client-PC oder einem Remote-Server laden. 5.4.4.1 Eine neuere Firmware-Datei von einem lokalen Client-PC laden ACHTUNG Elektrische Gefährdung - Gefahr eines Gerätefehlers durch Verlust der Spannungsversorgung Wenn das Gerät die Spannungsversorgung verliert, während eine Firmware-Datei geladen wird, kann ein Fehlerzustand auftreten.
Seite 89 Gerätemanagement 5.4 Firmware 6. Melden Sie sich an. Für weitere Informationen siehe "Bei einem konfigurierten Gerät anmelden (Seite 78)". 7. [Optional] Prüfen Sie die Firmware-Version. Für weitere Informationen siehe "Die aktuelle Firmware-Version anzeigen (Seite 87)". 5.4.4.2 Eine neuere Firmware-Datei von einem Remote-Server laden Sie können eine Firmware-Datei von einem Remote-Server laden.
Seite 90 Gerätemanagement 5.4 Firmware 3. Um die Firmware-Datei zu laden, klicken Sie auf Load. – Während die Firmware geladen wird, wird ein Ladesymbol angezeigt. – Wenn die Firmware erfolgreich geladen wurde, erscheint rechts neben dem Feld ein grünes Häkchen. – Wenn beim Laden der Firmware ein Fehler aufgetreten ist, erscheint rechts neben dem Feld ein rotes Ausrufezeichen und eine Fehlermeldung wird angezeigt.
Seite 91 Gerätemanagement 5.4 Firmware 3. Wählen Sie über das Dialogfenster die entsprechende Firmware-Datei aus und klicken Sie auf Öffnen. 4. Um die Firmware-Datei zu laden, klicken Sie auf Load. Unter Firmware Load Progress wird der Fortschritt des Ladevorgangs angezeigt. – Während die Firmware geladen wird, wird ein Ladesymbol angezeigt. –...
Seite 92 Gerätemanagement 5.4 Firmware Hinweis Sie haben folgende Möglichkeiten, um eine Firmware-Änderung abzubrechen oder rückgängig zu machen: • Wenn Sie das Gerät noch nicht neu gestartet haben, können Sie die geladene Firmware-Datei ablehnen. Für weitere Informationen siehe "Eine geladene Firmware-Datei ablehnen (Seite 92)". •...
Seite 93 Gerätemanagement 5.4 Firmware Standardmäßig ist die Schaltfläche Decline inaktiv. Die Schaltfläche ist nur aktiv, wenn eine geladene Firmware abgelehnt werden kann. Hinweis Sie können eine Firmware-Datei nur ablehnen, wenn Sie das Gerät nach dem Laden einer Firmware-Datei noch nicht neu gestartet haben. Um eine Firmware-Datei abzulehnen, gehen Sie wie folgt vor: 1.
Seite 94 Gerätemanagement 5.5 Gerätehardware Um die Backup-Firmware zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Firmware. 2. Um die Backup-Firmware zu aktivieren, klicken Sie unter Firmware Information auf Rollback. Zusammen mit der Backup-Firmware wird auch die dazugehörige Konfigurationsdatenbank wiederhergestellt.
Seite 95 Gerätemanagement 5.6 Konfigurationsdatei Parameter Beschreibung Status Zusätzliche Informationen über den aktuellen Zustand der Komponente Mögliche Optionen: • OFF - Die Komponente ist ausgeschaltet. • ON - Die Komponente ist eingeschaltet. • OPEN - Die Komponente ist offen. Gilt für alle Relaiskom‐ ponenten (Meldekontakt).
Seite 96 Gerätemanagement 5.6 Konfigurationsdatei 5.6.1 Die aktuelle Konfiguration als Datei auf einem lokalen Client-PC speichern Hinweis Wenn Sie eine gespeicherte Konfigurationsdatei ändern und wieder in ein Gerät laden, kann dies zu unvorhersehbarem Verhalten oder dem Ausfall der Kommunikation führen. Gespeicherte Konfigurationsdateien sollten nur von erfahrenen Benutzern verändert werden. Um die aktuelle Konfiguration des Geräts als Datei auf einem lokalen PC zu speichern, gehen Sie wie folgt vor: 1.
Seite 97 Gerätemanagement 5.6 Konfigurationsdatei 6. [Optional] Wenn Sie unter File Password ein Passwort vergeben haben, wiederholen Sie das Passwort unter File Password-Confirm. 7. Klicken Sie auf Save. Es ist von den Einstellungen Ihres Internet-Browsers abhängig, ob die Datei direkt in einem vorgegebenen Ordner abgespeichert wird oder ob eine Abfrage erfolgt und Sie zunächst den Speicherort wählen können.
Seite 98 Gerätemanagement 5.6 Konfigurationsdatei 5. Konfigurieren Sie die Einstellungen für den Remote-Server. Für weitere Informationen zum Speichern von Dateien über einen Remote-Server siehe "Dateien über einen Remote-Server laden und speichern (Seite 54)". 6. Klicken Sie auf Save. Hinweis Warten Sie, bis der Speichervorgang vollständig abgeschlossen ist, bevor Sie Änderungen an der Konfiguration des Geräts vornehmen.
Seite 99 Gerätemanagement 5.6 Konfigurationsdatei Eine Konfigurationsdatei laden ACHTUNG Konfigurationsrisiko - Gefahr des Kommunikationsausfalls Wenn Sie in ein Gerät eine Konfigurationsdatei laden, kann dies zu unvorhersehbarem Verhalten oder dem Ausfall der Kommunikation führen. Um ein unvorhersehbares Verhalten zu vermeiden, setzen Sie das Gerät auf Default- Einstellungen zurück.
Seite 100 Gerätemanagement 5.6 Konfigurationsdatei 6. [Optional] Wenn die Konfiguration im geschützten Modus abgespeichert wurde, wurde ein Passwort vergeben. Um die Konfiguration zu laden, benötigen Sie das entsprechende Passwort. Unter File Password geben Sie das Passwort ein. 7. Unter Configuration File öffnen Sie über die Schaltfläche ein Dialogfenster zum Auswählen einer Datei.
Seite 101 Gerätemanagement 5.6 Konfigurationsdatei • Auf dem Gerät, von dem die Konfigurationsdatei gespeichert wurde, war mindestens SINEC OS Firmware-Version 2.0 installiert. • Gesteckte Stecktransceiver/Module stimmen mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist. ACHTUNG Verbindungsrisiko - Gefahr des Kommunikationsausfalls Wenn gesteckte Stecktransceiver/Module nicht mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist, müssen Sie: •...
Seite 102 Gerätemanagement 5.6 Konfigurationsdatei 4. Unter Load/Save Configuration from/to Remote Server wählen Sie für den Parameter Action die Option Load. 5. Unter Mode wählen Sie das Ladeverhalten aus. Mögiche Optionen: Option Beschreibung Replace Default Die Parameter der laufenden Konfiguration, die in der Konfigurati‐ onsdatei enthalten sind, werden mit diesem Parameter gelöscht und durch den Inhalt der Konfigurationsdatei ersetzt.
Seite 103 Gerätemanagement 5.6 Konfigurationsdatei 5.6.5 Die Header-Informationen einer Konfigurationsdatei anzeigen Um die Header-Informationen einer Konfigurationsdatei anzuzeigen, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass sich das Web UI nicht im exklusiven Konfigurationsmodus befindet. Für weitere Informationen siehe Kapitel "Statusleiste (Seite 39)". 2. Navigieren Sie zu System ≫ Load & Save ≫ Configuration. 3.
Seite 104 Gerätemanagement 5.7 Open Source Software-Informationen Open Source Software-Informationen Die Open Source Software (OSS)-Informationen sind als PDF-Datei gespeichert. Die Datei enthält Copyright-Hinweise der in diesem Produkt enthaltenen Fremdsoftware, insbesondere Open Source Software, sowie anwendbare Lizenzbedingungen solcher Fremdsoftware. Lesen Sie die Informationen zur Open Source Software genau durch, bevor Sie das Produkt nutzen.
Seite 105 Gerätemanagement 5.8 Bedienfeld Die OSS-Informationen speichern Um die OSS-Informationen auf einem Remote-Server zu speichern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ OSS Information. 2. Unter Save Open Source Software (OSS) Information to Remote Server konfigurieren Sie die Einstellungen für den Remote-Server.
Seite 106 Gerätemanagement 5.8 Bedienfeld Bedeutung im laufenden Betrieb LED-Farbe LED-Status Bedeutung im laufenden Betrieb Das Gerät läuft fehlerfrei. Das Gerät hat einen Fehler erkannt. 5.8.1.3 LEDs "DM1" und "DM2" Die LEDs "DM1" und "DM2" zeigen an, welcher Anzeigemodus eingestellt ist. Es gibt 4 Anzeigemodi (A, B, C und D). Anzeigemodus A ist der Standardmodus. LED-Farbe LED-Status Bedeutung...
Seite 107 Gerätemanagement 5.8 Bedienfeld Bedeutung im Anzeigemodus A Im Anzeigemodus A können Sie an den Port-LEDs ablesen, ob ein gültiger Link vorhanden ist. LED-Farbe LED-Status Bedeutung Kein gültiger Link am Port (z. B. der Kommunikationspart‐ ner ist ausgeschaltet oder das Kabel ist nicht angeschlos‐ sen) oder der Link ist vorhanden, aber der Port ist per Ma‐...
Seite 108 Gerätemanagement 5.8 Bedienfeld 5.8.1.6 Taster Jedes Gerät verfügt über einen Taster. Ohne direkten Zugang zum Gerät können Sie den Taster mit der Maus über das Bedienfeld im Web UI betätigen. Hinweis Über den simulierten Taster im Web UI können Sie nicht alle Funktionen des Tasters nutzen. Sie können im Web UI nur den Anzeigemodus einstellen.
Seite 109 Gerätemanagement 5.10 Tasterfunktion Meldekontakt Der Meldekontakt ist ein ereignis- oder manuell gesteuertes fehlersicheres Alarmrelais. Einzelne Alarme können so konfiguriert werden, dass sie das Relais auslösen, wenn das zugehörige Ereignis eintritt. Das Relais kann außerdem in einem offenen oder geschlossenen Zustand fixiert werden. Das manuelle Steuern des Relais ist nützlich, um: •...
Seite 110 Gerätemanagement 5.10 Tasterfunktion 5.10.1 Wissenswertes zur Tasterfunktion Das Gerät verfügt über einen Taster mit folgenden Funktionen: • Das Gerät auf Default-Einstellungen zurücksetzen Sie können das Gerät mit dem Taster auf seine Default-Einstellungen zurücksetzen. Beachten Sie, dass die Tasterfunktion zwischen der Anlaufphase und dem laufenden Betrieb unterscheidet.
Seite 111 Austauschen von Daten und Lizenzen. Der CLP verfügt über eine USB Type C-Schnittstelle und kann mit folgenden Geräten verwendet werden, die über eine entsprechende Schnittstelle verfügen: • Siemens-Produkte • Personal Computer (PCs), wie z. B. Desktop-PCs, Tablet-PCs, Laptops oder Smartphones 5.11.1...
Seite 112 – Die Projektierungsdaten des Geräts werden auf einem gesicherten Speicherbereich des CLPs abgelegt. Dieser gesicherte Speicherbereich kann nur über die Authentifizierung des Siemens-Geräts erreicht werden. – Das Gerät überprüft im Sekundenabstand, ob ein CLP gesteckt ist. Wenn das Gerät feststellt, dass der CLP entfernt wurde, startet es automatisch neu.
Seite 113 Ein angeschlossenes Gerät kann das Dateisystem ändern sowie lesend und schreibend auf Dateien des Speicherbereichs zugreifen. • Gesicherter Speicherbereich Auf den gesicherten Speicherbereich können nur Siemens-Geräte nach einer erfolgreichen Authentifizierung zugreifen. Um einen unberechtigten Zugriff zu verhindern, werden Konfigurationsdaten auf dem gesicherten Speicherbereich abgelegt.
Seite 114 Gerätemanagement 5.11 Configuration and License PLUG 5.11.2 Eine Firmware auf dem CLP speichern Sie können konfigurieren, ob die Firmware des Geräts auf dem CLP gespeichert und synchron gehalten werden soll oder nicht. Wenn Sie die Einstellung ändern, reagiert das Gerät direkt. •...
Seite 115 Gerätemanagement 5.11 Configuration and License PLUG 5.11.5 Den CLP zurücksetzen Sie können alle gespeicherten Daten des CLPs löschen, inklusive Lizenzen und den CLP auf Default-Einstellungen zurücksetzen. Hinweis Um alle Daten außer den gespeicherten Lizenzen zu löschen, verwenden Sie Clean oder setzen Sie das Gerät auf seine Default-Einstellungen zurück.
Seite 116 Gerätemanagement 5.11 Configuration and License PLUG Parameter Beschreibung Info String Zeigt zusätzliche Informationen über das Gerät an, das den CLP im vorangegangenen Betrieb genutzt hatte, z. B. Artikelnummer, Typen‐ bezeichnung sowie die Ausgabestände von Hard- und Software. Der angezeigte Software-Ausgabestand entspricht dem Ausgabestand, in dem zuletzt die Konfiguration geändert wurde.
Seite 117 Systemadministration In diesem Kapitel wird beschrieben, wie Sie verschiedene administrative Tätigkeiten ausführen, etwa wie Sie Benutzer definieren, Alarme konfigurieren und Systemdateien verwalten. Ein Banner für die Anmeldung konfigurieren Sie können eine benutzerdefinierte Begrüßungsnachricht, Geräteinformationen oder andere Informationen auf der Anmeldeseite des Web UI anzeigen. Nur Benutzer mit dem Benutzerprofil Admin können ein Banner konfigurieren.
Seite 118 Systemadministration 6.2 Passwortrichtlinie 6.2.1 Die Passwortrichtlinie konfigurieren Um die Passwortrichtlinie zu ändern, gehen Sie wie folgt vor: 1. [Optional] Konfigurieren Sie die minimale Anzahl an Zeichen, die ein Passwort umfassen muss. Für weitere Informationen siehe "Die minimale Anzahl an Zeichen konfigurieren (Seite 118)". 2.
Seite 119 Systemadministration 6.2 Passwortrichtlinie 6.2.1.2 Die maximale Anzahl an Zeichen konfigurieren Um die maximale Anzahl an Zeichen zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Maximum Length konfigurieren Sie die maximale Anzahl an Zeichen, die ein Passwort umfassen darf.
Seite 120 Systemadministration 6.2 Passwortrichtlinie Um zu konfigurieren, ob ein Passwort Kleinbuchstaben enthalten muss, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Lowercase konfigurieren Sie, ob ein Passwort Kleinbuchstaben enthalten muss. Mögliche Optionen: Option Beschreibung...
Seite 121 Systemadministration 6.2 Passwortrichtlinie Um zu konfigurieren, ob ein Passwort Sonderzeichen enthalten muss, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Special Character konfigurieren Sie, ob ein Passwort Sonderzeichen enthalten muss. Mögliche Optionen: Option Beschreibung...
Seite 122 Systemadministration 6.3 Benutzerverwaltung Benutzerverwaltung Sie können mehrere Benutzer konfigurieren und jedem Benutzer ein Benutzerprofil zuweisen. In SINEC OS können folgende Benutzerprofile lokal im Gerät konfiguriert werden: • Admin • Guest Jedem Profil sind andere Zugriffsrechte zugeordnet. Die Zugriffsrechte erlauben oder verbieten dem Benutzer die Änderung von Einstellungen und die Ausführung verschiedener Befehle.
Seite 123 Systemadministration 6.3 Benutzerverwaltung 6.3.2 Benutzer konfigurieren Um einen neuen Benutzer anzulegen, gehen Sie wie folgt vor: 1. Legen Sie einen neuen Benutzer an und weisen Sie ihm ein Passwort und ein Benutzerprofil Hinweis Standardmäßig müssen neue Benutzer bei der ersten Anmeldung ein neues Passwort vergeben.
Seite 124 Systemadministration 6.3 Benutzerverwaltung 5. Unter Password vergeben Sie für den Benutzer ein Passwort. Sie können ein Passwort wie folgt eingeben: – Als Hash-Passwort Wenn ein Passwort mit einer der folgenden Zeichenkombinationen beginnt, wird es als Hash-Passwort angesehen und in dieser Form gespeichert: Zeichenkombination Hash-Algorithmus SHA-256...
Seite 125 Systemadministration 6.3 Benutzerverwaltung Die folgende Tabelle zeigt die Auswirkungen der Funktion auf neue und bestehende Benutzer: Anwendungsfall Funktion aktiviert Funktion deaktiviert Neuer Benutzer Standardmäßig ist die Funktion für ei‐ Beim Konfigurieren eines neuen Be‐ nen neuen Benutzer aktiviert. nutzers wurde die Funktion deakti‐ viert.
Seite 126 Systemadministration 6.3 Benutzerverwaltung Um das Passwort zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management in der Spalte Password ändern Sie für den Benutzer das Passwort. Sie können ein Passwort wie folgt eingeben: –...
Seite 127 Systemadministration 6.3 Benutzerverwaltung Um das Benutzerprofil zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management in der Spalte Role ändern Sie für den Benutzer das Benutzerprofil. Mögliche Optionen: Option Beschreibung Admin Benutzer mit dem Benutzerprofil Admin verfügen über Lese- und Schreibzugriff auf die Funktionen des Geräts.
Seite 128 Passwort zu vergeben. Das Gerät für eine Störungsbehebung vorbereiten Um eine Störung zu beheben, benötigt ein Siemens-Servicetechniker vorübergehend Zugriff auf das Gerät (Debug-Benutzerkonto) und/oder Debug-Informationen. In diesem Kapitel wird beschrieben, wie Sie das Gerät in einem Servicefall vorbereiten, sodass Ihr Siemens-Servicetechniker Sie optimal bei der Störungsbehebung unterstützen...
Seite 129 Systemadministration 6.4 Das Gerät für eine Störungsbehebung vorbereiten 3. Klicken Sie auf Save. 4. Wenn die Debug-Informationen schon mal gespeichert wurden, erfolgt eine Abfrage. Mögliche Optionen: – Yes - Es wird keine neue ZIP-Datei erstellt. Die bestehende ZIP-Datei wird übertragen. – No - Es wird eine neue ZIP-Datei mit aktuellen Debug-Informationen erstellt und übertragen.
Seite 130 6.4 Das Gerät für eine Störungsbehebung vorbereiten 6.4.2 Das Debug-Benutzerkonto aktivieren Das Debug-Benutzerkonto ermöglicht es Ihrem Siemens-Servicetechniker für eine bestimmte Zeit auf Ihr Gerät zuzugreifen. Nur Benutzer mit dem Benutzerprofil Admin können das Benutzerkonto aktivieren. Das Debug-Benutzerkonto ist solange aktiv, bis das Konto deaktiviert oder das Gerät heruntergefahren oder neu gestartet wird.
Seite 131 Security In diesem Kapitel werden die verfügbaren Security-Funktionen beschrieben. Stellen Sie sicher, dass Gerät und Netzwerk angemessen vor bösartigen Angriffen geschützt sind, indem Sie die Standard-Security-Einstellungen überprüfen/aktualisieren. Hinweis Allgemeine Empfehlungen zur Sicherung des Geräts siehe "Security-Empfehlungen (Seite 23)". Verhinderung von Brute-Force-Angriffen (BFA) SINEC OS verfügt über einen Mechanismus zum Schutz vor lokalen und entfernten Brute-Force- Angriffen (BFAs) über die CLI-, Web-UI-, SNMP- und NETCONF-Benutzerschnittstellen.
Seite 132 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) Benutzer und Dienste, die die maximale Anzahl fehlgeschlagener Anmeldeversuche überschritten haben, werden während eines konfigurierbaren Zeitraums blockiert. Wenn ein blockierter Benutzer/Dienst erneut versucht, sich anzumelden, bevor der Zeitraum abgelaufen ist, wird die Blockierung verlängert und die Zeit zurückgesetzt. Die Blockierung eines Benutzers wird aufgehoben, wenn: •...
Seite 133 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) Um den maximalen Zeitraum festzulegen, der zwischen dem Zeitpunkt, zu dem ein Benutzer bzw. eine IP-Adresse blockiert wird, und dem Zeitpunkt, zu dem die Blockierung des Benutzers bzw. der IP-Adresse wieder aufgehoben wird, verstreichen muss, gehen Sie wie folgt vor: 1.
Seite 134 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) 7.1.2.3 Den Zeitraum zwischen fehlgeschlagenen Anmeldeversuchen ändern SINEC OS legt einen Grenzwert fest, wie viel Zeit zwischen den einzelnen fehlgeschlagenen Anmeldeversuchen verstreichen darf. Schlägt die Anmeldung eines Benutzers oder Diensts fehl, beginnt die Zeit zu laufen. Wenn der Benutzer bzw. die IP-Adresse erneut versucht, sich in diesem Zeitraum anzumelden, und der Versuch erneut fehlschlägt, wird die Anzahl fehlgeschlagener Anmeldeversuche des Benutzers bzw.
Seite 135 Security 7.2 Security-relevante Ereignisse Um die Blockierung eines derzeit blockierten Benutzernamens oder einer IP-Adresse aufzuheben, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ Brute Force Prevention. 2. Suchen Sie unter Brute Force Prevention - State Information den blockierten Benutzername oder die IP-Adresse und klicken Sie auf Reset.
Seite 136 Security 7.2 Security-relevante Ereignisse 7.2.1 Wissenswertes zu Security-relevanten Ereignissen Security-relevante Ereignisse werden von verschiedenen Komponenten (z. B. IE-Switches, Industrial PCs, Servern, Netzwerkkomponenten und Controllern) generiert und beinhalten u. a. Informationen bezüglich der von verschiedenen Benutzern ausgeführten Aktivitäten (z. B. Anmeldeversuche und Konfigurationsänderungen). SINEC OS-Geräte generieren Ereignismeldungen und speichern diese lokal als Systemprotokoll ab.
Seite 137 Security 7.2 Security-relevante Ereignisse Ein SIEM-System verarbeitet Ereignismeldungen wie folgt: 1. Empfangen Ein implementierter Syslog-Server empfängt die Ereignismeldungen von verschiedenen Geräten, Netzkomponenten usw. 2. Parsen Das SIEM-System wertet die Ereignismeldungen aus und verknüpft jede Ereignismeldung mit einem generalisierten SIEM-spezifischen Ereignis. Damit ein SIEM-System Ereignismeldungen verarbeiten kann, muss ihre Syntax bekannt und kompatibel sein.
Seite 138 Security 7.2 Security-relevante Ereignisse Element Beschreibung STRUCTURED-DATA timeQuality Informationen zur Systemzeit Beispiel: [timeQuality tzKnown="0" isSynced="0"] Der Parameter tzKnown gibt an, ob der Sender seine Zeitzone kennt. Mögliche Optionen: • Wert "1" = Die Zeitzone ist bekannt. • Wert "0" = Die Zeitzone ist unbekannt. Der Parameter isSynced gibt an, ob der Sender mit einer zuverlässigen externen Zeitquelle synchronisiert ist, z. B.
Seite 139 Security 7.2 Security-relevante Ereignisse Variable Beschreibung Beispiel Src port Quell-Port 2345 Wertebereich: 0 ... 65535 Format: %d Dest port Ziel-Port Wertebereich: 0 ... 65535 Format: %d Protocol Bezeichnung des Dienstes, der ein Ereignis ge‐ neriert hat oder des verwendeten Layer 4-Pro‐ tokolls. Mögliche Werte: WBM | UDP | TCP | SSH | Console | PNIO | NET‐ CONF | 802.1X | RADIUS | DCP | IP | All Format: %s User name...
Seite 140 Security 7.2 Security-relevante Ereignisse Variable Beschreibung Beispiel Subject Zeichenkette für den Betreff im Zertifikat (Peter Maier) Wird als Teil der zertifikatbasierten Authentifi‐ zierung verwendet. Die Zeichenkette kann Leerzeichen und Uni‐ code-Zeichen enthalten. Format: (%s) oder (%s %s) Format: (%S) oder (%S %S) bei UTF8-Code Config detail Zeichenkette für eine Konfiguration (Konfigura‐...
Seite 141 Security 7.2 Security-relevante Ereignisse {Local interface}: User {User name} failed to log in. Beispiel Console: User admin failed to log in. Erläuterung Der Anmeldeversuch eines Benutzers über eine lokale Schnittstelle des SINEC OS- Geräts ist fehlgeschlagen. In dem Beispiel ist der Anmeldeversuch des Benutzers "admin" über die Konsolen- Schnittstelle fehlgeschlagen.
Seite 142 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} failed to log in from {IP address}. Beispiel SSH: User admin failed to log in from 192.168.0.1. Erläuterung Der Anmeldeversuch eines Benutzers über eine Netzwerkschnittstelle am SINEC OS- Gerät ist fehlgeschlagen. In dem Beispiel ist der Anmeldeversuch des Benutzers "admin" von der Netzwerk‐ adresse "192.168.0.1"...
Seite 143 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} logged out from {IP address}. Beispiel SSH: User admin logged out from 192.168.0.1. Erläuterung Ein Benutzer hat sich über eine Netzwerkschnittstelle vom SINEC OS-Gerät abge‐ meldet. In dem Beispiel hat sich der Benutzer "admin" manuell von der Netzwerkadresse "192.168.0.1"...
Seite 144 Security 7.2 Security-relevante Ereignisse {Protocol}: Default user {User name} logged in from {IP address}. Beispiel SSH: Default user admin logged in from 192.168.0.1. Erläuterung Ein Benutzer hat sich erfolgreich mit einem voreingestellten Benutzerprofil und Passwort über eine Netzwerkschnittstelle am SINEC OS-Gerät angemeldet. In dem Beispiel hat sich der Standard-Benutzer "admin"...
Seite 145 Security 7.2 Security-relevante Ereignisse 7.2.2.3 Nutzerkontenverwaltung Die folgenden Ereignismeldungen informieren über Aktivitäten bezüglich der Benutzerkonten. Dazu gehören z. B. das Erstellen/Löschen von Benutzerkonten, das Ändern von Passwörtern, das Aktivieren des Debug-Benutzerkontos. {Protocol}: User {User name} has changed the password. Beispiel WBM: User admin has changed the password. Erläuterung Ein Benutzer hat sein eigenes Passwort geändert.
Seite 146 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} enabled the service account. Beispiel SSH: User admin enabled the service account. Erläuterung Ein Benutzer hat das Debug-Benutzerkonto aktiviert. In dem Beispiel hat der Benutzer "admin" das Debug-Benutzerkonto aktiviert. Severity Notice Facility local0 Norm IEC 62443-3-3 Reference: SR 1.3 {Protocol}: User {User name} disabled the service account.
Seite 147 Security 7.2 Security-relevante Ereignisse 7.2.2.5 Sitzungssperrung Die folgenden Ereignismeldungen informieren über die Schließung von Sitzungen aufgrund von Inaktivität. {Protocol}: The session of user {User name} was closed after {Time second} seconds of inactivity. Beispiel SSH: The session of user admin was closed after 60 seconds of inactivity. Erläuterung Eine Sitzung wurde aufgrund von Inaktivität geschlossen.
Seite 148 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} has changed {Config detail} configuration. Beispiel SSH: User admin has changed /switch/vlan{2} configuration. Erläuterung Ein Benutzer hat bestimmte Konfigurationswerte geändert. In dem Beispiel hat der Benutzer "admin" die Konfiguration von VLAN 2 geändert. Severity Info Facility...
Seite 149 Security 7.2 Security-relevante Ereignisse Firmware integrity verification failed. Beispiel Firmware integrity verification failed. Erläuterung Bei der Überprüfung der Firmware-Integrität wurde ein Integritätsfehler festge‐ stellt. Severity Error Facility local0 Norm IEC 62443-3-3 Reference: SR 3.4 7.2.2.10 Sitzungsintegrität Die folgenden Ereignismeldungen informieren über einen fehlgeschlagenen Integritätsnachweis bei einer Sitzung.
Seite 150 Security 7.3 Schlüssel und Zertifikate 7.2.2.13 Wiederherstellung des Automatisierungssystems Die folgenden Ereignismeldungen informieren über das erfolgreiche oder fehlgeschlagene Aktivieren der Firmware. {Protocol}: User {User name} activated the firmware {Version}. Beispiel WBM: User admin activated the firmware v2.0. Erläuterung Ein Benutzer hat eine Firmware-Version erfolgreich aktiviert. In dem Beispiel hat der Benutzer "admin"...
Seite 151 Security 7.3 Schlüssel und Zertifikate 7.3.1 Wissenswertes zu Schlüsseln und Zertifikaten Der Einsatz von Schlüsseln und Zertifikaten ermöglicht es, die Kommunikation zu verschlüsseln und die Identität von Kommunikationspartners zu bestätigen: • Vertraulichkeit Daten sind für nicht autorisierte Lauscher geheim bzw. nicht lesbar. •...
Seite 152 Security 7.3 Schlüssel und Zertifikate Ein Nachteil der asymmetrischen Verschlüsselung ist der relativ hohe Aufwand für die Ver- und Entschlüsselung, was sich negativ auf die Rechengeschwindigkeit auswirkt. Diffie-Hellman Das Diffie-Hellman-Verfahren ist ein asymmetrisches Schlüsselverfahren, das für den Schlüsselaustausch bzw. die Schlüsselvereinbarung verwendet wird. Der Diffie-Hellman-Schlüsselaustausch ermöglicht, dass zwei Kommunikationspartner über eine öffentliche Leitung einen gemeinsamen geheimen Schlüssel (Sitzungsschlüssel) vereinbaren können.
Seite 153 Security 7.3 Schlüssel und Zertifikate Ein Zertifikat nach dem Standard X.509, enthält im Wesentlichen folgenden Teile: • Einen öffentlichen Schlüssel • Angaben über den Zertifikatsinhaber (d. h. den Schlüsselinhaber) • Attribute wie – Seriennummer – Gültigkeitsdauer – Attribut: keyEncipherment Zur Datenverschlüsselung wird ein symmetrischer Schlüssel verwendet, der mit dem im Zertifikat enthaltenen Schlüssel verschlüsselt wird.
Seite 154 Security 7.3 Schlüssel und Zertifikate 7.3.1.6 Zertifikatskette Ein digitales Zertifikat bindet eine Identität mit den Daten eines Zertifikatsinhabers an den öffentlichen Schlüssel der Identität. Das digitale Zertifikat selbst ist wiederum durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Zertifikatsaussteller geprüft werden kann.
Seite 155 Security 7.3 Schlüssel und Zertifikate Wenn die Prüfung der Signatur ein positives Ergebnis liefert, die Hash-Wert zueinander passen, ist sowohl die Identität des Zertifikatsinhabers als auch die Integrität, d. h. die Echtheit und Unverfälschtheit des Zertifikateinhalts, nachgewiesen. Jeder, der den öffentlichen Schlüssel, d. h. das Zertifikat der Zertifizierungsstelle hat, kann die Signatur prüfen und so erkennen, dass das Zertifikat tatsächlich von der Zertifizierungsstelle signiert wurde.
Seite 156 Security 7.3 Schlüssel und Zertifikate 7.3.1.10 Zugehörige Ereignisse Die folgenden Ereignisse werden für Schlüssel und Zertifikate ausgelöst und direkt im Syslog aufgezeichnet. Ereignis Schweregrad Syslog-Meldung Generation of a Info An invalid SSH server key has been detected. As such, a new key new SSH host has been generated.
Seite 157 Security 7.3 Schlüssel und Zertifikate Um ein Zertifikat von einem lokalen Client-PC in den Keystore zu importieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Keys & Certificates. 2. Unter Load Certificate to Keystore from Local PC geben Sie unter Key Name einen Namen für das Schlüsselpaar ein.
Seite 158 Security 7.3 Schlüssel und Zertifikate 11.Um das Zertifikat zu aktivieren, starten Sie das Gerät neu. Für weitere Informationen siehe "Das Gerät neu starten (Seite 84)". Wenn der Neustart abgeschlossen ist, wird die Anmeldeseite angezeigt. 12.Melden Sie sich an. Für weitere Informationen siehe "Bei einem konfigurierten Gerät anmelden (Seite 78)". 7.3.2.2 Ein Schlüsselpaar von einem Remote-Server importieren Sie können eine Datei von einem Dateiserver laden und dadurch ein enthaltenes Schlüsselpaar...
Seite 159 Security 7.3 Schlüssel und Zertifikate 3. Unter Certificate Name geben Sie den Namen des Anwenderzertifikats an, das erstellt bzw. überschrieben werden soll. Bedingung: – Muss zwischen 1 und 64 Zeichen lang sein 4. Unter Format wählen Sie das Format des Zertifikats aus. Mögiche Optionen: Option Beschreibung...
Seite 160 Security 7.3 Schlüssel und Zertifikate 7.3.3 Den Truststore verwalten Um den Truststore zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Erstellen Sie eine Zertifikate-Mappe im Truststore und fügen Sie Zertifikate hinzu. In einer Zertifikate-Mappe können Sie Zertifikate gruppieren. Wenn Sie eine neue Zertifikate- Mappe erstellen, müssen Sie mindestens ein Zertifikat direkt hinzufügen.
Seite 161 Security 7.3 Schlüssel und Zertifikate 4. Unter Format wählen Sie das Format des Zertifikats aus. Mögiche Optionen: Option Beschreibung Die Datei liegt im PEM-Format vor. PKCS7 Die Datei liegt im PKCS#7-Format vor. 5. Unter Certificate File öffnen Sie über die Schaltfläche ein Dialogfenster zum Auswählen einer Datei.
Seite 162 Security 7.3 Schlüssel und Zertifikate Ein Zertifikat laden Um ein Zertifikat von einem Remote-Server in den Truststore zu importieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Keys & Certificates. 2. Unter Load Certificate to Truststore from Remote Server geben Sie unter Certificate Bag den Namen der Zertifikate-Mappe ein, der Sie das Zertifikat hinzufügen wollen.
Seite 163 Security 7.3 Schlüssel und Zertifikate 7.3.4.1 Schlüsselpaare im Keystore anzeigen Um Schlüsselpaare im Keystore anzuzeigen, navigieren Sie zu System ≫ Security ≫ Keys & Certificates. Unter Keystore - Key Pairs werden folgende Informationen angezeigt: Parameter Beschreibung Key Name Zeigt den Namen des Schlüsselpaares an. Public Key Format Zeigt das Format des öffentlichen Schlüssels an.
Seite 164 Security 7.4 Benutzerauthentifizierung Unter Truststore - Trusted Certificates werden folgende Informationen angezeigt: Parameter Beschreibung Certificate Bag Zeigt den Namen der Zertifikate-Mappe an. Certificate Entry Name Zeigt den Namen des Zertifikats bzw. der Zertifikatskette an. Certificate Zeigt das Zertifikat an. Algorithm Zeigt den Hash-Algorithmus an, mit dem der Fingerprint er‐ stellt wurde.
Seite 165 Security 7.4 Benutzerauthentifizierung 7.4.1 Wissenswertes zur Benutzerauthentifizierung Jeder Benutzer, der versucht, über SSH, HTTPS usw. auf das Gerät zuzugreifen, muss gültige Anmeldedaten eingeben. Ansonsten wird der Zugriff verweigert. Benutzer können anhand von lokal auf dem Gerät gespeicherten Anmeldedaten oder über einen externen Dienst authentifiziert werden.
Seite 166 Security 7.4 Benutzerauthentifizierung RADIUS-Server Der RADIUS-Client kommuniziert mit einem externen RADIUS-Server über Authentifizierungsanfragen. Eine Standardanfrage umfasst die folgenden Informationen: • Den Benutzernamen und das Passwort des Benutzers • Die IPv4-Adresse des Zielgeräts/den Domänennamen und die Portnummer des Servers, an den die Anfrage geschickt wird. •...
Seite 167 Security 7.4 Benutzerauthentifizierung 7.4.2 Die Benutzerauthentifizierung konfigurieren Um die Benutzerauthentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Wenn eine RADIUS-Authentifizierung erforderlich ist, konfigurieren Sie den RADIUS-Client. Für weitere Informationen siehe "RADIUS-Authentifizierung konfigurieren (Seite 167)". 2. Stellen Sie den Benutzerauthentifizierungsmodus ein. Für weitere Informationen siehe "Den Benutzerauthentifizierungs-Modus auswählen (Seite 169)".
Seite 168 Security 7.4 Benutzerauthentifizierung 5. Unter Shared Secret Confirm geben Sie den Authentifizierungsschlüssel erneut an. Bedingungen: – Muss zwischen 1 und 128 Zeichen lang sein – Erlaubte ASCII-Zeichen sind 0x21 bis 0x7E. Nachdem der Schlüssel bestätigt ist, wird er mit AES verschlüsselt. 6.
Seite 169 Security 7.4 Benutzerauthentifizierung Um die Verfügbarkeit eines externen RADIUS-Servers zu prüfen, gehen Sie wie folgt vor 1. Navigieren Sie zu System ≫ Security ≫ RADIUS Client. 2. Beim gewünschten RADIUS-Server-Profil klicken Sie auf Test Credentials. • Wenn der RADIUS-Server antwortet, erscheint neben der Schaltfläche vorübergehend das Zeichen •...
Seite 170 Security 7.5 Access Control List (ACL) für das Management 7.4.5.1 Die RADIUS-Statistiken anzeigen Um Statistiken für einen RADIUS-Server anzuzeigen, navigieren Sie zu System ≫ Security ≫ RADIUS Client. Hinweis Alle RADIUS-Statistiken werden automatisch gelöscht, wenn das Gerät zurückgesetzt wird. Für jeden definierten RADIUS-Server werden die folgenden Informationen angezeigt: Statistik Beschreibung Name...
Seite 171 Security 7.5 Access Control List (ACL) für das Management Zugriffsberechtigung Nur von einem autorisierten Manager an eine bestimmte Benutzerschnittstelle gesendeter Datenverkehr wird auf die Zugriffsberechtigung untersucht. Sämtlicher anderer vom autorisierten Manager gesendeter Datenverkehr kann normal passieren. Mehrere Regeln für denselben autorisierten Manager Wenn für ein und denselben autorisierten Manager mehrere Regeln gelten, werden sie in der Reihenfolge ihrer Eingabe angewendet.
Seite 172 Security 7.5 Access Control List (ACL) für das Management 7.5.2.1 Eine Regel hinzufügen Um der Management-ACL eine Regel hinzuzufügen, gehen Sie wie folgt vor: ACHTUNG Konfigurationsrisiko – Gefahr von Verbindungsverlust Stellen Sie sicher, dass Sie zunächst eine Regel für Ihre eigene Workstation hinzufügen, bevor Sie andere Regeln hinzufügen.
Seite 173 Security 7.5 Access Control List (ACL) für das Management 5. [Optional] In Spalte Services wählen Sie eine oder mehrere Benutzerschnittstellen aus, die der autorisierte Manager beim Zugriff auf das Gerät verwenden kann. Standardmäßig können autorisierte Manager jede der folgenden Benutzerschnittstellen verwenden: –...
Seite 174 Security 7.5 Access Control List (ACL) für das Management Um einen bestehenden autorisierten Manager auf die Nutzung einer spezifischen Benutzerschnittstelle oder mehrerer Benutzerschnittstellen zu begrenzen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ Management ACL. 2. Unter Management Access Control List (ACL) wählen Sie eine oder mehrere Benutzerschnittstellen aus der Liste der Services für den ausgewählten autorisierten Manager aus.
Seite 175 Security 7.5 Access Control List (ACL) für das Management Folgende autorisierte Manager sind für die Management-ACL definiert: IPv4-Quelladresse / Präfix Schnittstellen Services 1.1.1.0/24 Alle NETCONF,SNMP,CLI 1.1.1.10/32 Alle Web-UI 2.2.2.20/32 Alle 2.2.2.0/24 Alle NETCONF,SNMP Beschreibung Der erste autorisierte Manager gewährt allen Hosts in dem IP-Bereich von 1.1.1.0/24 Zugriff über NETCONF, SNMP und das CLI.
Seite 176 Security 7.5 Access Control List (ACL) für das Management Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 177 Schnittstellenverwaltung In diesem Kapitel wird beschrieben, wie Sie Schnittstellen auf dem Gerät konfigurieren und verwalten. Schnittstellen Jeder physische Port und jedes VLAN wird durch eine Schnittstelle dargestellt. Jede Schnittstelle bietet verschiedene Optionen zum Steuern des eingehenden und ausgehenden Datenverkehrs. In diesem Abschnitt werden die Schnittstellentypen und ihre konfigurierbaren Einstellungen beschrieben.
Seite 178 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.1 Konventionen bei der Benennung von Schnittstellen Schnittstellen werden anhand der folgenden Konventionen benannt: Namenskonventionen Beispiele Beschreibung ethernet{ Steckplatz }/{ P ethernet0/1, ether‐ Bridge-Ports werden anhand des Steckplatzes, in dem sich der physische ort } net3/2 Port befindet, und der Portnummer benannt. Steckplatznummer Null (0) deutet darauf hin, dass es sich bei dem Port um einen festen physischen Port handelt.
Seite 179 Schnittstellenverwaltung 8.1 Schnittstellen ACHTUNG Konfigurationsrisiko - Gefahr starken Frame-Verlusts Switches an beiden Enden des Links müssen für den gleichen Duplexmodus konfiguriert sein. Wenn Switch A im Vollduplex-Modus ist und Switch B im Halbduplex-Modus, tritt in Zeiträumen mit starkem Datenverkehr im Netzwerk erheblicher Frame-Verlust auf. 8.1.1.4 Schutz der Steuerung durch Link Fault Indication (LFI) Moderne Industriesteuerungen besitzen oft Reserveschnittstellen, die bei einem Linkausfall...
Seite 180 Schnittstellenverwaltung 8.1 Schnittstellen Native Benachrichtigungsmechanismen Medien Nativer Benachrichtigungsmechanismus für Linkpartner 100Base-TX Umfasst eine integrierte Autonegotiationsfunktion (d.h. im übertragenen Autone‐ gotiationssignal wird ein spezieller Merker zur Remote-Fehlerfernanzeige gesetzt). 1000Base-T 1000Base-X 100Base-FX Kann Far-End-Fault-Indication (FEFI) umfassen wie von IEEE 802.3 definiert. Diese Funktion umfasst: •...
Seite 181 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.5 Flusskontrolle Die Flusskontrolle ist eine optionale Funktion, die es einem Gigabit-fähigen Bridge-Port ermöglicht, auf einen von seinem Linkpartner gesendeten PAUSE-Frame zu hören. Dieses Frame wird gesendet, wenn der Linkpartner mit mehr Frames geflutet wurde als er effizient verarbeiten kann.
Seite 182 Funktionalität eines Netzwerks erweitert werden kann. Hinweis Verwenden Sie nur zugelassene Stecktransceiver. Wenn Sie Stecktransceiver verwenden, die nicht von Siemens freigegeben sind, ist eine spezifikationsgemäße Funktion des Geräts nicht sichergestellt. Wenn Sie nicht zugelassene Stecktransceiver verwenden, kann dies zu folgenden Problemen führen:...
Seite 183 SINEC OS für eine Schnittstelle eventuell falsche Einstellungen konfiguriert. Hinweis Stecktransceiver, die von Siemens freigegeben sind, unterstützen Smart SFP. Stecktransceiver, die Smart SFP nicht unterstützen, können beim Stecken deaktiviert und als Unidentified gekennzeichnet werden. Deaktivieren Sie Smart SFP in diesem Fall und konfigurieren Sie die Schnittstelle manuell.
Seite 184 Schnittstellenverwaltung 8.1 Schnittstellen Zugehörige Ereignisse Die folgenden Ereignisse werden von Stecktransceivern ausgelöst und direkt im Syslog aufgezeichnet. Ereignis Schweregrad Syslog-Meldung Module-pre‐ Warning Module { Stecktransceiver-Name/-Typ } [ Inserted | Removed ] sence Module-state Warning Unknown SFP module on interface { Stecktransceiver-Schnittstel‐ le } (vendor: { Hersteller }) Rejected SFP module on interface { Stecktransceiver-Schnittstel‐ le } Unsupported SFP module on interface { Stecktransceiver-Schnitt‐...
Seite 185 Schnittstellenverwaltung 8.1 Schnittstellen 5. [Optional] Aktivieren Sie Downshift. Über diese Funktion können zwei 1000Base-T-Bridge-Ports eine niedrigere Übertragungsgeschwindigkeit aushandeln, um ein Twisted-Pair-Kupferkabel zu unterstützen, das nur für 100Base-TX-Verbindungen gedacht ist. Weitere Informationen siehe "Downshift für Gigabit-Schnittstellen aktivieren (Seite 189)". 6. [Optional] Aktivieren Sie, dass bei einem Link-down-/Link-up-Ereignis ein Alarm ausgelöst wird.
Seite 186 Schnittstellenverwaltung 8.1 Schnittstellen ACHTUNG Einschränkungen • Autonegotiation ist nur bei Bridge-Ports der Kategorie 1 Gigabit Ethernet (oder höher) verfügbar. Für Informationen dazu, wie Sie ermitteln, ob ein bestimmter Bridge-Port für Autonegotiation geeignet ist, siehe das SINEC OS CLI-Konfigurationshandbuch. • Autonegotiation muss für 1-Gigabit-Ethernet-Ports mit Kupfertechnik aktiviert werden, wenn die Geschwindigkeit auf 1000 Mbit/s eingestellt ist.
Seite 187 Schnittstellenverwaltung 8.1 Schnittstellen Um die Geschwindigkeit einzustellen, mit der ein Bridge-Port Frames überträgt, gehen Sie wie folgt vor: ACHTUNG Einschränkungen • Autonegotiation muss für 1-Gigabit-Ethernet-Ports mit Kupfertechnik aktiviert werden, wenn die Geschwindigkeit auf 1 Gb/s eingestellt ist. • Die Geschwindigkeit muss für alle 1-Gigabit-Ethernet-Ports mit Glasfasertechnik auf 1 Gb/s eingestellt werden.
Seite 188 Schnittstellenverwaltung 8.1 Schnittstellen Um den Duplexmodus für einen Bridge-Port auszuwählen, gehen Sie wie folgt vor: ACHTUNG Konfigurationsrisiko – Gefahr starken Frame-Verlusts Switches an beiden Enden des Links müssen für den gleichen Duplexmodus konfiguriert sein. Wenn ein Switch im Vollduplex-Modus ist und der andere Switch im Halbduplex-Modus, tritt in Zeiträumen mit starkem Datenverkehr im Netzwerk erheblicher Frame-Verlust auf.
Seite 189 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.2.5 Downshift für Gigabit-Schnittstellen aktivieren Durch Downshift können Sie ein Twisted-Pair-Kupferkabel zwischen zwei 1000Base-T Ethernet- Ports verwenden. Wenn ein Twisted-Pair-Kupferkabel verwendet wird und Downshift aktiviert ist, reduzieren die Schnittstellen an jedem Ende des Links automatisch die Übertragungsgeschwindigkeit auf 10 oder 100 Mbit/s. Hinweis Downshift ist standardmäßig für alle Gigabit-fähigen Bridge-Ports aktiviert.
Seite 190 Schnittstellenverwaltung 8.1 Schnittstellen Um Smart SFP zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Interfaces. 2. Unter Ethernet Interfaces ändern Sie den Parameter SFP Auto Config für den ausgewählten Stecktransceiver-Port in Enabled. 3. Bestätigen Sie die Änderung. 8.1.2.8 Einen Bridge-Port aktivieren Um einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor:...
Seite 191 Schnittstellenverwaltung 8.1 Schnittstellen 5. [Optional] Weisen Sie der Schnittstelle eine statische IPv4-Adresse zu oder aktivieren Sie DHCP. Weitere Informationen siehe "Eine statische IPv4-Adresse konfigurieren (Seite 205)". 6. Aktivieren Sie die VLAN-Schnittstelle. Weitere Informationen siehe "Eine VLAN-Schnittstelle aktivieren (Seite 192)". 8.1.3.1 Eine VLAN-Schnittstelle hinzufügen Um eine VLAN-Schnittstelle hinzuzufügen, gehen Sie wie folgt vor: 1.
Seite 192 Schnittstellenverwaltung 8.1 Schnittstellen Um die MTU-Größe für eine VLAN-Schnittstelle einzustellen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter IP Interfaces legen Sie unter MTU Size die MTU-Größe für die ausgewählte Schnittstelle fest. Bedingung: – Eine Zahl zwischen 68 und 1500 Default: 1500 3.
Seite 193 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.4 Einen Bridge-Port zurücksetzen In den folgenden Szenarien kann es möglich sein, dass Bridge-Ports zurückgesetzt werden müssen: • Der Port wurde aufgrund eines Fehlers/einer Fehlfunktion automatisch durch SINEC OS deaktiviert. In diesem Fall kann ein Fernrücksetzen des Ports das Problem wahrscheinlich beheben.
Seite 194 Schnittstellenverwaltung 8.1 Schnittstellen Parameter Beschreibung Operational Status Der Betriebszustand der Schnittstelle. Mögliche Werte: • dormant – Die Schnittstelle wartet auf externe Aktionen. • down – Die Schnittstelle ist außer Betrieb (down). • lower-layer-down – Die Schnittstelle ist aufgrund des Zu‐ stands der Schnittstelle niedrigerer Ebene außer Betrieb (down).
Seite 195 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.5.3 Sende-/Empfangs-Statistiken für alle Schnittstellen anzeigen Um Statistiken für alle Schnittstellen anzuzeigen (z. B. Bridge-Ports, VLAN-Schnittstellen usw.), navigieren Sie zu Interfaces ≫ Interface Statistics. Folgende Tabellen werden angezeigt: • Interface Statistics (In) • Interface Statistics (Out) Folgende Informationen werden für jede Schnittstelle angezeigt: Statistik Beschreibung Interface...
Seite 196 Schnittstellenverwaltung 8.1 Schnittstellen Folgende Informationen werden für jede Schnittstelle angezeigt: Statistik Beschreibung In Broadcast Frames Die Anzahl der vom Bridge Port erfolgreich empfangenen Broadcast-Frames. In Error FCS Frames Die Anzahl der vom Bridge-Port empfangenen Frames, die eine gültige Länge haben, jedoch die Frame Check Sequence (FCS)-Prüfung nicht bestehen.
Seite 197 Schnittstellenverwaltung 8.1 Schnittstellen Statistik Beschreibung 512 to 1023 Octets Die Anzahl von empfangenen und übertragenen Paketen mit zwischen 512 und 1023 Oktetten, einschließlich verlorener Pakete. 1024 to 1536 Octets Die Anzahl von empfangenen und übertragenen Paketen mit zwischen 1024 und 1536 Oktetten, einschließlich verlorener Pakete.
Seite 198 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Parameter Beschreibung Tx-Power (dBm) Zeigt den aktuellen Wert der Sendeleistung in Dezibel Milli‐ watt (dBm) an. Min Tx-Power (dBm) Zeigt den kleinstmöglichen Wert der Sendeleistung des Steck‐ transceivers in Dezibel Milliwatt (dBm) an. Max Tx-Power (dBm) Zeigt den größtmöglichen Wert der Sendeleistung des Steck‐ transceivers in Dezibel Milliwatt (dBm) an.
Seite 199 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Der Switch wurde kürzlich neu gestartet, weshalb seine MAC-Adressentabelle leer ist. VIDS MAC ADDRESS TRAFFIC CLASS ENTRY TYPE FORWARDING PORT %No entries found% Wenn Host A ein Frame an Host B sendet, lernt der Switch die MAC-Adresse von Host A und fügt sie seiner Liste hinzu.
Seite 200 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Um die Alterungszeit für MAC-Adresseinträge zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ MAC Address Table. 2. Unter Media Access Control (MAC) Address Table ändern Sie den Parameter Aging Time in die Zeit, für die dynamisch gelernte MAC-Adressen in der MAC-Adressentabelle gespeichert bleiben.
Seite 201 Schnittstellenverwaltung 8.2 MAC-Adressentabelle 8.2.3.1 Einen statischen MAC-Filtereintrag hinzufügen Durch Konfigurieren eines statischen MAC-Filtereintrags wird der MAC-Adressentabelle eine MAC-Adresse hinzugefügt. Statisch hinzugefügte MAC-Adressen unterliegen nicht der Alterung. Sie können nur explizit vom Benutzer aus der Tabelle entfernt werden. Fügen Sie für wichtige MAC-Adressen statische MAC-Filtereinträge hinzu, die in der MAC- Adressentabelle verbleiben sollen.
Seite 202 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Um einem statischen MAC-Filtereintrag die Warteschlange einer Traffic-Klasse zuzuordnen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ Static. 2. Unter Media Access Control (MAC) Address Table (Static Entries) wählen Sie unter Traffic Class für den ausgewählten statischen MAC-Filtereintrag die Warteschlange einer Traffic- Klasse aus.
Seite 203 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Parameter Beschreibung Traffic Class Die Warteschlange einer Traffic-Klasse, die der MAC-Adresse zugeordnet ist Mögliche Werte: • 0 – 7 – Warteschlange einer Traffic-Klasse • Unprioritized – Keine Warteschlange einer Traffic-Klasse zugeordnet Forwarding Port Der ausgehende Weiterleitungsport, der der MAC-Adresse zu‐ geordnet ist.
Seite 204 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 205 IP-Adressvergabe Dieses Kapitel beschreibt Funktionen in Verbindung mit der Zuweisung von IP-Adressen, wie DHCP und DNS. Statische IP-Adressvergabe IP-Adressen können einer IP-Schnittstelle statisch (manuell) zugeordnet werden. Dies eignet sich für IP-Schnittstellen, die immer unter derselben IP-Adresse erreichbar sein sollen. Um eine statische IPv4-Adresse zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 206 IP-Adressvergabe 9.2 Statisches DNS 9.1.2 Die IPv4-Adresskonfiguration anzeigen Um die IPv4-Adresskonfiguration anzuzeigen, navigieren Sie zu Interfaces ≫ IP Interfaces. Unter IPv4 Static Addresses werden folgende Informationen angezeigt: Parameter Beschreibung Interface VLAN-ID der IP-Schnittstelle IP Address IP-Adresse der IP-Schnittstelle Prefix Length Subnetz als Präfix-Länge dargestellt Statisches DNS In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit Sie bei ausgewählten Konfigurationen den Host- bzw.
Seite 207 Position in der Hierarchie des DNS, indem er alle Ebenen angibt, min‐ destens jedoch Second-Level-Domäne und Top-Level-Domäne. Beispiel: www.industry.siemens.com In diesem Beispiel entspricht "com" der Top-Level-Domäne. "siemens" entspricht der Second-Level-Domäne. "industry" bildet eine optionale Sub-Level-Domäne und "www" ist der Hostname. Domäne Als Domäne bezeichnet man einen zusammenhängenden Bereich des DNS.
Seite 208 DNS-Resolver bei einem Root-Server den DNS-Server der Top-Level-Domäne com. Beim DNS-Server der Top-Level-Domäne erfragt der DNS-Resolver wiederum den DNS-Server der nächsten Hierarchiestufe siemens.com. Nach diesem Prinzip fragt der DNS-Resolver alle Ebenen des Domänennamens ab, bis die Anfrage aufgelöst wurde oder ein Fehler auftritt, weil z. B.
Seite 209 IP-Adressvergabe 9.2 Statisches DNS Um einen DNS-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ DNS Client. 2. Unter DNS Servers (Static) klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Name geben Sie den Namen des DNS-Servers ein. Sie können den Namen nur direkt nach dem Hinzufügen der neuen Zeile editieren.
Seite 210 IP-Adressvergabe 9.3 DHCP Unter DNS Servers werden folgende Informationen angezeigt: Parameter Beschreibung Server Address Zeigt die IP-Adressen der konfigurierten DNS-Server an. Unter Domain Search List werden folgende Informationen angezeigt: Parameter Beschreibung Domain Name Zeigt die konfigurierten Such-Domänen an. DHCP In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit es seine IP- Konfiguration von einem DHCP-Server bezieht.
Seite 211 IP-Adressvergabe 9.3 DHCP 9.3.1.1 Eine DHCP-Client-Schnittstelle aktivieren Standardmäßig sind alle DHCP-Client-Schnittstellen deaktiviert. Ausnahme: Für das VLAN 1 ist DHCP im Lieferzustand aktiviert. Um eine DHCP-Client-Schnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter IP Interfaces ändern Sie den Parameter DHCP in Enabled. 3.
Seite 212 IP-Adressvergabe 9.3 DHCP 9.3.1.3 Die Client-ID einer Schnittstelle ändern Um die Client-ID einer DHCP-Client-Schnittstelle zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter Dynamic Host Configuration Protocol (DHCPv4) Client in der Spalte Client ID ändern Sie die Client-ID einer DHCP-Client-Schnittstelle.
Seite 213 IP-Adressvergabe 9.3 DHCP 9.3.1.5 Eine Konfigurationsdatei vom DHCP-Server anfordern Wenn Sie diese Funktion aktivieren, fordert der DHCP-Client vom DHCP-Server die Angaben eines TFTP-Servers, von dem der Client eine Konfigurationsdatei laden kann sowie den Namen der entsprechenden Konfigurationsdatei: • DHCP-Option 66: IP-Adresse bzw. FQDN des TFTP-Servers •...
Seite 214 IP-Adressvergabe 9.3 DHCP Eine Konfigurationsdatei anfordern Um die Funktion für eine DHCP-Client-Schnittstelle zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter Dynamic Host Configuration Protocol (DHCPv4) Client in der Spalte Request Config File konfigurieren Sie, ob der DHCP-Client eine Konfigurationsdatei anfordert. Mögliche Optionen: Option Beschreibung...
Seite 215 IP-Adressvergabe 9.3 DHCP Unter Dynamic Host Configuration Protocol (DHCP4) Client werden für aktive DHCP-Client- Schnittstellen folgende Informationen angezeigt: Parameter Beschreibung Interface VLAN-ID der DHCP-Client-Schnittstelle IP Address Granted IPv4-Adresse der Schnittstelle Prefix Length Subnetz als Präfix-Länge dargestellt Lease Time Granted [s] Gültigkeitsdauer im Format nYnMnDnhnmns, die der DHCP- Server vergeben hat Lease Time Requested [s] Gültigkeitsdauer im Format nYnMnDnhnmns, die der DHCP-...
Seite 216 IP-Adressvergabe 9.3 DHCP Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 217 (RSTP) und das Multiple Spanning Tree Protocol (MSTP) umfasst. Beides sind Netzwerkredundanzprotokolle zur Beseitigung redundanter Pfade, um Schleifen im Netzwerk zu vermeiden. Das proprietäre enhanced Rapid Spanning Tree Protocol (eRSTP) von Siemens stellt weitere Verbesserungen des Spanning Tree Protocol bereit. 10.1.1 Wissenswertes zu STP Das Spanning Tree Protocol (STP) nach IEEE 802.1D wurde entwickelt, um den Aufbau robuster...
Seite 218 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Jedem Port einer Bridge ist ein Zustand und eine Rolle zugewiesen. • Der Zustand beschreibt, was am Port in Bezug auf das Lernen von Adressen und Weiterleiten von Frames geschieht. • Die Rolle gibt an, ob der Port zum Zentrum oder den Rändern des Netzwerks ausgerichtet ist und ob der Port genutzt werden kann.
Seite 219 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) • Backup Ein Port mit der Rolle Backup dient als Backup-Port für einen Designated-Port auf der gleichen RSTP-Bridge. Wie Alternate-Ports nimmt dieser Port nicht am RSTP-Netzwerk teil. Er wartet, bis er die Rolle des Designated-Port übernehmen kann, wenn dieser ausfällt. •...
Seite 220 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) RSTP ist ein Punkt-zu-Punkt-Protokoll, daher schlägt das Anfrage-/Zustimmungsverfahren bei Mehrpunkt-Links fehl (d. h. wenn mehr als zwei Bridges an einem gemeinsam genutzten Media-Link betrieben werden). Erkennt RSTP diesen Zustand (auf Grund das Halbduplex-Zustands des Ports nach dem Link Up), entfällt das Anfrage-/Zustimmungsverfahren.
Seite 221 • Wenn das Alter den maximalen Alterungsparameter übersteigt, wird die Meldung von der nächsten Bridge, die sie empfängt, sofort verworfen. Um erweiterte Ringgrößen zu erhalten, erhöht das eRSTP™ von Siemens das Alter jeweils nur um ¼ einer Sekunde. Der Wert des maximalen Bridge-Diameters entspricht somit dem Vierfachen des konfigurierten maximalen Alterungsparameters.
Seite 222 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) RSTP in Anwendungsbereichen mit strukturierter Verkabelung Mit RSTP können strukturierte Verkabelungssysteme aufgebaut werden, in denen die Verbindung auch bei Ausfall eines Links erhalten bleibt. Beispielsweise würden beim Ausfall eines einzelnen Links zwischen A und N in Bild "Beispiel - RSTP-Konfiguration für strukturierte Verkabelung"...
Seite 223 – Diese Option sollte in vermaschten Netzwerktopologien aktiviert werden, um die Netzwerk-Ausfallzeit beim Ausfall einer Root-Bridge möglichst kurz zu halten. – Die schnelle Ausfallsicherung der Root-Bridge (Fast Root Failover) ist eine Siemens-eigene eRSTP-Funktion. – Für optimale Leistung müssen alle Switches im Netzwerk, einschließlich der Root selbst, die schnelle Ausfallsicherung der Root-Bridge unterstützen.
Seite 224 5. Weisen Sie Bridge-Prioritäten im Ring zu. – Weitere Informationen finden Sie im Whitepaper "Leistung von RSTP in Ring- Netzwerktopologien" (https://assets.new.siemens.com/siemens/assets/api/ uuid:d4af5d17-728c-493f-b00a-9c4db67b23ed/RSTP-whitepaper-EN-09-2020.pdf). 6. Wählen Sie eine Strategie für die Berechnung der Portkosten. – Empfohlen wird die Kostenermittlung durch Autonegotiation, sofern dies nicht aus Gründen der Netzwerkgestaltung ausgeschlossen ist.
Seite 225 Ebenso wie STP wurde RSTP für vermaschte Netzwerktopologien, nicht für Ring-Netzwerke entwickelt, und unterstützt keine Ringe, die größer sind als 40 Switches. Das von Siemens entwickelte eRSTP baut auf dem RSTP-Standard auf und verbessert ihn auf folgende Weise: • Es optimiert die Standard-STP-Definition/-Implementierung, so dass die bestmögliche Wiederherstellungszeit erreicht wird •...
Seite 226 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) BPDU-Schutz-Timeout Der BPDU-Schutz-Timeout ist eine Komponente von eRSTP, die die Netzwerk-Security betrifft. Ein Standard-RSTP muss jede empfangene BPDU verarbeiten und entsprechend reagieren. Das eröffnet für Angreifer einen Weg, die RSTP-Topologie zu beeinflussen, indem sie RSTP- BPDUs in das Netzwerk einspeisen.
Seite 227 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Schnelle Ausfallsicherung der Root-Bridge und RSTP-Leistung • Wenn Sie RSTP einsetzen und die schnelle Ausfallsicherung der Root-Bridge ist deaktiviert, hat dies keine Auswirkung auf die RSTP-Leistung. • Die schnelle Ausfallsicherung der Root-Bridge hat keinen Einfluss auf die RSTP-Leistung bei Ausfällen, die nicht die Root-Bridge oder einen ihrer Links betreffen.
Seite 228 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Der IST ist auch eine Erweiterung innerhalb der MST-Region des CIST. MSTI Eine MSTI (Multiple-Spanning-Tree-Instanz) ist eine von sechzehn unabhängigen Spanning- Tree-Instanzen, die in einer MST-Region definiert sein können (ohne IST). Eine MSTI wird durch Zuordnung eines Satzes VLANs zu einer bestimmten MSTI-ID gebildet. Die gleiche Zuordnung muss auf allen Bridges konfiguriert werden, die zum MSTI gehören sollen.
Seite 229 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Bridge-Rollen Rolle Beschreibung CIST-Root Die CIST-Root ist die ausgewählte Root-Bridge des CIST (Common and Internal Spanning Tree), der alle angebundenen STP- und RSTP-Bridges sowie MSTP-Regio‐ nen umspannt. Regionale CIST- Dies ist die Root-Bridge des IST innerhalb einer MSTP-Region. Die regionale CIST- Root Root ist die Bridge innerhalb einer MSTP-Region mit den niedrigsten Pfadkosten zur CIST-Root.
Seite 230 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Port-Rollen Jeder Port einer MSTP-Bridge kann je nach Anzahl und Topologie der Spanning-Tree- Instanzen am Port mehr als eine CIST-Rolle besitzen. Rolle Beschreibung CIST-Port-Rollen • Der Root-Port stellt den Pfad mit den niedrigsten Kosten von der Bridge zur CIST- Root über die regionale CIST-Root bereit.
Seite 231 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Lastausgleich MSTP kann verwendet werden, um die Datenverkehrslast auf mehreren VLANs auszugleichen, sodass ein Bridged-Netzwerk mit mehreren redundanten Verbindungen zwischen Bridges besser ausgelastet werden kann. Ein Bridged-Netzwerk, das von einem einzelnen Spanning Tree gesteuert wird, blockiert redundante Links bereits durch seinen Aufbau, um schädliche Schleifen zu vermeiden.
Seite 232 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Gehen Sie bei einem Satz MSTP-fähiger Ethernet-Bridges, wie folgt für jede Bridge im Netzwerk vor: 1. Deaktivieren Sie STP global. Für weitere Informationen siehe "STP aktivieren (Seite 233)". 2. Konfigurieren Sie eine oder mehrere Multiple-Spanning-Tree-Instanzen (MSTI), jede mit einer eindeutigen Bridge-Priorität.
Seite 233 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 4. Konfigurieren Sie die Hello Time. Damit wird festgelegt, in welchen Abständen STP-Konfigurationsmeldungen gesendet werden. Für weitere Informationen siehe "Die Hello Time konfigurieren (Seite 235)". 5. Wenn das Gerät die Root-Bridge ist, konfigurieren Sie die maximale Alterungszeit. Damit wird festgelegt, in welchen Abständen alle anderen Bridges ihre Konfigurationsmeldungen aktualisieren.
Seite 234 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 10.1.2.2 Die STP-Version auswählen Um zu steuern, welche Version des Spanning Tree von der Bridge genutzt wird, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2.
Seite 235 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um die Bridge-Priorität für eine Bridge auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter Spanning Tree General Configuration wählen Sie eine Bridge-Priorität unter Bridge Priority.
Seite 236 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 10.1.2.5 Die maximale Alterungszeit konfigurieren Wenn eine Bridge die Root-Bridge ist, dann kontrolliert sie die maximale Alterungszeit für alle Bridges. Die maximale Alterungszeit ist der Zeitabstand, in dem jede Bridge die von ihr verbreiteten Konfigurationsmeldungen aktualisiert. Eine Konfigurationsmeldung ist eine spezielle Bridge Protocol Data Unit (BPDU), die bei der Auswahl der Root-Bridge verwendet wird.
Seite 237 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um einen Wert für Transmit Hold zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter Spanning Tree General Configuration konfigurieren Sie die Transmit Hold Count. Mögliche Optionen: Option Beschreibung...
Seite 238 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 4. [Optional] Wählen Sie den Edge-Port-Zustand für den Bridge-Port aus. Ein Edge-Port wird automatisch in den Zustand Weiterleiten geschaltet. Er sendet STP- Konfigurationsmeldungen, nimmt jedoch ansonsten nicht am Spanning Tree teil. Für weitere Informationen siehe "Den Edge-Port-Zustand auswählen (Seite 240)". 5.
Seite 239 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um die Port-Kosten für einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree Ports. 2. Unter Spanning Tree Ports konfigurieren Sie die Cost für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 240 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um die Priorität eines Bridge-Ports auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree Ports. 2. Unter Spanning Tree Ports konfigurieren Sie die Port Priority für den ausgewählten Bridge- Port.
Seite 241 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um den Bridge-Port-Zustand eines Bridge-Port auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree Ports. 2. Unter Spanning Tree Ports konfigurieren Sie die Edge Port für den ausgewählten Bridge- Port.
Seite 242 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Der Administrator kann diese Einschränkung für Bridge-Ports definieren, die mit Geräten verbunden sind, über die der Administrator keine Kontrolle hat. Hinweis Diese Option ist standardmäßig deaktiviert. Um zu verhindern, dass ein Bridge-Port zum Root-Port wird, gehen Sie wie folgt vor: 1.
Seite 243 4. Aktivieren Sie IEEE 802.1w-Interoperabilität. Mit dieser Funktion werden Probleme bei der Wiederherstellungszeit beseitigt, die auftreten können, wenn andere Siemens-fremde Geräte im Spanning Tree mit einer RSTP-Version arbeiten, die nur mit dem Standard IEEE 802.1w kompatibel ist. Für weitere Informationen siehe "Die IEEE 802.1w-Interoperabilität aktivieren (Seite 245)".
Seite 244 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um den maximalen Netzwerk-Diameter auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter eRSTP Configuration konfigurieren Sie den Max Network Diameter. Mögliche Optionen: Option Beschreibung 4x Max Age Time...
Seite 245 IEEE 802.1w-Standard läuft, ist mit längeren Wiederherstellungszeiten nach einem Ausfall im Netzwerk zu rechnen. eRSTP bietet dafür jedoch einen IEEE 802.w-Interoprabilitätsmodus. Dieser Modus enthält Verbesserungen für RSTP, die Interoperabilitätsprobleme mit Siemens-fremden Geräten beseitigen. Hinweis Die IEEE 802.1w-Interoperabilität ist standardmäßig aktiviert.
Seite 246 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 10.1.5 MSTP konfigurieren Um MSTP zu konfigurieren, gehen Sie wie folgt vor: 1. Wählen Sie die maximale Anzahl der Hops aus, über die BPDUs in der Multiple Spanning Tree (MST-)-Region weitergeleitet werden können. Für weitere Informationen siehe "Die maximale Anzahl an Hops auswählen (Seite 246)". 2.
Seite 247 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Durch die Zuweisung unterschiedlicher Ausgabestände können zum Beispiel Topologieänderungen gekennzeichnet werden. Hinweis Es wird empfohlen, allen Bridges in einer MST-Region den gleichen Ausgabestand zuzuweisen. Um den Ausgabestand für das Gerät zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 248 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 4. Wählen Sie die MSTI-Port-Priorität für den Bridge-Port aus. Dies ist für jeden Bridge-Port notwendig, der der MSTI zugeordnet ist, um Schleifenbildung zu vermeiden. Für weitere Informationen siehe "Die Priorität von Bridge-Ports für eine MSTI konfigurieren (Seite 250)".
Seite 249 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um die Bridge-Priorität für eine MSTI auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ MSTP General. 2. Unter MSTP Instances konfigurieren Sie die Priority für die ausgewählte MSTI. Mögliche Optionen: –...
Seite 250 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 10.1.6.4 Die Priorität von Bridge-Ports für eine MSTI konfigurieren Bridge-Ports, die einer MSTI zugeordnet sind, muss eine Port-Priorität zugewiesen werden. Treten Schleifen auf, wird der Port mit der niedrigsten Priorität in den Zustand Weiterleiten gesetzt. Dies geschieht nur, wenn die Schleife nicht anhand der Bridge-ID oder der Pfadkosten aufgelöst werden kann.
Seite 251 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Um die MSTI-Kosten für einen MSTI-fähigen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ MSTP Ports. 2. Unter Interface Selection wählen Sie einen Bridge-Port aus. 3.
Seite 252 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Parameter Beschreibung Learned Forward Delay Die Verzögerungszeit bis zum Weiterleiten, die das Gerät von seiner Root-Bridge gelernt hat. Die Root-Bridge legt die Verzögerungszeit bis zum Weiterlei‐ ten für alle Designated-Bridges fest. Learned Max Age Die maximale Alterungszeit, die das Gerät von seiner Root- Bridge gelernt hat.
Seite 253 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Folgende Informationen werden für jeden Bridge-Port unter Spanning Tree Ports angezeigt: Parameter Beschreibung State Zustand des Bridge-Ports. Mögliche Werte: • disabled - STP ist für den Bridge-Port deaktiviert. • blocking - Der Bridge-Port blockiert den STP-Verkehr. •...
Seite 254 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Parameter Beschreibung Designated Bridge ID Die Designated-Bridge-ID für den Bridge-Port Die Designated-Bridge-ID ist die ID der Bridge, mit der ein Bridge-Port verbunden ist. Die ID der Bridge ist eine Kombina‐ tion aus der Priorität der Designated-Bridge und ihrer MAC- Adresse.
Seite 255 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Die folgenden Informationen werden unter MSTP Instances für jede MSTI angezeigt: Parameter Beschreibung Bridge Status Bridge-Status der MSTI. Mögliche Werte: • unknown - Der Bridge-Status kann nicht bestimmt wer‐ den. • root-bridge - Die MSTI ist die Root-Bridge. •...
Seite 256 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) Die folgenden Informationen werden unter MSTP Ports für jede MSTI angezeigt: Parameter Beschreibung Instance ID Die ID der MSTI. State Der Zustand der MSTI. Mögliche Werte: • disabled - STP ist am Port deaktiviert. • blocking - Der Port blockiert den Datenverkehr.
Seite 257 Netzwerkredundanz 10.1 Spanning Tree Protocol (STP) 10.1.8.1 MSTP-Grundkonfiguration In diesem Beispiel empfangen zwei Geräte (A und B) Multicast-Verkehr aus getrennten Quellen und leiten beide Datenströme an Geräte in ihrem gemeinsamen LAN-Segment weiter. MSTP ist aktiviert, um Datenverkehrsschleifen zu verhindern. Bild 10-5 Beispiel einer MSTP-Grundkonfiguration Konfiguration von Gerät A Um Gerät A zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 258 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Konfiguration von Gerät B Um Gerät B zu konfigurieren, gehen Sie wie folgt vor: 1. Legen Sie die VLANs 10 und 20 an. Weitere Informationen siehe "Ein statisches VLAN hinzufügen oder ändern (Seite 298)". 2. Legen Sie VLAN-Schnittstellen für die neuen VLANs an. Weitere Informationen siehe "Eine VLAN-Schnittstelle hinzufügen (Seite 191)".
Seite 259 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Bei einer Netzwerkschleife entstehen kreisende Frames, die immer weiter dupliziert werden und damit das Netzwerk fluten. Durch Schleifen können Broadcast-Frames innerhalb von Sekunden zu einem Broadcast-Sturm führen. Die steigende Anzahl an Frames führt zu einer Überlastung des Netzwerks und damit zum Ausfall des Datenverkehrs. Durch die hohe Netzlast ist auch eine Diagnose stark eingeschränkt.
Seite 260 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Bild 10-6 Port-Modi der Schleifenerkennung 10.2.1.2 Typen von Netzwerkschleifen Die Schleifenerkennung unterscheidet die folgenden Arten von Schleifen: • Lokale Netzwerkschleife Wenn ein Gerät eine gesendete PDU an einem anderen Bridge-Port wieder empfängt, liegt eine lokale Schleife vor. Bild 10-7 Lokale Netzwerkschleife Die Schleifenerkennung kann eine lokale Schleife unterbrechen, indem sie den Bridge-Port...
Seite 261 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.1.4 Zugehörige Ereignisse Die folgenden Ereignisse werden von der Schleifenerkennung ausgelöst und direkt im Syslog aufgezeichnet. Ereignis Schweregrad Syslog-Meldung Local loop detec‐ Error "Loop Detection" has detected a local loop. Remote loop de‐ Error "Loop Detection" has detected a remote loop. tected 10.2.2 Die Erkennung von Netzwerkschleifen konfigurieren...
Seite 262 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 6. [Optional] Definieren Sie die Zeitdauer in Sekunden, für die ein Bridge-Port deaktiviert wird, wenn eine Schleife im Netzwerk erkannt wird. Für weitere Informationen siehe "Die Zeitdauer für die Deaktivierung eines Bridge-Ports konfigurieren (Seite 265)". 7. Aktivieren Sie, dass die VLAN-Konfiguration eines Bridge-Ports berücksichtigt wird. Für weitere Informationen siehe "Den VLAN-Modus aktivieren (Seite 266)".
Seite 263 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um das Sendeintervall für PDUs zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Transmission Interval für einen Bridge-Port. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 264 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer lokalen Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Local Reaction für einen Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 265 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer Remote-Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Remote Reaction für einen Bridge- Port.
Seite 266 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Zeitdauer für die Deaktivierung eines Bridge-Ports zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Stellen Sie sicher, dass der Bridge-Port, für den Sie den Timeout konfigurieren wollen, wie folgt konfiguriert ist: –...
Seite 267 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.2.8 Die Erkennung von Netzwerkschleifen aktivieren Standardmäßig ist die Erkennung von Netzwerkschleifen für alle Bridge-Ports deaktiviert. Um die Schleifenerkennung für alle Bridge-Ports zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2.
Seite 268 Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Unter Loop Detection werden folgenden Informationen angezeigt: Parameter Beschreibung Operational State Zeigt den Betriebszustand der Schleifenerkennung an. Mögliche Optionen: • disabled - Dieser Betriebszustand bedeutet: – Die Schleifenerkennung ist deaktiviert und der Bridge- Port sendet keine PDUs. –...
Seite 269 Netzwerkerkennung und -management In diesem Kapitel werden die verschiedenen verfügbaren Funktionen für Netzwerkerkennung und -management beschrieben. Diese Funktionen ermöglichen die automatische Erkennung von Geräten im Netzwerk sowie die Netzwerküberwachung und das automatische Gerätemanagement. 11.1 LLDP Mit dem Link Layer Discovery Protocol (LLDP) können Sie die Topologie lokaler Netzwerke erfassen.
Seite 270 Netzwerkerkennung und -management 11.2 DCP Wenn Nachbargeräte angeschlossen sind, die LLDP unterstützen, werden unter Link Layer Discovery Protocol (LLDP) Neighbors folgende Informationen angezeigt: Parameter Beschreibung Local Interface Port, an dem die Informationen des angeschlossenen Geräts empfangen wurden Remote System Name Systemname des angeschlossenen Geräts Remote Device ID Kennung des angeschlossenen Geräts Die ID entspricht dem Gerätenamen, der über SINEC PNI (STEP...
Seite 271 Netzwerkerkennung und -management 11.2 DCP 11.2.2.1 Die Zugriffsrechte von DCP konfigurieren ACHTUNG Sicherheitsrisiko - Risiko des unbefugten Zugriffs und/oder Missbrauchs DCP ist per Definition nicht sicher. Die Zugriffsrechte von DCP sind abhängig vom Status des Geräts. • Im Lieferzustand und nach dem Zurücksetzen auf Default-Einstellungen ist DCP aktiviert. Geräteparameter können sowohl gelesen als auch verändert werden.
Seite 272 Netzwerkerkennung und -management 11.2 DCP Um die Zugriffsrechte von DCP zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ PROFINET ≫ DCP. 2. Unter Discovery and basic Configuration Protocol (DCP) im Feld DCP Mode konfigurieren Sie die Zugriffsrechte von DCP. Mögliche Optionen: Option Beschreibung...
Seite 273 Netzwerkerkennung und -management 11.3 ARP Um für einen Bridge-Port zu konfigurieren, ob DCP-Frames gesendet werden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ PROFINET ≫ DCP. 2. Unter DCP Forwarding in der Spalte Forwarding Mode konfigurieren Sie für einen Bridge- Port, ob DCP-Frames gesendet werden.
Seite 274 Netzwerkerkennung und -management 11.3 ARP Folgende Informationen werden unter Address Resolution Protocol (ARP) Table für jede VLAN-Schnittstelle angezeigt: Parameter Beschreibung Interface Der Name der VLAN-Schnittstelle. IP Address Die IP-Adresse des benachbarten Knotens. MAC Address Die Link-Layer-Adresse bzw. Media Access Control (MAC)-Ad‐ resse des benachbarten Knotens.
Seite 275 Netzwerkerkennung und -management 11.4 SNMP 11.4 SNMP Das Simple Network Management Protocol (SNMP) ermöglicht eine zentrale Verwaltung von Netzwerkkomponenten wie z. B. Switches, Steuerungen, Kommunikationsbaugruppen, Routern und PCs. Mit SNMP können Netzwerkkomponenten von einer entfernten Managementstation überwacht und gesteuert werden. Die SINEC OS Web-Benutzeroberfläche bietet eingeschränkte Konfigurationsmöglichkeiten und Übersicht über SNMP.
Seite 276 Netzwerkerkennung und -management 11.4 SNMP 11.4.1.2 Einen Server-Endpunkt für SNMP konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein Server-Endpunkt SNMP- Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 277 Netzwerkerkennung und -management 11.4 SNMP 11.4.1.3 Einen Server-Endpunkt für SNMP aktivieren Standardmäßig ist der Server-Endpunkt für SNMP aktiviert. Nur Benutzer mit dem Benutzerprofil Admin können einen Server-Endpunkt aktivieren. Um einen Server-Endpunkt für SNMP zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter SNMP ≫...
Seite 278 Netzwerkerkennung und -management 11.4 SNMP Um den Namen einer SNMP-Community zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ SNMP. Unter SNMPv1/v2c Community Strings ≫ Index werden die verfügbaren SNMP- Communities angezeigt. 2. Unter SNMPv1/v2c Community Strings ändern Sie den Namen einer SNMP-Community. Mögliche Optionen: Option Beschreibung...
Seite 279 Netzwerkerkennung und -management 11.4 SNMP 11.4.5 Die Engine-ID anzeigen Um die Engine-ID des Geräts anzuzeigen, navigieren Sie zu System ≫ Management Services ≫ SNMP. Unter SNMP Engine ID werden folgende Informationen angezeigt: Parameter Beschreibung SNMP Engine ID Zeigt die SNMP-Engine ID des Geräts an. Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 280 Netzwerkerkennung und -management 11.4 SNMP Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 281 Kontrolle und Klassifikation von Datenverkehr In diesem Kapitel werden die verfügbaren Funktionen für die Datenverkehrssteuerung und -klassifizierung beschrieben. Verwenden Sie diese Subsysteme, um den Datenverkehr zu verbundenen Netzwerkfunktionen zu steuern. Zusätzlich stehen Werkzeuge für die Datenverkehrsanalyse und -charakterisierung zur Verfügung. 12.1 Begrenzung der Übertragungsgeschwindigkeit SINEC OS unterstützt die Begrenzung der Übertragungsgeschwindigkeit an einzelnen...
Seite 282 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 12.1.2 Begrenzung der Übertragungsgeschwindigkeit konfigurieren Um die Übertragungsgeschwindigkeit für einen Bridge-Port bei ausgehendem oder eingehendem Datenverkehr zu begrenzen, gehen Sie für den ausgewählten Bridge-Port und die Richtung des Datenverkehrs wie folgt vor: 1.
Seite 283 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit Die Fähigkeiten sind unter Ethernet Rate Control Capabilities für jeden einzelnen Bridge- Port aufgeführt. Parameter Beschreibung Interface Der Name der Schnittstelle. Supported Ingress Traffic Types Der von dem Bridge-Port eingangsseitig unterstützte Daten‐ verkehr Mögliche Werte: •...
Seite 284 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit Parameter Beschreibung Supported Egress Traffic Types Der von dem Bridge-Port ausgangsseitig unterstützte Daten‐ verkehr Mögliche Werte: • all – Alle Datenverkehrstypen werden unterstützt • broadcast – Nur Broadcast-Datenverkehr wird unterstützt • multicast – Nur Multicast-Datenverkehr wird unterstützt •...
Seite 285 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 3. Unter Ethernet Rate Control konfigurieren Sie den Ingress Traffic Type und/oder Egress Traffic Type für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung Default Die Begrenzung der Übertragungsgeschwindig‐ keit wird auf den gesamten Datenverkehr angew‐ endet.
Seite 286 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 12.1.2.3 Die Begrenzung der Übertragungsgeschwindigkeit auswählen Um die vom Bridge-Port auf den ausgehenden oder eingehenden Datenverkehr angewendete Begrenzung der Übertragungsgeschwindigkeit auszuwählen, gehen Sie wie folgt vor: 1. [Optional] Prüfen Sie die Fähigkeiten des ausgewählten Bridge-Ports, um zu ermitteln, ob er den Frame-Typ begrenzen kann, den Sie in der gewählten Richtung steuern möchten (also eingehend oder ausgehend).
Seite 287 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.1.3.1 Die Übertragungsgeschwindigkeit begrenzen In diesem Beispiel leitet das Gerät Datenverkehr an der Schnittstelle ethernet0/1 (ein 1000Base- FX-Port) an einen Server weiter, der Daten nur mit 100 kbit/s annimmt. Wenn dieser Grenzwert überschritten wird, gehen Frames verloren. Bild 12-1 Den Datenverkehrsfluss zu einem Server begrenzen Um die Übertragungsgeschwindigkeit des Datenverkehrs an einen Server zu begrenzen,...
Seite 288 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Da VLANs logische Verbindungen und keine physischen Verbindungen definieren, verringern sie die Komplexität des Aufbaus sowie die Arbeits- und Ressourcenanforderungen eines herkömmlichen LAN erheblich. Gleichzeitig verbessern sie die Sicherheit und Verwaltung des Datenverkehrs. Der Datenverkehr wird gruppiert, indem die Frames um Tags erweitert werden, die von Knoten in derselben Broadcast-Domäne stammen.
Seite 289 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.1.1 VLANs anlegen VLANs werden entweder statisch oder dynamisch angelegt: • Statisch Statische VLANs können direkt in SINEC OS definiert werden. • Dynamisch VLANs können über das GARP VLAN Registration-Protokoll gelernt werden. 12.2.1.2 Betriebsarten "VLAN-fähig" und "Nicht VLAN-fähig" Geräte, die dem Standard IEEE 802.1Q entsprechen, werden als VLAN-fähig eingestuft und zu jeder Zeit in der Betriebsart VLAN-fähig betrieben.
Seite 290 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Tag Protocol Identifier (TPI) Das Feld Tag Protocol Identifier (TPI) kennzeichnet den Frame als getaggten Frame. Es besteht aus einem 16-Bit-Feld, für das 0x8100 festgelegt ist. Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 291 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Tag Control Information (TCI) Das Feld Tag Control Information (TCI) definiert: • Priority Code Point (PCP) Ein 3-Bit-Unterfeld, das die dem Frame zugeordnete IEEE 802.1p Class of Service (CoS) angibt. Der Wert dieses Felds wird wie folgt einer spezifischen Prioritätsstufe zugeordnet: Priori‐...
Seite 292 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Wert Beschreibung Keine VLAN-ID. Das Frame enthält nur Prioritätsinformationen (mit einer Priorität getagg‐ tes Frame). 1 – VLAN-IDs in diesem Bereich sind gültig. 4094 4095 Diese VLAN-ID ist reserviert. 12.2.1.4 Access- und Trunk-Ports Aus jedem Bridge-Port kann ein Access- oder ein Trunk-Port gemacht werden. •...
Seite 293 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.1.6 Ingress-Filter Der Ingress-Filter ist eine Funktion, die pro Port aktiviert werden kann. Sie wertet jedes eingehende (Ingress) Frame aus, bevor es in das Netzwerk gelangt, um sicherzustellen, dass es von der erwarteten Quelle stammt. Wenn der Ingress-Filter aktiviert ist, prüft das Gerät alle am Bridge-Port eingehenden getaggten Frames.
Seite 294 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Regeln für ausgehenden Datenverkehr (Egress) • Frames, die an einer Access-Schnittstelle weitergeleitet werden, werden verworfen, wenn sie einem anderen VLAN als dem nativen VLAN der Egress-Schnittstelle zugeordnet sind. • Frames, die an einer Trunk-Schnittstelle weitergeleitet werden, werden mit ihrer VID getaggt (nicht dem nativen VLAN der Egress-Schnittstelle), wenn sie einem VLAN zugeordnet sind, in dem die Egress-Schnittstelle Mitglied ist.
Seite 295 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs der verbotenen VLANs eines Bridge-Ports werden diesem Port auch nicht von GVRP bekannt gegeben. Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port spezifischen VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 296 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Der VLAN-0-Tunnelmodus kann für jedes aktive VLAN aktiviert werden und ist dann für alle Bridge-Ports, die zu diesen VLANs gehören, aktiv. 12.2.1.11 Vor- und Nachteile bei der Verwendung von VLANs Nachstehend werden einige der wichtigen Vor- und Nachteile von VLANs beleuchtet. Vorteile •...
Seite 297 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Nachteile • Begrenzte Anzahl von VLANs Jedes Netzwerk ist auf 4094 VLANs begrenzt, wobei die VIDs 0 und 4095 reserviert sind. Die Anzahl von 4094 VLANs kann zwar für die meisten Netzwerke ausreichend sein, doch kann sich dieser Wert in der Zukunft als Begrenzung erweisen.
Seite 298 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.2.1 Ein statisches VLAN hinzufügen oder ändern Um ein statisches VLAN hinzuzufügen oder zu ändern, gehen Sie wie folgt vor: Hinweis Weisen Sie der zugehörigen VLAN-Schnittstelle eine IP-Adresse zu, um daraus eine Management-Schnittstelle zu machen. Sie können dann mittels SSH über den Management- Port auf das CLI zugreifen.
Seite 299 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um den VLAN-0-Tunnelmodus für ein VLAN zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ VLANs. 2. Unter Static Virtual Local Area Networks (VLANs) ändern Sie den Parameter VLAN-0- Tunnel für das ausgewählte VLAN in Enabled.
Seite 300 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 3. Unter Port Based VLANs wählen Sie einen Bridge-Port und konfigurieren Sie anschließend die Option Type. Mögliche Optionen: Option Beschreibung Access Default Der Bridge-Port überträgt Datenverkehr nur auf dem nativen VLAN. Trunk Der Bridge-Port überträgt Datenverkehr für alle VLANs.
Seite 301 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um auszuwählen, welche Frame-Typen von einem Bridge-Port akzeptiert werden, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ VLANs. 2. Unter Port Based VLANs konfigurieren Sie den Acceptable Frame Type für den ausgewählten Bridge-Port.
Seite 302 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um den Ingress-Filter für einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port bestimmten VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 303 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 12.3 Verkehrsklassen Bei der Klassifizierung von Datenverkehr handelt es sich um die Kategorisierung und gesteuerte Übertragung von Frames. Sie dient der Verbesserung der Netzwerkleistung und bietet eine unterschiedliche Dienstgüte zur Auswahl von Traffic-Typen. In diesem Abschnitt wird beschrieben, wie Sie die Klassifizierung von Datenverkehr mit Traffic- Klassen durchführen.
Seite 304 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 12.3.1.1 Warteschlangen von Traffic-Klassen Der Datenverkehr kann bis zu acht Warteschlangen von Traffic-Klassen (0 bis 7) zugeordnet werden. Basierend auf dem Standard IEEE 802.1Q sind den Warteschlangen die folgenden Prioritäten zuzuordnen und sie können für die folgenden Traffic-Typen verwendet werden: Priorität Beschreibung Netzwerksteuerung...
Seite 305 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 12.3.1.3 Standardzuordnung Eingehende Frames werden standardmäßig basierend auf ihren PCP- oder DSCP-Markierungen wie folgt den Warteschlangen von Traffic-Klassen zugeordnet: DSCP Warteschlange 0 – 7 8 – 15 16 – 23 24 – 31 32 – 39 40 –...
Seite 306 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 12.3.1.4 Priorisierung von eingehenden Frames Im Folgenden wird erläutert, wie eingehende Frames priorisiert und weitergeleitet werden: Übergabe an Konfigurierte MAC-Adresse ist Warteschlangen Traffic-Klasse für einer Traffic-Klasse von Traffic- MAC-Adresse zugewiesen Klassen der verwenden Egress-Ports Ziel- MAC-Adresse in Ingress-...
Seite 307 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 12.3.1.5 Prioritätsregenerierung Im Folgenden wird erläutert, wie die einem eingehenden Frame zugeordnete Priorität beim Ausgang regeneriert wird: Übergabe an Vertrauens- Ingress- Default-Priorität Warteschlangen von modus ist untrust Frame verwenden Traffic-Klassen der oder dscp Egress-Ports NEIN NEIN Frame ist tagged...
Seite 308 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 3. Wenn es sich bei dem Bridge-Port um eine Ingress-Schnittstelle handelt, legen Sie den Vertrauensmodus fest. Für weitere Informationen siehe "Den Vertrauensmodus konfigurieren (Seite 309)". 4. [Optional] Verwenden Sie nur bei getaggten Layer 2 802.1Q-Frames die Prioritätsänderung, um den PCP-Wert zu ändern, wenn das Frame übertragen wird.
Seite 309 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen 3. Unter PCP to Interface Queue Mappings wählen Sie unter Queue für jeden Code eine Warteschlange einer Traffic-Klasse in der Spalte PCP Code aus. Getaggte Layer 2-Frames nach 802.1Q mit einem der PCP-Werte werden der jeweiligen Warteschlange einer Traffic-Klasse zugeordnet.
Seite 310 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen • DSCP- und PCP-Werten vertrauen (DSCP-PCP) Frames werden zuerst anhand ihrer DSCP-Werte und dann anhand ihrer PCP-Werte priorisiert. Wenn beide Werte fehlen, wird die Default-Priorität verwendet. • DSCP- und PCP-Werten nicht vertrauen (Untrust) Es wird weder DSCP- noch PCP-Werten vertraut. Die Default-Priorität wird nur auf alle eingehenden Frames angewendet.
Seite 311 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen dem ursprünglichen Prioritätswert der entsprechenden Warteschlange einer Traffic-Klasse zugeordnet, aber sie werden mit einem anderen Prioritätswert weitergeleitet. Um einen Bridge-Port so zu konfigurieren, dass auf ausgewählte Frames die Prioritätsänderung angewendet wird, gehen Sie wie folgt vor: 1.
Seite 312 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen Verfahren 1: Jedem Frame eine hohe Default-Priorität zuordnen In SINEC OS wird der Prioritätswert der Frames ignoriert und es wird die Default-Priorität des empfangenden Bridge-Ports zugeordnet. 1. Legen Sie für jeden mit den Sensoren verbundenen Bridge-Port für die Default-Priorität eine hohe Priorität fest, beispielsweise 7 (die höchste Priorität).
Seite 313 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen hohe Priorität zugeordnet wird. Das Gerät platziert diese Frames automatisch in einer Warteschlange mit hoher Priorität. 1. Ordnen Sie bei jedem Sensor wichtigen Frames bei Eingang eine hohe Priorität zu. 2. Legen Sie in der Switch-Konfiguration für den Vertrauensmodus einen der Werte PCP (nur Layer 2-Datenverkehr), DSCP (nur Layer 3-Datenverkehr) oder DSCP-PCP(Layer 3- Datenverkehr, gefolgt von Layer 2-Datenverkehr) fest.
Seite 314 Kontrolle und Klassifikation von Datenverkehr 12.3 Verkehrsklassen Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 315 Zeiteinstellungen In diesem Kapitel wird beschrieben, wie Sie die Uhrzeitdienste für die Zeiterfassung und die Uhrzeitsynchronisation konfigurieren. Das umfasst die automatische Einstellung der Systemzeit und des Systemdatums mit einem Dienst wie NTP oder manuell. Die richtige Zeiteinstellung und die Überprüfung, ob die Uhrzeit in allen Geräten synchron ist, sind wichtig für ein gutes Netzwerkmanagement und die Fehlerbeseitigung im Netzwerk.
Seite 316 Zeiteinstellungen 13.5 NTP 13.2 Das Datum und die Systemzeit konfigurieren Um das Datum und die Systemzeit manuell zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ System Time. 2. Unter System Time ändern Sie den Parameter System Clock [YYYY-MM-DD HH:MM:SS]. Bedingungen: –...
Seite 317 Zeiteinstellungen 13.5 NTP 13.5.1 Wissenswertes zu NTP NTP ist ein Protokoll zur hierarchischen Uhrzeitsynchronisation zwischen NTP-Servern und NTP- Clients in einem Netzwerk. NTP-Implementierungen senden und empfangen Zeitinformationen über das User Datagram Protocol (UDP) auf Port 123. Sie können NTP so konfigurieren, dass NTP-Clients auf Broadcast- oder Multicast-Frames mit Zeitaktualisierungen hören.
Seite 318 Zeiteinstellungen 13.5 NTP 13.5.1.1 Stratum-Nummer Ein NTP-Netzwerk bezieht seine Zeitinformationen von einer maßgeblichen Zeitquelle, wie z. B. Atom-/Funkuhren, GPS-Empfängern oder Modem-Zeitdiensten. Diese Zeitinformationen werden dann über NTP von Servern an Clients weitergeben. Die Anzahl der Hops zwischen einem Client und der maßgeblichen Zeitquelle wird durch die Stratum-Nummer angegeben. ①...
Seite 319 Zeiteinstellungen 13.5 NTP • NTP-Multicast-Server • Lokale Software-Uhr 13.5.1.3 NTP-Client Ein NTP-Client sendet in regelmäßigen Abständen Uhrzeitanfragen und synchronisiert dadurch aktiv seine Systemzeit. Dabei gleicht der NTP-Client durch Umrechnungen die Verzögerung aus, die durch die Übertragungszeit entsteht. Der Client kann seine Uhrzeitinformationen von verschiedenen Quellen beziehen: •...
Seite 320 Zeiteinstellungen 13.5 NTP 13.5.2.1 Einen NTP-Server konfigurieren Standardmäßig ist kein NTP-Server konfiguriert. Um einen NTP-Server zu definieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt.
Seite 321 Zeiteinstellungen 13.5 NTP 13.5.2.4 Das Abfrageintervall konfigurieren Um das Abfrageintervall für einen NTP-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server in der Spalte Minpoll [s] definieren Sie den kleinsten Wert des Abfrageintervalls in Sekunden als Potenz mit der Basis 2.
Seite 322 Zeiteinstellungen 13.5 NTP Um Burst für einen NTP-Server zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server ändern Sie den Parameter Burst in Enabled. 3. Bestätigen Sie die Änderung. 13.5.2.7 NTP aktivieren Standardmäßig ist NTP deaktiviert.
Seite 323 Zeiteinstellungen 13.6 PTP 13.6 Das Precision Time Protocol (PTP) ist ein Standardverfahren zur Synchronisierung von Netzwerkuhren über Ethernet. SINEC OS unterstützt Version 2 des in der Norm IEEE 1588-2008 definierten PTP-Standards, das auch PTPv2 genannt wird. Er ist für Anwendungen gedacht, die eine höhere Synchronisationsgenauigkeit erfordern, als mit dem Network Time Protocol (NTP) erreicht werden kann.
Seite 324 Zeiteinstellungen 13.6 PTP Die folgenden Arten von Nachrichten werden von PTP gesendet und empfangen: Nachrichten‐ Klasse Beschreibung typen Sync Ereignis Wird von Boundary Clocks und Ordinary Clocks für die Kommunikation zeitbezogener Informationen zwischen Mastern und Slaves verwendet. Follow_Up Allgemein Slaves nutzen die Informationen, um die Ausbreitungsverzögerung zu Delay_Req Ereignis ermitteln und den Uhrzeitversatz zu berechnen.
Seite 325 Zeiteinstellungen 13.6 PTP PTP-Standardprofil (default-p2p-profile) Das default-p2p-profile umfasst folgende Merkmale: Merkmal Standard Synchronisierungsmodell Wie von IEEE 1588-2008 festgelegt Uhrauswahl Wie von IEEE 1588-2008 festgelegt Entscheidung Port-Zustand Wie von IEEE 1588-2008 festgelegt Paketraten Sync.-/Follow-up-Pakete 1 pro Sekunde (s) Verzögerung-Anfrage (De‐ 1 pro Sekunde (s) lay_Req)/Verzögerung-Ant‐...
Seite 326 Zeiteinstellungen 13.6 PTP • Feld Priorität 2 Ein weiterer benutzerdefinierter 8-Bit-Wert wie das Feld Priorität 1. Sein Zweck ist die Identifikation der Primäruhr und der Reserveuhr für identische, redundante Master. • Quellport-ID Eine eindeutige ID, typischerweise die MAC-Adresse des Geräts. Sie ermöglicht eine Entscheidung, wenn alle anderen Werte gleich sind.
Seite 327 Zeiteinstellungen 13.6 PTP ① Transparent Clock ② Nachbaruhr Bild 13-3 Austausch von Nachrichten der Transparent Clock (One-Step) Sobald alle erforderlichen Zeitstempel erfasst sind, berechnet die Peer-to-Peer Transparent Clock die Peer Mean Path Delay anhand der folgenden Formel: Verzögerung = [ (t4 - t1) - (t3 - t2) ] / 2 Für Informationen zum Ermitteln der Peer Mean Path Delay bei einem einzelnen Bridge-Port siehe "Anzeige der Pfadverzögerung "Peer Mean Path Delay"...
Seite 328 Zeiteinstellungen 13.6 PTP Um die PTP-Domäne für Ihr Gerät zu definieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronization ≫ PTP Transparent Clock. 2. Unter Precision Time Protocol (PTP) Transparent Clock konfigurieren Sie die Domain Number. Bedingung: –...
Seite 329 Zeiteinstellungen 13.6 PTP 13.6.3.1 Anzeige der Pfadverzögerung "Peer Mean Path Delay" Die Peer Mean Path Delay ist eine Messung in Nanosekunden (ns) der Paketausbreitung zwischen Peer-Geräten. Sie wird von jedem Bridge-Port ermittelt, für den PTP aktiviert ist, und dann dem Korrekturfeld in Synchronisationsnachrichten hinzugefügt, zusammen mit der Verweilzeit des Pakets.
Seite 330 Zeiteinstellungen 13.6 PTP Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 331 Multicast-Filterung In diesem Kapitel werden Funktionen im Zusammenhang mit der Multicast-Filterung beschrieben. Sie verwenden die Multicast-Filterung, um den Multicast-Datenverkehr durch Multicast-Gruppenmitgliedschaften zu steuern. 14.1 Statische Multicast-Gruppen In diesem Abschnitt wird beschrieben, wie Sie statische Einträge für bekannte Multicast- Gruppen festlegen. 14.1.1 Statische Multicast-Gruppen konfigurieren Um statische Multicast-Gruppen zu konfigurieren, gehen Sie wie folgt vor:...
Seite 332 Multicast-Filterung 14.2 GMRP 14.1.1.2 Traffic-Klassen für statische Multicast-Gruppen auswählen Um die Traffic-Klasse für eine statische Multicast-Gruppe auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ Static. 2. Unter Static Multicast Filtering wählen Sie für die ausgewählte statische Multicast-Gruppe die Warteschlange einer Traffic-Klasse unter Traffic Class aus.
Seite 333 Multicast-Filterung 14.2 GMRP 14.2.1.1 Multicast-Gruppen mit GMRP beitreten/verlassen Im Folgenden wird beschrieben, wie GMRP die Mitgliedschaften in Multicast-Gruppen verwaltet. • Einer Multicast-Gruppe beitreten Wenn Endstationen einer Multicast-Gruppe beitreten wollen, senden sie eine GMRP-Join- Nachricht. Der Client-Switch, der die Join-Nachricht empfängt, fügt den Port, über den die Nachricht empfangen wurde, der in der Nachricht angegebenen Multicast-Gruppe hinzu.
Seite 334 Multicast-Filterung 14.2 GMRP 14.2.2 GMRP konfigurieren Um GMRP zu konfigurieren, gehen Sie wie folgt vor: • Aktivieren Sie GMRP global. Für weitere Informationen siehe "GMRP aktivieren (Seite 334)". • Legen Sie den GMRP-Modus für ausgewählte Bridge-Ports fest. Der GMRP-Modus bestimmt, wie einzelne Bridge-Ports die GMRP-Nachrichten verarbeiten. Für weitere Informationen siehe "Den GMRP-Modus pro Bridge-Port auswählen (Seite 334)".
Seite 335 Multicast-Filterung 14.2 GMRP Um zu konfigurieren, wie eine Bridge-Port-Schnittstelle GMRP-Nachrichten verarbeitet, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) konfigurieren Sie die GMRP Mode für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 336 Multicast-Filterung 14.2 GMRP Um die Überflutung bei Topologieänderungen zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) ändern Sie die Einstellung Topology Change Flooding in Enabled. 3.
Seite 337 Multicast-Filterung 14.3 IGMP-Snooping Konfiguration 1. Verbinden Sie die Geräte wie in der Topologie dargestellt. 2. Aktivieren Sie GMRP global an allen Switches (also Switch A, B, C, D und E). 3. Konfigurieren Sie Schnittstellen für jeden Switch, um GMRP-Nachrichten zu verarbeiten (d.h. Schnittstelle A1, A2, B1, B2 usw.).
Seite 338 Multicast-Filterung 14.3 IGMP-Snooping 14.3.1 Wissenswertes zum IGMP-Snooping Einige Switches leiten standardmäßig Multicast-Ströme unaufgefordert an alle Schnittstellen in einem VLAN weiter und zwingen dadurch einige Hosts in der Broadcast-Domäne dazu, Multicast-Datenverkehr zu verarbeiten, den sie nicht angefordert haben. Daraus resultiert, dass diese Hosts unnötigerweise viele anderweitig benötigte Ressourcen verbrauchen und möglicherweise einem Denial-of-Service-Angriff ausgesetzt werden.
Seite 339 Multicast-Filterung 14.3 IGMP-Snooping Beispiel: Die IP-Multicast-Adresse W.X.Y.Z entspricht der MAC-Adresse 01-00-5E-XX-YY- ZZ. Dabei sind XX die niederen 7 Bits von X, und YY und ZZ sind Y und Z in Hexadezimalcodierung. Hinweis Beachten Sie, dass IP-Multicast-Adressen wie 224.1.1.1 und 225.1.1.1 beide der gleichen MAC- Adresse (z.
Seite 340 Multicast-Filterung 14.3 IGMP-Snooping • Wenn der Querier-Auswahlvorgang abgeschlossen ist, gibt IGMP vom gewählten Querier empfangene Abfragen weiter. • Wenn IGMP-Frames weitergeleitet werden, sendet der Querier allgemeine IGMP-Abfragen und ordnet eine Quell-IP-Adresse von 0.0.0.0 zu. 14.3.2 IGMP-Snooping konfigurieren Um IGMP-Snooping zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 341 Multicast-Filterung 14.3 IGMP-Snooping 14.3.2.2 Die IGMP-Version auswählen Die IGMP-Version bestimmt, welche Art von IGMP-Nachrichten von der Bridge gesendet und empfangen werden können. • Wenn IGMPv2 aktiviert ist, können IGMPv3-Nachrichten nur gesendet, aber nicht empfangen werden. • Wenn IGMPv3 aktiviert ist, können alle IGMP-Nachrichten sowohl gesendet als auch empfangen werden.
Seite 342 Multicast-Filterung 14.3 IGMP-Snooping 14.3.2.4 Das IGMP-Abfrageintervall konfigurieren Das IGMP-Abfrageintervall bestimmt, wie oft IGMP-Abfragen übertragen werden. Das Intervall wird in Sekunden zwischen zwei aufeinanderfolgenden Übertragungen gemessen. Das Abfrageintervall bestimmt außerdem, wann dynamisch gelernte Multicast-Gruppen veralten. Der Alterungszeitraum beträgt 2 x { Intervall } + 10 Sekunden. Um das IGMP-Abfrageintervall zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 343 Multicast-Filterung 14.3 IGMP-Snooping 14.3.3 Multicast-Router-Weiterleitung konfigurieren Um die Multicast-Router-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie die Multicast-Router-Weiterleitung. Für weitere Informationen siehe "Die Multicast-Router-Weiterleitung aktivieren (Seite 343)". 2. Konfigurieren Sie eine oder mehrere Multicast-Router-Schnittstellen. Für weitere Informationen siehe "Eine Multicast-Router-Schnittstelle konfigurieren (Seite 343)".
Seite 344 Multicast-Filterung 14.4 Datenbank für die Multicast-Filterung Die folgenden Informationen werden unter IGMP Snooping Status angezeigt: Parameter Beschreibung Interface Der Bridge-Port, an dem die Multicast-Gruppe gelernt wurde. VLAN ID Die VLAN-ID des VLAN, auf dem die Multicast-Gruppe arbeitet. Address Die IPv4-Zieladresse der Multicast-Gruppe. Last Reporter Die IPv4-Adresse des Host, der zuletzt einen Bericht zum Bei‐...
Seite 345 Diagnose 15.1 Diagnose In diesem Kapitel werden die verfügbaren Diagnosewerkzeuge beschrieben. 15.2 Systemstatus In diesem Abschnitt wird beschrieben, wie Sie den Systemzustand überwachen, einschließlich Betriebszeit, letzter Neustart usw. 15.2.1 Die Systemstartzeit anzeigen Um das Datum und die Uhrzeit anzuzeigen, zu denen das Gerät zum letzten Mal neu gestartet wurde, navigieren Sie zu System ≫...
Seite 346 Diagnose 15.3 Systemprotokollierung Spezifische Ereignisse, typischerweise solche, die eine sofortige Behebung erfordern, können bei Auftreten auch per E-Mail und/oder SNMP-Benachrichtigungen an die Netzwerkadministratoren gesendet werden. 15.3.1 Wissenswertes zur Systemprotokollierung Das Systemprotokoll (Syslog) speichert alle Ereignismeldungen, die von verschiedenen Systemkomponenten unter SINEC OS erzeugt werden. Das Systemprotokoll wird durch ein Logbuch angezeigt.
Seite 347 Diagnose 15.3 Systemprotokollierung 15.3.1.2 Schweregrade Jeder Ereignismeldung im Systemprotokoll ist einer der folgenden Standard-Schweregrade zugeordnet: Schweregrad Wert Beschreibung des Ereignis‐ Emergency Weist auf einen schweren Fehler hin, der den weiteren Betrieb des Geräts verhindert. Alert Weist auf einen Fehler hin, der sofortige Aufmerksamkeit erfordert. Critical Weist auf einen Ausfall des Primärsystems hin, beispielsweise Geräte‐...
Seite 348 Diagnose 15.3 Systemprotokollierung 15.3.1.5 Ereignisfilter Der Systemprotokollierungsdienst umfasst einen Filtermechanismus. Logbuchfilter Im Logbuch können Ereignismeldungen mithilfe einer Filterregel herausgefiltert werden. Diese Regel gibt einen Schweregrad an und teilt dem System mit, ob nur Meldungen mit diesem Schweregrad oder Meldungen mit diesem Schweregrad und höher angezeigt werden sollen.
Seite 349 Diagnose 15.3 Systemprotokollierung Ein Profil für einen Remote-Syslog-Server für UDP-Verbindungen hinzufügen Um ein Profil für einen Remote-Syslog-Server hinzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Logging ≫ Remote Syslog. 2. Klicken Sie unter Remote Syslog UDP auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3.
Seite 350 Diagnose 15.3 Systemprotokollierung von Ereignismeldungen hinzufügt, ignoriert, wenn die nächste Regel die gleiche Liste an Ereignismeldungen ausschließt. Hinweis Pro Remote-Syslog-Server ist mindestens eine Filterregel erforderlich. Eine Filterregel kann nicht entfernt werden, wenn sie für den Remote-Syslog-Server die einzige definierte Regel ist. Setzen Sie die Aktion in diesem Fall auf block, um die Regel zu deaktivieren. Um einen Filterregel zu definieren, die steuert, welche Ereignismeldungen an einen spezifischen Remote-Syslog-Server weitergeleitet werden, gehen Sie wie folgt vor: 1.
Seite 351 Diagnose 15.3 Systemprotokollierung 7. Unter Compare wählen Sie, ob nur das ausgewählte Ereignis weitergeleitet wird oder ob das ausgewählte Ereignis und Ereignisse mit einem höheren Schweregrad weitergeleitet werden. Mögliche Optionen: – equals - Nur Ereignismeldungen mit dem ausgewählten Schweregrad werden weitergeleitet. –...
Seite 352 Diagnose 15.4 Ereignismanagement Für jeden Server werden unter Remote Syslog die folgenden Informationen angezeigt: Parameter Beschreibung Name Der dem Remote Syslog-Server zugeordnete Name. Server Address / FQDN Der Hostname bzw. die IP-Adresse des Remote Syslog-Servers. UDP Port Der designierte Port auf dem Remote Syslog-Server. 15.3.3.3 Das Logbuch löschen Um Einträge aus dem Logbuch zu löschen, gehen Sie wie folgt vor:...
Seite 353 Diagnose 15.4 Ereignismanagement Schweregrad Wert Beschreibung des Ereignis‐ ses/Alarms Critical Weist auf einen Ausfall des Primärsystems hin, beispielsweise Geräte‐ fehler oder Fehlfunktionen des Systems bzw. der Anwendung. Diese Alarme sind typischerweise nicht wiederherstellbar. Error Weist auf einen Fehlerzustand hin. Warning Weist darauf hin, dass ein Fehler auftreten kann, wenn der zugehörige Zustand nicht behoben wird.
Seite 354 Diagnose 15.4 Ereignismanagement Ressource Ereignis-ID Standard-Schweregrad device-mgmt User-session-timeout* Warning device-mgmt Vlan-linkDown/linkUp Info * Kein Alarm zugewiesen. Ereignisse im Switch-Management Die folgenden Ereignisse beziehen sich auf Switching-Aktivitäten wie Link Up und Link Down, Netzwerkschleifen, Topologieänderungen usw. Ressource Ereignis-ID Standard-Schweregrad switch-mgmt Bouncing-link Alert switch-mgmt Bpdu-guard-activated Alert...
Seite 355 Diagnose 15.4 Ereignismanagement Alarmtypen Es gibt zwei Arten von Alarmen: • Zustandsbezogen Zustandsbezogene Alarme werden generiert, wenn spezifische Bedingungen erkannt werden, die erst gelöscht werden können, wenn der Fehlerzustand behoben ist. Ein Beispiel für einen zustandsbezogenen Alarm ist der Alarm Stromversorgung defekt (Bad-power-supply).
Seite 356 Diagnose 15.4 Ereignismanagement Alarme im Chassis-Management Alarme im Chassis-Management Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Bad-power-supply Alert Statische Meldung Die Eingangsleistung Stellen Sie sicher, zur angegebenen dass der richtige Typ Keine Spannungsversor‐ Spannungsversor‐ Dynamische Mel‐ gung liegt außerhalb gungsmodul mon‐...
Seite 357 Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Module-state Warning Statische Meldung Gibt den Zustand von Verwenden Sie nur Spannungsversor‐ von Siemens zugelas‐ Keine gungsmodulen, Me‐ sene Spannungsver‐ Dynamische Mel‐ dienmodulen und sorgungsmodule, dungen SFP-Transceivern an. Medienmodule und "Unknown SFP modu‐...
Seite 358 Diagnose 15.4 Ereignismanagement Alarme im Gerätemanagement Zugehöriges Ereignis Zustandsbezo‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung grad Authentication-failure Nein Warnung Statische Meldung Ein Benutzer oder Informieren Sie den Dienst hat die fal‐ Benutzer oder aktua‐ "A user failed to login schen Authentifizie‐ lisieren Sie den due to incorrect au‐...
Seite 359 Wenn das Problem weiterhin besteht, Dynamische Mel‐ wenden Sie sich an dung den Siemens-Kun‐ "Bouncing link [ is | dendienst. was ] detected [ on port { Portnum‐ mer } ]." Bpdu-guard-activated Nein...
Seite 360 Fast-link-detection-di‐ Nein Warning Statische Meldung Die alarmgesteuerte Wenden Sie sich an sabled Linkerkennung ist den Siemens-Kun‐ "FLD disabled or am angegebenen dendienst. enabled on a port." Port deaktiviert. Dynamische Mel‐ dung "Bouncing link [ was ] detected [ on port { Portnummer } ] [, disabling FLD ]."...
Seite 361 Diagnose 15.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Loop-detection Alert Statische Meldung Es wurde eine lokale Prüfen Sie Ihr Netz‐ oder eine Remote- werk auf mögliche "Loop Detected on a Schleife erkannt. Der Netzwerkschleifen switch port."...
Seite 362 Ein Kabel oder die Hardware ist defekt. Unresolved-speed Nein Error Statische Meldung Die Geschwindig‐ Wenden Sie sich an keitseigenschaften den Siemens-Kun‐ "Unresolved speed des angegebenen dendienst. detected or disappea‐ Ports können nicht red on a port." ermittelt werden. Dynamische Mel‐ dung "[ Was ] [ Unable | un‐...
Seite 363 Diagnose 15.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Gvrp-cannot-learn-mo‐ Alert Statische Meldung Das Gerät hat die ma‐ Sie können entweder re-vlans ximale Anzahl unter‐ statische VLANs ent‐ Keine stützter VLANs er‐ fernen oder warten, Dynamische Mel‐...
Seite 364 Diagnose 15.4 Ereignismanagement Protokollierungsalarme Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Expired-certificate Nein Error Statische Meldung Das Zertifikat für eine Ersetzen Sie das Zer‐ TLS-Sitzung ist abge‐ tifikat für die angege‐ "The TLS certificate is laufen.
Seite 365 Diagnose 15.4 Ereignismanagement Folgende Informationen werden für jeden aktiven Alarm angezeigt: Parameter Beschreibung Date Time Datum und Uhrzeit, zu denen das Ereignis aufgetreten ist Resource Die Ressource (oder Subsystem), die dem Ereignis zugeordnet Event ID Name des Ereignisses Message Die Fehlermeldung Event Number Die Anzahl aktiver Instanzen des vom selben Ereignis ausgel‐...
Seite 366 Diagnose 15.5 SMTP Ausgewählte Alarme quittieren Um einen spezifischen zustandsbezogenen Alarm zu quittieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Events ≫ Active Alarms. 2. Unter Active Alarms klicken Sie in der Tabelle auf Acknowledge für den ausgewählten Alarm.
Seite 367 Diagnose 15.5 SMTP 15.5.1.1 Austausch zwischen SMTP-Client und -Server Wenn ein Ereignis eintritt und der zugehörige Alarm so konfiguriert ist, dass eine E-Mail- Benachrichtigung gesendet werden soll, initiiert der SMTP-Client auf dem Gerät eine TCP- Verbindung mit einem Remote-SMTP-Server. Anschließend kommt es zu folgendem Austausch zwischen dem SMTP-Client und dem Server: ①...
Seite 368 Diagnose 15.5 SMTP Date: { Datum } A new event is raised on device { Gerätename } (located at { Standort }) with the following details: Resource: { Ressource } Event ID: { Ereignis-ID } Severity: { Schweregrad } Time: { Datum und Uhrzeit } Serial number: { Seriennummer } Message: { Alarmnachricht } Beispiel...
Seite 369 Diagnose 15.5 SMTP Um der Empfängerliste eine E-Mail-Adresse hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Recipients klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Email Address geben Sie die E-Mail-Adresse des neuen Empfängers ein. 4.
Seite 370 Diagnose 15.5 SMTP 15.5.3.1 Die E-Mail-Adresse des Kontos konfigurieren Um das E-Mail-Konto festzulegen, von dem SMTP alle Ereignisnachrichten sendet, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Account geben Sie unter Email Address die E-Mail-Adresse für das SMTP-Konto ein.
Seite 371 Diagnose 15.5 SMTP 15.5.4.1 Das SMTP-Serverprofil konfigurieren Um das Profil für den zum Verteilen von E-Mail-Benachrichtigungen verwendeten SMTP-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Server geben Sie in der Spalte Server Address/FQDN den Hostnamen oder die IP-Adresse des SMTP-Servers ein.
Seite 372 Diagnose 15.5 SMTP Um den SMTP-Client für die eigene Authentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Richten Sie ein Konto auf dem SMTP-Server ein. Notieren Sie sich den Benutzernamen und das Passwort des eingerichteten Kontos. 2. Konfigurieren Sie den SMTP-Client so, dass er diese Anmeldedaten beim Aufbau der Verbindung zum SMTP-Server eingibt.
Seite 373 Diagnose 15.5 SMTP 15.5.6 Konfigurationsbeispiele Nachfolgend finden Sie Beispiele für den Einsatz von SMTP. 15.5.6.1 SMTP für den Versand von Ereignisbenachrichtigungen konfigurieren In diesem Beispiel wird gezeigt, wie Sie das Gerät konfigurieren, damit es einer Gruppe von Administratoren E-Mail-Benachrichtigungen sendet. Die folgende Topologie zeigt einen SMTP-Client, der E-Mail-Benachrichtigungen an einen Remote-SMTP-Server an Port 25 sendet.
Seite 374 Diagnose 15.6 Spiegelung von Datenverkehr 15.6 Spiegelung von Datenverkehr Die Spiegelung von Datenverkehr ist eine Layer-2-Funktion, mit der Sie einen oder mehrere Datenverkehrsströme spiegeln können, um damit den Datenverkehr zu überwachen und zu analysieren. Gespiegelter Datenverkehr wird an einen externen Packet Analyzer/Sniffer weitergeleitet.
Seite 375 Diagnose 15.6 Spiegelung von Datenverkehr Wenn die Quelle ein VLAN ist, wird der gesamte Datenverkehr auf dem Gerät, gespiegelt, das zu dem VLAN gehört. Spiegelungsziele Ein Spiegelungsziel kann ein bestimmter Bridge-Port oder eine IP-Adresse sein, an den/die der gespiegelte Datenverkehr weitergeleitet wird. Verwenden Sie einen speziellen Bridge-Port, wenn der Packet Analyzer/Sniffer direkt mit dem Gerät oder einem anderen Gerät im gleichen Netzwerk verbunden ist.
Seite 376 Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.1 Eine Datenverkehrsquelle auswählen In einer Sitzung für die Spiegelung von Datenverkehr können mehrere Datenverkehrsquellen definiert werden. Die Quellen können Datenverkehrsströme sein, die über eine Schnittstelle empfangen und/oder weiterleitet werden und/oder zu einem bestimmten VLAN gehören. Um eine Datenverkehrsquelle auszuwählen, gehen Sie wie folgt vor: 1.
Seite 377 Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.2 Ein Spiegelungsziel definieren Gespiegelter Datenverkehr kann an eine Schnittstelle oder an eine IP-Adresse weitergeleitet werden. ACHTUNG Konfigurationsrisiko – Gefahr von Verbindungsverlust Bridge-Ports, die für die Verwaltung des Geräts eingesetzt werden, sollten nicht als Ziel für gespiegelten Datenverkehr gewählt werden.
Seite 378 Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.3 Die Spiegelung von Datenverkehr aktivieren Standardmäßig ist die Spiegelung von Datenverkehr deaktiviert. ACHTUNG Konfigurationsrisiko – Gefahr des Verbindungsverlusts Wenn die Spiegelung von Datenverkehr aktiviert ist, wird der ausgewählte Zielport automatisch aus allen VLANs entfernt und in den Modus Switchport geschaltet. Alle aktiven Sitzungen an diesem Port werden geschlossen und über diesen Port ist kein Zugriff auf das Gerät mehr möglich.
Seite 379 Diagnose 15.7 Kabeldiagnose Um jeden Switch zu konfigurieren, gehen Sie wie folgt vor: 1. Stellen Sie als Quelle Bridge-Port ethernet0/1 ein. Für weitere Informationen siehe "Eine Datenverkehrsquelle auswählen (Seite 376)". 2. Stellen Sie als Ziel Bridge-Port ethernet0/2 ein. Für weitere Informationen siehe "Ein Spiegelungsziel definieren (Seite 377)". 3.
Seite 380 Diagnose 15.7 Kabeldiagnose 15.7.1 Einen Kabeldiagnosetest durchführen Um einen Kabeldiagnosetest mit einem Ethernetkabel durchzuführen, gehen Sie wie folgt vor: Hinweis Ein Kabeldiagnosetest an einem einzelnen Bridge-Port dauert durchschnittlich eine bis zwei Sekunden. Hinweis Kabeldiagnosetests können gleichzeitig an mehreren Ports durchgeführt werden. Hinweis Kabeldiagnosetests können nur an Ethernet-Kupferkabeln durchgeführt werden.
Seite 381 Diagnose 15.7 Kabeldiagnose Parameter Beschreibung Result Pair [N] Das Kabeltestergebnis für das Leiterpaar, wobei N folgende Werte annehmen kann: • 12 (Paar 1/2) • 36 (Paar 3/6) • 45 (Paar 4/5) • 78 (Paar 7/8) Mögliche Werte: • good - Es wurden keine Defekte, Kurzschlüsse oder Impe‐ danz-Fehlanpassungen festgestellt.
Seite 382 Diagnose 15.7 Kabeldiagnose Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...
Seite 383 Dieses Kapitel beschreibt Fehler, die bei der Arbeit mit SINEC OS oder bei der Entwicklung eines Netzwerks auftreten können und entsprechende Hilfestellungen. Hinweis Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Siemens-Kundendienst. 16.1 Das Gerät befindet sich in einer Neustart-Schleife Das Gerät führt pausenlos Neustarts durch und Sie können nicht mehr auf das Gerät zugreifen.
Seite 384 Fehlerbehebung 16.2 Das Gerät schaltet sich im Systemhochlauf aus Lösung Wenn das beschriebene Szenario zutrifft, gehen Sie wie folgt vor: 1. Entfernen Sie den CLP. 2. Starten Sie das Gerät neu. Sie haben folgende Möglichkeiten: – Schließen Sie das Gerät wieder an die Spannungsversorgung an. Das Gerät startet und aktiviert die Backup-Firmware.
Seite 385 Fehlerbehebung 16.3 Das Gerät ist über CLI und Web UI nicht erreichbar (Eine Firmware-Datei über TFTP laden) 16.3 Das Gerät ist über CLI und Web UI nicht erreichbar (Eine Firmware-Datei über TFTP laden) Das Gerät ist über CLI und Web UI nicht erreichbar. Lösung Sie können das Gerät mit dem Taster neu starten und im Update-Modus über TFTP eine Firmware-Datei in das Gerät laden.
Seite 386 Fehlerbehebung 16.3 Das Gerät ist über CLI und Web UI nicht erreichbar (Eine Firmware-Datei über TFTP laden) Web User Interface (Web UI) SINEC OS v2.3 Projektierungshandbuch, 04/2023, C79000-G8900-C680-01...

Siemens SIMATIC NET SINEC OS v2.3 Projektierungshandbuch

Quicklinks

Verwandte Anleitungen für Siemens SIMATIC NET SINEC OS v2.3

Inhaltszusammenfassung für Siemens SIMATIC NET SINEC OS v2.3