Seite 1 Vorwort Einleitung Benutzerschnittstelle SIMATIC NET Erste Schritte Industrial Ethernet-Switches Web User Interface (Web UI) Gerätemanagement SINEC OS v3.0 Systemadministration Projektierungshandbuch Security Schnittstellenverwaltung IP-Adressvergabe Routing Netzwerkredundanz Netzwerkerkennung und -management Kontrolle und Klassifikation von Datenverkehr Zeiteinstellungen Für RUGGEDCOM RST2428P Multicast-Filterung Diagnose 04/2024 C79000-G8900-C680-03 Fehlerbehebung...
Seite 2 Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und...
Seite 3 Inhaltsverzeichnis Vorwort ..............................21 Systemvoraussetzungen/-empfehlungen ................21 Cybersecurity-Hinweise...................... 21 Firmware-/Software-Support ....................22 Open Source........................22 Marken ..........................22 Ergänzende Dokumente..................... 23 Schulungsprogramm......................24 Kundendienst ........................24 Einleitung ............................25 Funktionen und Vorteile..................... 25 Security-Empfehlungen...................... 28 Mengengerüst ........................33 Verfügbare Dienste ......................35 Zugriffsrechte ........................
Seite 4 Inhaltsverzeichnis 3.2.6 Konfigurationskonflikte klären .................... 56 3.2.7 Einzelne Konfigurationsänderungen löschen ..............57 3.2.8 Alle Konfigurationsänderungen verwerfen................58 3.2.9 Gespeicherte Konfigurationen anzeigen ................58 3.2.10 Eine Konfiguration wiederherstellen (Rollback) ..............59 Grundlegende Bedienung ....................59 3.3.1 Mit Tabellen arbeiten ......................59 3.3.1.1 Eine neue Zeile hinzufügen ....................
Seite 5 Inhaltsverzeichnis Abmelden.......................... 88 Grundeinstellungen ......................88 4.4.1 Grundeinstellungen konfigurieren ..................89 4.4.1.1 Den Hostnamen ändern ..................... 89 4.4.1.2 Den Gerätestandort angeben ..................... 89 4.4.1.3 Einen Ansprechpartner für das Gerät festlegen ..............90 4.4.2 Die Grundeinstellungen anzeigen..................90 Gerätemanagement ..........................91 Neustarten und Herunterfahren des Geräts ................
Seite 6 Inhaltsverzeichnis 5.8.1.7 LED "RM".......................... 117 5.8.1.8 LEDs "DM1" und "DM2"..................... 117 5.8.1.9 Link-LEDs ......................... 118 5.8.1.10 Taster ..........................118 5.8.2 Den Betriebszustand des Geräts überwachen..............119 5.8.3 Den Anzeigemodus einstellen ..................119 Meldekontakt ........................119 5.9.1 Den Meldekontaktmodus auswählen................120 5.10 Tasterfunktion .........................
Seite 7 Inhaltsverzeichnis 6.2.1.5 Die Bedingung für Großbuchstaben konfigurieren............. 142 6.2.1.6 Die Bedingung für Sonderzeichen konfigurieren ............... 142 6.2.1.7 Die Passwortrichtlinie aktivieren..................143 6.2.2 Die Passwortrichtlinie anzeigen ..................143 Benutzerverwaltung ......................144 6.3.1 Wissenswertes zur Benutzerverwaltung................144 6.3.1.1 Benutzerprofile ........................ 144 6.3.1.2 Groß-/Kleinschreibung bei Benutzernamen ..............
Seite 8 Inhaltsverzeichnis 7.1.2 BFA-Prävention konfigurieren ................... 167 7.1.2.1 Die Zeit für das automatisches Rücksetzen ändern ............167 7.1.2.2 Die maximale Anzahl fehlgeschlagener Anmeldeversuche ändern........167 7.1.2.3 Den Zeitraum zwischen fehlgeschlagenen Anmeldeversuchen ändern ......168 7.1.2.4 Die BFA-Prävention aktivieren................... 168 7.1.3 Blockierung von Benutzer oder IP-Adresse aufheben............169 7.1.4 Die BFA-Prävention überwachen..................
Seite 9 Inhaltsverzeichnis 7.4.1.1 Authentifizierungsmodus ....................202 7.4.1.2 RADIUS-Authentifizierung....................202 7.4.2 Die Benutzerauthentifizierung konfigurieren ..............207 7.4.3 RADIUS-Authentifizierung konfigurieren ................207 7.4.3.1 Ein RADIUS-Server-Profil konfigurieren ................207 7.4.3.2 Einen RADIUS-Server konfigurieren................... 210 7.4.3.3 Eine Verbindung zu einem RADIUS-Server prüfen ............. 212 7.4.4 Den Benutzerauthentifizierungs-Modus auswählen............
Seite 10 Inhaltsverzeichnis 8.1.1.2 Autonegotiation....................... 236 8.1.1.3 Duplex-Kommunikation ....................236 8.1.1.4 Schutz der Steuerung durch Link Fault Indication (LFI) ............237 8.1.1.5 Ersatz im Betrieb/Austausch im Betrieb ................239 8.1.1.6 Medienmodule ........................ 239 8.1.1.7 Stecktransceiver-Ports ...................... 240 8.1.1.8 MTU-Größe und übergroße Frames................... 241 8.1.2 Bridge-Ports konfigurieren ....................
Seite 11 Inhaltsverzeichnis 8.3.2.2 Die Mindestspannung festlegen ..................265 8.3.2.3 Die Zeit für die Wiedereinschaltverzögerung festlegen............266 8.3.3 PoE-Einstellungen für Bridge-Ports konfigurieren .............. 266 8.3.3.1 Die Priorität für einen PoE-Bridge-Port festlegen ............... 266 8.3.3.2 Modus für die Anschlussbelegung der Leistungsschnittstelle auswählen ......267 8.3.3.3 PoE für einen Bridge-Port aktivieren .................
Seite 12 Inhaltsverzeichnis 10.2.2.3 Eine statische Route mit mehreren nächsten Hops konfigurieren........295 10.2.2.4 Eine statische Black-Hole-Route konfigurieren ..............296 10.2.2.5 Eine statische ECMP-Route konfigurieren ................296 10.2.3 Statisches Routing überwachen..................297 10.2.3.1 Den Konfigurationsstatus statischer Routen anzeigen ............297 10.3 OSPF ..........................298 10.3.1 Wissenswertes zu OSPF ....................
Seite 13 Inhaltsverzeichnis 11.1.1.5 Zugehörige Ereignisse...................... 343 11.1.2 STP global konfigurieren....................343 11.1.2.1 STP aktivieren ........................344 11.1.2.2 Die STP-Version auswählen ....................345 11.1.2.3 Die Bridge-Priorität auswählen ..................345 11.1.2.4 Die Hello Time konfigurieren .................... 346 11.1.2.5 Die maximale Alterungszeit konfigurieren................. 347 11.1.2.6 Die Transmit-Hold-Zahl konfigurieren ................
Seite 14 Inhaltsverzeichnis 11.2.2.5 Die Reaktion auf eine lokale Netzwerkschleife konfigurieren ..........375 11.2.2.6 Die Reaktion auf eine Remote-Netzwerkschleife konfigurieren........... 376 11.2.2.7 Die Zeitdauer für die Deaktivierung eines Bridge-Ports konfigurieren ......... 377 11.2.2.8 Den VLAN-Modus aktivieren..................... 378 11.2.2.9 Die Erkennung von Netzwerkschleifen aktivieren .............. 379 11.2.2.10 Einen Bridge-Port nach dem Erkennen einer Netzwerkschleife manuell zurücksetzen ..
Seite 15 Inhaltsverzeichnis 11.6.2 VRRP konfigurieren......................410 11.6.2.1 Einer IP-Schnittstelle eine VRID zuweisen................410 11.6.2.2 Die Option Vorrang für eine IP-Schnittstelle konfigurieren ..........411 11.6.2.3 Das Intervall für VRRP-Benachrichtigungen konfigurieren ..........411 11.6.2.4 Die Priorität einer IP-Schnittstelle konfigurieren ..............411 11.6.2.5 Für eine IP-Schnittstelle eine zugeordnete IP-Adresse konfigurieren........411 11.6.2.6 VRRP aktivieren ........................
Seite 16 Inhaltsverzeichnis 13.2.1.6 Ingress-Filter ........................439 13.2.1.7 Ingress- und Egress-Regeln....................439 13.2.1.8 GARP VLAN Registration Protocol (GVRP) ................440 13.2.1.9 Verbotene VLANs ......................440 13.2.1.10 VLAN-0-Tunnelmodus ...................... 441 13.2.1.11 Vor- und Nachteile bei der Verwendung von VLANs ............442 13.2.2 VLANs konfigurieren ......................443 13.2.2.1 Ein statisches VLAN hinzufügen oder ändern..............
Seite 17 Inhaltsverzeichnis 14.3.2.5 iBurst aktivieren....................... 467 14.3.2.6 Burst aktivieren........................ 468 14.3.2.7 NTP aktivieren........................468 14.3.3 Die NTP-Authentifizierung konfigurieren ................469 14.3.3.1 Einen Authentifizierungsschlüssel konfigurieren..............469 14.3.3.2 Einen Authentifizierungsschlüssel anwenden..............470 14.3.4 NTP überwachen......................470 14.4 PTP ..........................471 14.4.1 Wissenswertes zu PTP ...................... 471 14.4.1.1 Unterstützte Uhrentypen....................
Seite 18 Inhaltsverzeichnis 15.3.2.3 Den IGMP-Modus auswählen.................... 491 15.3.2.4 Das IGMP-Abfrageintervall konfigurieren ................492 15.3.2.5 Überflutung bei Topologieänderungen aktivieren ............. 492 15.3.2.6 IGMP-Snooping pro VLAN aktivieren................. 492 15.3.3 Multicast-Router-Weiterleitung konfigurieren..............493 15.3.3.1 Die Multicast-Router-Weiterleitung aktivieren ..............493 15.3.3.2 Eine Multicast-Router-Schnittstelle konfigurieren .............. 493 15.3.4 IGMP-Snooping überwachen ....................
Seite 19 Inhaltsverzeichnis 16.5.2.2 Die SMTP-Serververbindung testen................... 525 16.5.2.3 SMTP aktivieren ....................... 525 16.5.3 Das SMTP-Konto konfigurieren..................525 16.5.3.1 Die E-Mail-Adresse des Kontos konfigurieren..............526 16.5.3.2 Eine Beschreibung für das Konto hinzufügen ..............526 16.5.4 Einen SMTP-Server konfigurieren..................526 16.5.4.1 Das SMTP-Serverprofil konfigurieren ................. 527 16.5.4.2 Die Verzögerung für SMTP-Antworten konfigurieren ............
Seite 20 Inhaltsverzeichnis Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 21 Weiterführende Informationen zu möglichen Schutzmaßnahmen im Bereich Industrial Cybersecurity finden Sie unter: https://www.siemens.com/cybersecurity-industry (http://www.siemens.com/ industrialsecurity) Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Produkt-Updates anzuwenden, sobald Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 22 Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Cybersecurity RSS Feed unter: https://www.siemens.com/cert (https://www.siemens.com/cert) Firmware-/Software-Support Informieren Sie sich regelmäßig über neue Firmware-/Software-Versionen oder Sicherheits-...
Seite 23 Die aufgeführten Dokumente sind die zur Zeit der Publikation verfügbaren Dokumente. Neuere Versionen dieser Dokumente oder der zugehörigen Produkte sind möglicherweise verfügbar. Weitere Informationen finden Sie in SIOS oder Sie wenden sich an den Siemens-Kundendienst. Produkthinweise Produkthinweise sind online über SIOS (https://support.industry.siemens.com/cs/ww/de/ps/...
Seite 24 Schulungsprogramm (https://support.industry.siemens.com/cs/ww/de/sc/2226), oder Sie wenden sich an einen Siemens-Vertriebsmitarbeiter. Kundendienst Der Kundendienst steht allen Siemens-Kunden 24 Stunden am Tag, 7 Tage die Woche zur Verfügung. Für technischen Support oder allgemeine Informationen wenden Sie sich auf eine der folgenden Arten an den Siemens-Kundendienst: Online Besuchen Sie (https://www.siemens.com/automation/support-request), um eine...
Seite 25 Einleitung Willkommen beim SINEC OS Web UI-Konfigurationshandbuch. Dieses Dokument erläutert, wie Sie Ihr Gerät über die Web-Benutzeroberfläche für SINEC OS konfigurieren. Hinweis Die Web-Benutzeroberfläche für SINEC OS bietet beschränkte Konfigurationsoptionen und eine Übersicht ausgewählter Leistungsmerkmale. Vollständige Konfigurations- und Betriebsinformationen sind über das Command Line Interface (CLI) verfügbar. In diesem Dokument werden daher nur die eingeschränkten Funktionen der Web-Benutzeroberfläche beschrieben.
Seite 26 NETCONF kann für direktes Bearbeiten und Abfragen eines Geräts verwendet oder in Skriptbefehle integriert werden. Für weitere Informationen zur Verwendung von NETCONF siehe "NETCONF für SINEC OS Referenzhandbuch (https://support.industry.siemens.com/cs/ww/de/view/109814712)". Für Informationen zum Konfigurieren von NETCONF-Sitzungen in SINEC OS siehe "Die NETCONF-Benutzerschnittstelle konfigurieren (Seite 71)".
Seite 27 Einleitung 2.1 Funktionen und Vorteile • Virtual Routing Redundancy Protocol (VRRP) VRRP ist ein Netzwerkprotokoll, das die Redundanz von Routern in einem Netzwerk verbessert. Es ermöglicht die Konfiguration mehrerer Router als virtuelle Gruppe, wobei einer als Master und die anderen als Backups fungieren. Der Master-Router übernimmt den Datenverkehr, während die Backup-Router den Zustand des Masters überwachen.
Seite 28 Einleitung 2.2 Security-Empfehlungen • Schnittstellenkonfiguration und Status Geschwindigkeit, Duplex, Autonegotiation, Flusskontrolle und andere Einstellungen können für einzelne Bridge-Ports konfiguriert werden. Dadurch kann das Gerät funktionierende Verbindungen mit Geräten herstellen, die keine Negotiation haben oder nicht über Standardeinstellungen verfügen. • Schnittstellenstatistiken Kontinuierlich aktualisierte Statistiken sind per Schnittstelle verfügbar, ausführliche Zähler für Frames (Ingress und Egress) und Frame-Bytes sowie ausführliche Fehlerzahlen.
Seite 29 Für weitere Informationen siehe Industrial Security (https://www.siemens.com/ industrialsecurity). • Prüfen Sie die Benutzerdokumentation anderer Siemens-Produkte, die zusammen mit dem Gerät verwendet werden, auf weitere Security-Empfehlungen. • Sorgen Sie mit Hilfe der Remote-Systemprotokollierung dafür, dass die Systemprotokolle an einen zentralen Syslog-Server weitergeleitet werden. Achten Sie darauf, dass der Server sich innerhalb des geschützten Netzwerks befindet, und schauen Sie regelmäßig in den...
Seite 30 • Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12". • Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit. • Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der Rückkehr des Geräts zerstört werden können.
Seite 31 Einleitung 2.2 Security-Empfehlungen • Gestatten Sie niemals, dass der serielle Konsolenport vom Internet aus zugänglich ist. Dieser Port ist von den Maßnahmen zur Verhinderung von Brute-Force-Attacken (BFA) ausgenommen, damit Administratoren während eines aktiven Denial-of-Service-Angriffs (DoS) auf das Gerät zugreifen können. • Es wird dringend empfohlen, den Schutz vor Brute-Force-Angriffen (BFA) aktiviert zu lassen, um zu verhindern, dass sich Fremde unbefugten Zugriff auf das Gerät verschaffen.
Seite 32 ProductCERT Security Advisories (https://www.siemens.com/cert/de/cert-security- advisories.htm). Updates zu den Security Advisories für Siemens-Produkte erhalten Sie, indem Sie sich beim RSS-Feed auf der Webseite ProductCert Security Advisories anmelden oder @ProductCert auf Twitter folgen. • Aktivieren Sie nur die Dienste, die auf dem Gerät verwendet werden, einschließlich physischer Ports.
Seite 33 Einleitung 2.3 Mengengerüst • Wenn Sie SNMP (Simple Network Management Protocol) verwenden: – Konfigurieren Sie SNMP so, dass bei Authentifizierungsfehlern eine Benachrichtigung erzeugt wird. Für weitere Informationen siehe "SNMP (Seite 421)". – Stellen Sie sicher, dass die Standard-Community-Strings in eindeutige Werte geändert werden.
Seite 34 Einleitung 2.3 Mengengerüst IP-Adressvergabe Funktion Grenzwert Anzahl DNS-Server Anzahl DNS-Domänen DHCP Anzahl der DHCP-Clients Statische IPv4-Adressen Statische IPv4-Adressen pro VLAN Routing Funktion Grenzwert Allgemein Maximale Anzahl an statischen/dynamischen Uni‐ 4000 cast-Routen Statisches Routing Anzahl Next-Hops Anzahl Next-Hops pro statischer Route OSPF Maximale Anzahl an OSPF-Areas, denen das Gerät beitreten kann Maximale Anzahl an LSAs in der LSDB...
Seite 35 Einleitung 2.4 Verfügbare Dienste Funktion Grenzwert Traffic-Klassen Anzahl Zuordnungen Priorität/Traffic-Klasse pro Warteschlange Anzahl Zuordnungen DSCP/Traffic-Klasse pro War‐ teschlange Uhrzeitdienste Funktion Grenzwert Anzahl der gesicherten NTP-Server Anzahl der ungesicherten NTP-Server Anzahl der Authentifizierungsschlüssel Multicast-Filterung Funktion Grenzwert Allgemein Anzahl im System installierter Multicast-Streams 1023 IGMP Anzahl von Layer 2-IGMP-Gruppenweiterleitungs‐...
Seite 36 Einleitung 2.4 Verfügbare Dienste • Konfigurierbarer Dienst Gibt an, ob der Dienst konfiguriert werden kann oder nicht. • Konfigurierbare Portnummer Gibt an, ob die Portnummer konfiguriert werden kann. • Authentifizierung Gibt an, ob eine Authentifizierung des Kommunikationspartners stattfindet oder ob eine Authentifizierung konfiguriert werden kann.
Seite 37 Einleitung 2.5 Zugriffsrechte Dienst Proto‐ Lokale De‐ Remote-De‐ Default Konfigurier‐ Konfigurier‐ Authentifi‐ Ver‐ koll fault- fault-Port‐ -Serversta‐ barer bare Port‐ zierung schlüsse‐ Portnum‐ nummer Dienst nummer lung SNMPv3 Deaktiviert ✓ ✓ Konfigurier‐ Konfigu‐ rierbar Aktiviert ✓ ✓ ✓ ✓ SSH/NETCONF Aktiviert ✓...
Seite 38 Einleitung 2.6 Gerätekonfiguration Die folgende Tabelle zeigt Abweichungen bei Konfigurationsdaten. Der Eintrag "-" zeigt an, dass es keine Abweichung zu den grundsätzlichen Zugriffsrechten gibt. Tätigkeit Zulässiger Pfad Zugriffsrechte pro Benutzerprofil Admin Guest Das eigene Benutzer‐ /system/authentication/ konto konfigurieren user{OWN} Lokale Benutzer konfigu‐ /system/authentication/ rieren user...
Seite 39 Einleitung 2.6 Gerätekonfiguration werden im Kandidaten-Datenspeicher gespeichert. Die laufende Konfiguration bleibt davon unbeeinflusst. Sie können sich in dieser Konfigurationsstufe die Konfigurationsänderungen und die laufende Konfiguration anzeigen lassen. Zusätzlich können Sie sich anzeigen lassen, wie die Zielkonfiguration nach dem Bestätigen aussehen würde. Für weitere Informationen siehe "Konfigurationsänderungen anzeigen (Seite 53)".
Seite 40 Einleitung 2.7 Unterstützte Funktionen Konflikte mit dem Befehl Validate ausgeben lassen, siehe auch "Konfigurationsänderungen prüfen (Seite 54)". Konfigurationen wiederherstellen (Rollback) Sie können überschriebene Konfigurationswerte wiederherstellen und damit die zuvor bestätigten Änderungen rückgängig zu machen. Für weitere Informationen siehe "Eine Konfiguration wiederherstellen (Rollback) (Seite 59)". Unterstützte Funktionen Über das Web UI können Sie nur bestimmte Funktionen konfigurieren und anzeigen.
Seite 41 Einleitung 2.7 Unterstützte Funktionen Funktion Web UI Statische IP-Adressvergabe Statisches DNS DHCP Routing OSPF Spanning Tree Protocol Enhanced Passive Listening Compatibility Erkennung von Netzwerkschleifen Passive Listening VRRP LLDP SNMP Begrenzung der Übertragungsgeschwindigkeit VLANs Traffic-Klassen Datum und Systemzeit Zeitverschiebung und Sommerzeit NTP-Client NTP-Server SIMATIC Time Frame Preemption...
Seite 42 Einleitung 2.8 Unterstützte Internet-Browser Funktion Web UI Systemprotokollierung SMTP Spiegelung von Datenverkehr Kabeldiagnose Unterstützte Internet-Browser Das SINEC OS Web UI wurde mit den folgenden Internet-Browsern getestet: Internet-Browser Ab Version Google Chrome Mozilla Firefox ESR 91.3.0 Microsoft Edge Chromium Hinweis Verwendung des Microsoft Internet Explorers ist nicht freigegeben Das SINEC OS Web UI ist nicht für die Verwendung mit dem Microsoft Internet Explorer freigegeben.
Seite 43 Einleitung 2.8 Unterstützte Internet-Browser Browser-Einstellung in Microsoft Edge Chromium Um das Web UI fehlerfrei nutzen zu können, nehmen Sie folgende Einstellung in Microsoft Edge Chromium vor: 1. Öffnen Sie Microsoft Edge Chromium. 2. Navigieren Sie zu Einstellungen ≫ Datenschutz, Suche und Dienste ≫ Browserdaten löschen ≫...
Seite 44 Einleitung 2.8 Unterstützte Internet-Browser Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 45 Benutzerschnittstelle In diesem Kapitel wird beschrieben, wie Sie das SINEC OS Web User Interface (Web UI) nutzen. Benutzeroberfläche In diesem Abschnitt wird der Aufbau der grafischen Benutzeroberfläche des Web UI beschrieben. 3.1.1 Anmeldeseite Die folgende Grafik zeigt die Anmeldeseite. Bild 3-1 Anmeldeseite des Web UI von SINEC OS Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 46 Für weitere Informationen zur Anmeldung im Web UI siehe "Anmelden (Seite 86)". • Support Wenn Sie auf den Link Support klicken, wird in einem neuen Register die Internetseite des Siemens Industry Online Support geöffnet. 3.1.2 Startseite Wenn Sie sich erfolgreich angemeldet haben, befinden Sie sich auf der Startseite. Am Beispiel der Startseite sehen Sie in der folgenden Grafik die einzelnen Bereiche des Web UI.
Seite 47 In der Kopfleiste stehen Ihnen folgende Elemente zur Verfügung: • Logo der Siemens AG Wenn Sie auf das SIEMENS-Logo klicken, laden Sie die Startseite des Web UI. • Name des Geräts Der Gerätename zeigt an, mit welchem Gerät Sie verbunden sind. Sie können den Gerätenamen nicht ändern.
Seite 48 Benutzerschnittstelle 3.1 Benutzeroberfläche Bezeichnung Symbol Beschreibung Exclusive Configurati‐ Deaktiviert Über den Schieberegler aktivieren oder deaktivieren Sie die ex‐ klusive Konfiguration: (Default) • Deaktiviert Aktiviert Der gemeinsam genutzte Konfigurationsmodus ist aktiv. • Aktiviert Der exklusive Konfigurationsmodus ist aktiv. Für weitere Informationen zum Konfigurationsmodus siehe "Ei‐ nen Konfigurationsmodus wählen (Seite 52)".
Seite 49 Benutzerschnittstelle 3.1 Benutzeroberfläche Bezeichnung Symbol Beschreibung Benutzerprofil Wenn Sie auf das Symbol klicken, werden folgende Informatio‐ nen angezeigt: • Username - Name des angemeldeten Benutzers • IP Address - IP-Adresse des Client-PCs, über den der Benutzer auf das Web UI zugreift •...
Seite 50 In der Kopfleiste stehen folgende Informationen zur Verfügung: – Das Logo der Siemens AG oben links Wenn Sie auf das SIEMENS-Logo klicken, laden Sie die Startseite der Online-Hilfe. – Der Dokumenttitel oben rechts Der Dokumenttitel gibt an, für welche Version von SINEC OS die Online-Hilfe gilt.
Seite 51 Sie können die Grafik mit den Lupen-Symbolen oder dem Mausrad weiter vergrößern bzw. verkleinern. Schließt die vergrößerte Ansicht der Grafik. • Fußleiste Die Fußleiste enthält Links zu allgemeinen Siemens-Informationen. 3.1.4.3 In der Online-Hilfe suchen Um in der Online-Hilfe zu suchen, gehen Sie wie folgt vor: 1.
Seite 52 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 4. Um eine Suche zu starten, klicken Sie auf einen Suchbegriff oder neben dem Eingabefeld Anstelle der Suchbegriffe werden die Kapitel aufgelistet, in denen der Suchbegriff vorkommt. 5. Um einen Kapitelinhalt anzuzeigen, klicken Sie auf das Kapitel. Die Liste der Kapitel wird weiterhin angezeigt. Der Suchbegriff ist im Text Orange hervorgehoben.
Seite 53 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.2 Konfigurationsänderungen anzeigen Um unbestätigte Konfigurationsänderungen anzuzeigen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. Vom rechten Rand des Browser-Fensters wird der Bereich für Konfigurationstransaktionen im Inhaltsbereich eingeblendet. Die Informations- und Konfigurationsseiten sind weiterhin verfügbar.
Seite 54 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.3 Konfigurationsänderungen prüfen Um die Konfigurationsänderungen zu prüfen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3. Klicken Sie im Untermenü der Schaltfläche Commit auf Validate. Mögliche Optionen: –...
Seite 55 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.5.1 Konfigurationsänderungen in einem Schritt prüfen und bestätigen Um Konfigurationsänderungen in einem Schritt zu prüfen und zu bestätigen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3.
Seite 56 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 4. Wechseln Sie zum Register Commit. 5. Unter Commit Confirmed Timeout [m] geben Sie einen Zeitraum in Minuten an. Bedingungen: – Min. 1 Minute – Max. 1440 Minuten Default: 10 Minuten 6.
Seite 57 Benutzerschnittstelle 3.2 Konfigurationstransaktionen Fehlermeldung ausgegeben und in Konflikt stehende Konfigurationsänderungen werden mit einem roten Ausrufezeichen angezeigt. Component Operation New Value Old Value Conflict System Information > Hostna‐ value_set switch02 localhost Für weitere Informationen siehe "Konfigurationsänderungen anzeigen (Seite 53)". In einer Web UI-Sitzung gibt es folgende Alternativen, um Konfigurationskonflikte zu klären. Die Konfigurationsänderung überschreiben Um die Änderung der anderen Sitzung mit Ihrem konfigurierten Wert zu überschreiben, gehen Sie wie folgt vor:...
Seite 58 Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.8 Alle Konfigurationsänderungen verwerfen Um die Konfigurationsänderungen zu verwerfen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Wechseln Sie zum Register Commit. 3. Klicken Sie auf die Schaltfläche Abort. 3.2.9 Gespeicherte Konfigurationen anzeigen Bevor Sie Konfigurationsänderungen bestätigen, wird ein Zeitstempel erstellt, um die vor der...
Seite 59 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.2.10 Eine Konfiguration wiederherstellen (Rollback) Wenn Sie eine Konfiguration wiederherstellen, wird die laufende Konfiguration auf einen älteren Stand zurückgesetzt. Hinweis Nach dem Laden einer Firmware-Datei mit einer abweichenden Firmware-Version, werden alle gespeicherten Konfigurationsstände gelöscht. Die aktuelle Konfiguration bleibt erhalten und wird nicht verändert.
Seite 60 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.3.1.1 Eine neue Zeile hinzufügen Um eine neue Zeile hinzuzufügen, gehen Sie wie folgt vor: 1. Klicken Sie auf die Schaltfläche Add. 2. [Optional] Konfigurieren Sie die Parameter der Zeile. 3. Bestätigen Sie die Änderungen. 3.3.1.2 Eine Zeile selektieren Um eine Zeile zu selektieren, klicken Sie auf das Häkchen in der ersten Spalte.
Seite 61 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3. Geben Sie in der ersten Zeile unter Transmission Interval den gewünschten Wert ein. Der Wert wird für alle Bridge-Ports übernommen. In jeder Zeile wird ein blaues Häkchen neben dem Eingabefeld angezeigt. 4. Bestätigen Sie die Änderungen. 3.3.1.5 Aktionen für alle Zeilen einer Tabelle gleichzeitig ausführen Manche Tabellen haben eine erste Zeile mit dem Schlüsselwort All.
Seite 62 Auf die Startseite wechseln Um auf die Startseite zu wechseln, haben Sie folgende Möglichkeiten: • Klicken Sie in der Kopfleiste links auf das SIEMENS-Logo. • Klicken Sie in der Brotkrümelnavigation auf Home. Web User Interface (Web UI) SINEC OS v3.0...
Seite 63 Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.3.3 Mehrfachauswahl in Drop-Down-Listen Es gibt verschiedene Arten von Drop-Down-Listen. In manchen Drop-Down-Listen können Sie nur einen der angezeigten Einträge auswählen, z. B. Enabled oder Disabled. Wenn es jedoch um die Auswahl von z. B. Schnittstellen oder VLANs geht, ist in manchen Drop-Down-Listen eine Mehrfachauswahl möglich.
Seite 64 Benutzerschnittstelle 3.3 Grundlegende Bedienung Zum Laden und Speichern über einen Remote-Server werden folgende Angaben benötigt: • Protokoll Es werden folgende Protokolle unterstützt: – FTP – SFTP Um eine Verbindung mit einem SFTP-Server aufzubauen, muss der Fingerprint des öffentlichen Schlüssels im Truststore des Geräts hinterlegt sein. Beim ersten Verbindungsaufbau mit einem SFTP-Server erfolgt eine Sicherheitsabfrage.
Seite 65 Benutzerschnittstelle 3.3 Grundlegende Bedienung • Port Den Port müssen Sie nur angeben, wenn nicht der voreingestellte Port verwendet werden soll: Protokoll Voreingestellter Port TCP-Port 21 SFTP TCP-Port 22 TFTP UDP-Port 69 HTTP TCP-Port 80 • Pfad zur Datei inklusive des Dateinamens Bei dem Protokoll SFTP müssen Sie den gesamten Pfad auf dem Remote-Server bis zu der Datei angeben.
Seite 66 Benutzerschnittstelle 3.3 Grundlegende Bedienung 8. Unter File Path / File Name geben Sie den Pfad zu der Datei und den Dateinamen ein. 9. [Optional] Unter File Integrity Protection können Sie die Datei im geschützten Modus abspeichern. Mögliche Optionen: Option Beschreibung Disabled Default Die Datei wird ohne weitere Optionen abgespeichert.
Seite 67 Benutzerschnittstelle 3.3 Grundlegende Bedienung Bei der Angabe einer Zeitdauer müssen folgende Reglen eingehalten werden: • Es muss mindestens eine Zeitangabe mit Trennzeichen vorhanden sein. • Zwischen den Zeitangaben werden keine Leerzeichen verwendet. • Die Reihenfolge der Zeitangaben ist fest vorgegeben. • Wenn eine Zeitangabe den Wert "0" hat, kann die Zeitangabe inklusive Trennzeichen entfallen.
Seite 68 Benutzerschnittstelle 3.3 Grundlegende Bedienung Optische Rückmeldung Beschreibung Blaues Häkchen Eine Eingabe wurde erfolgreich gegen den entsprechenden Datentyp geprüft und ist korrekt. Die Prüfung erfolgt automatisch bei der Eingabe. Nur korrekte Konfigurationsänderungen werden in die Kandidatenlis‐ te aufgenommen. Beispiel In diesem Beispiel wurde die Systemzeit in einem ungültigen Format eingegeben: "2020-3-25 9:00"...
Seite 69 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Optische Rückmeldung Beschreibung Abgekürzte Oberflächentexte Ingress Rate... Wenn der verfügbare Platz für einen Oberflächentext nicht ausreicht, wird der Text mit "..." abgekürzt. Dies gilt für Überschriften und Felder. all broadcast mu... Tooltips Ingress Rate... Wenn Sie mit dem Mauszeiger über das Feld fahren, wird der abge‐ kürzte Text als Tooltip angezeigt.
Seite 70 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Für weitere Informationen zur SNMP-Benutzerschnittstelle siehe "SNMP (Seite 421)". Für jede Benutzerschnittstelle können Sie den Zustand (Aktiviert/Deaktiviert), den Inaktivitäts- Timeout sowie die Protokoll-Einstellungen (z. B. IP-Adresse und Port, verwendete SSH- oder TLS-Schlüssel) konfigurieren. Die Server-Konfiguration ist in SINEC OS über Endpunkte realisiert. Ein Endpunkt ist definiert als eine unabhängige Instanz eines Server-Services.
Seite 71 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Web UI HTTPS Endpunkt Default Name im CLI secure Name im Web UI HTTPS Endpunkt aktiviert IP-Adresse 0.0.0.0 Port NETCONF SSH Endpunkt Default Name im CLI default Name im Web UI NETCONF Endpunkt aktiviert IP-Adresse 0.0.0.0 Port 3.4.1 Die NETCONF-Benutzerschnittstelle konfigurieren...
Seite 72 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um die NETCONF-Benutzerschnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter NETCONF ändern Sie den Parameter Status in Enabled. 3. Bestätigen Sie die Änderung. 3.4.1.2 Den Inaktivitäts-Timeout für NETCONF-Sitzungen ändern Das Inaktivitäts-Timeout gibt die Zeit an, für die eine NETCONF-Sitzung bei Inaktivität offen bleibt.
Seite 73 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.1.3 Einen Server-Endpunkt für NETCONF konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein Server-Endpunkt NETCONF- Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 74 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Das Schlüsselaustauschverfahren bestimmt die Schlüsselstärke. Je größer die Nummer der Diffie-Hellman-Gruppe, desto stärker und sicherer ist der Schlüssel. Ein stärkerer Schlüssel erfordert jedoch auch mehr Rechenzeit und -leistung. Hinweis Eine Zuordnung der elliptischen Kurven zu Diffie-Hellman-Gruppen finden Sie hier: Internet Key Exchange Version 2 (IKEv2) Parameters (https://www.iana.org/assignments/ikev2- parameters/ikev2-parameters.xhtml#ikev2-parameters-8)
Seite 75 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Nur Benutzer mit dem Benutzerprofil Admin können einen Server-Endpunkt aktivieren. Um einen Server-Endpunkt für NETCONF zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter NETCONF ≫ Endpoint werden die verfügbaren Server-Endpunkt für NETCONF angezeigt.
Seite 76 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um den Inaktivitäts-Timeout global für CLI-Sitzungen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter CLI ändern Sie den Parameter Idle Timeout. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 77 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Unter Endpoint wählen Sie einen Endpunkt und ändern Sie in der Spalte IP Address die IP- Adresse, über die CLI-Anfragen bearbeitet werden. Default: 0.0.0.0 Die Default-IP-Adresse lässt Client-Anfragen auf allen lokalen Adressen zu. 4. Bestätigen Sie die Änderungen. 3.4.2.3 Das SSH-Schlüsselaustauschverfahren für einen CLI-Server-Endpunkt ändern Beim Aufbau einer SSH-Verbindung erfolgt ein Schlüsselaustausch, um gemeinsame...
Seite 78 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Unter Cipher Selection wählen Sie ein SSH-Schlüsselaustauschverfahren aus. Mögliche Optionen: Option Beschreibung curve448-sha512 Für weitere Informationen siehe RFC8731 (https:// www.ietf.org/rfc/rfc8731.html) curve25519-sha256 Für weitere Informationen siehe RFC8731 (https:// www.ietf.org/rfc/rfc8731.html) diffie-hellman-group14-sha1 Für weitere Informationen siehe RFC4253 (https:// www.ietf.org/rfc/rfc4253.html) diffie-hellman-group16-sha512 Für weitere Informationen siehe RFC8268...
Seite 79 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.3 Die Web-Benutzerschnittstelle konfigurieren Um die Web-Benutzerschnittstelle zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie die Web-Benutzerschnittstelle. Für weitere Informationen siehe "Die Web-Benutzerschnittstelle aktivieren (Seite 79)". 2. [Optional] Ändern Sie den Inaktivitäts-Timeout für Web UI-Sitzungen. Für weitere Informationen siehe "Den Inaktivitäts-Timeout für Web UI-Sitzungen ändern (Seite 80)".
Seite 80 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.3.2 Den Inaktivitäts-Timeout für Web UI-Sitzungen ändern Das Inaktivitäts-Timeout gibt die Zeit an, für die eine Web UI-Sitzung bei Inaktivität offen bleibt. Nach Ablauf des Inaktivitäts-Timeouts beendet der Server die Web UI-Sitzung automatisch. Hinweis Wenn Sie den Inaktivitäts-Timeout ändern, betrifft die Änderung nur neue Web UI-Sitzungen. Für bereits bestehende Web UI-Sitzungen wird der Inaktivitäts-Timeout nicht geändert.
Seite 81 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen HTTP-Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTP-Server-Endpunkt angezeigt. 2. Unter Endpoint wählen Sie einen HTTP-Server-Endpunkt und ändern Sie in der Spalte TCP Port den Port, über den Web UI-Anfragen bearbeitet werden.
Seite 82 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.3.5 Einen HTTPS-Server-Endpunkt für das Web UI konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein HTTPS-Server-Endpunkt Web UI-Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den HTTPS-Server-Endpunkt konfigurieren, ist das Gerät über den HTTPS-Server-...
Seite 83 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um die TLS-Versionen zu konfigurieren, die von einem HTTPS-Server-Endpunkt verwendet werden sollen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Transport Security. 2. Unter Supported TLS Versions konfigurieren Sie die TLS-Version(en). Mögliche Optionen: Option Beschreibung...
Seite 84 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 4. Bestätigen Sie die Änderung. Um das geladene Zertifikat anzuwenden, müssen Sie den HTTPS-Server-Endpunkt neu starten. 5. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTPS-Server-Endpunkt angezeigt. 6.
Seite 85 Erste Schritte In diesem Kapitel wird beschrieben, welche grundlegenden Schritte bei der Erstinbetriebnahme des Geräts auszuführen sind. Zu den Aufgaben gehören die Herstellung der Verbindung zu dem Gerät, der Zugriff auf die Benutzeroberfläche und das Konfigurieren eines Basisnetzwerks. Über eine Netzwerkverbindung auf das Web UI zugreifen Um auf das Web UI (Web User Interface) zuzugreifen, stellen Sie zwischen einem Client-PC und einem Gerät eine Remote-Verbindung über das Netzwerk her.
Seite 86 Erste Schritte 4.2 Anmelden Eine Verbindung zu einem Gerät herstellen Um auf das Web UI zuzugreifen, gehen Sie wie folgt vor: 1. Öffnen Sie einen Internet-Browser. 2. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse oder die URL des Geräts ein. 3.
Seite 87 Erste Schritte 4.2 Anmelden Wenn Sie sich bei einem Gerät mit Default-Einstellungen anmelden, gehen Sie wie folgt vor: 1. Stellen Sie eine Verbindung zu dem Gerät her und rufen Sie das Web UI auf. Die Anmeldeseite des Web UI wird angezeigt. Für weitere Informationen siehe "Über eine Netzwerkverbindung auf das Web UI zugreifen (Seite 85)".
Seite 88 Erste Schritte 4.4 Grundeinstellungen 6. Klicken Sie in das Feld Confirm Password und geben Sie das neue Passwort erneut ein. 7. Klicken Sie auf Change Password oder drücken Sie die Eingabetaste. Das Gerät prüft die Eingaben. Als optische Rückmeldung erscheint rechts neben den Feldern ein Ladesymbol.
Seite 89 Erste Schritte 4.4 Grundeinstellungen 4.4.1 Grundeinstellungen konfigurieren Um die Grundeinstellungen für das Gerät zu konfigurieren, gehen Sie wie folgt vor: 1. Ändern Sie den Hostnamen für das Gerät. Für weitere Informationen siehe "Den Hostnamen ändern (Seite 89)". 2. Geben Sie den physischen Standort des Geräts an. Für weitere Informationen siehe "Den Gerätestandort angeben (Seite 89)".
Seite 90 Erste Schritte 4.4 Grundeinstellungen Um anzugeben, wo sich das Gerät befindet, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Information & State. 2. Unter System Information geben Sie eine Beschreibung des Standorts ein, der unter Location angegeben ist. Bedingung: –...
Seite 91 Gerätemanagement In diesem Kapitel wird beschrieben, wie Sie die Gerätehardware verwalten, etwa wie Sie einen Neustart durchführen oder das Gerät herunterfahren, die Firmware verwalten oder die Konfigurationsdateien verwalten. Neustarten und Herunterfahren des Geräts Dieses Kapitel beschreibt, wie Sie das Gerät neu starten und herunterfahren. 5.1.1 Wissenswertes zum Neustarten und Herunterfahren des Geräts In diesem Abschnitt wird beschrieben, welche Auswirkungen ein Neustarten und...
Seite 92 Gerätemanagement 5.2 Das Gerät auf Default-Einstellungen zurücksetzen localhost# system restart Are you sure you want to restart the device? [no,yes] yes There are 1 other active user session(s) which would be killed. Are you sure you want to continue? [no,yes] yes 5.1.1.3 Konfigurationsänderungen berücksichtigen Wenn ein Benutzer Konfigurationsänderungen bestätigt hat (commit), wird diese Aktion...
Seite 93 Gerätemanagement 5.3 Das Gerät außer Betrieb nehmen Hinweis Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, werden alle Konfigurationen gelöscht, inklusive: • der IP-Adresse • der angelegten Benutzer • der Passwörter • der benutzerdefinierten Schlüssel und Zertifikate Das Gerät ist danach nur über die serielle Schnittstelle erreichbar. Wenn Sie dem Gerät über DHCP oder DCP (z.
Seite 94 Gerätemanagement 5.4 Firmware Um das Gerät außer Betrieb zu nehmen, gehen Sie wie folgt vor: 1. Beziehen Sie eine Kopie der aktuell auf dem Gerät installierten Firmware. Für weitere Informationen siehe "Ein Firmware-Paket beziehen (Seite 95)". 2. Laden Sie die aktuelle Firmware erneut und setzen Sie die Konfigurationseinstellungen auf die Default-Einstellungen zurück.
Seite 95 Installierte Version des Bootloaders, der auf dem Gerät läuft 5.4.3 Ein Firmware-Paket beziehen Standardmäßig stehen gültige Firmware-Pakete zum Download im Siemens Industry Online Support (SIOS (https://support.industry.siemens.com/cs/de/de/ps/15296/dl)) zur Verfügung. Alternativ erhalten Sie Firmware-Pakete auch über den Siemens-Kundendienst. Um ein Firmware-Paket über SIOS zu beziehen, gehen Sie wie folgt vor: 1.
Seite 96 Gerätemanagement 5.4 Firmware 5.4.4 Die Firmware upgraden Sie können eine Firmware-Datei von einem lokalen Client-PC oder einem Remote-Server laden. 5.4.4.1 Eine neuere Firmware-Datei von einem lokalen Client-PC laden ACHTUNG Elektrische Gefährdung - Gefahr eines Gerätefehlers durch Verlust der Spannungsversorgung Wenn das Gerät die Spannungsversorgung verliert, während eine Firmware-Datei geladen wird, kann ein Fehlerzustand auftreten.
Seite 97 Gerätemanagement 5.4 Firmware 6. Melden Sie sich an. Für weitere Informationen siehe "Bei einem konfigurierten Gerät anmelden (Seite 88)". 7. [Optional] Prüfen Sie die Firmware-Version. Für weitere Informationen siehe "Die aktuelle Firmware-Version anzeigen (Seite 95)". 5.4.4.2 Eine neuere Firmware-Datei von einem Remote-Server laden Sie können eine Firmware-Datei von einem Remote-Server laden.
Seite 98 Gerätemanagement 5.4 Firmware Um eine Firmware-Datei über einem Remote-Server zu laden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Firmware. 2. Unter Load Firmware from Remote Server konfigurieren Sie die Einstellungen für den Remote-Server. Für weitere Informationen zum Laden von Dateien über einen Remote-Server siehe "Dateien über einen Remote-Server laden und speichern (Seite 63)".
Seite 99 Gerätemanagement 5.4 Firmware Hinweis Sie haben folgende Möglichkeiten, um eine Firmware-Änderung abzubrechen oder rückgängig zu machen: • Wenn Sie das Gerät noch nicht neu gestartet haben, können Sie die geladene Firmware-Datei ablehnen. Für weitere Informationen siehe "Eine geladene Firmware-Datei ablehnen (Seite 101)". •...
Seite 100 Gerätemanagement 5.4 Firmware Voraussetzungen • Sie haben einen Server entsprechend konfiguriert. Hinweis Konfigurationsrisiko - Gefahr des Verbindungsverlusts Während SINEC OS eine Firmware-Datei von einem Remote-Server lädt, entstehen Pausen in der Dateiübertragung, in denen SINEC OS Teile der empfangenen Firmware-Datei im Hintergrund bereits verarbeitet. Um Abbrüche bei der Übertragung von Firmware-Dateien zu verhindern, können Sie auf dem Remote-Server einen Timeout einstellen.
Seite 101 Gerätemanagement 5.4 Firmware 3. Um die Firmware-Datei zu laden, klicken Sie auf Load. – Während die Firmware geladen wird, wird ein Ladesymbol angezeigt. – Wenn die Firmware erfolgreich geladen wurde, erscheint rechts neben dem Feld ein grünes Häkchen. – Wenn beim Laden der Firmware ein Fehler aufgetreten ist, erscheint rechts neben dem Feld ein rotes Ausrufezeichen und eine Fehlermeldung wird angezeigt.
Seite 102 Gerätemanagement 5.5 Gerätehardware In folgenden Fällen können Sie die Backup-Firmware nicht aktivieren: • Wenn Sie nach dem Laden einer Firmware-Datei die Konfiguration ändern und die Konfigurationsänderungen bestätigen. • Wenn Sie eine neue Firmware aktiviert haben, indem Sie das Gerät auf Default-Einstellungen zurückgesetzt haben.
Seite 103 Gerätemanagement 5.6 Konfigurationsdatei 5.5.1 Hardwarekomponenten auflisten Um die auf Ihrem Gerät installierten Hardwarekomponenten aufzulisten, navigieren Sie zu System ≫ Hardware ≫ Hardware Information. Unter Hardware Information werden die folgenden Informationen angezeigt: Parameter Beschreibung Component Name Ein eindeutiger Name der Komponente Class Der Typ der Komponente Description Eine Beschreibung der Komponente...
Seite 104 Gerätemanagement 5.6 Konfigurationsdatei Schnittstellenkonfiguration überschrieben und stimmt sonst möglicherweise nicht mit der vorhandenen Hardware überein. Wenn Sie die Konfiguration einer ausgefallenen Netzwerkkomponente in ein kompatibles Ersatzgerät laden, übernimmt das Ersatzgerät die Konfiguration sofort. Beachten Sie Folgendes: • Wenn die IP-Konfiguration über DHCP bezogen wird, müssen Sie den DHCP-Server entsprechend umkonfigurieren.
Seite 105 Gerätemanagement 5.6 Konfigurationsdatei 5. [Optional] Wenn Sie unter File Integrity Protection die Option Enabled ausgewählt haben, vergeben Sie unter File Password ein Passwort. Bedingung: – Muss zwischen 1 und 255 Zeichen lang sein – Alle Standardzeichen sind zugelassen, zusätzlich die folgenden Sonderzeichen: # $ % &...
Seite 106 Gerätemanagement 5.6 Konfigurationsdatei Um die aktuelle Konfiguration des Geräts als Datei auf einem Remote-Server zu speichern, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass sich das Web UI nicht im exklusiven Konfigurationsmodus befindet. Für weitere Informationen siehe Kapitel "Statusleiste (Seite 47)". 2.
Seite 107 Gerätemanagement 5.6 Konfigurationsdatei • Auf dem Gerät, von dem die Konfigurationsdatei gespeichert wurde, war mindestens SINEC OS Firmware-Version 2.0 installiert. • Gesteckte Stecktransceiver/Module stimmen mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist. ACHTUNG Verbindungsrisiko - Gefahr des Kommunikationsausfalls Wenn gesteckte Stecktransceiver/Module nicht mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist, müssen Sie: •...
Seite 108 Gerätemanagement 5.6 Konfigurationsdatei Um eine Konfigurationsdatei von einem lokalen PC in das Gerät zu laden, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass sich das Web UI nicht im exklusiven Konfigurationsmodus befindet. Für weitere Informationen siehe Kapitel "Statusleiste (Seite 47)". 2. Stellen Sie sicher, dass kein anderer Benutzer die exklusive Konfiguration aktiviert hat. Für weitere Informationen siehe Kapitel "Aktive Benutzer anzeigen (Seite 150)".
Seite 109 Gerätemanagement 5.6 Konfigurationsdatei 10.[Optional] Wenn gesteckte Stecktransceiver nicht mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist, ziehen und stecken Sie die abweichenden Stecktransceiver oder starten Sie das Gerät neu. Für weitere Informationen siehe Kapitel "Das Gerät neu starten (Seite 92)". 11.[Optional] Wenn gesteckte Module nicht mit dem übereinstimmt, was in der Konfigurationsdatei gespeichert ist, setzen Sie Gerät auf Default-Einstellungen zurück.
Seite 110 Gerätemanagement 5.6 Konfigurationsdatei Eine Konfigurationsdatei laden ACHTUNG Einschränkung Wenn Sie eine Konfigurationsdatei laden, die mit einer SINEC OS Firmware-Version < 3.0 gespeichert wurde, starten Sie das Gerät neu, um den Schnutz vor Brute-Force-Angriffen zu gewährleisten. ACHTUNG Konfigurationsrisiko - Gefahr des Kommunikationsausfalls Wenn Sie in ein Gerät eine Konfigurationsdatei laden, kann dies zu unvorhersehbarem Verhalten oder dem Ausfall der Kommunikation führen.
Seite 111 Gerätemanagement 5.6 Konfigurationsdatei 5. Unter Mode wählen Sie das Ladeverhalten aus. Mögiche Optionen: Option Beschreibung Replace Default Die Parameter der laufenden Konfiguration, die in der Konfigurati‐ onsdatei enthalten sind, werden mit diesem Parameter gelöscht und durch den Inhalt der Konfigurationsdatei ersetzt. Parameter der aktuell laufenden Konfiguration werden nur ersetzt, wenn die entsprechenden Parameter in der Konfigurationsdatei enthalten sind.
Seite 112 Gerätemanagement 5.6 Konfigurationsdatei 5.6.5 Die Header-Informationen einer Konfigurationsdatei anzeigen Um die Header-Informationen einer Konfigurationsdatei anzuzeigen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Configuration. 2. Unter Load/Save Configuration from/to Remote Server wählen Sie für den Parameter Action die Option Load.
Seite 113 Gerätemanagement 5.7 Open Source Software-Informationen Open Source Software-Informationen Die Open Source Software (OSS)-Informationen sind als PDF-Datei gespeichert. Die Datei enthält Copyright-Hinweise der in diesem Produkt enthaltenen Fremdsoftware, insbesondere Open Source Software, sowie anwendbare Lizenzbedingungen solcher Fremdsoftware. Lesen Sie die Informationen zur Open Source Software genau durch, bevor Sie das Produkt nutzen.
Seite 114 Gerätemanagement 5.8 Bedienfeld Die OSS-Informationen speichern Um die OSS-Informationen auf einem Remote-Server zu speichern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ OSS Information. 2. Unter Save Open Source Software (OSS) Information to Remote Server konfigurieren Sie die Einstellungen für den Remote-Server.
Seite 115 Gerätemanagement 5.8 Bedienfeld 5.8.1.2 LEDs Jedes Gerät verfügt über mehrere LEDs, die Informationen über den Betriebszustand des Geräts liefern. Ohne direkten Zugang zum Gerät können Sie über die LED-Simulation im Web UI den aktuellen Status des Geräts überwachen. Die Anzeige wird alle 5 Sekunden aktualisiert. Im Folgenden werden die einzelnen LEDs beschrieben.
Seite 116 Gerätemanagement 5.8 Bedienfeld Übertragungsgeschwindigkeit an. Wenn Autonegotiation aktiviert ist, erlischt die Port-LED bei einem Verbindungsfehler. Bedeutung im Anzeigemodus C Im Anzeigemodus C können Sie an den Port-LEDs die Betriebsart ablesen. LED-Farbe LED-Status Bedeutung Port arbeitet im Halbduplex-Betrieb Grün Port arbeitet im Vollduplex-Betrieb Bedeutung im Anzeigemodus D In der aktuellen Version zeigt der Anzeigemodus D keine Informationen an.
Seite 117 Gerätemanagement 5.8 Bedienfeld Bedeutung in den Anzeigemodi A, B, C und E In den genannten Anzeigemodi können Sie an den LEDs "L1" und "L2" ablesen, ob die Spannungsversorgung angeschlossen ist. LED L1/L2 Anschluss L1/L2 LED-Farbe LED-Status Keine Spannungsversorgung angeschlossen Grün Spannungsversorgung an L1/L2 angeschlossen Bedeutung im Anzeigemodus D In der aktuellen Version zeigt der Anzeigemodus D keine Informationen an.
Seite 118 Gerätemanagement 5.8 Bedienfeld Es gibt 5 Anzeigemodi (A, B, C, D und E). Anzeigemodus A ist der Standardmodus. LED-Farbe LED-Status Bedeutung LED DM1 LED DM2 Anzeigemodus A Grün Anzeigemodus B Grün Anzeigemodus C Grün Anzeigemodus D Grün Blinkt Anzeigemodus E 5.8.1.9 Link-LEDs Die Link-LEDs zeigen Informationen zur Link-Aktivität eines Bridge-Ports an.
Seite 119 Gerätemanagement 5.9 Meldekontakt 5.8.2 Den Betriebszustand des Geräts überwachen Um den Betriebszustand des Geräts über das Bedienfeld zu überwachen, gehen Sie wie folgt vor: 1. [Optional] Stellen Sie den Anzeigemodus ein. Für weitere Informationen siehe "Den Anzeigemodus einstellen (Seite 119)". 2. Püfen Sie anhand der LEDs den Zustand bzw. die gewünschte Einstellung. Die LEDs zeigen den aktuellen Anzeigemodus, den Status der Ports und der Spannungsversorgung(en) sowie den Fehlerzustand.
Seite 120 Gerätemanagement 5.10 Tasterfunktion 5.9.1 Den Meldekontaktmodus auswählen Um den Modus des Meldekontakts auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Events ≫ Signaling Contact. 2. Unter Signaling Contact Mode wählen Sie unter Signaling Contact Mode einen Modus aus. Mögliche Optionen: Option Beschreibung...
Seite 121 Austauschen von Daten und Lizenzen. Der CLP verfügt über eine USB Type C-Schnittstelle und kann mit folgenden Geräten verwendet werden, die über eine entsprechende Schnittstelle verfügen: • Siemens-Produkte • Personal Computer (PCs), wie z. B. Desktop-PCs, Tablet-PCs, Laptops oder Smartphones 5.11.1...
Seite 122 Gerätemanagement 5.11 Configuration and License PLUG 5.11.1.1 Gerätetausch Voraussetzungen für die Übertragung der Konfiguration auf ein Ersatzgerät: • Der CLP wurde von einem kompatiblen Gerätetyp (gleiche Artikelnummer) beschrieben. • Die Firmware-Version auf dem Ersatzgerät ist gleich oder neuer als die Firmware-Version des Geräts, das den CLP zuletzt beschrieben hat.
Seite 123 – Die Projektierungsdaten und Firmware des Geräts werden auf einem gesicherten Speicherbereich des CLPs abgelegt. Dieser gesicherte Speicherbereich kann nur über die Authentifizierung des Siemens-Geräts erreicht werden. – Das Gerät überprüft im Sekundenabstand, ob ein CLP gesteckt ist. Wenn das Gerät feststellt, dass der CLP entfernt wurde, startet es automatisch neu.
Seite 124 Gerätemanagement 5.11 Configuration and License PLUG Ein Gerät kann daher nicht nur seine Konfiguration sondern auch seine aktuelle Firmware auf dem CLP speichern. Sie können konfigurieren, ob die Firmware auf dem CLP gespeichert werden soll oder nicht: • Wenn die Funktion aktiviert ist, speichert das Gerät seine aktuelle Firmware auf dem CLP. Wenn die Firmware-Datei auf dem Gerät aktualisiert wird, wird die aktualisierte Version auch auf dem CLP gespeichert.
Seite 125 Ein angeschlossenes Gerät kann das Dateisystem ändern sowie lesend und schreibend auf Dateien des Speicherbereichs zugreifen. • Gesicherter Speicherbereich Auf den gesicherten Speicherbereich können nur Siemens-Geräte nach einer erfolgreichen Authentifizierung zugreifen. Um einen unberechtigten Zugriff zu verhindern, werden Konfigurationsdaten auf dem gesicherten Speicherbereich abgelegt.
Seite 126 Gerätemanagement 5.11 Configuration and License PLUG Um die Funktion zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ CLP. 2. Unter Configuration & License Plug (CLP) ändern Sie den Parameter Firmware on CLP in Enabled. 3. Bestätigen Sie die Änderung. 5.11.3 Die Gerätekonfiguration auf dem CLP speichern Sie können alle gespeicherten Daten des CLPs löschen und durch die aktuelle...
Seite 127 Gerätemanagement 5.11 Configuration and License PLUG Um den CLP auf Default-Einstellungen zurückzusetzen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ CLP. 2. Unter Configuration & License Plug (CLP) klicken Sie auf Restore. 3. Beantworten Sie die Sicherheitsabfrage mit Yes. Das Gerät löscht alle gespeicherten Daten des CLPs und setzen ihn auf Default-Einstellungen zurück.
Seite 128 Lizenzen Dieses Kapitel beschreibt, wie Lizenzen für SINEC OS-Geräte verwaltet werden. Eine Übersicht der verfügbaren Lizenzen finden Sie online (https:// support.industry.siemens.com/cs/de/de/view/109954923). 5.12.1 Wissenswertes zu Lizenzen Das Lizenzierungsverfahren ermöglicht es, auf der Grundlage von Lizenzen erweiterte und unterstützte Funktionen in SINEC OS-Geräten zu aktivieren.
Seite 129 Gerätemanagement 5.12 Lizenzen 5.12.1.1 Lizenzierbare Funktionen Das Lizenzierungsverfahren unterstützt Artikelnummer-spezifische Lizenzen für verschiedene Funktionen. Eine SINEC OS-Lizenz kann mehrere lizenzierbare Funktionen freischalten. Jede lizenzierbare Funktion hat einen Lizenzstatus und kann über die Konfiguration aktiviert oder deaktiviert werden. Die Funktion ist nur produktiv, wenn sie als aktiviert konfiguriert ist und die erforderliche Lizenz verfügbar ist.
Seite 130 ALM-Lizenzen müssen sicher übertragen werden und können niemals kopiert werden. Es gibt immer nur eine Lizenz. Weitere Informationen finden Sie in der Dokumentation des ALM oder über den Siemens Online Support (https://support.industry.siemens.com/cs/ww/de/view/114358). Das Handbuch und eine Liesmich-Datei werden bei der Installation mitgeliefert und befinden sich im Installationsverzeichnis Programme ≫...
Seite 131 Gerätemanagement 5.12 Lizenzen Ein CLP muss im Gerät gesteckt sein, damit enthaltene Lizenzen die entsprechenden Funktionen im Gerät freischalten. Wenn ein CLP Lizenzen enthält, denen ein SINEC OS-Gerät keine lizenzierbaren Funktionen zuordnen kann, wird der CLP wie ein unbeschriebener CLP behandelt. 5.12.1.6 Anwendungsfälle Die folgende Tabelle zeigt einige gängige Anwendungsfälle von Lizenzen bei SINEC OS-Geräten.
Seite 132 Sie finden die Installations-Software für das SINEC OS-PlugIn sowie Informationen zu Systemvoraussetzungen und zur Installation im SiePortal (https:// support.industry.siemens.com/cs/de/de/view/109954923). Das PlugIn wird über ein Setup installiert, das Sie schrittweise durch den Installationsvorgang führt. Um das SINEC OS-PlugIn zu installieren, gehen Sie wie folgt vor: 1.
Seite 133 2. Navigieren Sie zu Ansicht ≫ Verwalten. 3. Im Navigationsbereich klicken Sie auf Online Software Delivery. 4. Melden Sie sich bei der Siemens Online Software Delivery (OSD)-Plattform an. Verwenden Sie hierzu die Lieferscheinnummer und Ihr Passwort oder melden Sie sich mit Ihren Siemens Industry Mall-Benutzerdaten an.
Seite 134 Gerätemanagement 5.12 Lizenzen Bevor Sie eine Lizenz übertragen, stellen Sie sicher, dass alle an der Übertragung beteiligten Systeme die folgenden Security-Empfehlungen erfüllen: • Betreiben Sie die Geräte nur in einem geschützten, separaten Netzwerkbereich, um Man-in- the-Middle-Angriffe zu verhindern. • Beschränken Sie den Zugriff auf die Geräte ausschließlich auf vertrauenswürdiges Personal. •...
Seite 135 Gerätemanagement 5.12 Lizenzen 3. Selektieren Sie den Lizenzschlüssel, den Sie übertragen wollen. Als Speicherort können Sie eine der folgenden Optionen wählen: – Den internen Speicher eines Geräts – Einen in einem Gerät gesteckten CLP 4. Um den Lizenzschlüssel zu übertragen, haben Sie folgende Möglichkeiten: –...
Seite 136 Gerätemanagement 5.12 Lizenzen Parameter Beschreibung Type Speicherort einer Lizenz Mögliche Optionen: • ALM internal Eine ALM-Lizenz, die im internen Speicher des Geräts ge‐ speichert ist. • ALM on CLP Eine ALM-Lizenz, die auf einem CLP gespeichert ist. • unsupported Eine ALM-Lizenz, bei der der Lizenzschlüssel keiner lizenz‐ ierbaren Funktion zugeordnet werden kann.
Seite 137 Gerätemanagement 5.12 Lizenzen Unter Licensing State List werden folgende Informationen angezeigt: Parameter Beschreibung Feature Name Name der Funktion, die durch eine Lizenz freigeschaltet wird Status Zeigt den Lizenzstatus an. Mögliche Werte: • enabled Die Funktion ist in der Konfiguration aktiviert und lizenziert. •...
Seite 138 Gerätemanagement 5.12 Lizenzen Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 139 Systemadministration In diesem Kapitel wird beschrieben, wie Sie verschiedene administrative Tätigkeiten ausführen, etwa wie Sie Benutzer definieren, Alarme konfigurieren und Systemdateien verwalten. Ein Banner für die Anmeldung konfigurieren Sie können eine benutzerdefinierte Begrüßungsnachricht, Geräteinformationen oder andere Informationen auf der Anmeldeseite des Web UI anzeigen. Nur Benutzer mit dem Benutzerprofil Admin können ein Banner konfigurieren.
Seite 140 Systemadministration 6.2 Passwortrichtlinie 6.2.1 Die Passwortrichtlinie konfigurieren Um die Passwortrichtlinie zu ändern, gehen Sie wie folgt vor: 1. [Optional] Konfigurieren Sie die minimale Anzahl an Zeichen, die ein Passwort umfassen muss. Für weitere Informationen siehe "Die minimale Anzahl an Zeichen konfigurieren (Seite 140)". 2.
Seite 141 Systemadministration 6.2 Passwortrichtlinie 6.2.1.2 Die maximale Anzahl an Zeichen konfigurieren Um die maximale Anzahl an Zeichen zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Maximum Length konfigurieren Sie die maximale Anzahl an Zeichen, die ein Passwort umfassen darf.
Seite 142 Systemadministration 6.2 Passwortrichtlinie Um zu konfigurieren, ob ein Passwort Kleinbuchstaben enthalten muss, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Lowercase konfigurieren Sie, ob ein Passwort Kleinbuchstaben enthalten muss. Mögliche Optionen: Option Beschreibung...
Seite 143 Systemadministration 6.2 Passwortrichtlinie Um zu konfigurieren, ob ein Passwort Sonderzeichen enthalten muss, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Special Character konfigurieren Sie, ob ein Passwort Sonderzeichen enthalten muss. Mögliche Optionen: Option Beschreibung...
Seite 144 Systemadministration 6.3 Benutzerverwaltung Benutzerverwaltung In diesem Abschnitt wird die Erstellung und Verwaltung von Benutzern beschrieben. 6.3.1 Wissenswertes zur Benutzerverwaltung In diesem Abschnitt werden Besonderheiten zur Benutzerverwaltung beschrieben. 6.3.1.1 Benutzerprofile Sie können mehrere Benutzer konfigurieren und jedem Benutzer ein Benutzerprofil zuweisen. In SINEC OS können folgende Benutzerprofile lokal im Gerät konfiguriert werden: •...
Seite 145 Systemadministration 6.3 Benutzerverwaltung 6.3.1.3 Einen Benutzer löschen ACHTUNG Sicherheitsrisiko - Risiko des unbefugten Zugriffs und/oder Missbrauchs Wenn Sie einen Benutzer löschen, werden bestehende CLI-, Web UI- und NETCONF-Sitzungen des betroffenen Benutzers nicht automatisch beendet. Sitzungen, die vor dem Löschen des Benutzer geöffnet wurden, bleiben bestehen. Benutzer mit bösartigen Absichten können dies ausnutzen.
Seite 146 Systemadministration 6.3 Benutzerverwaltung 6.3.2.1 Einen neuen Benutzer konfigurieren Nur Benutzer mit dem Benutzerprofil Admin können einen neuen Benutzer konfigurieren. Um einen neuen Benutzer anzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt.
Seite 147 Systemadministration 6.3 Benutzerverwaltung 5. Unter Password vergeben Sie für den Benutzer ein Passwort. Sie können ein Passwort wie folgt eingeben: – Als Hash-Passwort Wenn ein Passwort mit einer der folgenden Zeichenkombinationen beginnt, wird es als Hash-Passwort angesehen und in dieser Form gespeichert: Zeichenkombination Hash-Algorithmus SHA-256...
Seite 148 Systemadministration 6.3 Benutzerverwaltung Die folgende Tabelle zeigt die Auswirkungen der Funktion auf neue und bestehende Benutzer: Anwendungsfall Funktion aktiviert Funktion deaktiviert Neuer Benutzer Standardmäßig ist die Funktion für ei‐ Beim Konfigurieren eines neuen Be‐ nen neuen Benutzer aktiviert. nutzers wurde die Funktion deakti‐ viert.
Seite 149 Systemadministration 6.3 Benutzerverwaltung Um das Passwort zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management in der Spalte Password ändern Sie für den Benutzer das Passwort. Sie können ein Passwort wie folgt eingeben: –...
Seite 150 Systemadministration 6.3 Benutzerverwaltung Um das Benutzerprofil zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management in der Spalte Role ändern Sie für den Benutzer das Benutzerprofil. Mögliche Optionen: Option Beschreibung admin Benutzer mit dem Benutzerprofil admin verfügen über Lese- und Schreibzugriff auf die Funktionen des Geräts.
Seite 151 3. Um den Benutzer abzumelden, beantworten Sie die Sicherheitsabfrage mit Yes. Das Gerät für eine Störungsbehebung vorbereiten Um eine Störung zu beheben, benötigt ein Siemens-Servicetechniker vorübergehend Zugriff auf das Gerät (Debug-Benutzerkonto) und/oder Debug-Informationen. In diesem Kapitel wird beschrieben, wie Sie das Gerät in einem Servicefall vorbereiten, sodass Ihr Siemens-Servicetechniker Sie optimal bei der Störungsbehebung unterstützen...
Seite 152 Systemadministration 6.4 Das Gerät für eine Störungsbehebung vorbereiten Sie können Debug-Informationen auf einem lokalen Client-PC oder einem Remote-Server speichern. 6.4.1.1 Debug-Informationen auf einem lokalen Client-PC speichern Um eine ZIP-Datei mit Debug-Informationen auf einem lokalen PC zu speichern, gehen Sie wie folgt vor: 1.
Seite 153 Fehlermeldung wird angezeigt. Wiederholen Sie die letzten Handlungsschritte. 6.4.2 Das Debug-Benutzerkonto aktivieren Das Debug-Benutzerkonto ermöglicht es Ihrem Siemens-Servicetechniker für eine bestimmte Zeit auf Ihr Gerät zuzugreifen. Nur Benutzer mit dem Benutzerprofil Admin können das Benutzerkonto aktivieren. Das Debug-Benutzerkonto ist solange aktiv, bis das Konto deaktiviert oder das Gerät heruntergefahren oder neu gestartet wird.
Seite 154 Systemadministration 6.5 IEC 61850 6.5.1 Wissenswertes zu IEC 61850 Die Norm IEC 61850 definiert abstrakte Bridge-Objektmodelle und Dienste, die zur Darstellung der Leistungs-, Automatisierungs- und Steuerungsfunktionalität (PAC-Funktionalität) eines Elektrizitätswerks erforderlich sind. Physische Geräte in der Anlage werden durch logische Geräte dargestellt, die wiederum in logische Knoten, Datenobjekte und Attribute unterteilt werden.
Seite 155 Systemadministration 6.5 IEC 61850 6.5.1.2 Kommunikationsprotokolle SINEC OS unterstützt die folgenden IEC 61850-Kommunikationsprotokolle: • Manufacturing Message Specification (MMS) MMS ist ein Layer-3-Protokoll, dass ein generisches, Client/Server-basiertes Nachrichtensystem für die Echtzeit-Datenübertragung zwischen intelligenten elektronischen Geräten (IEDs) und übergeordneten Instanzen wie Fernübertragungs- (RTUs) und SCADA-Systemen über Ethernet bereitstellt. MMS wird in erster Linie in elektrischen Schaltanlagen eingesetzt, damit Leitstellen Ereignisse auf Anlagenebene überwachen können.
Seite 156 Systemadministration 6.5 IEC 61850 Der Bericht basiert auf der maximalen Anzahl von MMS-Sitzungen, die das Gerät zulässt. Hiermit wird gesteuert, wie viele Clients gleichzeitig MMS-Verbindungen zum SINEC OS- Bridge-Gerät aufbauen können. Welche Informationen vom Server gemeldet werden und welche Ereignisse die Übertragung von Berichten auslösen, wird durch Report Control Blocks (RCBs) gesteuert, die in der SCD- Datei definiert werden.
Seite 157 Systemadministration 6.5 IEC 61850 Feld Beschreibung EntryID Die Eintrags-ID. Gilt nur für gepufferte Berichte. ConfRev Ein Wert, der dem Feld ConfRev des entsprechenden Report Control Block (RCB) entspricht. MoreSegmentsFol‐ Gibt an, ob weitere Unterberichte mit derselben Sequenznummer folgen. Inclusion Bitstring Eine Bitfolge, deren Länge der Anzahl der Datenmitglieder des referenzierten Da‐ tensatzes entspricht.
Seite 158 Systemadministration 6.5 IEC 61850 Beim Laden einer benutzerspezifischen SCL-Datei nach SINEC OS wird nur das Format IID unterstützt. 6.5.1.5 Unterstützte logische Knoten Jedes logische Gerät unterstützt Funktionen, die nach logischen Knoten kategorisiert werden können. SINEC OS unterstützt die folgenden logischen Knoten: Logischer Knoten Beschreibung LPHD Logical Node Physical Device...
Seite 159 Systemadministration 6.5 IEC 61850 4. [Optional] Aktivieren Sie die Verwendung einer benutzerspezifischen SCL-Datei. Für weitere Informationen siehe "Benutzerspezifische SCL-Dateien aktivieren (Seite 159)". 5. Aktivieren Sie IEC 61850. Für weitere Informationen siehe "IEC 61850 aktivieren (Seite 160)". 6.5.2.1 Die Management-Schnittstelle einstellen Um die Management-Schnittstelle (IP-Schnittstelle) einzustellen, auf der der IEC 61850-Stack kommuniziert, gehen Sie wie folgt vor: 1.
Seite 160 Systemadministration 6.5 IEC 61850 Um IEC 61850 anzuweisen, eine benutzerspezifische SCL-Datei (IID) zu verwenden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ IEC 61850. 2. Unter IEC 61850 ändern Sie den Parameter Use Custom SCL File in Enabled. 3. Bestätigen Sie die Änderung. 6.5.2.4 IEC 61850 aktivieren Standardmäßig ist IEC 61850 deaktiviert.
Seite 161 Systemadministration 6.5 IEC 61850 Um den Inaktivitätstimer einzustellen oder zu deaktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ IEC 61850. 2. Unter IEC 61850 stellen Sie unter Inactivity Timeout den Inaktivitätstimer ein oder deaktivieren ihn. Bedingungen: – Im Format nYnMnDnhmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 162 Systemadministration 6.5 IEC 61850 Eine SCL-Datei speichern Um eine benutzerspezifische SCL-Datei auf einem Remote-Server zu speichern, gehen Sie wie folgt vor. 1. Navigieren Sie zu System ≫ Load & Save ≫ Data Models. 2. Unter Load/Save Data Model from/to Remote Server ändern Sie den Parameter Action in Save.
Seite 163 Systemadministration 6.5 IEC 61850 3. Klicken Sie auf Load. 4. Deaktivieren und aktivieren Sie IEC 61850 erneut. Die benutzerspezifische SCL-Datei wird nur verwendet und validiert, wenn der Dienst IEC 61850 neu gestartet wird. Für weitere Informationen siehe "IEC 61850 aktivieren (Seite 160)". Hinweis Die SCL-Datei wird validiert, wenn IEC 61850 aktiviert ist. Ungültige SCL-Dateien werden zurückgewiesen, und eine entsprechende Fehlermeldung wird im Syslog aufgezeichnet.
Seite 164 Systemadministration 6.5 IEC 61850 8. Klicken Sie auf Load. 9. Deaktivieren und aktivieren Sie IEC 61850 erneut. Die benutzerspezifische SCL-Datei wird nur verwendet und validiert, wenn der Dienst IEC 61850 neu gestartet wird. Für weitere Informationen siehe "IEC 61850 aktivieren (Seite 160)". Hinweis Die SCL-Datei wird validiert, wenn IEC 61850 aktiviert ist. Ungültige SCL-Dateien werden zurückgewiesen, und eine entsprechende Fehlermeldung wird im Syslog aufgezeichnet.
Seite 165 Security In diesem Kapitel werden die verfügbaren Security-Funktionen beschrieben. Stellen Sie sicher, dass Gerät und Netzwerk angemessen vor bösartigen Angriffen geschützt sind, indem Sie die Standard-Security-Einstellungen überprüfen/aktualisieren. Hinweis Allgemeine Empfehlungen zur Sicherung des Geräts siehe "Security-Empfehlungen (Seite 28)". Verhinderung von Brute-Force-Angriffen (BFA) SINEC OS verfügt über einen Mechanismus zum Schutz vor lokalen und entfernten Brute-Force- Angriffen (BFAs) über die CLI-, Web-UI-, SNMP- und NETCONF-Benutzerschnittstellen.
Seite 166 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) 7.1.1.1 Funktionsweise des Präventionsmechanismus Schlägt die Anmeldung eines Benutzers oder Diensts am Gerät fehl, wird der Benutzername oder die IP-Adresse auf eine Liste gesetzt. Der BFA-Präventionsmechanismus beginnt dann, Folgendes nachzuverfolgen: • Die Zeit seit dem letzten fehlgeschlagenen Anmeldeversuch Dieser Zeitraum kann konfiguriert werden.
Seite 167 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) 7.1.2 BFA-Prävention konfigurieren Um die BFA-Prävention zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Ändern Sie die Rücksetzzeit, um zu steuern, wie lange Benutzer und IP-Adressen blockiert werden. Für weitere Informationen siehe "Die Zeit für das automatisches Rücksetzen ändern (Seite 167)".
Seite 168 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) Sie können für Benutzer und IP-Adressen einen getrennten Grenzwert festlegen. Wenn der Zähler für einen Benutzer oder eine IP-Adresse den festgelegten Grenzwert erreicht, wird der Benutzer bzw. die IP-Adresse automatisch blockiert. Diese Funktion kann auch für Benutzer oder Dienste deaktiviert werden, indem der Grenzwert auf null (0) gesetzt wird.
Seite 169 Security 7.1 Verhinderung von Brute-Force-Angriffen (BFA) 1. Navigieren Sie zu System ≫ Security ≫ Brute Force Prevention. 2. Unter Brute Force Prevention ändern Sie die Einstellung Brute Force Prevention in Enabled. 3. Bestätigen Sie die Änderung. 7.1.3 Blockierung von Benutzer oder IP-Adresse aufheben Die Blockierung von Benutzernamen und IP-Adressen kann manuell aufgehoben werden.
Seite 170 Security 7.2 Security-relevante Ereignisse Beispiel Username Failed Logins Time Since Last Failed Blocked Unknown User 4m18s admin IP Address Failed Logins Time Since Last Failed Blocked 172.30.142.156 172.30.142.244 2m6s Security-relevante Ereignisse Um die Anforderungen des im industriellen Umfeld führenden Security-Standards IEC 62443 zu erfüllen, ist es unter anderem erforderlich, sämtliche Benutzeraktivitäten vollständig zu erfassen.
Seite 171 Security 7.2 Security-relevante Ereignisse ① IE-Switch/Syslog-Client ② Ereignismeldungen ③ SIEM-System ④ Netzwerk ⑤ Benachrichtigungen ⑥ Grafische Benutzeroberfläche Bild 7-1 SIEM-System Ein SIEM-System verarbeitet Ereignismeldungen wie folgt: 1. Empfangen Ein implementierter Syslog-Server empfängt die Ereignismeldungen von verschiedenen Geräten, Netzkomponenten usw. 2. Parsen Das SIEM-System wertet die Ereignismeldungen aus und verknüpft jede Ereignismeldung mit einem generalisierten SIEM-spezifischen Ereignis.
Seite 172 Security 7.2 Security-relevante Ereignisse 4. Korrelieren Das SIEM-System stellt Beziehungen zwischen den Ereignismeldungen her. Das ermöglicht es dem SIEM-System Auffälligkeiten (z. B. ungewöhnliche Muster und Trends) zu erkennen, die auf Security-relevante Aktivitäten schließen lassen. 5. Warnen Wenn potenzielle Security-relevante Ereignisse identifiziert werden, generiert das SIEM- System entsprechende Sicherheitswarnungen.
Seite 173 Security 7.2 Security-relevante Ereignisse Hinweis Für weitere Informationen zum Aufbau der Ereignismeldungen und zur Bedeutung der Parameter siehe RFC 5424 (https://tools.ietf.org/html/rfc5424). 7.2.1.3 Variablen in Ereignismeldungen Bei jeder Ereignismeldung enthält das Element { MESSAGE } Variablen, die dynamisch durch die Daten des jeweiligen Ereignisses befüllt werden. Diese Variablen werden im Kapitel "Security- relevante Ereignisse überwachen (Seite 175)"...
Seite 174 Security 7.2 Security-relevante Ereignisse Variable Beschreibung Beispiel Group Zeichenkette, die eine Gruppe anhand eines Na‐ it-service mens identifiziert, ohne Leerzeichen Format: %s Local interface Symbolischer Name einer lokalen Schnittstelle Console Format: %s ethernet0/4 Destination user Identifiziert einen Benutzer anhand eines Na‐ Peter-Maier name mens.
Seite 175 Security 7.2 Security-relevante Ereignisse 7.2.2 Security-relevante Ereignisse überwachen In diesem Kapitel werden die Security-relevanten Ereignismeldungen beschrieben. Die Kategorisierung der Meldungen orientiert sich am Standard IEC 62443. 7.2.2.1 Identifizierung und Authentifizierung von menschlichen Nutzern Die folgenden Ereignismeldungen informieren über erfolgreiche und fehlgeschlagene Anmeldeversuche von Benutzern.
Seite 176 Security 7.2 Security-relevante Ereignisse {Local interface}: Service account failed to log in. Beispiel Console: Service account failed to log in. Erläuterung Der Anmeldeversuch mit dem Debug-Benutzerkonto über eine lokale Schnittstelle des SINEC OS-Geräts ist fehlgeschlagen. In dem Beispiel ist der Anmeldeversuch mit dem Debug-Benutzerkonto über die Konsolen-Schnittstelle fehlgeschlagen.
Seite 177 Security 7.2 Security-relevante Ereignisse {Protocol}: SSH authentication attempt was not completed within {timeout} seconds from {IP address}. Beispiel SSH: SSH authentication attempt was not completed within 120 seconds from 192.168.0.1. Erläuterung Ein SSH-Authentifizierungsversuch über eine Netzwerkschnittstelle am SINEC OS- Gerät wurde nicht innerhalb des definierten Zeitraums abgeschlossen. In dem Beispiel wurde der SSH-Authentifizierungsversuch von der Netzwerkadresse "192.168.0.1"...
Seite 178 Security 7.2 Security-relevante Ereignisse {Local interface}: Service account logged out. Beispiel Console: Service account logged out. Erläuterung Ein Benutzer hat das Debug-Benutzerkonto über eine lokale Schnittstelle des SI‐ NEC OS-Geräts abgemeldet. In dem Beispiel wurde das Debug-Benutzerkonto manuell über die Konsolen- Schnittstelle abgemeldet. Severity Info Facility...
Seite 179 Security 7.2 Security-relevante Ereignisse {Protocol}: {IP address} - No response from the RADIUS server. Beispiel RADIUS: 192.168.1.105 - No response from the RADIUS server. Erläuterung Kein Zugriff auf einen RADIUS-Server oder ein RADIUS-Server antwortet nicht. In dem Beispiel antwortet der RADIUS-Server mit der IP-Adresse "192.168.1.105" nicht.
Seite 180 Security 7.2 Security-relevante Ereignisse {Protocol}: Device {Src mac} access denied on {Local interface} in vlan {Vlan id}. Beispiel 802.1X: Device 10:00:00:00:00:29 access denied on ethernet0/3 in vlan 7. Erläuterung Geräte-Zugriff wird durch erfolglose Port-Authentifizierung verweigert. In dem Beispiel wird der Zugriff für das Gerät mit der Quell-MAC-Adresse "10:00:00:00:00:29"...
Seite 181 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} changed user-account {Destination user name} with role {Role}. Beispiel SSH: User admin changed user-account admin2 with role Administrator. Erläuterung Ein Benutzer hat das Benutzerkonto eines anderen Benutzers geändert. In dem Beispiel hat der Benutzer "admin" das Benutzerkonto "admin2" mit dem Benutzerprofil "Administrator"...
Seite 182 Security 7.2 Security-relevante Ereignisse {Protocol}: User {User name} account is locked for {Time minute} minutes after {Failed login count} unsuccessful login attempts. Beispiel All: User admin account is locked for 10 minutes after 11 unsuccessful login at‐ tempts. Erläuterung Die BFA-Prävention hat einen Benutzer nach zu vielen fehlgeschlagenen Anmelde‐ versuchen für einen bestimmten Zeitraum blockiert.
Seite 183 Security 7.2 Security-relevante Ereignisse {Protocol}: The maximum number of {Max sessions} concurrent login session exceeded. Beispiel SSH: The maximum number of 8 concurrent login sessions exceeded. Erläuterung Die maximale Anzahl von gleichzeitigen Sitzungen ist überschritten. In dem Beispiel wurde die maximale Anzahl von 8 gleichzeitigen Sitzungen über SSH überschritten.
Seite 184 Security 7.2 Security-relevante Ereignisse {Protocol}: A reset to factory defaults was initiated. Beispiel DCP: A reset to factory defaults was initiated. Erläuterung Ein Zurücksetzen auf Default-Einstellungen wurde initiiert. In dem Beispiel hat DCP ein Zurücksetzen auf Default-Einstellungen initiiert. Severity Info Facility local0 Norm IEC 62443-3-3 Reference: SR 2.12...
Seite 185 Security 7.2 Security-relevante Ereignisse Severity Error Facility local0 Norm IEC 62443-3-3 Reference: SR 3.1 7.2.2.9 Software- und Informationsintegrität Die folgenden Ereignismeldungen informieren über einen fehlgeschlagenen Integritätsnachweis beim Laden der Firmware. Firmware integrity verification failed. Beispiel Firmware integrity verification failed. Erläuterung Bei der Überprüfung der Firmware-Integrität wurde ein Integritätsfehler festge‐ stellt.
Seite 186 Security 7.2 Security-relevante Ereignisse Facility local0 Norm IEC 62443-3-3 Reference: SR 3.8 7.2.2.11 Schutz vor Denial-of-Service-(DoS)-Angriffen Die folgenden Ereignismeldungen informieren über das Auftreten eines DoS-Angriffs. {Protocol}: Denial-of-Service (DoS) attack detected. Beispiel Console: Denial-of-Service (DoS) attack detected. Erläuterung Es wurde ein Denial-of-Service-(DoS)-Angriff erkannt. Severity Alert Facility...
Seite 187 Security 7.3 Schlüssel und Zertifikate {Protocol}: User {User name} failed to activate firmware {Version}. Beispiel WBM: User admin failed to activate firmware v2.0. Erläuterung Die Aktivierung einer Firmware-Version durch einen Benutzer ist fehlgeschlagen. In dem Beispiel ist die Aktivierung der Firmware-Version "v2.0" durch den Benutzer "admin"...
Seite 188 Security 7.3 Schlüssel und Zertifikate Asymmetrische Schlüsselverfahren Asymmetrische Schlüsselverfahren arbeitet mit einem Schlüsselpaar, das aus einem öffentlichen Schlüssel und einem privaten Schlüssel besteht. Diese sind eindeutig und stehen über einen mathematischen Algorithmus in Beziehung zueinander. • Öffentlicher Schlüssel Der öffentliche Schlüssel wird der Öffentlichkeit, also jedem potenziellen Kommunikationspartner, zur Verfügung gestellt.
Seite 189 Security 7.3 Schlüssel und Zertifikate Für Default-Schlüsselpaare gilt Folgendes: • Die Schlüssel sind für jedes Gerät eindeutig. • Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, bleiben die vom Hersteller definierten Schlüssel und Zertifikate erhalten. • Wenn ein Default-Schlüsselpaar erneuert wird, erfolgt ein entsprechender Eintrag im Systemprotokoll.
Seite 190 Security 7.3 Schlüssel und Zertifikate 7.3.1.5 Selbstsignierte Zertifikate Selbstsignierte Zertifikate sind Zertifikate, deren Signatur vom Zertifikateinhaber stammt und nicht von einer unabhängigen Zertifizierungsstelle. Beispiele: • Sie können ein Zertifikat erstellen und selbst signieren, um zum Beispiel Nachrichten zu einem Kommunikationspartner zu verschlüsseln. Ein Zertifikateinhaber könnte sein Zertifikat selbst mit seinem privaten Schlüssel signieren.
Seite 191 Security 7.3 Schlüssel und Zertifikate 7.3.1.7 Signaturen Erzeugen Der Aussteller eines Zertifikates erzeugt aus den Daten des Zertifikats mit einem bestimmten Hash-Algorithmus (z.B. SHA-2, Secure Hash Algorithm) einen Hash-Wert (Fingerprint). Aus dem Hash-Wert und seinem privaten Schlüssel erzeugt er dann eine digitale Signatur. Häufig wird dazu das RSA-Signaturverfahren verwendet.
Seite 192 Security 7.3 Schlüssel und Zertifikate 7.3.1.9 Zugriffsregeln Für den Zugriff auf Schlüssel und Zertifikate gelten folgende Regeln: • Benutzer können herstellerdefinierte Schlüsselpaare und Zertifikate weder ändern noch löschen. • Benutzer können für herstellerdefinierte Schlüsselpaare keine benutzerdefinierten Zertifikate hinzufügen. • Benutzer können private Schlüssel und Schlüsselpaare nicht lesen, unabhängig davon ob sie hersteller- oder benutzerdefiniert sind.
Seite 193 Security 7.3 Schlüssel und Zertifikate Zusätzlich zum privaten Schlüssel kann die Datei ein selbstsigniertes Anwenderzertifikat oder eine Zertifikatskette enthalten, um den öffentlichen Schlüssel zu signieren. Private Schlüssel müssen nicht verschlüsselt sein. Dies gilt auch für private Schlüssel mit dem Format PKCS#12. SINEC OS unterstützt folgende Formate: •...
Seite 194 Security 7.3 Schlüssel und Zertifikate 6. [Optional] Wenn in einer PKCS#12-Datei ein CA-Zertifikat enthalten ist und dieses im Truststore abgelegt werden soll, geben Sie unter Certificate Bag den Namen der Zertifikate- Mappe und unter Certificate Entry Name den Namen des Zertifikats ein. Bedingung für den Namen der Zertifikate-Mappe: –...
Seite 195 Security 7.3 Schlüssel und Zertifikate SINEC OS unterstützt folgende Formate: • PEM-kodierte Schlüssel – Public-Key Cryptography Standards (PKCS#1, PKCS#8) – Elliptic Curve Cryptography (nach RFC 5915) • PEM-kodierte X.509-Zertifikate • PKCS#12 Hinweis Wenn die Datei mehr als ein Zertifikat enthält, muss die Reihenfolge der Zertifikate der Reihenfolge der Zertifikatskette entsprechen.
Seite 196 Security 7.3 Schlüssel und Zertifikate 6. [Optional] Wenn in einer PKCS#12-Datei ein CA-Zertifikat enthalten ist und dieses im Truststore abgelegt werden soll, geben Sie unter Certificate Bag den Namen der Zertifikate- Mappe und unter Certificate Entry Name den Namen des Zertifikats ein. Bedingung für den Namen der Zertifikate-Mappe: –...
Seite 197 Security 7.3 Schlüssel und Zertifikate 7.3.3.1 Ein Zertifikat von einem lokalen Client-PC importieren Sie können ein Zertifikat von einem lokalen Client-PC in den Truststore laden. SINEC OS unterstützt folgende Formate: • PEM-kodierte X.509-Zertifikate • PEM-kodierte Zertifikate im PKCS#7-Format Hinweis Wenn die Datei mehr als ein Zertifikat enthält, muss die Reihenfolge der Zertifikate der Reihenfolge der Zertifikatskette entsprechen.
Seite 198 Security 7.3 Schlüssel und Zertifikate 9. Um das Zertifikat zu aktivieren, starten Sie das Gerät neu. Für weitere Informationen siehe "Das Gerät neu starten (Seite 92)". Wenn der Neustart abgeschlossen ist, wird die Anmeldeseite angezeigt. 10.Melden Sie sich an. Für weitere Informationen siehe "Bei einem konfigurierten Gerät anmelden (Seite 88)". 7.3.3.2 Ein Zertifikat von einem Remote-Server importieren Sie können ein Zertifikat von einem Remote-Server in den Truststore laden.
Seite 199 Security 7.3 Schlüssel und Zertifikate 4. Unter Format wählen Sie das Format des Zertifikats aus. Mögiche Optionen: Option Beschreibung Die Datei liegt im PEM-Format vor. PKCS7 Die Datei liegt im PKCS#7-Format vor. 5. Konfigurieren Sie die Einstellungen für den Remote-Server. Für weitere Informationen zum Laden von Dateien über einen Remote-Server siehe "Dateien über einen Remote-Server laden und speichern (Seite 63)".
Seite 200 Security 7.3 Schlüssel und Zertifikate Parameter Beschreibung Algorithm Zeigt den Hash-Algorithmus an, mit dem der Fingerprint er‐ stellt wurde. Mögliche Werte: • md5 - Bitlänge 128 • sha1 - Bitlänge 160 • sha256 - Bitlänge 256 Fingerprint Zeigt den Fingerprint an. 7.3.4.2 Zertifikate im Keystore anzeigen Um Zertifikate im Keystore anzuzeigen, navigieren Sie zu System ≫...
Seite 201 Security 7.4 Benutzerauthentifizierung 7.3.4.4 Known Hosts anzeigen Um Known Hosts im Truststore anzuzeigen, navigieren Sie zu System ≫ Security ≫ Keys & Certificates. Unter Truststore - Known Hosts werden folgende Informationen angezeigt: Parameter Beschreibung Public Key Bag Zeigt den Namen der Schlüssel-Mappe an. Public Key Name Zeigt den Namen des Known Hosts an.
Seite 202 Security 7.4 Benutzerauthentifizierung 7.4.1.1 Authentifizierungsmodus Die Optionen für die Authentifizierung können kombiniert werden, um bei Ausfall einer Option eine Rückfalloption bereitzustellen (z. B. die lokalen Anmeldedaten werden nicht gefunden, der externe Dienst kann nicht erreicht werden usw.). Die vollständige Liste der Authentifizierungsmodi umfasst: •...
Seite 203 Security 7.4 Benutzerauthentifizierung • Einen gemeinsamen geheimen Schlüssel zur Authentifizierung des Geräts gegenüber dem Server • Lieferanten-spezifische Informationen Zu Redundanzzwecken können ein primärer und ein sekundärer RADIUS-Server festgelegt werden. Wenn der primäre Server nicht antwortet, wird die Authentifizierungsanfrage an den sekundären Server weitergeleitet. Wenn beide Server nicht auf die Anfrage antworten, wird der Zugriff verweigert.
Seite 204 Security 7.4 Benutzerauthentifizierung Authentifizierungstypen SINEC OS unterstützt die folgenden Typen von RADIUS-Authentifizierung: • Password Authentication Protocol (PAP) PAP verwendet ein bidirektionales Handshake-Konzept, um Benutzer anhand ihres Benutzernamens und Passworts zu validieren. Wenn ein Benutzer Zugriff anfordert, leitet sein Supplicant den Benutzernamen und das Passwort an den RADIUS-Client (SINEC OS) weiter.
Seite 205 Security 7.4 Benutzerauthentifizierung Supplicant Zugriffsanfrage RADIUS-Client (SINEC OS) Benutzername und Passwort RADIUS-Server Passwortvergleich Authentifizierungsanfrage Datenbank ① Der Supplicant leitet ein Zugriffs-Anfrage-Paket an den RADIUS-Client weiter, das den Benut‐ zernamen und das Passwort des Benutzers enthält. ② Der RADIUS-Client leitet den Benutzernamen und das Passwort als Klartext an den RADIUS- Server weiter.
Seite 206 Security 7.4 Benutzerauthentifizierung verschlüsselten Passwörter übereinstimmen, antwortet der Server mit einer Zugriff- Gewähren-Nachricht an den Client. Andernfalls leitet der Server eine Zugriff-Verweigern- Nachricht weiter. Supplicant Zugriffsanfrage RADIUS-Client (SINEC OS) Benutzername, Herausforderung, Nachricht akzeptieren/ zurückweisen RADIUS-Server Passwortvergleich Authentifizierungsanfrage Verschlüsseltes Passwort Datenbank ① Der Supplicant leitet ein Zugriffs-Anfrage-Paket an den RADIUS-Client weiter, das den Benut‐...
Seite 207 Security 7.4 Benutzerauthentifizierung Zugehörige Ereignisse Die folgenden Ereignisse zu RADIUS werden direkt im Systemprotokoll (Syslog) aufgezeichnet. Ereignis Schwere‐ Syslog-Meldung Bedingung grad EXT_AUTH_UNREACHABLE Fehler { Protokoll }:{ Benutzer } ex‐ Der für die Authentifizierung ternal authentication failed: benötigte externe RADIUS- Servers are unreachable Server ist nicht erreichbar.
Seite 208 Security 7.4 Benutzerauthentifizierung Es muss mindestens ein Server-Profil definiert werden. Das ist der primäre RADIUS-Server. Ein sekundäres Profil kann zusätzlich als Rückfalloption definiert werden, für den Fall, dass der primäre Server nicht erreichbar ist. Um ein RADIUS-Serverprofil zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 209 Security 7.4 Benutzerauthentifizierung 7. Unter Server Address | FQDN geben Sie an, ob der Server über IP-Adresse oder Domänenname erreicht wird. Bedingungen: – Eine gültige IPv4-Adresse oder FQDN (Fully Qualified Domain Name) – Ein FQDN kann nur definiert werden, wenn Server Type strikt auf login gesetzt ist. –...
Seite 210 Security 7.4 Benutzerauthentifizierung 7.4.3.2 Einen RADIUS-Server konfigurieren Bevor eine Kommunikation mit Ihrem (Ihren) RADIUS-Server(n) möglich ist, müssen Sie zunächst Folgendes serverseitig definieren: • Welches IP-Subnetz abgehört wird • Welche Zertifikate und Schlüssel für die Authentifizierung verwendet werden sollen • Welche Benutzer und/oder MAC-Adressen authentifiziert werden sollen Während die meisten RADIUS-Server auf die gleiche Weise konfiguriert sind, wird im Folgenden beschrieben, wie Sie einen Server mit FreeRADIUS konfigurieren.
Seite 211 # sudo nano users 2. Fügen Sie für jeden autorisierten Benutzer wie folgt einen Eintrag hinzu: { username } Cleartext-Password := "{ password }" Service-Type = Login-User, Siemens-Automation-Privileged-User-Group = { admin | guest } Zum Beispiel: newadmin Cleartext-Password := "$ecurePa8sword"...
Seite 212 Security 7.4 Benutzerauthentifizierung Schritt 6: Starten Sie den Dienst FreeRADIUS erneut Um den FreeRADIUS-Dienst zu starten, führen Sie folgenden Befehl aus: # freeradius -X 7.4.3.3 Eine Verbindung zu einem RADIUS-Server prüfen Nach der Konfiguration (oder Änderung) eines RADIUS-Server-Profils und vor der Aktivierung der RADIUS-Authentifizierung ist es wichtig, die Verbindung zu dem als Ziel gesetzten RADIUS- Server zu verifizieren.
Seite 213 Security 7.4 Benutzerauthentifizierung 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Login Authentication Type & Order stellen Sie den Authentifizierungsmodus unter Type & Order ein. Mögliche Optionen: Option Beschreibung Local Default Benutzer werden lokal authentifiziert RADIUS Benutzer werden über einen externen RADIUS- Server authentifiziert.
Seite 214 Security 7.5 Access Control List (ACL) für das Management Access Control List (ACL) für das Management Die Management-ACL (Access Control List) beschränkt den Zugriff auf Ihr Gerät auf spezifische Remote-Hosts, die als autorisierte Manager bezeichnet werden. Allen anderen Remote-Hosts wird der Zugriff verweigert. Jeder Eintrag (bzw.
Seite 215 Security 7.5 Access Control List (ACL) für das Management 7.5.2 Management-ACL konfigurieren Um die Management-ACL zu konfigurieren, gehen Sie wie folgt vor: 1. Fügen Sie der ACL einen oder mehrere autorisierte Manager hinzu. Für weitere Informationen siehe "Eine Regel hinzufügen (Seite 215)". 2.
Seite 216 Security 7.5 Access Control List (ACL) für das Management 4. [Optional] In der Spalte Interfaces wählen Sie entweder All oder spezifische VLAN- Schnittstellen, die der autorisierte Manager für den Zugriff auf das Gerät verwenden kann. Standardmäßig ist eingehender Datenverkehr von einem autorisierten Manager an allen VLAN-Schnittstellen zugelassen.
Seite 217 Security 7.5 Access Control List (ACL) für das Management 7.5.2.3 Zugriff anhand der Benutzerschnittstelle einschränken Standardmäßig kann ein autorisierter Manager jede der folgenden Benutzerschnittstellen für den Zugriff auf das Gerät verwenden: • Web-UI • NETCONF • SNMP • CLI Um einen bestehenden autorisierten Manager auf die Nutzung einer spezifischen Benutzerschnittstelle oder mehrerer Benutzerschnittstellen zu begrenzen, gehen Sie wie folgt vor: 1.
Seite 218 Security 7.6 Port-Security 7.5.3 Konfigurationsbeispiele Die folgenden Konfigurationsbeispiele zeigen verschiedene Möglichkeiten, autorisierte Manager in der Management-ACL zu konfigurieren. 7.5.3.1 Einen einzelnen autorisierten Manager für einen Bereich von Remote-Hosts erstellen Sie können einen einzelnen autorisierten Manager für einen Bereich von Remote-Hosts konfigurieren. Zugriff auf das Gerät wird allen Hosts in dem IP-Bereich gewährt, und für alle Hosts gelten die festgelegten Regeln.
Seite 219 Security 7.6 Port-Security 7.6.1 Wissenswertes zu Port-Security Die Port-Security bietet die Möglichkeit, den Netzwerkzugang über einzelne Bridge-Ports mit einer der folgenden Methoden zu authentifizieren: • Authentifizierung über statische MAC-Adressen Diese Methode authentifiziert Frames anhand ihrer Quell-MAC-Adresse. Wenn die Quell- MAC-Adresse in der statischen MAC-Adressentabelle aufgelistet ist, wird der Endpunkt authentifiziert.
Seite 220 Security 7.6 Port-Security empfangen wurden. Dies ermöglicht die Erfassung der entsprechenden sicheren Adressen, wenn die MAC-Adressen-basierte Autorisierung an einem Port initial konfiguriert wird. Diese MAC-Adressen werden automatisch in die statische MAC-Adressentabelle eingefügt und bleiben dort, bis sie manuell entfernt werden. 7.6.1.2 IEEE 802.1X-Authentifizierung Die Norm IEEE 802.1X definiert einen Mechanismus für Port-basierten Netzwerkzugang und bietet eine Möglichkeit zum Authentifizieren und Autorisieren von Endpunkten, die mit sicheren...
Seite 221 Security 7.6 Port-Security 7.6.1.3 IEEE 802.1X-Authentifizierung mit MAB Diese Methode kombiniert die IEEE 802.1X-Authentifizierung mit MAC Authentication Bypass (MAB). MAB ist ein Zugangssteuerungsprotokoll, das auf die MAC-Adresse eines Endpunkts zurückgreift, um die Identität des Supplicant zu prüfen, bevor der Zugriff autorisiert wird. Es wird als Rückfalloption verwendet, wenn ein Supplicant IEEE 802.1X nicht unterstützt, beispielsweise ein Drucker oder IP-Telefon.
Seite 222 Security 7.6 Port-Security ACHTUNG Sicherheitsrisiko – Gefahr des unbefugten Zugriffs und/oder der Ausnutzung SINEC OS unterstützt Protected Extensible Authentication Protocol (PEAP), EAP Transport Layer Security (EAP-TLS) und EAP-MD5. Die MD5-Hashfunktion in EAP-MD5 ist gegenüber Wörterbuch- und Man-in-the-Middle-Angriffen anfällig. PEAP und EAP-TLS sind sicherer und sollten statt EAP-MD5 verwendet werden, sofern sie vom Supplicant unterstützt werden.
Seite 223 Security 7.6 Port-Security Wenn ein EAPoL-Startframe vom Supplicant empfangen wird, kehrt der Bridge-Port in den nicht authentifizierten Zustand zurück und seine Mitgliedschaft im Gast-VLAN wird aufgehoben. Der Authentifizierungsprozess kann im Anschluss von Neuem beginnen. Im Folgenden wird der Auswahlprozess für die Mitgliedschaft im Quarantäne-VLAN oder Gast-VLAN nach einem Authentifizierungsfehler verglichen: Security-Modus Supplicant-Unterstützung für...
Seite 224 Security 7.6 Port-Security 7.6.1.6 Statische VLAN-Anforderung Für einen RADIUS-Server ist es möglicherweise erforderlich, dass ein IEEE 802.1X-Client an einem bestimmten Port einem statischen VLAN zugewiesen wird. Überprüfen Sie zur Bestätigung die Konfiguration Ihres RADIUS-Servers. Wenn das erforderliche statische VLAN auf dem Switch nicht vorhanden ist oder das VLAN (durch GVRP) dynamisch erstellt wird, schlägt die Client-Authentifizierung fehl.
Seite 225 Security 7.6 Port-Security 8. [Optional] Aktivieren Sie den administrativen Abschaltmodus. Dieser Modus schaltet den Bridge-Port bei einem Sicherheitsverstoß ab. Standardmäßig ist diese Option deaktiviert. Für weitere Informationen siehe "Den administrativen Abschaltmodus aktivieren (Seite 228)". 9. [Optional] Stellen Sie den administrativen Abschalttimer ein. Sichere Bridge-Ports, die zuvor als Folge eines Sicherheitsverstoßes abgeschaltet wurden, werden reaktiviert, sobald der Timer abgelaufen ist.
Seite 226 Security 7.6 Port-Security 7.6.2.3 Die Quarantäne-VLAN-ID einstellen Die Quarantäne-VLAN-ID gibt das VLAN an, in das der Bridge-Port wechselt, wenn die Authentifizierung eines Supplicant fehlschlägt. Ein Bridge-Port wechselt unter den folgenden Bedingungen in ein Quarantäne-VLAN: • Der Security-Modus ist entweder auf 802.1X oder 802.1X/MAC-Auth eingestellt. •...
Seite 227 Security 7.6 Port-Security 3. Unter Port Security geben Sie unter Guest VLAN ID die Gast-VLAN-ID für den ausgewählten Bridge-Port ein. Bedingung: – Eine Zahl zwischen 1 und 4096 4. Bestätigen Sie die Änderung. 7.6.2.5 Den Anhaftmodus aktivieren Der Anhaftmodus ist verfügbar, wenn der Security-Modus auf Static MAC eingestellt ist. Wenn der Anhaftmodus für einen Bridge-Port aktiviert ist, können Supplicants, deren MAC- Adressen vom Port dynamisch gelernt wurden, nur über diesen Port auf das Netzwerk zugreifen.
Seite 228 Security 7.6 Port-Security Um die Anzahl der MAC-Adressen zu begrenzen, die von einem sicheren Bridge-Port dynamisch gelernt werden können, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass der Security-Modus für den ausgewählten Bridge-Port entweder auf Static MAC oder 802.1X eingestellt ist. Für weitere Informationen siehe "Den Security-Modus einstellen (Seite 225)".
Seite 229 Security 7.6 Port-Security 7.6.2.8 Den administrativen Abschalttimer einstellen Der administrative Abschalttimer reaktiviert sichere Bridge-Ports, die aufgrund eines Sicherheitsverstoßes abgeschaltet wurden, wenn der Timer abläuft. Ein Timer wird nicht standardmäßig definiert. Wenn der Timer nicht definiert ist, bleibt der Bridge-Port abgeschaltet, bis er von einem Benutzer manuell zurückgesetzt wird. Um den administrativen Abschalttimer einzustellen, gehen Sie wie folgt vor: 1.
Seite 230 Security 7.6 Port-Security 5. [Optional] Stellen Sie die Zeit ein, die auf die Antwort eines Authenticators auf das EAP-Paket des Authentifizierungsservers gewartet werden soll. Für weitere Informationen siehe "Den Timeout-Zeitraum von Authenticators einstellen (Seite 233)". 6. [Optional] Aktivieren Sie die periodische Authentifizierung von Supplicants. Standardmäßig ist diese Option deaktiviert.
Seite 231 Security 7.6 Port-Security Um die Wartedauer einzustellen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Port Security. 2. Unter IEEE 802.1X stellen Sie unter Quiet Period die Wartedauer für den ausgewählten Bridge-Port ein. Bedingungen: – Im Format nYnMnDnhmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 232 Security 7.6 Port-Security 3. Unter IEEE 802.1X stellen Sie unter Reauth Period die Zeit zwischen periodischen Authentifizierungsversuchen für den ausgewählten Bridge-Port ein. Bedingung: – Im Format nYnMnDnhmns, wobei n eine benutzerdefinierte Zahl ist – Min. 1 Minute (1m) – Max. 1 Tag (1d) Default: 1h 4.
Seite 233 Security 7.6 Port-Security 7.6.3.7 Den Timeout-Zeitraum von Authenticators einstellen Um die Zeit einzustellen, die auf die Antwort eines Authentifizierungsservers auf das EAP-Paket eines Supplicants gewartet werden soll, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Port Security. 2.
Seite 234 Security 7.6 Port-Security Authentifizierungsmethode Port-Security-Zustand Meldung IEEE 802.1x-Authentifizierung Unsicher "Unsecure" IEEE 802.1X mit MAC-Adressen-ba‐ Nicht autorisiert "Unauthorized; Initialize" sierter Authentifizierung "Unauthorized; Disconnected" "Unauthorized; Connecting" "Unauthorized; Authenticating" "Unauthorized; Authenticated" "Unauthorized; Aborting" "Unauthorized; Held" "Unauthorized; Force Auth" "Unauthorized; Quarantined" "Unauthorized; Guest" Autorisiert "Authorized;" Abschaltung "Shutdown"...
Seite 235 Schnittstellenverwaltung In diesem Kapitel wird beschrieben, wie Sie Schnittstellen auf dem Gerät konfigurieren und verwalten. Schnittstellen Jeder physische Port und jedes VLAN wird durch eine Schnittstelle dargestellt. Jede Schnittstelle bietet verschiedene Optionen zum Steuern des eingehenden und ausgehenden Datenverkehrs. In diesem Abschnitt werden die Schnittstellentypen und ihre konfigurierbaren Einstellungen beschrieben.
Seite 236 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.1 Konventionen bei der Benennung von Schnittstellen Schnittstellen werden anhand der folgenden Konventionen benannt: Namenskonventionen Beispiele Beschreibung ethernet{ Steckplatz }/{ P ethernet0/1, ether‐ Bridge-Ports werden anhand des Steckplatzes, in dem sich der physische ort } net3/2 Port befindet, und der Portnummer benannt. Steckplatznummer Null (0) deutet darauf hin, dass es sich bei dem Port um einen festen physischen Port handelt.
Seite 237 Schnittstellenverwaltung 8.1 Schnittstellen ACHTUNG Konfigurationsrisiko - Gefahr starken Frame-Verlusts Switches an beiden Enden des Links müssen für den gleichen Duplexmodus konfiguriert sein. Wenn Switch A im Vollduplex-Modus ist und Switch B im Halbduplex-Modus, tritt in Zeiträumen mit starkem Datenverkehr im Netzwerk erheblicher Frame-Verlust auf. 8.1.1.4 Schutz der Steuerung durch Link Fault Indication (LFI) Moderne Industriesteuerungen besitzen oft Reserveschnittstellen, die bei einem Linkausfall...
Seite 238 Schnittstellenverwaltung 8.1 Schnittstellen Native Benachrichtigungsmechanismen Medien Nativer Benachrichtigungsmechanismus für Linkpartner 100Base-TX Umfasst eine integrierte Autonegotiationsfunktion (d.h. im übertragenen Autone‐ gotiationssignal wird ein spezieller Merker zur Remote-Fehlerfernanzeige gesetzt). 1000Base-T 1000Base-X 100Base-FX Kann Far-End-Fault-Indication (FEFI) umfassen wie von IEEE 802.3 definiert. Diese Funktion umfasst: •...
Seite 239 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.5 Ersatz im Betrieb/Austausch im Betrieb SINEC OS unterstützt das Ziehen und Stecken sowie Tauschen von Medienkomponenten unter Spannung: • Das Ziehen und Stecken unter Spannung ermöglicht es Ihnen, eine Medienkomponente durch eine Komponente des gleichen Typs zu ersetzen, während das Gerät in Betrieb ist. •...
Seite 240 Funktionalität eines Netzwerks erweitert werden kann. Hinweis Verwenden Sie nur zugelassene Stecktransceiver. Wenn Sie Stecktransceiver verwenden, die nicht von Siemens freigegeben sind, ist eine spezifikationsgemäße Funktion des Geräts nicht sichergestellt. Wenn Sie nicht zugelassene Stecktransceiver verwenden, kann dies zu folgenden Problemen führen:...
Seite 241 SINEC OS für eine Schnittstelle eventuell falsche Einstellungen konfiguriert. Hinweis Stecktransceiver, die von Siemens freigegeben sind, unterstützen Smart SFP. Stecktransceiver, die Smart SFP nicht unterstützen, können beim Stecken deaktiviert und als Unidentified gekennzeichnet werden. Deaktivieren Sie Smart SFP in diesem Fall und konfigurieren Sie die Schnittstelle manuell.
Seite 242 Schnittstellenverwaltung 8.1 Schnittstellen Wenn die Nutzdaten größer sind als die von einer Schnittstelle unterstützte MTU-Größe, werden Frames dieser Größe unterteilt und am Ziel wieder zusammengesetzt. Mit SINEC OS können Sie die MTU-Größe für alle Bridge-Port- und VLAN-Schnittstellen konfigurieren. Hinweis Zusätzliche Bezeichnungsinformationen: Die Mindest-MTU-Größe für Gigabit-Ethernet-Bridge-Ports (1522 Bytes) enthält zusätzliche 4 Bytes für protokollspezifische Bezeichungsinformationen.
Seite 243 Schnittstellenverwaltung 8.1 Schnittstellen Wann sollten übergroße Frames verwendet werden? Übergroße Frames werden am besten in gesteuerten Hochgeschwindigkeitsnetzwerken (1 Gbit/s oder mehr) mit hoher Auslastung verwendet. Die Verwendung von übergroßen Frames in kleinen Netzwerken oder auf Geräten mit Internetverbindung ist nicht sinnvoll. 8.1.2 Bridge-Ports konfigurieren Um einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor:...
Seite 244 Schnittstellenverwaltung 8.1 Schnittstellen 8. [Optional] Aktivieren Sie Smart SFP (nur für SFP-Ports). Weitere Informationen siehe "Smart SFP aktivieren (nur für SFP-Ports) (Seite 248)". 9. Stellen Sie sicher, dass der Bridge-Port aktiviert ist. Weitere Informationen siehe "Einen Bridge-Port aktivieren (Seite 249)". Siehe auch Eine statische IPv4-Adresse konfigurieren (Seite 271) 8.1.2.1 Eine Beschreibung für einen Bridge-Port hinzufügen Jedem Bridge-Port kann eine Beschreibung gegeben werden, um die Schnittstelle besser...
Seite 245 Schnittstellenverwaltung 8.1 Schnittstellen Hinweis Autonegotiation ist standardmäßig für alle 100BASE-FX, 1000BASE-X und 10GBASE-X Ports deaktiviert. Autonegotiation wird automatisch aktiviert für alle Bridge-Ports, die diese Funktion unterstützen. Autonegotiation kann für einen Bridge-Port nur deaktiviert werden, wenn für Geschwindigkeit und Duplexmodus feste Werte zugewiesen werden (d.h. nicht auto). 1.
Seite 246 Schnittstellenverwaltung 8.1 Schnittstellen 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Interfaces. 2. Unter Ethernet Interfaces wählen Sie unter Speed die Geschwindigkeit für den ausgewählten Bridge-Port aus. Mögliche Optionen: Option Beschreibung Auto Frames werden mit der durch Autonegotiation ermittelten Geschwindigkeit gesendet. 10 Mb/s Frames werden mit 10 Mbit/s gesendet.
Seite 247 Schnittstellenverwaltung 8.1 Schnittstellen 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Interfaces. 2. Wählen Sie unter Ethernet Interfaces und unter Duplex Mode den Duplexmodus für den ausgewählten Bridge-Port aus. Mögliche Optionen: Option Beschreibung Auto Default Der Duplexmodus wird über Autonegotiation ermittelt. Half-duplex Die Kommunikation zwischen dem Bridge-Port und seinem Linkpartner findet in beiden Richtungen statt, jedoch nur...
Seite 248 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.2.6 Link-up-/Link-down-Benachrichtigungen aktivieren SNMP-Benachrichtigungen für Link-up- und Link-down-Ereignisse können für spezifische Bridge- Ports aktiviert bzw. deaktiviert werden. Wenn deaktiviert, werden die mit diesen Ereignissen verbundenen Alarme für diese Schnittstellen niemals ausgelöst. Hinweis Standardmäßig sind Link-up- und Link-down-Benachrichtigungen an allen Bridge-Ports deaktiviert.
Seite 249 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.2.9 Einen Bridge-Port aktivieren Um einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: ACHTUNG Sicherheitsrisiko – Gefahr des unbefugten Zugriffs und/oder der Ausnutzung Alle Bridge-Ports sind standardmäßig aktiviert. Außerdem werden nach dem Rücksetzen des Geräts auf die Standardeinstellungen (Werkseinstellungen) alle Bridge-Ports, die zuvor deaktiviert waren, wieder aktiviert.
Seite 250 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.3.1 Eine VLAN-Schnittstelle hinzufügen Um eine VLAN-Schnittstelle hinzuzufügen, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass ein statisches VLAN vorhanden ist, dem die neue Schnittstelle zugewiesen werden kann. Für weitere Informationen zum Hinzufügen statischer VLANs siehe "Ein statisches VLAN hinzufügen oder ändern (Seite 444)".
Seite 251 Schnittstellenverwaltung 8.1 Schnittstellen Um Link-up- und Link-down-SNMP-Benachrichtigungen für eine VLAN-Schnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter IP Interfaces ändern Sie Link Up/Down Trap für die ausgewählte Schnittstelle in Enable. 3. Bestätigen Sie die Änderung. 8.1.3.5 Eine VLAN-Schnittstelle aktivieren Um eine VLAN-Schnittstelle zu aktivieren, gehen Sie wie folgt vor:...
Seite 252 Schnittstellenverwaltung 8.1 Schnittstellen 8.1.5.1 Bridge-Ports anzeigen Um die verfügbaren Bridge-Port-Konfigurationen anzuzeigen, navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Interfaces. Folgende Informationen werden für jeden Bridge-Port angezeigt: Parameter Beschreibung Interface Dem Bridge-Port zugewiesener Name im Format "{ Type } { Slot }/{ Port }". Beispiel: •...
Seite 253 Schnittstellenverwaltung 8.1 Schnittstellen Folgende Informationen werden für jede Schnittstelle angezeigt: Parameter Beschreibung Name Der Name der Schnittstelle im Format "vlan{ VLAN- ID }". Der Wert ist schreibgeschützt. Description Eine optionale benutzerdefinierte Beschreibung der Schnittstelle. Die Zeichenkette kann bis zu 64 Zeichen lang sein. Link Up/Down Trap Wenn aktiviert (enable), werden SNMP-Benach‐...
Seite 254 Schnittstellenverwaltung 8.1 Schnittstellen Statistik Beschreibung Out Octets (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Unicast-Frames. Out Broadcast (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Broadcast-Frames. Out Multicast (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Multicast-Frames.
Seite 255 Schnittstellenverwaltung 8.1 Schnittstellen Statistik Beschreibung Out Frames Die Gesamtzahl der vom Bridge-Port erfolgreich gesendeten Frames. Out Multicast Frames Die Anzahl der vom Bridge Port erfolgreich gesendeten Mul‐ ticast-Frames. Out Octets Die Anzahl der vom Bridge Port erfolgreich gesendeten Da‐ tenoktette. Out Unicast Frames Die Anzahl der vom Bridge Port erfolgreich gesendeten Uni‐...
Seite 256 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Parameter Beschreibung Speed Zeigt die Übertragungsgeschwindigkeit, mit der an dem Stecktransceiver-Port Frames übertragen werden. Mögliche Werte: • Auto - Frames werden mit der durch Autonegotiation er‐ mittelten Geschwindigkeit gesendet. • 10 Mb/s - Frames werden mit 10 Mbit/s gesendet. •...
Seite 257 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Die Tabelle besteht aus statisch definierten MAC-Adressen (von Benutzer festgelegt) und dynamisch gelernten Adressen (vom Gerät selbst festgelegt). 8.2.1.1 Dynamische MAC-Einträge Dynamische MAC-Einträge sind solche, die vom Gerät automatisch gelernt wurden, während es Frames von Hostgeräten im Netzwerk empfängt und weiterleitet. Alterung Dynamische MAC-Einträge unterliegen der Alterung und werden nach einer gewissen Zeit automatisch entfernt, wenn vom zugehörigen Host nicht vor Ablauf dieser Zeit ein Frame...
Seite 258 Schnittstellenverwaltung 8.2 MAC-Adressentabelle 8.2.1.2 Statische MAC-Einträge Statische MAC-Filtereinträge in der MAC-Adressentabelle stellen von Benutzern definierte MAC- Adressen dar. Diese Einträge stellen eine feste Zuweisung zwischen einer MAC-Adresse und einem VLAN her. Statische Einträge altern nicht und können nur einzeln vom Benutzer entfernt werden.
Seite 259 Schnittstellenverwaltung 8.2 MAC-Adressentabelle 8.2.2.2 Die MAC-Adressalterung bei Linkausfall aktivieren Dynamisch gelernte MAC-Adressen können bei einem Linkausfall automatisch entfernt werden (Alterung). Dadurch wird verhindert, dass der Switch Datenverkehr an einen Linkpartner weiterleitet, der ihn nicht empfangen kann. Hinweis Die MAC-Adressalterung ist standardmäßig aktiviert, kann jedoch in einigen Anwendungen deaktiviert werden.
Seite 260 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Hinweis Die folgenden MAC-Adressen sind unzulässig: • Zero-MAC-Adressen • Broadcast-MAC-Adressen • Reservierte MAC-Adressen • MAC-Adressen von virtuellen Routern • Die eigene MAC-Adresse des Geräts Um einen statischen MAC-Filtereintrag hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ Static. 2.
Seite 261 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Um einem statischen MAC-Filtereintrag die Warteschlange einer Traffic-Klasse zuzuordnen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ Static. 2. Unter Media Access Control (MAC) Address Table (Static Entries) wählen Sie unter Traffic Class für den ausgewählten statischen MAC-Filtereintrag die Warteschlange einer Traffic- Klasse aus.
Seite 262 Schnittstellenverwaltung 8.3 PoE Parameter Beschreibung Traffic Class Die Warteschlange einer Traffic-Klasse, die der MAC-Adresse zugeordnet ist Mögliche Werte: • 0 – 7 – Warteschlange einer Traffic-Klasse • Unprioritized – Keine Warteschlange einer Traffic-Klasse zugeordnet Forwarding Port Der ausgehende Weiterleitungsport, der der MAC-Adresse zu‐ geordnet ist.
Seite 263 Schnittstellenverwaltung 8.3 PoE 8.3.1 Wissenswertes zu PoE SINEC OS-Geräte, die PoE unterstützen, entsprechen dem Standard IEEE 802.3bt Typ 3. Dieser Standard definiert zwei Gerätetypen für PoE: • Power Sourcing Equipment (PSE) Ein Gerät, das Strom und Daten über eine Twisted-Pair-Ethernet-Verbindung an einen Endpunkt liefert.
Seite 264 Schnittstellenverwaltung 8.3 PoE Bild 8-5 Pinbelegung Modus A Modus B liefert Strom für die "Ersatz"-Paare bei 10BASE-T und 100BASE-TX. Die Pins 4 und 5 bilden eine Seite der Gleichstromversorgung, während die Stifte 7 und 8 die Rückleitung bilden. Bild 8-6 Pinbelegung Modus B Um festzustellen, welcher Modus erforderlich ist, lesen Sie die Dokumentation des Herstellers Ihres PD.
Seite 265 Schnittstellenverwaltung 8.3 PoE 8.3.2 PoE global konfigurieren Um PoE zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Legen Sie die maximale Gesamtausgangsleistung fest, die vom Gerät geliefert werden kann. Für weitere Informationen siehe "Die maximale Gesamtausgangsleistung festlegen (Seite 265)". 2. [Optional] Legen Sie die erforderliche Mindestspannung für jeden PoE-Bridge-Port fest. Für weitere Informationen siehe "Die Mindestspannung festlegen (Seite 265)".
Seite 266 Schnittstellenverwaltung 8.3 PoE 8.3.2.3 Die Zeit für die Wiedereinschaltverzögerung festlegen Im Falle einer Überlast, bei der der Strombedarf die Kapazität übersteigt, wird PoE automatisch für ausgewählte Bridge-Ports auf der Grundlage von Priorität und Portnummer deaktiviert. Die PoE-Funktionalität wird nach einer angegebenen Zeit automatisch wieder aktiviert. Um die Verzögerungszeit bis zum Wiedereinschalten für alle PoE-Bridge-Ports zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 267 Schnittstellenverwaltung 8.3 PoE 8.3.3.2 Modus für die Anschlussbelegung der Leistungsschnittstelle auswählen Der Modus für die Anschlussbelegung der Leistungsschnittstelle muss manuell eingestellt werden, wenn das PD nicht IEEE-konform ist. Andernfalls bestimmt der PSE den richtigen Modus automatisch auf der Grundlage der Klasse des PD. Um den für Ihr PD erforderlichen Modus zu ermitteln, lesen Sie die Dokumentation des Herstellers.
Seite 268 Schnittstellenverwaltung 8.3 PoE Unter PoE Modules werden folgende Informationen für jede Schnittstelle angezeigt: Parameter Beschreibung Module Der zugehörige Modulsteckplatz. Capacity Die Leistung in Watt (W), die dem angegebenen PoE-Modul zur Verfügung steht. 8.3.4.2 Den Status der PoE-Bridge-Ports anzeigen Um den PoE-Status aller PoE-fähigen Bridge-Ports anzuzeigen, navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫...
Seite 269 Schnittstellenverwaltung 8.3 PoE Parameter Beschreibung Current Der gelieferte Strom in Milliampere (mA). Classifications Die zugehörige PoE-Klasse. Die PoE-Klassen gemäß IEEE 802.3 legen den Höchstleistungspegel fest, den der Bridge-Port lie‐ fert. Mögliche Werte: • class0 - Der Bridge-Port liefert höchstens 15,4 W •...
Seite 270 Schnittstellenverwaltung 8.3 PoE Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 271 IP-Adressvergabe Dieses Kapitel beschreibt Funktionen in Verbindung mit der Zuweisung von IP-Adressen, wie DHCP und DNS. Statische IP-Adressvergabe IP-Adressen können einer IP-Schnittstelle statisch (manuell) zugeordnet werden. Dies eignet sich für IP-Schnittstellen, die immer unter derselben IP-Adresse erreichbar sein sollen. Um eine statische IPv4-Adresse zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 272 IP-Adressvergabe 9.2 Statisches DNS 9.1.2 Die IPv4-Adresskonfiguration anzeigen Um die IPv4-Adresskonfiguration anzuzeigen, navigieren Sie zu Interfaces ≫ IP Interfaces. Unter IPv4 Static Addresses werden folgende Informationen angezeigt: Parameter Beschreibung Interface VLAN-ID der IP-Schnittstelle IP Address IP-Adresse der IP-Schnittstelle Prefix Length Subnetz als Präfix-Länge dargestellt Statisches DNS In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit Sie bei ausgewählten Konfigurationen den Host- bzw.
Seite 273 Position in der Hierarchie des DNS, indem er alle Ebenen angibt, min‐ destens jedoch Second-Level-Domäne und Top-Level-Domäne. Beispiel: www.industry.siemens.com In diesem Beispiel entspricht "com" der Top-Level-Domäne. "siemens" entspricht der Second-Level-Domäne. "industry" bildet eine optionale Sub-Level-Domäne und "www" ist der Hostname. Domäne Als Domäne bezeichnet man einen zusammenhängenden Bereich des DNS.
Seite 274 DNS-Resolver bei einem Root-Server den DNS-Server der Top-Level-Domäne com. Beim DNS-Server der Top-Level-Domäne erfragt der DNS-Resolver wiederum den DNS-Server der nächsten Hierarchiestufe siemens.com. Nach diesem Prinzip fragt der DNS-Resolver alle Ebenen des Domänennamens ab, bis die Anfrage aufgelöst wurde oder ein Fehler auftritt, weil z. B.
Seite 275 IP-Adressvergabe 9.2 Statisches DNS Um einen DNS-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ DNS Client. 2. Unter DNS Servers (Static) klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Name geben Sie den Namen des DNS-Servers ein. Sie können den Namen nur direkt nach dem Hinzufügen der neuen Zeile editieren.
Seite 276 IP-Adressvergabe 9.3 DHCP Unter DNS Servers werden folgende Informationen angezeigt: Parameter Beschreibung Server Address Zeigt die IP-Adressen der konfigurierten DNS-Server an. Unter Domain Search List werden folgende Informationen angezeigt: Parameter Beschreibung Domain Name Zeigt die konfigurierten Such-Domänen an. DHCP In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit es seine IP- Konfiguration von einem DHCP-Server bezieht.
Seite 277 IP-Adressvergabe 9.3 DHCP 9.3.1.1 Eine DHCP-Client-Schnittstelle aktivieren Standardmäßig sind alle DHCP-Client-Schnittstellen deaktiviert. Ausnahme: Für das VLAN 1 ist DHCP im Lieferzustand aktiviert. Um eine DHCP-Client-Schnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter IP Interfaces ändern Sie den Parameter DHCP in Enabled. 3.
Seite 278 IP-Adressvergabe 9.3 DHCP Um die Client-ID einer DHCP-Client-Schnittstelle zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter Dynamic Host Configuration Protocol (DHCPv4) Client in der Spalte Client ID ändern Sie die Client-ID einer DHCP-Client-Schnittstelle. Mögliche Optionen: Option Beschreibung...
Seite 279 IP-Adressvergabe 9.3 DHCP 9.3.1.5 Eine Konfigurationsdatei vom DHCP-Server anfordern (Option 66, 67) Diese Funktion ermöglicht es DHCP-Clients, ihre Konfiguration von einem TFTP-Server herunterzuladen. Wenn Sie die Funktion aktivieren, sendet ein DHCP-Client eine Anforderung mit den Optionen 66 und 67 an einen DHCP-Server, um folgende Informationen abzurufen: •...
Seite 280 IP-Adressvergabe 9.3 DHCP Voraussetzungen • Sie haben einen Server entsprechend konfiguriert. • Die Konfigurationsdatei (.xml) liegt auf dem Server. • Es besteht eine Verbindung zwischen dem Gerät und dem Server. Eine Konfigurationsdatei anfordern Um die Funktion für eine DHCP-Client-Schnittstelle zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 281 IP-Adressvergabe 9.3 DHCP Unter IP Interfaces werden folgende Informationen angezeigt: Parameter Beschreibung Interface Zeigt die VLAN-ID der DHCP-Client-Schnittstelle an. DHCP Zeigt an, ob DHCP-Client für die genannte Schnittstelle akti‐ viert ist. Unter Dynamic Host Configuration Protocol (DHCP4) Client werden für aktive DHCP-Client- Schnittstellen folgende Informationen angezeigt: Parameter Beschreibung...
Seite 282 IP-Adressvergabe 9.3 DHCP Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 283 Routing In diesem Kapitel wird ein zentraler Aspekt der Netzwerkkommunikation beschrieben: Die effiziente Weiterleitung von Datenpaketen zwischen verschiedenen Netzwerken. In der heutigen vernetzten Welt, in der Unternehmen und Organisationen auf komplexe Netzwerke angewiesen sind, spielt Routing eine entscheidende Rolle, um den Datenverkehr zuverlässig und effizient von einem Ort zum anderen zu leiten.
Seite 284 Routing 10.1 Switching und Routing 10.1.1 Wissenswertes zu Switching und Routing In modernen Netzwerken spielen Switches und Router eine entscheidende Rolle, um den Datenverkehr effizient und sicher von einem Gerät zum anderen zu leiten. Auf Layer 2, dem sogenannten Switching-Layer, werden Datenpakete anhand von MAC-Adressen innerhalb eines lokalen Netzwerks weitergeleitet.
Seite 285 Routing 10.1 Switching und Routing Um mehrere Geräte innerhalb eines VLANs zu verbinden, werden Switches eingesetzt. Ein Switch verarbeitet Layer 2-Datenpakete, die er empfängt, wie folgt: 1. Der Switch prüft die Ziel-MAC-Adresse eines Datenpakets. 2. Der Switch durchsucht seine MAC-Adresstabelle nach der entsprechenden MAC-Adresse. Die MAC-Adresstabelle ordnet Bridge-Ports Ziel-MAC-Adressen zu.
Seite 286 Routing 10.1 Switching und Routing dieser Konfiguration dynamisch ermittelt werden. Die Kommunikationsbeziehungen müssen nicht erneut konfiguriert werden. Bei der Layer 3-Kommunikation benötigt jedes Gerät, mit dem kommuniziert werden soll, eine IP-Adresse und eine Subnetzmaske. Die Geräte kennen ihr Subnetz. Das Subnetz entspricht einer Broadcast-Domäne bzw. einem VLAN. Damit Geräte über Layer 3 kommunizieren können, müssen die IP-Adressen untereinander bekannt sein.
Seite 287 Routing 10.1 Switching und Routing ① Host ② Switch ③ Router Bild 10-3 Routing Jeder Host in einem spezifischen Subnetz ist ein Mitglied desselben VLANs. Der Router besitzt in beiden angeschlossenen Subnetzen jeweils eine Routing-Schnittstelle. Damit die Hosts wissen, wohin sie Daten bei einer Subnetz-übergreifenden Kommunikation schicken müssen, ist in den Hosts die IP-Adresse des Routers als Default-Gateway (oder Default-Route) konfiguriert.
Seite 288 Routing 10.1 Switching und Routing 10.1.1.4 Arten des Routing Es gibt folgende Arten von Routing: • Statisches Routing Beim statischen Routing werden Routen manuell konfiguriert und sind fest vorgegeben. Für weitere Informationen siehe "Statisches Routing (Seite 292)". • Dynamisches Routing Beim dynamischen Routing werden Routen durch ein oder mehrere konfigurierte Routing- Protokolle dynamisch gelernt.
Seite 289 Routing 10.1 Switching und Routing 10.1.1.6 Administrative Distanz Ein Router erhält Routing-Informationen von verschiedenen Quellen: Direkt verbundene Subnetze, statisch konfigurierte Routen und Routing-Protokolle. Dadurch kann ein Router mehrere Routen zu demselben Ziel-Subnetz lernen. Die administrative Distanz ist ein Maß für die Vertrauenswürdigkeit einer Quelle. Wenn es einen Konflikt mit mehreren Routen gibt, vergleicht ein Router die administrative Distanz der Quelle.
Seite 290 Routing 10.1 Switching und Routing 4. [Optional] Konfigurieren Sie ein oder mehrere dynamische Routing-Protokolle. Hinweis In komplexen Netzwerken können mehrere dynamische Routing-Protokolle gleichzeitig auf demselben Router aktiv sein. In der Regel wird jedoch jeweils nur ein dynamisches Routing- Protokoll verwendet. 5. [Optional] Konfigurieren Sie VRRP. Für weitere Informationen siehe "VRRP (Seite 401)".
Seite 291 Routing 10.1 Switching und Routing 10.1.3 Routing überwachen In diesem Abschnitt werden die verschiedenen Methoden für die Überwachung von Routen beschrieben. 10.1.3.1 Die Routing-Tabelle anzeigen Es gibt folgende Anwendungsfälle für die Routing-Tabelle: • IP-Kommunikation der lokalen IP-Dienste Dieser Anwendungsfall wird gleichermaßen von Layer 2- und Layer 3-Geräten unterstützt. Die Routing-Tabelle wird verwendet, um den nächsten Hop für verschiedene Ziele der lokalen IP-Dienste (z.
Seite 292 Routing 10.2 Statisches Routing Parameter Beschreibung Source Protocol Zeigt an, wie eine Route gelernt wurde. Mögliche Werte: • connected Direkt verbundene Subnetze Jede Routing-Schnittstelle wird automatisch mit dem an‐ geschlossenen Subnetz als connected in die Routing-Ta‐ belle eingetragen. Die Route einer Routing-Schnittstelle ist in der Routing-Ta‐ belle nur sichtbar, wenn die zugehörige physische Schnitt‐...
Seite 293 Routing 10.2 Statisches Routing Für jede statische Route können bis zu acht nächste Hops festgelegt werden. Für die Gesamtzahl der statischen Routen sind maximal 100 nächste Hops zulässig. Für weitere Informationen zum Mengengerüst siehe "Mengengerüst (Seite 33)". Hinweis SINEC OS unterstützt nur statisches IPv4-Routing. Hinweis Eine einzelne Instanz der Routing-Tabelle wird unterstützt.
Seite 294 Routing 10.2 Statisches Routing 3. Konfigurieren Sie eine oder mehrere statische Routen mit jeweils einer einfachen Next-Hop- Adresse. Für weitere Informationen siehe "Eine statische Route mit einer einfachen Next-Hop-Adresse konfigurieren (Seite 294)". 4. Fügen Sie eine statische Standardroute hinzu. Für weitere Informationen siehe "Eine statische Standardroute hinzufügen (Seite 294)". 5.
Seite 295 Routing 10.2 Statisches Routing Um eine statische Standardroute hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 3 ≫ Routes ≫ Static Routing. 2. Unter IPv4 Static Routes klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3.
Seite 296 Routing 10.2 Statisches Routing 4. Legen Sie unter Index einen Index für die statische Route fest. Der Index ist ein eindeutiger Identifikator für den Next-Hop-Pfad. Bedingung: – Muss zwischen 1 und 255 Zeichen lang sein – Darf die folgenden Zeichen nicht enthalten: ! ? ;...
Seite 297 Routing 10.2 Statisches Routing 5. Geben Sie unter Next Hop Address eine Next-Hop-Adresse für den ersten Pfad ein. 6. Geben Sie unter Route Preference die administrative Distanz für den ersten Pfad ein. Bedingung: – Eine Zahl zwischen 1 und 254 7. Während dieselbe statische Route ausgewählt ist, klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt.
Seite 298 Routing 10.3 OSPF 10.3 OSPF Open Shortest Path First (OSPF) ist ein Interior Gateway Protocol (IGP) zur Verteilung von IP- Routinginformationen zwischen Routern innerhalb eines autonomen Systems (AS). Der Austausch von Routinginformationen unterstützt Router bei der Ermittlung der kürzesten Pfade im Netzwerk. Mithilfe eines LSR-Algorithmus (Link State Routing) reagiert OSFP schnell auf Topologieänderungen im AS und erzeugt minimalen Routingprotokoll-Datenverkehr.
Seite 299 Routing 10.3 OSPF 10.3.1.1 Wichtige Begriffe und Definitionen Die folgende Tabelle enthält wichtige Begriffe und Definitionen für OSPF: Begriff Definition Autonomes System (AS) Ein Netzwerk oder eine Gruppe von Netzwerken unter einer einzigen technischen Verwaltung. Interior Gateway Protocol (IGP) Ein Routingprotokoll, das Informationen zur Routing-Tabelle zwischen Routern in einem AS auflöst und austauscht.
Seite 300 Routing 10.3 OSPF Begriff Definition Router-ID Eindeutige 32-Bit-Zahl, die einem OSPF-Router zugewiesen wird. Obwohl es sich bei der ID nicht um eine echte IP-Adresse handelt, muss sie deren Form (z. B. 1.1.1.1) aufweisen. Bei Broadcast- und Non-Boadcast-Netzwerken wird die Router- ID bei der Wahl des DR/BDR verwendet. Flooding Methode, bei der ein Router Routinginformationen an Nach‐...
Seite 301 Routing 10.3 OSPF 10.3.1.3 OSPF-Tabellen Jeder OSPF-fähige Router pflegt die folgenden Tabellen: • OSPF-Nachbartabelle Die OSPF-Nachbartabelle enthält OSFP-fähige Router, die direkt mit dem aktuellen Router verbunden sind. Darüber hinaus wird der Zustand der Adjacency mit jedem Router bereitgestellt. Für weitere Informationen zu OSPF-Nachbarn und Adjacency siehe "OSPF-Nachbarn und Adjacency (Seite 308)".
Seite 302 Routing 10.3 OSPF 10.3.1.4 OSPF-Pakete OSPF-fähige Router senden einander die folgenden Pakete: Pakettyp Beschreibung Hello Hello-Pakete informieren über das Vorhandensein eines OSPF- Routers in einer Area. Jeder Router sendet regelmäßig ein Hello-Paket an 224.0.0.5, eine spezielle Multicast-Adresse, die für alle OSPF-Router reserviert ist. Sobald zwei Router ei‐ nander erkennen, können sie den Adjacency-Prozess mit dem Nachbarn starten.
Seite 303 Routing 10.3 OSPF 10.3.1.5 Link State Database (LSDB) OSPF-fähige Router werden einer Area in einem AS zugeordnet. Jeder Router in einer Area pflegt eine Link-State Database (LSDB) mit dem Link State jedes Routers in dieser Area. Der Link State ist die Beschreibung eines Routers. Dazu können beispielsweise die IP-Adresse und Subnetzmaske des Routers, die Art des Netzwerks, mit dem er verbunden ist, oder auch benachbarte Router gehören.
Seite 304 Routing 10.3 OSPF die bekannte Sequenznummer, wird das LSA verworfen. Eine kleinere Sequenznummer bedeutet, dass es bei der Bereitstellung des LSA zu einer Verzögerung kam und die darin enthaltenen Informationen möglicherweise nicht mehr gültig sind. LSA-Alter Jedem LSA wird ein Alter zugewiesen, das sekündlich um 1 erhöht wird. Überschreitet das Alter eines LSA 3600 Sekunden (60 Minuten), gilt es als ungültig und wird aus der LSDB entfernt.
Seite 305 Routing 10.3 OSPF 10.3.1.7 OSPF-Areas Eine OSPF-Area ist eine Gruppe von OSPF-fähigen Routern in einem autonomen System (AS). Router werden in Gruppen eingeteilt, um den von jedem Router gesendeten und empfangenen OSPF-Datenverkehr zu reduzieren. Autonomes System (AS) Area 1 Area 0 Area 2 Bild 10-5 OSPF-Areas...
Seite 306 Routing 10.3 OSPF 1.1.1.1/24 2.2.2.2/24 0.0.0.0/0 ① Router ② ③ ASBR ④ Internet Bild 10-6 OSPF-Backbone (Area 0) 10.3.1.9 OSPF-Netzwerktypen Bei der Konfiguration von OSPF können Sie den Netzwerktyp für eine OSPF-Schnittstelle unabhängig von dessen Standardeinstellung konfigurieren. Mit dieser Funktion kann beispielsweise ein Broadcast-Netzwerk in ein NBMA-Netzwerk (Non-Broadcast Multi-Access) geändert werden, wenn das Netzwerk Geräte enthält, die keine Multicast-Adressierung unterstützen.
Seite 307 Routing 10.3 OSPF Der folgende Abschnitt beschreibt alle Optionen für den Netzwerktyp und die dazugehörige Arbeitsweise von OSPF: • Broadcast – Für mehrere über einen Switch verbundene Router – Unterstützung der Full-Mesh-Konnektivität (alle Router können frei miteinander kommunizieren) – Designated Router (DR) und Backup Designated Router (BDR) erforderlich –...
Seite 308 Routing 10.3 OSPF • Punkt-zu-Punkt (P2P) – Für zwei direkt miteinander verbundene Router (entweder physisch oder über WAN) – Unterstützung der Full-Mesh-Konnektivität (die beiden Router können frei miteinander kommunizieren) – Unterstützung der automatischen Nachbarerkennung über Multicast – Übermittlung der Nachbarkommunikation während des Adjacency-Prozesses mit dem OSPF-Nachbarn mittels Multicast (224.0.0.5) –...
Seite 309 Routing 10.3 OSPF 4. 2-Way Im Zustand 2-Way haben beide Router Hello-Pakete ausgetauscht und eine bidirektionale Kommunikation aufgebaut. Dieser Zustand wird erreicht, wenn der Router im vom Nachbarn gesendeten Hello-Paket seine eigene Router-ID erkennt. Zu diesem Zeitpunkt entscheidet der Router, ob er mit dem Nachbarn eine Adjacency herstellt.
Seite 310 Routing 10.3 OSPF 10.3.1.11 Designated Router (DR) Ein Designated Router (DR) ist ein spezieller OSPF-Router, der die Kommunikation mit allen anderen Routern in der Area optimiert. Er ist in Broadcast- und NBMA-Netzwerken (Non- Broadcast Multi-Access) erforderlich. Bild 10-7 OSPF-Area ohne DR In der dargestellten Topologie sendet R1 einen Router-LSA (Typ 1) an alle anderen Router in seiner Area, wenn seine Routinginformationen aktualisiert wurden.
Seite 311 Routing 10.3 OSPF Wird einem OSPF-Router die Priorität 0 zugewiesen, wird der Router vom Wahlprozess ausgeschlossen. DR-Kommunikation In einem Broadcast-Netzwerk werden Router-LSAs über die reservierte IP-Adresse 224.0.0.6 mittels Multicast an den DR/BDR gesendet. Anschließend sendet der DR/BDR Network-LSAs über die reservierte IP-Adresse 224.0.0.05 als Multicast an die anderen OSPF-Nachbarn. In einem Non-Broadcast-Netzwerk werden für den DR/BDR vorgesehene Router-LSAs und Network-LSAs für andere OSPF-Router per Unicast gesendet.
Seite 312 Routing 10.3 OSPF 5. Konfigurieren Sie eine oder mehrere OSPF-Schnittstellen. Hinweis Zuordnung zu einer Area Jede OSPF-Schnittstelle muss einer Area zugeordnet werden. Wenn das Gerät als Area Border Router (ABR) oder Autonomous System Border Router (ASBR) agieren soll, legen Sie ein Interface für jede Area fest, mit der der Router verbunden ist.
Seite 313 Routing 10.3 OSPF Um die Router-ID manuell festzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Global Configuration. 2. Unter Open Shortest Path First (OSPFv2) geben Sie unter Router ID eine Router-ID für das Gerät ein. Bedingung: –...
Seite 314 Routing 10.3 OSPF 10.3.3 Eine OSPF-Schnittstelle konfigurieren Für jede OSPF-Area, zu der das Gerät gehört, muss mindestens eine VLAN-Schnittstelle (OSPF- Schnittstelle) konfiguriert werden. Jeglicher OSPF-Datenverkehr läuft über diese Schnittstellen. Jede Schnittstelle muss die anderen OSPF-fähigen Router im Netzwerk erreichen können. ACHTUNG Mengengerüst Ein OSPF-Router kann Schnittstellen in bis zu fünf OSPF-Areas haben.
Seite 315 Routing 10.3 OSPF 10.3.3.1 Eine OSPF-Schnittstelle hinzufügen Um eine OSPF-Schnittstelle hinzuzufügen, gehen Sie wie folgt vor: 1. [Optional] Erstellen Sie eine VLAN-Schnittstelle, um sie als OSPF-Schnittstelle zu nutzen. Für weitere Informationen siehe "Eine VLAN-Schnittstelle hinzufügen (Seite 250)". 2. Navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Interfaces. 3.
Seite 316 Routing 10.3 OSPF 10.3.3.4 Die Routerpriorität festlegen Jede OSPF-Area in einem Broadcast- oder NBMA-Netzwerk (Non-Broadcast Multi-Access) benötigt einen Designated Router (DR) und einen Backup Designated Router (BDR). Diese speziellen Routertypen sind bei anderen Netzwerktypen nicht erforderlich. DR und BDR werden anhand der Routerpriorität aus den in einer Area verfügbaren OSPF- Routern gewählt.
Seite 317 Routing 10.3 OSPF Um den Netzwerktyp für eine OSPF-Schnittstelle festzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Interfaces. 2. Unter OSPFv2 Interfaces legen Sie unter Network Type den Netzwerktyp für das ausgewählte Interface fest. Mögliche Optionen: Option Beschreibung...
Seite 318 Routing 10.3 OSPF Um das Intervall, in dem Hello-Pakete auf einer bestimmten OSPF-Schnittstelle gesendet werden, zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Interfaces. 2. Unter OSPFv2 Interfaces legen Sie unter Hello Interval das Hello-Intervall für das ausgewählte Interface fest.
Seite 319 Routing 10.3 OSPF 10.3.3.8 Das Retransmit-Intervall festlegen Wenn ein OSPF-Router ein angefordertes Link State Advertisement (LSA) (über ein LSU) an einen OSPF-Nachbarn sendet, erwartet er als Antwort eine Nachricht in Form eines Link State Acknowledgements (LSAwk). Das Retransmit-Intervall ist der Zeitraum, den der OSPF-Router auf ein LSAwk vom Anforderer wartet.
Seite 320 Routing 10.3 OSPF Unter OSPFv2 Global State werden globale Zustandsinformationen angezeigt. Beschreibung Die folgenden Informationen werden angezeigt: Parameter Beschreibung Router ID Die dem Gerät zugewiesene Router-ID. LSA External Counter Die Anzahl der LSAs in der LSDB aus einer anderen OSPF-Area. LSA External Checksum Die Link-State-Prüfsumme.
Seite 321 Routing 10.3 OSPF Parameter Beschreibung Hello Due In Die verbleibende Zeit, bevor ein Hello-Paket gesendet werden muss. Transmit Interval Das Transmit-Intervall. Wait Timer Die verbleibende Zeit, in der der Nachbar ein Hello-Paket sen‐ den kann, bevor er für nicht erreichbar erklärt wird. Neighbor Count Die Anzahl der Nachbarn.
Seite 322 Routing 10.3 OSPF Parameter Beschreibung Dead Timer Die verbleibende Zeit, bevor der OSPF-Nachbar als nicht ver‐ fügbar gilt. Address Die IP-Adresse des Nachbarn. Interface Die mit dem Nachbarn verbundene Schnittstelle. State Changes Die Anzahl der Zustandsänderungen. Area Die OSPF-Area, in der sich der Nachbar befindet. Designated Router ID Die Router-ID des DR.
Seite 323 Routing 10.3 OSPF 10.3.4.5 Den Status der zugehörigen OSPF-Areas anzeigen Um den Status der zugehörigen OSPF-Areas anzuzeigen, navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Network State. Unter OSPFv2 Areas State werden Informationen über zugehörige OSPF-Areas angezeigt. Beschreibung Die folgenden Informationen werden angezeigt: Parameter Beschreibung Area ID...
Seite 324 Routing 10.3 OSPF 10.3.4.7 Die lokale LSDB anzeigen Um die lokale Link State Database (LSDB) des Geräts anzuzeigen, navigieren Sie zu Layer 2 ≫ OSPFv2 ≫ Global State. Unter OSPFv2 Database State werden die Inhalte der LSDB angezeigt. Beschreibung Folgende Informationen werden für jede LSA angezeigt: Parameter Beschreibung LSA Type...
Seite 325 Routing 10.3 OSPF Parameter Beschreibung Type Der Router-LSA-Link-Typ. Mögliche Werte: • point-to-point-link - Der Link verbindet mit einem Punkt- zu-Punkt-Netzwerk (P2P). • transit-network-link - Der Link verbindet mit einem Netz‐ werk mit einem DR/BDR. Link ID zeigt die IP-Adresse des DR an. •...
Seite 326 Routing 10.3 OSPF Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 327 (RSTP) und das Multiple Spanning Tree Protocol (MSTP) umfasst. Beides sind Netzwerkredundanzprotokolle zur Beseitigung redundanter Pfade, um Schleifen im Netzwerk zu vermeiden. Das proprietäre enhanced Rapid Spanning Tree Protocol (eRSTP) von Siemens stellt weitere Verbesserungen des Spanning Tree Protocol bereit. ACHTUNG Konfigurationsrisiko –...
Seite 328 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) RSTP-Zustände und -Rollen RSTP-Bridges wird von anderen Bridges im Netzwerk entweder die Rolle einer Root-Bridge oder einer Designated-Bridge zugewiesen. • Die Root-Bridge ist das logische Zentrum des Netzwerks. • Designated-Bridges sind alle anderen Bridges im Netzwerk. Jedem Port einer Bridge ist ein Zustand und eine Rolle zugewiesen.
Seite 329 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) • Designated Ein Port mit der Rolle Designated sendet die beste BPDU für ein bestimmtes LAN-Segment (Local Area Network). RSTP-Bridges im gleichen LAN-Segment warten auf Meldungen voneinander und vereinbaren, welche Bridge die beste BPDU sendet. Ports anderer Bridges auf dem gleichen Segment müssen eine der anderen verfügbaren Rollen annehmen.
Seite 330 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Erkennt RSTP diesen Zustand (auf Grund das Halbduplex-Zustands des Ports nach dem Link Up), entfällt das Anfrage-/Zustimmungsverfahren. Der Port muss die Zustände Lernen und Weiterleiten durchlaufen, wobei in jedem Zustand eine Weiterleitungsverzögerung entsteht. In manchen Fällen trifft das RSTP eine falsche Entscheidung über den Punkt-zu-Punkt-Zustand eines Links bei der Prüfung des Halbduplex-Zustands, nämlich: •...
Seite 331 • Wenn das Alter den maximalen Alterungsparameter übersteigt, wird die Meldung von der nächsten Bridge, die sie empfängt, sofort verworfen. Um erweiterte Ringgrößen zu erhalten, erhöht das eRSTP™ von Siemens das Alter jeweils nur um ¼ einer Sekunde. Der Wert des maximalen Bridge-Diameters entspricht somit dem Vierfachen des konfigurierten maximalen Alterungsparameters.
Seite 332 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Aktivieren Sie EPLC auf beiden (R)STP-Kopplungsports. ① Kopplungsgeräte, die zum (R)STP-Netzwerk gehören ② Kopplungsgeräte, die zum MRP-Ring gehören ③ (R)STP-Ports mit aktiviertem EPLC ④ Ringteilnehmer mit aktiviertem Passive Listening ⑤ Topologie-Änderungsnachricht (TCN) Port im Zustand Link Down (R)STP-Port im Zustand Blocken (R)STP-Port im Zustand Weiterleiten Bild 11-2...
Seite 333 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) RSTP in Anwendungsbereichen mit strukturierter Verkabelung Mit RSTP können strukturierte Verkabelungssysteme aufgebaut werden, in denen die Verbindung auch bei Ausfall eines Links erhalten bleibt. Beispielsweise würden beim Ausfall eines einzelnen Links zwischen A und N in Bild "Beispiel - RSTP-Konfiguration für strukturierte Verkabelung"...
Seite 334 – Diese Option sollte in vermaschten Netzwerktopologien aktiviert werden, um die Netzwerk-Ausfallzeit beim Ausfall einer Root-Bridge möglichst kurz zu halten. – Die schnelle Ausfallsicherung der Root-Bridge (Fast Root Failover) ist eine Siemens-eigene eRSTP-Funktion. – Für optimale Leistung müssen alle Switches im Netzwerk, einschließlich der Root selbst, die schnelle Ausfallsicherung der Root-Bridge unterstützen.
Seite 335 5. Weisen Sie Bridge-Prioritäten im Ring zu. – Weitere Informationen finden Sie im Whitepaper "Leistung von RSTP in Ring- Netzwerktopologien" (https://assets.new.siemens.com/siemens/assets/api/ uuid:d4af5d17-728c-493f-b00a-9c4db67b23ed/RSTP-whitepaper-EN-09-2020.pdf). 6. Wählen Sie eine Strategie für die Berechnung der Portkosten. – Empfohlen wird die Kostenermittlung durch Autonegotiation, sofern dies nicht aus Gründen der Netzwerkgestaltung ausgeschlossen ist.
Seite 336 Ebenso wie STP wurde RSTP für vermaschte Netzwerktopologien, nicht für Ring-Netzwerke entwickelt, und unterstützt keine Ringe, die größer sind als 40 Switches. Das von Siemens entwickelte eRSTP baut auf dem RSTP-Standard auf und verbessert ihn auf folgende Weise: • Es optimiert die Standard-STP-Definition/-Implementierung, so dass die bestmögliche Wiederherstellungszeit erreicht wird •...
Seite 337 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) BPDU-Schutz-Timeout Der BPDU-Schutz-Timeout ist eine Komponente von eRSTP, die die Netzwerk-Security betrifft. Ein Standard-RSTP muss jede empfangene BPDU verarbeiten und entsprechend reagieren. Das eröffnet für Angreifer einen Weg, die RSTP-Topologie zu beeinflussen, indem sie RSTP- BPDUs in das Netzwerk einspeisen.
Seite 338 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Schnelle Ausfallsicherung der Root-Bridge und RSTP-Leistung • Wenn Sie RSTP einsetzen und die schnelle Ausfallsicherung der Root-Bridge ist deaktiviert, hat dies keine Auswirkung auf die RSTP-Leistung. • Die schnelle Ausfallsicherung der Root-Bridge hat keinen Einfluss auf die RSTP-Leistung bei Ausfällen, die nicht die Root-Bridge oder einen ihrer Links betreffen.
Seite 339 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Der IST ist auch eine Erweiterung innerhalb der MST-Region des CIST. MSTI Eine MSTI (Multiple-Spanning-Tree-Instanz) ist eine von sechzehn unabhängigen Spanning- Tree-Instanzen, die in einer MST-Region definiert sein können (ohne IST). Eine MSTI wird durch Zuordnung eines Satzes VLANs zu einer bestimmten MSTI-ID gebildet. Die gleiche Zuordnung muss auf allen Bridges konfiguriert werden, die zum MSTI gehören sollen.
Seite 340 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Bridge-Rollen Rolle Beschreibung CIST-Root Die CIST-Root ist die ausgewählte Root-Bridge des CIST (Common and Internal Spanning Tree), der alle angebundenen STP- und RSTP-Bridges sowie MSTP-Regio‐ nen umspannt. Regionale CIST- Dies ist die Root-Bridge des IST innerhalb einer MSTP-Region. Die regionale CIST- Root Root ist die Bridge innerhalb einer MSTP-Region mit den niedrigsten Pfadkosten zur CIST-Root.
Seite 341 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Port-Rollen Jeder Port einer MSTP-Bridge kann je nach Anzahl und Topologie der Spanning-Tree- Instanzen am Port mehr als eine CIST-Rolle besitzen. Rolle Beschreibung CIST-Port-Rollen • Der Root-Port stellt den Pfad mit den niedrigsten Kosten von der Bridge zur CIST- Root über die regionale CIST-Root bereit.
Seite 342 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Lastausgleich MSTP kann verwendet werden, um die Datenverkehrslast auf mehreren VLANs auszugleichen, sodass ein Bridged-Netzwerk mit mehreren redundanten Verbindungen zwischen Bridges besser ausgelastet werden kann. Ein Bridged-Netzwerk, das von einem einzelnen Spanning Tree gesteuert wird, blockiert redundante Links bereits durch seinen Aufbau, um schädliche Schleifen zu vermeiden.
Seite 343 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Gehen Sie bei einem Satz MSTP-fähiger Ethernet-Bridges, wie folgt für jede Bridge im Netzwerk vor: 1. Deaktivieren Sie STP global. Für weitere Informationen siehe "STP aktivieren (Seite 344)". 2. Konfigurieren Sie eine oder mehrere Multiple-Spanning-Tree-Instanzen (MSTI), jede mit einer eindeutigen Bridge-Priorität.
Seite 344 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 4. Konfigurieren Sie die Hello Time. Damit wird festgelegt, in welchen Abständen STP-Konfigurationsmeldungen gesendet werden. Für weitere Informationen siehe "Die Hello Time konfigurieren (Seite 346)". 5. Wenn das Gerät die Root-Bridge ist, konfigurieren Sie die maximale Alterungszeit. Damit wird festgelegt, in welchen Abständen alle anderen Bridges ihre Konfigurationsmeldungen aktualisieren.
Seite 345 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.2.2 Die STP-Version auswählen Um zu steuern, welche Version des Spanning Tree von der Bridge genutzt wird, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2.
Seite 346 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um die Bridge-Priorität für eine Bridge auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter Spanning Tree General Configuration wählen Sie eine Bridge-Priorität unter Bridge Priority.
Seite 347 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.2.5 Die maximale Alterungszeit konfigurieren Wenn eine Bridge die Root-Bridge ist, dann kontrolliert sie die maximale Alterungszeit für alle Bridges. Die maximale Alterungszeit ist der Zeitabstand, in dem jede Bridge die von ihr verbreiteten Konfigurationsmeldungen aktualisiert. Eine Konfigurationsmeldung ist eine spezielle Bridge Protocol Data Unit (BPDU), die bei der Auswahl der Root-Bridge verwendet wird.
Seite 348 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um einen Wert für Transmit Hold zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter Spanning Tree General Configuration konfigurieren Sie die Transmit Hold Count. Mögliche Optionen: Option Beschreibung...
Seite 349 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 4. [Optional] Wählen Sie den Edge-Port-Zustand für den Bridge-Port aus. Ein Edge-Port wird automatisch in den Zustand Weiterleiten geschaltet. Er sendet STP- Konfigurationsmeldungen, nimmt jedoch ansonsten nicht am Spanning Tree teil. Für weitere Informationen siehe "Den Edge-Port-Zustand auswählen (Seite 351)". 5.
Seite 350 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.3.2 Die Bridge-Port-Kosten konfigurieren Jedem Bridge-Port muss ein Kostenwert zugewiesen werden. Anhand der Kosten werden die Pfadkosten jedes Bridge-Ports ermittelt und welche Bridge-Ports den Datenverkehr weiterleiten. Um die Port-Kosten für einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 351 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um die Priorität eines Bridge-Ports auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree Ports. 2. Unter Spanning Tree Ports konfigurieren Sie die Port Priority für den ausgewählten Bridge- Port.
Seite 352 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um den Bridge-Port-Zustand eines Bridge-Port auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree Ports. 2. Unter Spanning Tree Ports konfigurieren Sie die Edge Port für den ausgewählten Bridge- Port.
Seite 353 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Der Administrator kann diese Einschränkung für Bridge-Ports definieren, die mit Geräten verbunden sind, über die der Administrator keine Kontrolle hat. Hinweis Diese Option ist standardmäßig deaktiviert. Um zu verhindern, dass ein Bridge-Port zum Root-Port wird, gehen Sie wie folgt vor: 1.
Seite 354 4. Aktivieren Sie IEEE 802.1w-Interoperabilität. Mit dieser Funktion werden Probleme bei der Wiederherstellungszeit beseitigt, die auftreten können, wenn andere Siemens-fremde Geräte im Spanning Tree mit einer RSTP-Version arbeiten, die nur mit dem Standard IEEE 802.1w kompatibel ist. Für weitere Informationen siehe "Die IEEE 802.1w-Interoperabilität aktivieren (Seite 357)".
Seite 355 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.4.1 Den maximalen Netzwerk-Diameter auswählen Der maximale Netzwerk-Diameter entspricht der maximalen Anzahl an Switches, die die BPDUs passieren müssen. Im Standard-RSTP ist der maximale Netzwerk-Diameter gleich der maximalen Alterungszeit. Bei eRSTP kann der maximale Netzwerk-Diameter jedoch um bis zu viermal höher sein.
Seite 356 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um den BPDU-Schutz-Timeout zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ Spanning Tree General. 2. Unter eRSTP Configuration konfigurieren Sie den BPDU Guard Timeout. Mögliche Optionen: Option Beschreibung Default...
Seite 357 IEEE 802.1w-Standard läuft, ist mit längeren Wiederherstellungszeiten nach einem Ausfall im Netzwerk zu rechnen. eRSTP bietet dafür jedoch einen IEEE 802.w-Interoprabilitätsmodus. Dieser Modus enthält Verbesserungen für RSTP, die Interoperabilitätsprobleme mit Siemens-fremden Geräten beseitigen. Hinweis Die IEEE 802.1w-Interoperabilität ist standardmäßig aktiviert.
Seite 358 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.5.2 Den Namen einer Region hinzufügen Standardmäßig trägt jede MSTP-Region die MAC-Adresse des Geräts als Namen. Es kann jedoch bei Bedarf ein beliebiger anderer Name festgelegt werden. Um einen Namen für eine MSTP-Region hinzuzufügen, gehen Sie wie folgt vor: 1.
Seite 359 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 1. Erstellen Sie die MSTI. Für weitere Informationen siehe "Eine MSTI erstellen (Seite 359)". 2. Wählen Sie die Bridge-Priorität für die MSTI aus. Diese wird von MSTP genutzt, um die regionale Root-Bridge für die Instanz zu bestimmen. Für weitere Informationen siehe "Die Bridge-Priorität auswählen (Seite 359)".
Seite 360 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um die Bridge-Priorität für eine MSTI auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ MSTP General. 2. Unter MSTP Instances konfigurieren Sie die Priority für die ausgewählte MSTI. Mögliche Optionen: –...
Seite 361 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.6.4 Die Priorität von Bridge-Ports für eine MSTI konfigurieren Bridge-Ports, die einer MSTI zugeordnet sind, muss eine Port-Priorität zugewiesen werden. Treten Schleifen auf, wird der Port mit der niedrigsten Priorität in den Zustand Weiterleiten gesetzt. Dies geschieht nur, wenn die Schleife nicht anhand der Bridge-ID oder der Pfadkosten aufgelöst werden kann.
Seite 362 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Um die MSTI-Kosten für einen MSTI-fähigen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Spanning Tree ≫ MSTP Ports. 2. Unter Interface Selection wählen Sie einen Bridge-Port aus. 3.
Seite 363 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Parameter Beschreibung Learned Hello Time Die Hello Time, die das Gerät von seiner Root-Bridge gelernt hat. Die Root-Bridge legt die Hello Time für alle Designated-Bridges fest. Learned Forward Delay Die Verzögerungszeit bis zum Weiterleiten, die das Gerät von seiner Root-Bridge gelernt hat.
Seite 364 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Folgende Informationen werden für jeden Bridge-Port unter Spanning Tree Ports angezeigt: Parameter Beschreibung State Zustand des Bridge-Ports. Mögliche Werte: • disabled - STP ist für den Bridge-Port deaktiviert. • blocking - Der Bridge-Port blockiert den STP-Verkehr. •...
Seite 365 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Parameter Beschreibung Designated Bridge ID Die Designated-Bridge-ID für den Bridge-Port Die Designated-Bridge-ID ist die ID der Bridge, mit der ein Bridge-Port verbunden ist. Die ID der Bridge ist eine Kombina‐ tion aus der Priorität der Designated-Bridge und ihrer MAC- Adresse.
Seite 366 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Die folgenden Informationen werden unter MSTP Instances für jede MSTI angezeigt: Parameter Beschreibung Bridge Status Bridge-Status der MSTI. Mögliche Werte: • unknown - Der Bridge-Status kann nicht bestimmt wer‐ den. • root-bridge - Die MSTI ist die Root-Bridge. •...
Seite 367 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) Die folgenden Informationen werden unter MSTP Ports für jede MSTI angezeigt: Parameter Beschreibung Instance ID Die ID der MSTI. State Der Zustand der MSTI. Mögliche Werte: • disabled - STP ist am Port deaktiviert. • blocking - Der Port blockiert den Datenverkehr.
Seite 368 Netzwerkredundanz 11.1 Spanning Tree Protocol (STP) 11.1.8.1 MSTP-Grundkonfiguration In diesem Beispiel empfangen zwei Geräte (A und B) Multicast-Verkehr aus getrennten Quellen und leiten beide Datenströme an Geräte in ihrem gemeinsamen LAN-Segment weiter. MSTP ist aktiviert, um Datenverkehrsschleifen zu verhindern. Bild 11-6 Beispiel einer MSTP-Grundkonfiguration Konfiguration von Gerät A Um Gerät A zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 369 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Konfiguration von Gerät B Um Gerät B zu konfigurieren, gehen Sie wie folgt vor: 1. Legen Sie die VLANs 10 und 20 an. Weitere Informationen siehe "Ein statisches VLAN hinzufügen oder ändern (Seite 444)". 2. Legen Sie VLAN-Schnittstellen für die neuen VLANs an. Weitere Informationen siehe "Eine VLAN-Schnittstelle hinzufügen (Seite 250)".
Seite 370 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Bei einer Netzwerkschleife entstehen kreisende Frames, die immer weiter dupliziert werden und damit das Netzwerk fluten. Durch Schleifen können Broadcast-Frames innerhalb von Sekunden zu einem Broadcast-Sturm führen. Die steigende Anzahl an Frames führt zu einer Überlastung des Netzwerks und damit zum Ausfall des Datenverkehrs. Durch die hohe Netzlast ist auch eine Diagnose stark eingeschränkt.
Seite 371 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Bild 11-7 Port-Modi der Schleifenerkennung 11.2.1.2 Typen von Netzwerkschleifen Die Schleifenerkennung unterscheidet die folgenden Arten von Schleifen: • Lokale Netzwerkschleife Wenn ein Gerät eine gesendete PDU an einem anderen Bridge-Port wieder empfängt, liegt eine lokale Schleife vor. Bild 11-8 Lokale Netzwerkschleife Die Schleifenerkennung kann eine lokale Schleife unterbrechen, indem sie den Bridge-Port...
Seite 372 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen 11.2.1.4 Zugehörige Ereignisse Die folgenden Ereignisse werden von der Schleifenerkennung ausgelöst und direkt im Syslog aufgezeichnet. Ereignis Schweregrad Syslog-Meldung Local loop detec‐ Error "Loop Detection" has detected a local loop. Remote loop de‐ Error "Loop Detection" has detected a remote loop. tected 11.2.2 Die Erkennung von Netzwerkschleifen konfigurieren...
Seite 373 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen 6. [Optional] Konfigurieren Sie die Auswirkungen auf einen Bridge-Port, wenn eine Remote- Netzwerkschleife erkannt wird. Für weitere Informationen siehe "Die Reaktion auf eine Remote-Netzwerkschleife konfigurieren (Seite 376)". 7. [Optional] Definieren Sie die Zeitdauer in Sekunden, für die ein Bridge-Port deaktiviert wird, wenn eine Schleife im Netzwerk erkannt wird.
Seite 374 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Um zu konfigurieren, wie ein Bridge-Port PDUs zur Erkennung von Netzwerkschleifen verarbeitet, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Transmission State für einen Bridge- Port.
Seite 375 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen ② Grafik) zuerst und deaktivieren gezielt einen Bridge-Port, bevor überlagerte Geräte ( oder ① ) eine ganze Zelle abtrennen. Bild 11-10 Baumtopologie Um den Grenzwert für die Erkennung einer lokalen Netzwerkschleife zu definieren, gehen Sie wie folgt vor: 1.
Seite 376 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer lokalen Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Local Reaction für einen Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 377 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer Remote-Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Remote Reaction für einen Bridge- Port.
Seite 378 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen Um die Zeitdauer für die Deaktivierung eines Bridge-Ports zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Stellen Sie sicher, dass der Bridge-Port, für den Sie den Timeout konfigurieren wollen, wie folgt konfiguriert ist: –...
Seite 379 Netzwerkredundanz 11.2 Erkennung von Netzwerkschleifen 11.2.2.9 Die Erkennung von Netzwerkschleifen aktivieren Standardmäßig ist die Erkennung von Netzwerkschleifen für alle Bridge-Ports deaktiviert. Um die Schleifenerkennung für alle Bridge-Ports zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2.
Seite 380 Netzwerkredundanz 11.3 Media Redundancy Protocol Unter Loop Detection werden folgenden Informationen angezeigt: Parameter Beschreibung Operational State Zeigt den Betriebszustand der Schleifenerkennung an. Mögliche Optionen: • disabled - Dieser Betriebszustand bedeutet: – Die Schleifenerkennung ist deaktiviert und der Bridge- Port sendet keine PDUs. –...
Seite 381 Netzwerkredundanz 11.3 Media Redundancy Protocol In einer Ringtopologie mit MRP ist genau ein Ringteilnehmer Manager. Alle anderen Ringteilnehmer sind Clients. 11.3.1.1 MRP-Rollen In einer Ringtopologie mit MRP hat jeder Ringteilnehmer eine der folgenden Rollen: • Media Redundancy Manager (MRM) Ein MRM hat folgende Aufgaben: –...
Seite 382 Netzwerkredundanz 11.3 Media Redundancy Protocol 11.3.1.2 MRP-Netzwerk MRP unterscheidet folgende Zustände: • Normalzustand Ein MRP-Ring ist im Normalzustand, wenn der MRM auf einem seiner Ring-Ports den Datenverkehr geblockt hat, mit Ausnahme der MRP-spezifischen Telegramme. Damit wird die physische Ringstruktur auf der logischen Ebene für den normalen Datenverkehr wieder in eine Linienstruktur umgewandelt und Netzwerkschleifen werden vermieden.
Seite 383 Netzwerkredundanz 11.3 Media Redundancy Protocol – Unterbrechung am Ring-Port des MRM Wenn die Unterbrechung den aktiven Ring-Port des MRM direkt betrifft, geht dieser Port in den Zustand Link down. Der MRM aktiviert seinen bis dahin geblockten Ring-Port und damit den alternativen Kommunikationspfad. Der MRM informiert die MRCs über die Topologieänderung.
Seite 384 Netzwerkredundanz 11.3 Media Redundancy Protocol – Unterbrechung an anderer Stelle im MRP-Ring Wenn der MRP-Ring an einer anderen Stelle unterbrochen wird, aktiviert der MRM seinen geblockten Ring-Port. Beide Ring-Ports nehmen aktiv am Datenverkehr teil und aktivieren damit den alternativen Kommunikationspfad. Der MRM informiert die MRCs über die Topologieänderung.
Seite 385 Netzwerkredundanz 11.3 Media Redundancy Protocol Jedem MRA ist ein Prioritätswert zugeordnet. Der Prioritätswert in Kombination mit der MAC- Adresse ergibt eine eindeutige Priorität. Je kleiner der Prioritätswert ist, desto höher ist die Prioritäts des MRA im Manager-Auswahlprozess. Wenn MRAs einen identischen Prioritätswert haben, entscheidet die MAC-Adresse.
Seite 386 Netzwerkredundanz 11.3 Media Redundancy Protocol 11.3.1.5 Redundanz-Domäne Eine Redundanz-Domäne entspricht einem MRP-Ring und wird durch eine eindeutige Kennung repräsentiert. Alle innerhalb einer Ringtopologie verbundenen Geräte müssen Mitglieder der gleichen Redundanz-Domäne sein und über die gleiche Kennung verfügen. Wenn ein Gerät Mitglied in mehreren MRP-Ringen ist, werden die MRP-Telegramme über die unterschiedlichen Redundanz-Domänen abgegrenzt.
Seite 387 Netzwerkredundanz 11.3 Media Redundancy Protocol 11.3.2 MRP konfigurieren Hinweis Wenn Sie MRP nutzen, stellen Sie sicher, dass das Gerät in einem geschützten Netzwerkbereich betrieben wird. Um MRP zu konfigurieren, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass die Konfiguration Ihres Geräts den Konfigurationsvoraussetzungen von MRP entspricht.
Seite 388 Netzwerkredundanz 11.3 Media Redundancy Protocol Bevor Sie MRP konfigurieren, prüfen Sie die folgenden Einstellungen: • Stellen Sie sicher, dass die Ports, die Sie als Ring-Ports verwenden wollen, getaggte Mitglieder im gleichen VLAN sind wie die TIA-Schnittstelle. Für weitere Informationen zur TIA-Schnittstelle siehe "Die TIA-Schnittstelle konfigurieren (Seite 419)".
Seite 389 Netzwerkredundanz 11.3 Media Redundancy Protocol 11.3.2.2 Eine MRP-Instanz konfigurieren Um eine MRP-Instanz zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MRP. 2. Unter MRP Rings klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3.
Seite 390 Netzwerkredundanz 11.3 Media Redundancy Protocol Um MRP global zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MRP. 2. Unter Media Redundancy Protocol (MRP) ändern Sie den Parameter MRP in Enabled. 3. Bestätigen Sie die Änderung. 11.3.2.4 Die Redundanz-Domäne ändern Alle innerhalb einer Ringtopologie verbundenen Geräte müssen Mitglieder der gleichen Redundanz-Domäne sein.
Seite 391 Netzwerkredundanz 11.3 Media Redundancy Protocol 11.3.2.5 Die MRP-Rolle ändern Um die MRP-Rolle eines Geräts zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MRP. 2. Unter MRP Rings ändern Sie unter Mode die MRP-Rolle. Mögliche Optionen: Option Beschreibung Disabled Dem Gerät ist keine MRP-Rolle zugewiesen.
Seite 392 Netzwerkredundanz 11.3 Media Redundancy Protocol Unter MRP Rings werden folgenden Informationen angezeigt: Parameter Beschreibung Operational Mode Zeigt die operative Rolle eines Geräts in einem MRP-Ring an. Mögliche Werte: • disabled - Dem Gerät ist keine MRP-Rolle zugewiesen. Das Gerät ist kein Teilnehmer im MRP-Ring. •...
Seite 393 Netzwerkredundanz 11.4 MRP-Interconnection Parameter Beschreibung Primary Ring Oper State Zeigt den Status des ersten Ring-Ports an. Mögliche Werte: • disabled - Der Port ist deaktiviert. • blocked - Der Datenverkehr auf dem Ring-Port ist geblockt, mit folgenden Ausnahmen: – Testtelegramme vom MRM –...
Seite 394 Netzwerkredundanz 11.4 MRP-Interconnection Mit MRP-Interconnection ist eine sehr schnelle Rekonfiguration möglich. Die Rekonfigurationszeit beträgt typischerweise weniger als 200 Millisekunden. Hinweis Einschränkung SINEC OS-Geräte leiten MRP-Interconnection-Frames weiter. Sie können SINEC OS-Geräte nur als Ringteilnehmer in MRP-Interconnection-Netzwerken betreiben. 11.4.1 Wissenswertes zu MRP-Interconnection Für MRP-Interconnection gelten folgende Voraussetzungen: •...
Seite 395 Netzwerkredundanz 11.4 MRP-Interconnection 11.4.1.2 MRP-Interconnection-Netzwerk In der folgenden Grafik ist die redundante Kopplung von zwei MRP-Ringen mit MRP- Interconnection dargestellt. ① MRP-Ring ② ③ Primary MIC ④ Primary Coupled MIC ⑤ Secondary Coupled MIC ⑥ Primäre Verbindung ⑦ Sekundäre Verbindung ⑧ Ringteilnehmer, die MRP-Interconnection-Frames weiterleiten Bild 11-14 Redundante Verbindung von zwei MRP-Ringen mit MRP-Interconnection...
Seite 396 Switches (https://sieportal.siemens.com/su/bjPDE). 11.5 Passive Listening Passive Listening ermöglicht eine redundante Kopplung zwischen (R)STP-Netzwerken und MRP- Ringtopologien. Das Protokoll ist eine proprietäre Lösung von Siemens. 11.5.1 Wissenswertes zu Passive Listening Die Anbindung eines Office-Netzwerks, das mit einer vermaschten Topologie und RSTP arbeiten, an die Ringtopologie eines Automatisierungsnetzes ist ein entscheidender Bestandteil der Kommunikation im Maschinen- und Anlagenbau.
Seite 397 Netzwerkredundanz 11.5 Passive Listening 11.5.1.1 Einfache Kopplung ohne Passive Listening Ohne weitere Maßnahmen können (R)STP-Netzwerke nur über ein Kopplungsgerät an MRP- basierte Ringstrukturen angebunden werden. ① Kopplungsgeräte, die zum (R)STP-Netzwerk gehören ② Kopplungsgerät, das zum MRP-Ring gehört (R)STP-Port im Zustand Weiterleiten (R)STP-Port im Zustand Blocken Bild 11-15 Einfache Kopplung eines (R)STP-Netzwerks an einen MRP-Ring 11.5.1.2...
Seite 398 Netzwerkredundanz 11.5 Passive Listening ① Kopplungsgeräte, die zum (R)STP-Netzwerk gehören ② Kopplungsgeräte, die zum MRP-Ring gehören ③ (R)STP-BPDUs (R)STP-Port im Zustand Weiterleiten Bild 11-16 Redundante Kopplung ohne Passive Listening Redundante Kopplung mit Passive Listening Wenn bei allen Ringteilnehmern Passive Listening aktiviert ist, werden die BPDUs aus einem RSTP-Netzwerk im MRP-Ring weitergeleitet und gelangen in das (R)STP-Netz zurück.
Seite 399 Netzwerkredundanz 11.5 Passive Listening ① Kopplungsgeräte, die zum (R)STP-Netzwerk gehören ② Kopplungsgeräte, die zum MRP-Ring gehören ③ (R)STP-BPDUs ④ Ringteilnehmer mit aktiviertem Passive Listening (R)STP-Port im Zustand Weiterleiten (R)STP-Port im Zustand Blocken Bild 11-17 Redundante Kopplung mit Passive Listening Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 400 Netzwerkredundanz 11.5 Passive Listening 11.5.1.3 Topologieänderungen Standardmäßig würden Ringteilnehmer neue (R)STP-Kommunikationspfade erst lernen, wenn sie nach Ablauf der Alterungszeit ihre MAC-Adresstabelle automatisch aktualisieren. Um die Umschaltzeit zu verkürzen, verhalten sich Ringteilnehmer mit aktiviertem Passive Listening wie folgt: • Ringteilnehmer mit aktivem Passive Listening reagieren auf (R)STP-BPDUs, die Topologieänderungen enthalten.
Seite 401 Netzwerkredundanz 11.6 VRRP 4. Unter Passive Listening ändern Sie Passive Listening in Enabled. 5. Bestätigen Sie die Änderungen. 11.5.2.2 Die VLAN-spezifische Weiterleitung von BPDUs aktivieren Standardmäßig werden (R)STP-BPDUs an alle Bridge-Ports eines Geräts geflutet, unabhängig von der VLAN-Konfiguration. Mit dieser Option können Sie aktivieren, dass ein Gerät die VLAN-Zugehörigkeit des Ports berücksichtigt, an dem eine (R)STP-BPDU empfangen wird.
Seite 402 Netzwerkredundanz 11.6 VRRP Hinweis VRRP und VRRPv3 werden synonym verwendet. 11.6.1 Wissenswertes zu VRRP Die Funktionsweise von VRRP besteht darin, einen virtuellen Router als Default-Gateway für Hosts bereitzustellen, hinter dem sich zwei oder mehrere Router verbergen. Einer dieser Router ist aktiv und übernimmt das Routing. Alle anderen Router prüfen als Backup-Router, ob der Master noch verfügbar ist, und übernehmen gegebenenfalls.
Seite 403 Netzwerkredundanz 11.6 VRRP ① Host ② Switch ③ Router ④ Virtueller Router Bild 11-19 Netzwerk mit VRRP Ein virtueller Router wird über eine virtuelle Router-ID, eine VRRP-MAC-Adresse und eine oder mehrere zugeordnete IP-Adresse(n) definiert. Ein virtueller Router, der eine Gruppe von Routern darstellt, wird auch als VRRP-Gruppe bezeichnet.
Seite 404 Netzwerkredundanz 11.6 VRRP 11.6.1.4 Zugeordnete IP-Adresse(n) Über VRRP werden für einen virtuellen Router eine oder mehrere IP-Adresse(n) definiert, auf die er hört. Zugeordnete IP-Adressen müssen zum Subnetz passende, freie IP-Adressen sein. Eine zugeordnete IP-Adresse darf nicht identisch sein mit der realen IPv4-Adresse einer IP- Schnittstelle.
Seite 405 Netzwerkredundanz 11.6 VRRP 11.6.1.5 VRRP-Rollen Eine VRRP-Gruppe bestht aus einzelnen IP-Schnittstellen verschiedener physischer Router. In einer VRRP-Gruppe gibt es genau einen Master. Alle anderen Router sind Backup-Router. Die folgenden Rollen werden den IP-Schnittstellen zugewiesen. Die dazugehörigen Aufgaben werden von den entsprechenden physischen Routern ausgeführt: •...
Seite 406 Netzwerkredundanz 11.6 VRRP VRRP-Benachrichtigungen Der Master sendet VRRP-Benachrichtigungen an die anderen VRRP-Router in derselben VRRP- Gruppe. Die Benachrichtigungen kommunizieren die Priorität und den Status des Masters. Master-Auswahlprozess Alle IP-Schnittstellen in einer VRRP-Gruppe befinden sich zunächst im Initialisierungszustand und warten auf ein Startup-Ereignis. Als Reaktion auf ein Startup-Ereignis wechseln alle IP-Schnittstellen in die Rolle Backup und warten, ob sie VRRP-Benachrichtigungen von einem Master empfangen.
Seite 407 Netzwerkredundanz 11.6 VRRP Beispiel für ein VRRP-Netzwerk im Normalzustand ⑤ ⑧ ⑤ In dem folgenden Beispiel gibt es 2 virtuelle Router . Der virtuelle Router ⑧ stellt das Default-Gateway für Subnetz 192.0.2.0/24 dar und der virtuelle Router für das Subnetz 203.0.113.0/24. ⑤...
Seite 408 Netzwerkredundanz 11.6 VRRP 11.6.1.8 Fehlerzustand Wenn die Backup-Router einen Aufall des Masters erkennen, startet der Auswahlprozess. Der Backup-Router mit der höchsten Priorität wird zum Master, übernimmt das Routing und sendet VRRP-Benachrichtigungen. Beispiel für den Aufall einer Verbindung Ausgehend vom Normalzustand (Seite 406) fällt in dem folgenden Beispiel die Verbindung ⑥...
Seite 409 Netzwerkredundanz 11.6 VRRP ⑤ ⑧ Mastern. Router B übernimmt das Routing der virtuellen Router und sendet VRRP-Benachrichtigungen. ① Host ② Switch ③ IP-Schnittstelle von Router A (ausgefallen) Teil des virtuellen Routers im Subnetz 192.0.2.0/24 ④ IP-Schnittstelle von Router B (neuer Master) Teil des virtuellen Routers im Subnetz 192.0.2.0/24 ⑤...
Seite 410 Netzwerkredundanz 11.6 VRRP 11.6.2 VRRP konfigurieren Um VRRP zu konfigurieren, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass die Lizenz Layer 3 Basic verfügbar ist. VRRP ist eine lizenzierbare Funktion. Sie können die Funktion nur produktiv nutzen, wenn die erforderliche Lizenz verfügbar ist. Für weitere Informationen siehe "Den Status von lizenzierbaren Funktionen anzeigen (Seite 136)".
Seite 411 Netzwerkredundanz 11.6 VRRP 11.6.2.2 Die Option Vorrang für eine IP-Schnittstelle konfigurieren Standardmäßig ist die Option Vorrang aktiviert. Um die Option Vorrang für eine IP-Schnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 3 ≫ VRRPv3. 2. Unter VRRPv3 Statistics and Configuration ändern Sie den Parameter Preempt in Enabled. 3.
Seite 412 Netzwerkredundanz 11.6 VRRP Um für eine IP-Schnittstelle eine zugeordnete IP-Adresse zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 3 ≫ VRRPv3. 2. Unter VRRPv3 Statistics and Configuration in der Spalte Virtual IPv4 Address konfigurieren Sie für eine IP-Schnittstelle eine zugeordnete IP-Adresse. 3.
Seite 413 Netzwerkredundanz 11.6 VRRP Parameter Beschreibung State Information Zeigt die Rolle einer IP-Schnittstelle an. Mögliche Werte: • vrrp:master Die IP-Schnittstelle ist der Master. • vrrp:backup Die IP-Schnittstelle ist Backup-Router. • vrrp:initialize Für die IP-Schnittstelle ist keine zugeordnete IP-Adresse kon‐ figuriert oder die IP-Schnittstelle ist "aus" (down). Master Transitions Die Anzahl der Umschaltungen in die Master-Rolle Advertisement Received...
Seite 414 Netzwerkredundanz 11.6 VRRP Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 415 Netzwerkerkennung und -management In diesem Kapitel werden die verschiedenen verfügbaren Funktionen für Netzwerkerkennung und -management beschrieben. Diese Funktionen ermöglichen die automatische Erkennung von Geräten im Netzwerk sowie die Netzwerküberwachung und das automatische Gerätemanagement. 12.1 LLDP Mit dem Link Layer Discovery Protocol (LLDP) können Sie die Topologie lokaler Netzwerke erfassen.
Seite 416 Netzwerkerkennung und -management 12.2 DCP Wenn Nachbargeräte angeschlossen sind, die LLDP unterstützen, werden unter Link Layer Discovery Protocol (LLDP) Neighbors folgende Informationen angezeigt: Parameter Beschreibung Local Interface Port, an dem die Informationen des angeschlossenen Geräts empfangen wurden Remote System Name Systemname des angeschlossenen Geräts Remote Device ID Kennung des angeschlossenen Geräts Die ID entspricht dem Gerätenamen, der über SINEC PNI (STEP...
Seite 417 Netzwerkerkennung und -management 12.2 DCP 12.2.2.1 Die Zugriffsrechte von DCP konfigurieren ACHTUNG Sicherheitsrisiko - Risiko des unbefugten Zugriffs und/oder Missbrauchs DCP ist per Definition nicht sicher. Die Zugriffsrechte von DCP sind abhängig vom Status des Geräts. • Im Lieferzustand und nach dem Zurücksetzen auf Default-Einstellungen ist DCP aktiviert. Geräteparameter können sowohl gelesen als auch verändert werden.
Seite 418 Netzwerkerkennung und -management 12.2 DCP Um die Zugriffsrechte von DCP zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ PROFINET ≫ DCP. 2. Unter Discovery and basic Configuration Protocol (DCP) im Feld DCP Mode konfigurieren Sie die Zugriffsrechte von DCP. Mögliche Optionen: Option Beschreibung...
Seite 419 Netzwerkerkennung und -management 12.3 ARP Um für einen Bridge-Port zu konfigurieren, ob DCP-Frames gesendet werden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ PROFINET ≫ DCP. 2. Unter DCP Forwarding in der Spalte Forwarding Mode konfigurieren Sie für einen Bridge- Port, ob DCP-Frames gesendet werden.
Seite 420 Netzwerkerkennung und -management 12.3 ARP 12.3.1 Wissenswertes zu ARP Eine ARP-Tabelle bzw. ein Cache pflegt die interne Zuordnung von IP-Adressen zu physischen MAC-Adressen. Wenn das Gateway versucht, die Route für einen eingehenden Frame festzulegen, liefert ARP die physische Adresse jedes in der Tabelle aufgeführten Hosts mit übereinstimmender IP-Adresse.
Seite 421 Netzwerkerkennung und -management 12.4 SNMP Parameter Beschreibung Type Die für ARP-Nachrichten verwendete Verkapselungsmethode. Mögliche Werte: • arpa – Steht für Advanced Research Projects Agency. Dies signalisiert, dass die Schnittstelle mit einem IEEE 802.3- Netzwerk verbunden ist. State Der Zustand des Nachbareintrags. Mögliche Werte: •...
Seite 422 Netzwerkerkennung und -management 12.4 SNMP 12.4.1 Den SNMP-Agent konfigurieren Um den SNMP-Agent zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Konfigurieren Sie, welche SNMP-Version(en) der SNMP-Agent unterstützt. Für weitere Informationen siehe "Die SNMP-Versionen konfigurieren, die der SNMP-Agent unterstützt (Seite 422)". 2. [Optional] Konfigurieren Sie einen Server-Endpunkt für SNMP. Für weitere Informationen siehe "Einen Server-Endpunkt für SNMP konfigurieren (Seite 422)".
Seite 423 Netzwerkerkennung und -management 12.4 SNMP Standardmäßig sind folgenden Server-Endpunkte vordefiniert: Endpunkt Default Name SNMP Endpunkt aktiviert IP-Adresse 0.0.0.0 Port Nur Benutzer mit dem Benutzerprofil Admin können einen Server-Endpunkt konfigurieren. Um einen Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter SNMP ≫...
Seite 424 Netzwerkerkennung und -management 12.4 SNMP 12.4.1.4 Den SNMP-Agent aktivieren Standardmäßig ist der SNMP-Agent deaktiviert. SNMP ist dann für das Gerät deaktiviert und der SNMP-Port ist geschlossen. Wenn Sie SNMP nicht nutzen und um unbefugten Zugriff auf das Gerät zu verhindern, belassen Sie den SNMP-Agent in deaktivierten Zustand. Hinweis In STEP7 classic gibt es einen Topologie-Editor, mit dem Sie die Offline-Topologie mit den realen Verbindungen des Geräts (Online-Topologie) vergleichen können.
Seite 425 Netzwerkerkennung und -management 12.4 SNMP 4. Unter Text Name/Binary Name vergeben Sie einen Namen für die SNMP-Community. Der Community-Name entspricht dem Community-String, den ein Benutzer bei einer SNMP- Anfrage über SNMPv1 und v2c angibt. Mögliche Optionen: Option Beschreibung Text Name Der Community-Name als String. Binary Name Der Community-Name in hexadezimaler Darstellung mit Doppelpunkten als Trennzeichen.
Seite 426 Netzwerkerkennung und -management 12.4 SNMP 12.4.5 Die Engine-ID anzeigen Um die Engine-ID des Geräts anzuzeigen, navigieren Sie zu System ≫ Management Services ≫ SNMP. Unter SNMP Engine ID werden folgende Informationen angezeigt: Parameter Beschreibung SNMP Engine ID Zeigt die SNMP-Engine ID des Geräts an. Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 427 Kontrolle und Klassifikation von Datenverkehr In diesem Kapitel werden die verfügbaren Funktionen für die Datenverkehrssteuerung und -klassifizierung beschrieben. Verwenden Sie diese Subsysteme, um den Datenverkehr zu verbundenen Netzwerkfunktionen zu steuern. Zusätzlich stehen Werkzeuge für die Datenverkehrsanalyse und -charakterisierung zur Verfügung. 13.1 Begrenzung der Übertragungsgeschwindigkeit SINEC OS unterstützt die Begrenzung der Übertragungsgeschwindigkeit an einzelnen...
Seite 428 Kontrolle und Klassifikation von Datenverkehr 13.1 Begrenzung der Übertragungsgeschwindigkeit 13.1.2 Begrenzung der Übertragungsgeschwindigkeit konfigurieren Um die Übertragungsgeschwindigkeit für einen Bridge-Port bei ausgehendem oder eingehendem Datenverkehr zu begrenzen, gehen Sie für den ausgewählten Bridge-Port und die Richtung des Datenverkehrs wie folgt vor: 1.
Seite 429 Kontrolle und Klassifikation von Datenverkehr 13.1 Begrenzung der Übertragungsgeschwindigkeit Die Fähigkeiten sind unter Ethernet Rate Control Capabilities für jeden einzelnen Bridge- Port aufgeführt. Parameter Beschreibung Interface Der Name der Schnittstelle. Supported Ingress Traffic Types Der von dem Bridge-Port eingangsseitig unterstützte Daten‐ verkehr Mögliche Werte: •...
Seite 430 Kontrolle und Klassifikation von Datenverkehr 13.1 Begrenzung der Übertragungsgeschwindigkeit Parameter Beschreibung Supported Egress Traffic Types Der von dem Bridge-Port ausgangsseitig unterstützte Daten‐ verkehr Mögliche Werte: • all – Alle Datenverkehrstypen werden unterstützt • broadcast – Nur Broadcast-Datenverkehr wird unterstützt • multicast – Nur Multicast-Datenverkehr wird unterstützt •...
Seite 431 Kontrolle und Klassifikation von Datenverkehr 13.1 Begrenzung der Übertragungsgeschwindigkeit 3. Unter Ethernet Rate Control konfigurieren Sie den Ingress Traffic Type und/oder Egress Traffic Type für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung Default Die Begrenzung der Übertragungsgeschwindig‐ keit wird auf den gesamten Datenverkehr angew‐ endet.
Seite 432 Kontrolle und Klassifikation von Datenverkehr 13.1 Begrenzung der Übertragungsgeschwindigkeit 13.1.2.3 Die Begrenzung der Übertragungsgeschwindigkeit auswählen Um die vom Bridge-Port auf den ausgehenden oder eingehenden Datenverkehr angewendete Begrenzung der Übertragungsgeschwindigkeit auszuwählen, gehen Sie wie folgt vor: 1. [Optional] Prüfen Sie die Fähigkeiten des ausgewählten Bridge-Ports, um zu ermitteln, ob er den Frame-Typ begrenzen kann, den Sie in der gewählten Richtung steuern möchten (also eingehend oder ausgehend).
Seite 433 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 13.1.3.1 Die Übertragungsgeschwindigkeit begrenzen In diesem Beispiel leitet das Gerät Datenverkehr an der Schnittstelle ethernet0/1 (ein 1000Base- FX-Port) an einen Server weiter, der Daten nur mit 100 kbit/s annimmt. Wenn dieser Grenzwert überschritten wird, gehen Frames verloren. Bild 13-1 Den Datenverkehrsfluss zu einem Server begrenzen Um die Übertragungsgeschwindigkeit des Datenverkehrs an einen Server zu begrenzen,...
Seite 434 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Da VLANs logische Verbindungen und keine physischen Verbindungen definieren, verringern sie die Komplexität des Aufbaus sowie die Arbeits- und Ressourcenanforderungen eines herkömmlichen LAN erheblich. Gleichzeitig verbessern sie die Sicherheit und Verwaltung des Datenverkehrs. Der Datenverkehr wird gruppiert, indem die Frames um Tags erweitert werden, die von Knoten in derselben Broadcast-Domäne stammen.
Seite 435 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 13.2.1.1 VLANs anlegen VLANs werden entweder statisch oder dynamisch angelegt: • Statisch Statische VLANs können direkt in SINEC OS definiert werden. • Dynamisch VLANs können über das GARP VLAN Registration-Protokoll gelernt werden. 13.2.1.2 Betriebsarten "VLAN-fähig" und "Nicht VLAN-fähig" Geräte, die dem Standard IEEE 802.1Q entsprechen, werden als VLAN-fähig eingestuft und zu jeder Zeit in der Betriebsart VLAN-fähig betrieben.
Seite 436 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Tag Protocol Identifier (TPI) Das Feld Tag Protocol Identifier (TPI) kennzeichnet den Frame als getaggten Frame. Es besteht aus einem 16-Bit-Feld, für das 0x8100 festgelegt ist. Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 437 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Tag Control Information (TCI) Das Feld Tag Control Information (TCI) definiert: • Priority Code Point (PCP) Ein 3-Bit-Unterfeld, das die dem Frame zugeordnete IEEE 802.1p Class of Service (CoS) angibt. Der Wert dieses Felds wird wie folgt einer spezifischen Prioritätsstufe zugeordnet: Priori‐...
Seite 438 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Wert Beschreibung Keine VLAN-ID. Das Frame enthält nur Prioritätsinformationen (mit einer Priorität getagg‐ tes Frame). 1 – VLAN-IDs in diesem Bereich sind gültig. 4094 4095 Diese VLAN-ID ist reserviert. 13.2.1.4 Access- und Trunk-Ports Aus jedem Bridge-Port kann ein Access- oder ein Trunk-Port gemacht werden. •...
Seite 439 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 13.2.1.6 Ingress-Filter Der Ingress-Filter ist eine Funktion, die pro Port aktiviert werden kann. Sie wertet jedes eingehende (Ingress) Frame aus, bevor es in das Netzwerk gelangt, um sicherzustellen, dass es von der erwarteten Quelle stammt. Wenn der Ingress-Filter aktiviert ist, prüft das Gerät alle am Bridge-Port eingehenden getaggten Frames.
Seite 440 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Regeln für ausgehenden Datenverkehr (Egress) • Frames, die an einer Access-Schnittstelle weitergeleitet werden, werden verworfen, wenn sie einem anderen VLAN als dem nativen VLAN der Egress-Schnittstelle zugeordnet sind. • Frames, die an einer Trunk-Schnittstelle weitergeleitet werden, werden mit ihrer VID getaggt (nicht dem nativen VLAN der Egress-Schnittstelle), wenn sie einem VLAN zugeordnet sind, in dem die Egress-Schnittstelle Mitglied ist.
Seite 441 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs der verbotenen VLANs eines Bridge-Ports werden diesem Port auch nicht von GVRP bekannt gegeben. Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port spezifischen VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 442 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Der VLAN-0-Tunnelmodus kann für jedes aktive VLAN aktiviert werden und ist dann für alle Bridge-Ports, die zu diesen VLANs gehören, aktiv. 13.2.1.11 Vor- und Nachteile bei der Verwendung von VLANs Nachstehend werden einige der wichtigen Vor- und Nachteile von VLANs beleuchtet. Vorteile •...
Seite 443 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Nachteile • Begrenzte Anzahl von VLANs Jedes Netzwerk ist auf 4094 VLANs begrenzt, wobei die VIDs 0 und 4095 reserviert sind. Die Anzahl von 4094 VLANs kann zwar für die meisten Netzwerke ausreichend sein, doch kann sich dieser Wert in der Zukunft als Begrenzung erweisen.
Seite 444 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 13.2.2.1 Ein statisches VLAN hinzufügen oder ändern Um ein statisches VLAN hinzuzufügen oder zu ändern, gehen Sie wie folgt vor: Hinweis Weisen Sie der zugehörigen VLAN-Schnittstelle eine IP-Adresse zu, um daraus eine Management-Schnittstelle zu machen. Sie können dann mittels SSH über den Management- Port auf das CLI zugreifen.
Seite 445 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 13.2.3 VLAN-Einstellungen für Bridge-Ports konfigurieren Um die VLAN-Einstellungen für einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Definieren Sie den Bridge-Port als Access-Schnittstelle oder Trunk-Schnittstelle. Für weitere Informationen siehe "Die Art der Port-Mitgliedschaft auswählen (Seite 445)". 2.
Seite 446 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs 3. Unter Port Based VLANs wählen Sie einen Bridge-Port und konfigurieren Sie anschließend die Option Type. Mögliche Optionen: Option Beschreibung Access Default Der Bridge-Port überträgt Datenverkehr nur auf dem nativen VLAN. Trunk Der Bridge-Port überträgt Datenverkehr für alle VLANs.
Seite 447 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Um auszuwählen, welche Frame-Typen von einem Bridge-Port akzeptiert werden, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ VLANs. 2. Unter Port Based VLANs konfigurieren Sie den Acceptable Frame Type für den ausgewählten Bridge-Port.
Seite 448 Kontrolle und Klassifikation von Datenverkehr 13.2 VLANs Um den Ingress-Filter für einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port bestimmten VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 449 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 13.3 Verkehrsklassen Bei der Klassifizierung von Datenverkehr handelt es sich um die Kategorisierung und gesteuerte Übertragung von Frames. Sie dient der Verbesserung der Netzwerkleistung und bietet eine unterschiedliche Dienstgüte zur Auswahl von Traffic-Typen. In diesem Abschnitt wird beschrieben, wie Sie die Klassifizierung von Datenverkehr mit Traffic- Klassen durchführen.
Seite 450 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 13.3.1.1 Warteschlangen von Traffic-Klassen Der Datenverkehr kann bis zu acht Warteschlangen von Traffic-Klassen (0 bis 7) zugeordnet werden. Basierend auf dem Standard IEEE 802.1Q sind den Warteschlangen die folgenden Prioritäten zuzuordnen und sie können für die folgenden Traffic-Typen verwendet werden: Priorität Beschreibung Netzwerksteuerung...
Seite 451 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 13.3.1.3 Standardzuordnung Eingehende Frames werden standardmäßig basierend auf ihren PCP- oder DSCP-Markierungen wie folgt den Warteschlangen von Traffic-Klassen zugeordnet: DSCP Warteschlange 0 – 7 8 – 15 16 – 23 24 – 31 32 – 39 40 –...
Seite 452 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 13.3.1.4 Priorisierung von eingehenden Frames Im Folgenden wird erläutert, wie eingehende Frames priorisiert und weitergeleitet werden: Übergabe an Konfigurierte MAC-Adresse ist Warteschlangen Traffic-Klasse für einer Traffic-Klasse von Traffic- MAC-Adresse zugewiesen Klassen der verwenden Egress-Ports Ziel- MAC-Adresse in Ingress-...
Seite 453 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 13.3.1.5 Prioritätsregenerierung Im Folgenden wird erläutert, wie die einem eingehenden Frame zugeordnete Priorität beim Ausgang regeneriert wird: Übergabe an Vertrauens- Ingress- Default-Priorität Warteschlangen von modus ist untrust Frame verwenden Traffic-Klassen der oder dscp Egress-Ports NEIN NEIN Frame ist tagged...
Seite 454 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 3. Wenn es sich bei dem Bridge-Port um eine Ingress-Schnittstelle handelt, legen Sie den Vertrauensmodus fest. Für weitere Informationen siehe "Den Vertrauensmodus konfigurieren (Seite 455)". 4. [Optional] Verwenden Sie nur bei getaggten Layer 2 802.1Q-Frames die Prioritätsänderung, um den PCP-Wert zu ändern, wenn das Frame übertragen wird.
Seite 455 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen 3. Unter PCP to Interface Queue Mappings wählen Sie unter Queue für jeden Code eine Warteschlange einer Traffic-Klasse in der Spalte PCP Code aus. Getaggte Layer 2-Frames nach 802.1Q mit einem der PCP-Werte werden der jeweiligen Warteschlange einer Traffic-Klasse zugeordnet.
Seite 456 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen • DSCP- und PCP-Werten vertrauen (DSCP-PCP) Frames werden zuerst anhand ihrer DSCP-Werte und dann anhand ihrer PCP-Werte priorisiert. Wenn beide Werte fehlen, wird die Default-Priorität verwendet. • DSCP- und PCP-Werten nicht vertrauen (Untrust) Es wird weder DSCP- noch PCP-Werten vertraut. Die Default-Priorität wird nur auf alle eingehenden Frames angewendet.
Seite 457 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen dem ursprünglichen Prioritätswert der entsprechenden Warteschlange einer Traffic-Klasse zugeordnet, aber sie werden mit einem anderen Prioritätswert weitergeleitet. Um einen Bridge-Port so zu konfigurieren, dass auf ausgewählte Frames die Prioritätsänderung angewendet wird, gehen Sie wie folgt vor: 1.
Seite 458 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen Verfahren 1: Jedem Frame eine hohe Default-Priorität zuordnen In SINEC OS wird der Prioritätswert der Frames ignoriert und es wird die Default-Priorität des empfangenden Bridge-Ports zugeordnet. 1. Legen Sie für jeden mit den Sensoren verbundenen Bridge-Port für die Default-Priorität eine hohe Priorität fest, beispielsweise 7 (die höchste Priorität).
Seite 459 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen hohe Priorität zugeordnet wird. Das Gerät platziert diese Frames automatisch in einer Warteschlange mit hoher Priorität. 1. Ordnen Sie bei jedem Sensor wichtigen Frames bei Eingang eine hohe Priorität zu. 2. Legen Sie in der Switch-Konfiguration für den Vertrauensmodus einen der Werte PCP (nur Layer 2-Datenverkehr), DSCP (nur Layer 3-Datenverkehr) oder DSCP-PCP(Layer 3- Datenverkehr, gefolgt von Layer 2-Datenverkehr) fest.
Seite 460 Kontrolle und Klassifikation von Datenverkehr 13.3 Verkehrsklassen Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 461 Zeiteinstellungen In diesem Kapitel wird beschrieben, wie Sie die Uhrzeitdienste für die Zeiterfassung und die Uhrzeitsynchronisation konfigurieren. Das umfasst die automatische Einstellung der Systemzeit und des Systemdatums mit einem Dienst wie NTP oder manuell. Die richtige Zeiteinstellung und die Überprüfung, ob die Uhrzeit in allen Geräten synchron ist, sind wichtig für ein gutes Netzwerkmanagement und die Fehlerbeseitigung im Netzwerk.
Seite 462 Zeiteinstellungen 14.2 Zeitverschiebung und Sommerzeit 14.1.2 Das Datum und die Systemzeit des Client-PCs verwenden Um das Datum und die Systemzeit des angeschlossenen Client-PCs zu verwenden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ System Time. 2. Unter System Time klicken Sie auf Use PC-Time. Das Gerät übernimmt das Datum und die Systemzeit des angeschlossenen Client-PCs.
Seite 463 Zeiteinstellungen 14.3 NTP 14.2.1 Die Zeitzone konfigurieren Hinweis Nicht alle Zeitzonen enthalten Regeln für die Umstellung der Sommerzeit. Klären Sie vorab, ob die gewünschte Zeitzone Regeln für die Umstellung der Sommerzeit enthält oder nicht. Um die Zeitzone zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 464 Zeiteinstellungen 14.3 NTP ① Maßgebliche Zeitquelle (z. B. Atom-/Funkuhr, GPS-Empfänger oder Modem-Zeitdienst) ② NTP-Server ③ NTP-Client Bild 14-1 14.3.1.1 Stratum-Nummer Ein NTP-Netzwerk bezieht seine Zeitinformationen von einer maßgeblichen Zeitquelle, wie z. B. Atom-/Funkuhren, GPS-Empfängern oder Modem-Zeitdiensten. Diese Zeitinformationen werden dann über NTP von Servern an Clients weitergeben. Die Anzahl der Hops zwischen einem Client und der maßgeblichen Zeitquelle wird durch die Stratum-Nummer angegeben.
Seite 465 Zeiteinstellungen 14.3 NTP NTP-Clients verwenden die Stratum-Nummer, um sich für die zuverlässigste Zeitquelle zu entscheiden. Bei NTP-Clients wird die Stratum-Nummer automatisch vergeben, basierend auf der Anzahl der Hops zu der maßgeblichen Zeitquelle. 14.3.1.2 NTP-Server Ein NTP-Server stellt seine Uhrzeit den verbundenen NTP-Clients zur Verfügung. Der NTP-Server hört auf Uhrzeitanfragen an seinen NTP-Schnittstellen und antwortet mit seiner Referenzuhrzeit.
Seite 466 Zeiteinstellungen 14.3 NTP 14.3.2 Einen NTP-Client konfigurieren Hinweis Verbinden Sie das Gerät nicht mit NTP-Servern im Internet. Verbinden Sie das Gerät nur mit vertrauenswürdigen NTP-Servern in Ihrem eigenen Netzwerk. Um das Gerät als NTP-Client zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 467 Zeiteinstellungen 14.3 NTP Um einen NTP-Server zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server ändern Sie den Parameter Status in Enabled. 3. Bestätigen Sie die Änderung. 14.3.2.3 Die NTP-Version konfigurieren Ändern Sie die NTP-Version nur, wenn eine andere Version als Version 4 erforderlich ist.
Seite 468 Zeiteinstellungen 14.3 NTP Um iBurst für einen NTP-Server zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server ändern Sie den Parameter iBurst in Enabled. 3. Bestätigen Sie die Änderung. 14.3.2.6 Burst aktivieren Burst erhöht die Anzahl der Frames pro Abfrageintervall, wenn der NTP-Server erreichbar ist.
Seite 469 Zeiteinstellungen 14.3 NTP 14.3.3 Die NTP-Authentifizierung konfigurieren Um die NTP-Authentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Konfigurieren Sie einen Authentifizierungsschlüssel. Für weitere Informationen siehe "Einen Authentifizierungsschlüssel konfigurieren (Seite 469)". 2. Konfigurieren Sie das Gerät als NTP-Client. Für weitere Informationen siehe "Einen NTP-Client konfigurieren (Seite 466)". 3.
Seite 470 Zeiteinstellungen 14.3 NTP 14.3.3.2 Einen Authentifizierungsschlüssel anwenden Bevor Sie einen Authentifizierungsschlüssel anwenden können, müssen Sie einen Authentifizierungsschlüssel konfigurieren. Um einen Authentifizierungsschlüssel mit einem NTP-Server zu verknüpfen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2.
Seite 471 Zeiteinstellungen 14.4 PTP 14.4 Das Precision Time Protocol (PTP) ist ein Standardverfahren zur Synchronisierung von Netzwerkuhren über Ethernet. SINEC OS unterstützt Version 2 des in der Norm IEEE 1588-2008 definierten PTP-Standards, das auch PTPv2 genannt wird. Er ist für Anwendungen gedacht, die eine höhere Synchronisationsgenauigkeit erfordern, als mit dem Network Time Protocol (NTP) erreicht werden kann.
Seite 472 Zeiteinstellungen 14.4 PTP Die folgenden Arten von Nachrichten werden von PTP gesendet und empfangen: Nachrichten‐ Klasse Beschreibung typen Sync Ereignis Wird von Boundary Clocks und Ordinary Clocks für die Kommunikation zeitbezogener Informationen zwischen Mastern und Slaves verwendet. Follow_Up Allgemein Slaves nutzen die Informationen, um die Ausbreitungsverzögerung zu Delay_Req Ereignis ermitteln und den Uhrzeitversatz zu berechnen.
Seite 473 Zeiteinstellungen 14.4 PTP 14.4.1.4 PTP-Uhrprofile PTP-Uhrprofile definieren Standardkonfigurationseinstellungen für die IEEE 1588-basierte Uhrzeitsynchronisation. Sie sollen die globale Zeitverfügbarkeit, die Interoperabilität der Geräte und das Ausfallmanagement für eine bestimmte Branche oder Anwendung sicherstellen. ACHTUNG Einschränkungen Die Einstellungen für die PTP-Uhrprofile werden nur für 1000BASE-T- und 10GBASE-X- Verbindungen unterstützt.
Seite 474 Zeiteinstellungen 14.4 PTP 14.4.1.5 Best Master Clock Algorithm (BMCA) Der Best Master Clock Algorithm (BMCA) ist ein wesentlicher Bestandteil der Norm IEEE 1588. Er hilft Ordinary Clocks, die beste Master-Uhr in ihrer PTP-Domäne zu ermitteln und, wenn keine Master-Uhr gefunden werden kann, die Uhr als Grandmaster für alle Uhren in der Domäne zu aktivieren.
Seite 475 Zeiteinstellungen 14.4 PTP SINEC OS berücksichtigt Pfadverzögerungen durch Messen der Peer Mean Path Delay bei jedem PTP-Paket, das weitergeleitet wird. Diese Messung (in Nanosekunden) wird an jedem PTP-fähigen Bridge-Port durchgeführt, um die Paketausbreitung zwischen Peer-Geräten zu ermitteln. Diese Zeit wird dem Korrekturfeld in der Synchronisationsnachricht hinzugefügt, zusammen mit der Verweilzeit des Pakets.
Seite 476 Zeiteinstellungen 14.4 PTP 14.4.2 PTP konfigurieren Um PTP zu konfigurieren, gehen Sie wie folgt vor: Hinweis PTP-Uhrprofile PTP-Uhrprofile definieren Standardeinstellungen für bestimmte Branchen und Anwendungen, um sicherzustellen, dass die Geräte die jeweiligen Zeitanforderungen erfüllen. Sie können diese Einstellungen in Ihrer Konfiguration emulieren. Weitere Informationen zu unterstützten PTP-Uhrprofilen und Standardeinstellungen siehe "PTP- Uhrprofile (Seite 473)".
Seite 477 Zeiteinstellungen 14.4 PTP Um den PTP-Pfadverzögerungsmechanismus festzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronization ≫ PTP Transparent Clock. 2. Unter Precision Time Protocol (PTP) Transparent Clock konfigurieren Sie Delay Mechanism. Optionen: – Disabled - Deaktiviert den Pfadverzögerungsmechanismus – P2P - Nutzt den Pfadverzögerungsmechanismus Peer-to-Peer (P2P) Default: P2P 3.
Seite 478 Zeiteinstellungen 14.4 PTP Um die PTP-Nachrichtenpriorität festzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronization ≫ PTP Transparent Clock. 2. Unter Precision Time Protocol (PTP) Transparent Clock konfigurieren Sie IEEE 802.1Q Priority. Bedingung: – Eine Zahl zwischen 0 und 7 Default: 4 3.
Seite 479 Zeiteinstellungen 14.4 PTP Um PTP global zu aktivieren, gehen Sie wie folgt vor: Hinweis PTP kann für spezifische Bridge-Ports deaktiviert werden. Diese Schnittstellen nehmen nicht am PTP-Prozess teil. 1. Navigieren Sie zu System ≫ Time Synchronization ≫ PTP Transparent Clock. 2. Unter Precision Time Protocol (PTP) Transparent Clock stellen Sie für Status die Option Enabled ein.
Seite 480 Zeiteinstellungen 14.4 PTP Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 481 Multicast-Filterung In diesem Kapitel werden Funktionen im Zusammenhang mit der Multicast-Filterung beschrieben. Sie verwenden die Multicast-Filterung, um den Multicast-Datenverkehr durch Multicast-Gruppenmitgliedschaften zu steuern. 15.1 Statische Multicast-Gruppen In diesem Abschnitt wird beschrieben, wie Sie statische Einträge für bekannte Multicast- Gruppen festlegen. 15.1.1 Statische Multicast-Gruppen konfigurieren Um statische Multicast-Gruppen zu konfigurieren, gehen Sie wie folgt vor:...
Seite 482 Multicast-Filterung 15.2 GMRP 15.1.1.2 Traffic-Klassen für statische Multicast-Gruppen auswählen Um die Traffic-Klasse für eine statische Multicast-Gruppe auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ Static. 2. Unter Static Multicast Filtering wählen Sie für die ausgewählte statische Multicast-Gruppe die Warteschlange einer Traffic-Klasse unter Traffic Class aus.
Seite 483 Multicast-Filterung 15.2 GMRP 15.2.1.1 Multicast-Gruppen mit GMRP beitreten/verlassen Im Folgenden wird beschrieben, wie GMRP die Mitgliedschaften in Multicast-Gruppen verwaltet. • Einer Multicast-Gruppe beitreten Wenn Endstationen einer Multicast-Gruppe beitreten wollen, senden sie eine GMRP-Join- Nachricht. Der Client-Switch, der die Join-Nachricht empfängt, fügt den Port, über den die Nachricht empfangen wurde, der in der Nachricht angegebenen Multicast-Gruppe hinzu.
Seite 484 Multicast-Filterung 15.2 GMRP 15.2.2 GMRP konfigurieren Um GMRP zu konfigurieren, gehen Sie wie folgt vor: • Aktivieren Sie GMRP global. Für weitere Informationen siehe "GMRP aktivieren (Seite 484)". • Legen Sie den GMRP-Modus für ausgewählte Bridge-Ports fest. Der GMRP-Modus bestimmt, wie einzelne Bridge-Ports die GMRP-Nachrichten verarbeiten. Für weitere Informationen siehe "Den GMRP-Modus pro Bridge-Port auswählen (Seite 484)".
Seite 485 Multicast-Filterung 15.2 GMRP Um zu konfigurieren, wie eine Bridge-Port-Schnittstelle GMRP-Nachrichten verarbeitet, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) konfigurieren Sie die GMRP Mode für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 486 Multicast-Filterung 15.2 GMRP Um die Überflutung bei Topologieänderungen zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) ändern Sie die Einstellung Topology Change Flooding in Enabled. 3.
Seite 487 Multicast-Filterung 15.3 IGMP-Snooping Konfiguration 1. Verbinden Sie die Geräte wie in der Topologie dargestellt. 2. Aktivieren Sie GMRP global an allen Switches (also Switch A, B, C, D und E). 3. Konfigurieren Sie Schnittstellen für jeden Switch, um GMRP-Nachrichten zu verarbeiten (d.h. Schnittstelle A1, A2, B1, B2 usw.).
Seite 488 Multicast-Filterung 15.3 IGMP-Snooping 15.3.1 Wissenswertes zum IGMP-Snooping Einige Switches leiten standardmäßig Multicast-Ströme unaufgefordert an alle Schnittstellen in einem VLAN weiter und zwingen dadurch einige Hosts in der Broadcast-Domäne dazu, Multicast-Datenverkehr zu verarbeiten, den sie nicht angefordert haben. Daraus resultiert, dass diese Hosts unnötigerweise viele anderweitig benötigte Ressourcen verbrauchen und möglicherweise einem Denial-of-Service-Angriff ausgesetzt werden.
Seite 489 Multicast-Filterung 15.3 IGMP-Snooping Beispiel: Die IP-Multicast-Adresse W.X.Y.Z entspricht der MAC-Adresse 01-00-5E-XX-YY- ZZ. Dabei sind XX die niederen 7 Bits von X, und YY und ZZ sind Y und Z in Hexadezimalcodierung. Hinweis Beachten Sie, dass IP-Multicast-Adressen wie 224.1.1.1 und 225.1.1.1 beide der gleichen MAC- Adresse (z.
Seite 490 Multicast-Filterung 15.3 IGMP-Snooping • Wenn der Querier-Auswahlvorgang abgeschlossen ist, gibt IGMP vom gewählten Querier empfangene Abfragen weiter. • Wenn IGMP-Frames weitergeleitet werden, sendet der Querier allgemeine IGMP-Abfragen und ordnet eine Quell-IP-Adresse von 0.0.0.0 zu. 15.3.2 IGMP-Snooping konfigurieren Um IGMP-Snooping zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 491 Multicast-Filterung 15.3 IGMP-Snooping 15.3.2.2 Die IGMP-Version auswählen Die IGMP-Version bestimmt, welche Art von IGMP-Nachrichten von der Bridge gesendet und empfangen werden können. • Wenn IGMPv2 aktiviert ist, können IGMPv3-Nachrichten nur gesendet, aber nicht empfangen werden. • Wenn IGMPv3 aktiviert ist, können alle IGMP-Nachrichten sowohl gesendet als auch empfangen werden.
Seite 492 Multicast-Filterung 15.3 IGMP-Snooping 15.3.2.4 Das IGMP-Abfrageintervall konfigurieren Das IGMP-Abfrageintervall bestimmt, wie oft IGMP-Abfragen übertragen werden. Das Intervall wird in Sekunden zwischen zwei aufeinanderfolgenden Übertragungen gemessen. Das Abfrageintervall bestimmt außerdem, wann dynamisch gelernte Multicast-Gruppen veralten. Der Alterungszeitraum beträgt 2 x { Intervall } + 10 Sekunden. Um das IGMP-Abfrageintervall zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 493 Multicast-Filterung 15.3 IGMP-Snooping 15.3.3 Multicast-Router-Weiterleitung konfigurieren Um die Multicast-Router-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie die Multicast-Router-Weiterleitung. Für weitere Informationen siehe "Die Multicast-Router-Weiterleitung aktivieren (Seite 493)". 2. Konfigurieren Sie eine oder mehrere Multicast-Router-Schnittstellen. Für weitere Informationen siehe "Eine Multicast-Router-Schnittstelle konfigurieren (Seite 493)".
Seite 494 Multicast-Filterung 15.4 Datenbank für die Multicast-Filterung Die folgenden Informationen werden unter IGMP Snooping Status angezeigt: Parameter Beschreibung Interface Der Bridge-Port, an dem die Multicast-Gruppe gelernt wurde. VLAN ID Die VLAN-ID des VLAN, auf dem die Multicast-Gruppe arbeitet. Address Die IPv4-Zieladresse der Multicast-Gruppe. Last Reporter Die IPv4-Adresse des Host, der zuletzt einen Bericht zum Bei‐...
Seite 495 Diagnose 16.1 Diagnose In diesem Kapitel werden die verfügbaren Diagnosewerkzeuge beschrieben. 16.2 Systemstatus In diesem Abschnitt wird beschrieben, wie Sie den Systemzustand überwachen, einschließlich Betriebszeit, letzter Neustart usw. 16.2.1 Die Systemstartzeit anzeigen Um das Datum und die Uhrzeit anzuzeigen, zu denen das Gerät zum letzten Mal neu gestartet wurde, navigieren Sie zu System ≫...
Seite 496 Diagnose 16.2 Systemstatus Unter Security werden folgende Informationen angezeigt: Parameter Beschreibung Brute Force Prevention Zeigt an, ob die BFA-Prävention aktiviert oder deaktiviert ist. Für weitere Informationen zur BFA-Prävention siehe "Verhin‐ derung von Brute-Force-Angriffen (BFA) (Seite 165)". Failed Logins Zeigt die Summe der fehlgeschlagenen Anmeldeversuche al‐ ler Benutzer und IP-Adressen an.
Seite 497 Diagnose 16.2 Systemstatus Parameter Beschreibung Management ACL Zeigt an, ob die Management-ACL aktiviert oder deaktiviert ist. Für weitere Informationen zur Management-ACL siehe "Ac‐ cess Control List (ACL) für das Management (Seite 214)". DHCP Request Config File Zeigt an, wie viele DHCP-Client-Schnittstellen sich im jeweili‐ gen Zustand befinden und vom DHCP-Server eine Konfigura‐...
Seite 498 Diagnose 16.3 Systemprotokollierung Parameter Beschreibung WebUI (HTTP/HTTPS) Zeigt an, ob der HTTP-/HTTPS-Server-Endpunkt für das Web UI aktiviert oder deaktiviert ist. Für weitere Informationen zur Web UI-Benutzerschnittstelle siehe "Die Web-Benutzerschnittstelle konfigurieren (Sei‐ te 79)". SNMP Zeigt an, welche SNMP-Versionen, der SNMP-Agent unter‐ stützt. Mögliche Werte: •...
Seite 499 Diagnose 16.3 Systemprotokollierung 16.3.1 Wissenswertes zur Systemprotokollierung Das Systemprotokoll (Syslog) speichert alle Ereignismeldungen, die von verschiedenen Systemkomponenten unter SINEC OS erzeugt werden. Das Systemprotokoll wird durch ein Logbuch angezeigt. Das Logbuch zeigt die neuesten Einträge im Systemprotokoll seit dem letzten Neustart des Geräts an, maximal 1000. Wenn neue Ereignisse auftreten, werden die ältesten Einträge entfernt.
Seite 500 Diagnose 16.3 Systemprotokollierung 16.3.1.2 Schweregrade Jeder Ereignismeldung im Systemprotokoll ist einer der folgenden Standard-Schweregrade zugeordnet: Schweregrad Wert Beschreibung des Ereignis‐ Emergency Weist auf einen schweren Fehler hin, der den weiteren Betrieb des Geräts verhindert. Alert Weist auf einen Fehler hin, der sofortige Aufmerksamkeit erfordert. Critical Weist auf einen Ausfall des Primärsystems hin, beispielsweise Geräte‐...
Seite 501 Diagnose 16.3 Systemprotokollierung 16.3.1.5 Ereignisfilter Der Systemprotokollierungsdienst umfasst einen Filtermechanismus. Logbuchfilter Im Logbuch können Ereignismeldungen mithilfe einer Filterregel herausgefiltert werden. Diese Regel gibt einen Schweregrad an und teilt dem System mit, ob nur Meldungen mit diesem Schweregrad oder Meldungen mit diesem Schweregrad und höher angezeigt werden sollen.
Seite 502 Diagnose 16.3 Systemprotokollierung 16.3.2 Remote-Systemprotokollierung konfigurieren 16.3.2.1 Remote-Systemprotokollierung konfigurieren Um Ereignisse vom Systemprotokoll an einen Remote-Syslog-Server weiterzuleiten, gehen Sie wie folgt vor: 1. Fügen Sie ein Profil für einen Remote-Syslog-Server hinzu. Es können bis zu fünf Server definiert werden. Für weitere Informationen siehe "Ein Profil für einen Remote-Syslog-Server hinzufügen (Seite 502)".
Seite 503 Diagnose 16.3 Systemprotokollierung 1. Navigieren Sie zu System ≫ Logging ≫ Remote Syslog. 2. Klicken Sie unter Remote Syslog auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Name vergeben Sie einen Namen für die Serververbindung. 4. Unter Server Address/FQDN geben Sie die IPv4-Adresse oder den Hostnamen des Remote- Syslog-Servers ein.
Seite 504 Diagnose 16.3 Systemprotokollierung 5. Unter Facility wählen Sie eine Komponente aus. Mögliche Optionen: Option Beschreibung Alle Komponenten werden ausgewählt. auth Nur auf Authentifizierung und Autorisierung bezogene Mel‐ dungen werden ausgewählt. authpriv Nur auf systemfremde Autorisierung bezogene Meldungen werden ausgewählt. daemon Nur auf den System-Daemon bezogene Meldungen werden ausgewählt.
Seite 505 Diagnose 16.3 Systemprotokollierung 8. [Optional] Unter Action wählen Sie, ob die Filterregel angewendet werden soll oder nicht. Mögliche Optionen: Option Beschreibung Default Die Regel wird angewendet. block Die Regel wird ignoriert. Verwenden Sie diese Option zur Fehlerbehebung. 9. Bestätigen Sie die Änderungen. 16.3.3 Systemprotokoll überwachen In diesem Abschnitt wird beschrieben, wie Sie auf das Logbuch zugreifen und die Verbindungen...
Seite 506 Diagnose 16.4 Ereignismanagement 16.3.3.3 Das Logbuch löschen Um Einträge aus dem Logbuch zu löschen, gehen Sie wie folgt vor: Hinweis Durch das Löschen des Logbuchs wird das Systemprotokoll nicht gelöscht. 1. Navigieren Sie zu System ≫ Logging ≫ Logbook. 2. Unter Clear Logbook klicken Sie auf Clear. 16.3.3.4 Das Systemprotokoll exportieren Neben der Weiterleitung ausgewählter Protokolleinträge an einen Remote-Syslog-Server kann...
Seite 507 Diagnose 16.4 Ereignismanagement 16.4.1.1 Schweregrade Jedem Ereignis und Alarm ist einer der folgenden Schweregrade zugeordnet: Schweregrad Wert Beschreibung des Ereignis‐ ses/Alarms Emergency Weist auf einen kritischen Fehler hin, der den weiteren Betrieb des Geräts verhindert. Alert Weist auf einen Fehler hin, der sofortige Aufmerksamkeit erfordert. Critical Weist auf einen Ausfall des Primärsystems hin, beispielsweise Geräte‐...
Seite 508 Diagnose 16.4 Ereignismanagement Ereignisse im Gerätemanagement Ereignisse im Gerätemanagement Die folgenden Ereignisse beziehen sich auf die Benutzerauthentifizierung, erkannte Umgebungstemperatur usw. Ressource Ereignis-ID Standard-Schweregrad device-mgmt Authentication-failure Warning device-mgmt Brute-force-prevention Warning device-mgmt Brute-force-prevention-DoS Warning device-mgmt Licensing Info device-mgmt System-cold-start* Info device-mgmt System-warm-start* Info device-mgmt User-session-timeout Warning...
Seite 509 Diagnose 16.4 Ereignismanagement Ressource Ereignis-ID Standard-Schweregrad switch-mgmt Poe-under-voltage Alert switch-mgmt Port-placed-in-quarantined-vlan Notice switch-mgmt Port-security-violated Notice switch-mgmt Received-looped-back-bpdu Alert switch-mgmt Stp-topology-change Notice switch-mgmt Unresolved-speed Error Routing-Ereignisse Die folgenden Ereignisse beziehen sich auf das Routing. Ressource Ereignis-ID Standard-Schweregrad routing Unicast-routes-exceed-limit Alert routing Ospfv2-lsas-exceed-limit Alert Protokollierungsereignisse Die folgenden Ereignisse beziehen sich auf Geräte-Anmeldedaten.
Seite 510 Bad-rtc-power-supply Warning Statische Meldung Die Batterie der Echt‐ Wenden Sie sich an zeituhr (RTC) liegt au‐ den Siemens-Kun‐ "RTC low battery is ßerhalb des norma‐ dendienst. detected, please re‐ len Betriebsbereichs, place the battery." ist nicht richtig ange‐...
Seite 511 Diagnose 16.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Module-presence Warning Statische Meldung Im angegebenen Installieren oder ent‐ Steckplatz wurde ein fernen Sie das Modul. Keine Modul entweder ent‐ Dynamische Mel‐ fernt oder installiert. dungen “Module ({ Steck‐...
Seite 512 Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Module-state Warning Statische Meldung Gibt den Zustand von Verwenden Sie nur Spannungsversor‐ von Siemens zugelas‐ Keine gungsmodulen, Me‐ sene Spannungsver‐ Dynamische Mel‐ dienmodulen und sorgungsmodule, dungen SFP-Transceivern an. Medienmodule und "Unknown SFP modu‐...
Seite 513 Diagnose 16.4 Ereignismanagement Alarme im Gerätemanagement Zugehöriges Ereignis Zustandsbezo‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung grad Authentication-failure Nein Warning Statische Meldung Ein Benutzer oder Informieren Sie den Dienst hat die fal‐ Benutzer oder aktua‐ "A user failed to login schen Authentifizie‐ lisieren Sie den due to incorrect au‐...
Seite 514 Diagnose 16.4 Ereignismanagement Zugehöriges Ereignis Zustandsbezo‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung grad Brute-force-prevention- Nein Alert Statische Meldung Es wurde ein Denial- Führen Sie Maßnah‐ of-Service-Angriff er‐ men zur Schadensbe‐ "Denial-of-Service kannt. grenzung/Wiederher‐ (DoS) attack detec‐ stellung aus. ted." Dynamische Mel‐ dungen "All: User { Benutzer } account is locked for { Minuten } minutes...
Seite 515 Wenn das Problem weiterhin besteht, Dynamische Mel‐ wenden Sie sich an dung den Siemens-Kun‐ "Bouncing link [ is | dendienst. was ] detected [ on port { Portnum‐ mer } ]." Bpdu-guard-activated Nein...
Seite 516 Fast-link-detection-di‐ Nein Warning Statische Meldung Die alarmgesteuerte Wenden Sie sich an sabled Linkerkennung ist den Siemens-Kun‐ "FLD disabled or am angegebenen dendienst. enabled on a port." Port deaktiviert. Dynamische Mel‐ dung "Bouncing link [ was ] detected [ on port { Portnummer } ] [, disabling FLD ]."...
Seite 517 Ein Kabel oder die Hardware ist defekt. Unresolved-speed Nein Error Statische Meldung Die Geschwindig‐ Wenden Sie sich an keitseigenschaften den Siemens-Kun‐ "Unresolved speed des angegebenen dendienst. detected or disappea‐ Ports können nicht red on a port." ermittelt werden. Dynamische Mel‐ dung "[ Was ] [ Unable | un‐...
Seite 518 Diagnose 16.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Gmrp-cannot-learn- Alert Statische Meldung Die maximale Anzahl Warten Sie, bis ge‐ more-addresses gelernter Multicast- lernte Gruppen, die Keine Gruppen ist erreicht. von Hosts nicht mehr Dynamische Mel‐...
Seite 519 Diagnose 16.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad New-stp-root Nein Notice Statische Meldung Eine neue STP-Root Überprüfen Sie, ob wurde gewählt. die Änderung auf‐ Keine grund von Änderun‐ Dynamische Mel‐ gen in der Netzwerk‐ dung topologie erwartet "New STP Root."...
Seite 520 Diagnose 16.4 Ereignismanagement Protokollierungsalarme Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Expired-certificate Nein Error Statische Meldung Das Zertifikat für eine Ersetzen Sie das Zer‐ TLS-Sitzung ist abge‐ tifikat für die angege‐ "The TLS certificate is laufen.
Seite 521 Diagnose 16.4 Ereignismanagement Folgende Informationen werden für jeden aktiven Alarm angezeigt: Parameter Beschreibung Date Time Datum und Uhrzeit, zu denen das Ereignis aufgetreten ist Resource Die Ressource (oder Subsystem), die dem Ereignis zugeordnet Event ID Name des Ereignisses Message Die Fehlermeldung Event Number Die Anzahl aktiver Instanzen des vom selben Ereignis ausgel‐...
Seite 522 Diagnose 16.5 SMTP Ausgewählte Alarme quittieren Um einen spezifischen zustandsbezogenen Alarm zu quittieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Events ≫ Active Alarms. 2. Unter Active Alarms klicken Sie in der Tabelle auf Acknowledge für den ausgewählten Alarm.
Seite 523 Diagnose 16.5 SMTP 16.5.1.1 Austausch zwischen SMTP-Client und -Server Wenn ein Ereignis eintritt und der zugehörige Alarm so konfiguriert ist, dass eine E-Mail- Benachrichtigung gesendet werden soll, initiiert der SMTP-Client auf dem Gerät eine TCP- Verbindung mit einem Remote-SMTP-Server. Anschließend kommt es zu folgendem Austausch zwischen dem SMTP-Client und dem Server: ①...
Seite 524 Diagnose 16.5 SMTP Date: { Datum } A new event is raised on device { Gerätename } (located at { Standort }) with the following details: Resource: { Ressource } Event ID: { Ereignis-ID } Severity: { Schweregrad } Time: { Datum und Uhrzeit } Serial number: { Seriennummer } Message: { Alarmnachricht } Beispiel...
Seite 525 Diagnose 16.5 SMTP Um der Empfängerliste eine E-Mail-Adresse hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Recipients klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Email Address geben Sie die E-Mail-Adresse des neuen Empfängers ein. 4.
Seite 526 Diagnose 16.5 SMTP 16.5.3.1 Die E-Mail-Adresse des Kontos konfigurieren Um das E-Mail-Konto festzulegen, von dem SMTP alle Ereignisnachrichten sendet, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Account geben Sie unter Email Address die E-Mail-Adresse für das SMTP-Konto ein.
Seite 527 Diagnose 16.5 SMTP 16.5.4.1 Das SMTP-Serverprofil konfigurieren Um das Profil für den zum Verteilen von E-Mail-Benachrichtigungen verwendeten SMTP-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Server geben Sie in der Spalte Server Address/FQDN den Hostnamen oder die IP-Adresse des SMTP-Servers ein.
Seite 528 Diagnose 16.5 SMTP Um den SMTP-Client für die eigene Authentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Richten Sie ein Konto auf dem SMTP-Server ein. Notieren Sie sich den Benutzernamen und das Passwort des eingerichteten Kontos. 2. Konfigurieren Sie den SMTP-Client so, dass er diese Anmeldedaten beim Aufbau der Verbindung zum SMTP-Server eingibt.
Seite 529 Diagnose 16.5 SMTP 16.5.6 Konfigurationsbeispiele Nachfolgend finden Sie Beispiele für den Einsatz von SMTP. 16.5.6.1 SMTP für den Versand von Ereignisbenachrichtigungen konfigurieren In diesem Beispiel wird gezeigt, wie Sie das Gerät konfigurieren, damit es einer Gruppe von Administratoren E-Mail-Benachrichtigungen sendet. Die folgende Topologie zeigt einen SMTP-Client, der E-Mail-Benachrichtigungen an einen Remote-SMTP-Server an Port 25 sendet.
Seite 530 Diagnose 16.6 Spiegelung von Datenverkehr 16.6 Spiegelung von Datenverkehr Die Spiegelung von Datenverkehr ist eine Layer-2-Funktion, mit der Sie einen oder mehrere Datenverkehrsströme spiegeln können, um damit den Datenverkehr zu überwachen und zu analysieren. Gespiegelter Datenverkehr wird an einen externen Packet Analyzer/Sniffer weitergeleitet.
Seite 531 Diagnose 16.6 Spiegelung von Datenverkehr Wenn die Quelle ein VLAN ist, wird der gesamte Datenverkehr auf dem Gerät, gespiegelt, das zu dem VLAN gehört. Spiegelungsziele Ein Spiegelungsziel kann ein bestimmter Bridge-Port oder eine IP-Adresse sein, an den/die der gespiegelte Datenverkehr weitergeleitet wird. Verwenden Sie einen speziellen Bridge-Port, wenn der Packet Analyzer/Sniffer direkt mit dem Gerät oder einem anderen Gerät im gleichen Netzwerk verbunden ist.
Seite 532 Diagnose 16.6 Spiegelung von Datenverkehr 16.6.2 Spiegelung des Datenverkehrs konfigurieren Um die Spiegelung von Datenverkehr zu konfigurieren, gehen Sie wie folgt vor: 1. Legen Sie eine oder mehrere Datenverkehrsquellen fest, die überwacht werden sollen. Eine Datenverkehrsquelle kann ein Bridge-Port mit einer bestimmten Datenverkehrsrichtung (d.
Seite 533 Diagnose 16.6 Spiegelung von Datenverkehr Beispiel Im folgenden Beispiel wird Sitzung 1 nur für die Spiegelung des von ethernet0/2, ethernet0/3 und ethernet0/4 empfangenen Datenverkehrs konfiguriert. Session Traffic of VLANs Ingress Traffic of Ports Egress Traffic of Ports ethernet0/2, ether‐ ethernet0/5 net0/3, ethernet0/4 Beispiel Im folgenden Beispiel wird Sitzung 1 zusätzlich für die Spiegelung des für VLAN 10 getaggten Datenverkehrs konfiguriert.
Seite 534 Diagnose 16.6 Spiegelung von Datenverkehr Beispiel Im folgenden Beispiel wird Sitzung 1 zum Senden des gespiegelten Datenverkehrs an die IP-Adresse 172.30.141.141 konfiguriert. Session State Destination Port Destination Remote IP Disabled 172.30.141.141 16.6.2.3 Die Spiegelung von Datenverkehr aktivieren Standardmäßig ist die Spiegelung von Datenverkehr deaktiviert. ACHTUNG Konfigurationsrisiko –...
Seite 535 Diagnose 16.6 Spiegelung von Datenverkehr 16.6.3.1 Die Spiegelung von Datenverkehr in einem Layer-2-Netzwerk konfigurieren In diesem Beispiel wird der an Bridge-Port ethernet0/1 des Switches A empfangene Datenverkehr gespiegelt und an Switch C weitergeleitet, der mit einem Packet Analyzer/Sniffer verbunden ist. Gespiegelter Datenverkehr muss durch Switch B geroutet werden. ①...
Seite 536 Diagnose 16.7 Kabeldiagnose Um das Gerät zu konfigurieren, gehen Sie wie folgt vor: 1. Stellen Sie als Quelle den eingehenden Datenverkehr an Bridge-Port ethernet0/1 ein. Für weitere Informationen siehe "Eine Datenverkehrsquelle auswählen (Seite 532)". 2. Stellen Sie als Ziel die IP-Adresse 172.30.141.141 ein. Für weitere Informationen siehe "Ein Spiegelungsziel definieren (Seite 533)".
Seite 537 Diagnose 16.7 Kabeldiagnose 16.7.2 Die Ergebnisse der Kabeldiagnose anzeigen Die Testergebnisse sind unter Interfaces ≫ Ethernet interfaces ≫ Cable Diagnostics verfügbar und werden unmittelbar nach der Durchführung eines Diagnosetests angezeigt. Folgende Informationen werden für jeden getesteten Bridge-Port angezeigt: Parameter Beschreibung Diagnostic State Der aktuelle Zustand des Kabeldiagnosetests.
Seite 538 Diagnose 16.7 Kabeldiagnose Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...
Seite 539 Dieses Kapitel beschreibt Fehler, die bei der Arbeit mit SINEC OS oder bei der Entwicklung eines Netzwerks auftreten können und entsprechende Hilfestellungen. Hinweis Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Siemens-Kundendienst. 17.1 Das Gerät befindet sich in einer Neustart-Schleife Das Gerät führt pausenlos Neustarts durch und Sie können nicht mehr auf das Gerät zugreifen.
Seite 540 Fehlerbehebung 17.2 Das Gerät schaltet sich im Systemhochlauf aus Lösung Wenn das beschriebene Szenario zutrifft, gehen Sie wie folgt vor: 1. Entfernen Sie den CLP. 2. Starten Sie das Gerät neu. Sie haben folgende Möglichkeiten: – Schließen Sie das Gerät wieder an die Spannungsversorgung an. Das Gerät startet und aktiviert die Backup-Firmware.
Seite 541 Fehlerbehebung 17.3 Das Gerät ist über CLI und Web UI nicht erreichbar (Eine Firmware-Datei über TFTP laden) 17.3 Das Gerät ist über CLI und Web UI nicht erreichbar (Eine Firmware-Datei über TFTP laden) Das Gerät ist über CLI und Web UI nicht erreichbar. Lösung Sie können das Gerät mit dem Taster neu starten und im Update-Modus über TFTP eine Firmware-Datei in das Gerät laden.
Seite 542 Fehlerbehebung 17.5 Beim Wechsel von MRP auf Spanning Tree treten Datenverkehrsstürme auf 17.4 Das Gerät bricht die Übertragung einer Firmware-Datei von einem Remote-Server ab Wenn Sie eine Firmware-Datei von einem Remote-Server laden, bricht das Gerät die Übertragung der Datei ab. Beispiel Im CLI werden folgende Zeilen ausgegeben.
Seite 543 Fehlerbehebung 17.5 Beim Wechsel von MRP auf Spanning Tree treten Datenverkehrsstürme auf Konfiguration über CLI, Web UI oder NETCONF Wenn Sie die Geräte über CLI, Web UI oder NETCONF konfigurieren, gehen Sie wie folgt vor: 1. Trennen Sie eine Verbindung der Ringtopologie, sodass eine Linientopologie entsteht. 2.
Seite 544 Fehlerbehebung 17.5 Beim Wechsel von MRP auf Spanning Tree treten Datenverkehrsstürme auf Web User Interface (Web UI) SINEC OS v3.0 Projektierungshandbuch, 04/2024, C79000-G8900-C680-03...

Siemens SIMATIC NET SINEC OS v3.0 Projektierungshandbuch

Quicklinks

Verwandte Anleitungen für Siemens SIMATIC NET SINEC OS v3.0

Inhaltszusammenfassung für Siemens SIMATIC NET SINEC OS v3.0