Seite 1 Hirschmann Automation and Control GmbH Eagle40-6M HiSecOS Rel. 05000 Referenz-Handbuch Grafische Benutzeroberfläche Anwender-Handbuch Konfiguration...
Seite 2 Referenz-Handbuch Grafische Benutzeroberfläche Industrial Firewall EAGLE40-6M RM GUI EAGLE40-6M Technische Unterstützung Release 5.0 07/2024 https://hirschmann-support.belden.com...
Seite 3 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2024 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 4 Inhalt Inhalt Sicherheitshinweise............7 Über dieses Handbuch .
Seite 5 Inhalt Asset ..............107 Protokoll .
Seite 6 Inhalt Routing ..............309 Routing Global .
Seite 7 Inhalt 7.11.5.3 Double-NAT Übersicht ............437 Diagnose .
Seite 8 Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 9 Sicherheitshinweise RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 10 Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 11 Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 12 Hinweise zur grafischen Benutzeroberfläche Banner Hinweise zur grafischen Benutzeroberfläche Voraussetzung für den Zugriff auf die grafische Benutzeroberfläche des Geräts ist ein Webbrowser mit HTML5-Unterstützung. Die responsive grafische Benutzeroberfläche passt sich automatisch an die Größe Ihres Bild- schirms an. Demzufolge können Sie auf einem großen, hochauflösenden Bildschirm mehr Details sehen als auf einem kleinen Bildschirm.
Seite 13 Hinweise zur grafischen Benutzeroberfläche Banner Wenn Sie die Schaltfläche klicken, öffnet sich die Online-Hilfe in einem neuen Fenster. Wenn Sie die Schaltfläche klicken, zeigt ein Tooltip die folgenden Informationen: • Die Zusammenfassung des Rahmens Geräte-Status. Siehe Dialog Grundeinstellungen > System. •...
Seite 14 Hinweise zur grafischen Benutzeroberfläche Menübereich Menübereich Die grafische Benutzeroberfläche blendet den Menübereich aus, wenn das Fenster des Webbrow- sers zu schmal ist. Um den Menübereich anzuzeigen, klicken Sie im Banner die Schaltfläche Der Menübereich ist wie folgt unterteilt: • Symbolleiste •...
Seite 15 Hinweise zur grafischen Benutzeroberfläche Menübereich Menübaum Der Menübaum enthält einen Eintrag für jeden Dialog in der grafischen Benutzeroberfläche. Wenn Sie einen Menüeintrag klicken, zeigt der Dialogbereich den zugehörigen Dialog. Sie können die Ansicht des Menübaums ändern, indem Sie die Schaltflächen in der Symbolleiste am oberen Rand klicken.
Seite 16 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Dialogbereich Der Dialogbereich zeigt den Dialog, den Sie im Menübaum auswählen, einschließlich seiner Bedienelemente. Hier können Sie abhängig von Ihrer Zugriffsrolle die Einstellungen des Geräts überwachen und ändern. Nachfolgend finden Sie nützliche Informationen zur Bedienung der Dialoge. •...
Seite 17 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Verwirft nicht gespeicherte Änderungen im gegenwärtigen Dialog. Setzt die Werte in den Feldern auf die im Gerät angewendeten Einstellungen zurück. Einstellungen speichern Beim Anwenden der Einstellungen speichert das Gerät die geänderten Einstellungen vorläufig. Führen Sie dazu den folgenden Schritt aus: Klicken Sie die Schaltfläche ...
Seite 18 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Zeilen filtern Der Filter ermöglicht Ihnen, die Anzahl der angezeigten Tabellenzeilen zu verringern. Zeigt im Tabellenkopf eine zweite Tabellenzeile, die für jede Spalte ein Textfeld enthält. Wenn Sie in ein Feld eine Zeichenfolge einfügen, zeigt die Tabelle lediglich noch die Tabellenzeilen, welche in der betreffenden Spalte diese Zeichenfolge enthalten.
Seite 19 Hinweise zur grafischen Benutzeroberfläche Dialogbereich Mehrere Tabellenzeilen auswählen Sie haben die Möglichkeit, mehrere Tabellenzeilen auf einmal auszuwählen und eine Aktion auf die ausgewählten Tabellenzeilen anzuwenden. Dies ist nützlich, wenn Sie in der Tabelle zum Beispiel mehrere Zeilen gleichzeitig entfernen möchten. Um in der Tabelle einzelne Zeilen auszuwählen, markieren Sie das Kontrollkästchen ganz links in der gewünschten Tabellenzeile.
Seite 20 Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System  Netz  Software  Laden/Speichern  Externer Speicher  Port  Neustart  System [ Grundeinstellungen > System ] Dieser Dialog zeigt Informationen zum Betriebszustand des Geräts. Geräte-Status Geräte-Status Zeigt den Geräte-Status und die gegenwärtig vorliegenden Alarme.
Seite 21 Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Sicherheits-Status Zeigt den Sicherheits-Status und die gegenwärtig vorliegenden Alarme. Wenn mindestens ein Alarm vorliegt, wechselt die Hintergrundfarbe zu rot. Andernfalls bleibt die Hintergrundfarbe grün. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 22 Grundeinstellungen [ Grundeinstellungen > System ] Die folgenden Funktionen verwenden den festgelegten Wert als Hostnamen oder Fully Qualified Domain Name (FQDN). Aus Kompatibilitätsgründen ist es empfehlenswert, ausschließlich Klein- buchstaben zu verwenden, da manche Systeme zwischen Groß- und Kleinschreibung im FQDN unterscheiden.
Seite 23 Grundeinstellungen [ Grundeinstellungen > System ] Obere Temp.-Grenze [°C] Legt den oberen Schwellenwert für die Temperatur in °C fest. Mögliche Werte: -99..99 (ganze Zahl)  Wenn die Temperatur im Gerät den festgelegten Wert überschreitet, dann zeigt das Gerät einen Alarm. Untere Temp.-Grenze [°C] Legt den unteren Schwellenwert für die Temperatur in °C fest.
Seite 24 Grundeinstellungen [ Grundeinstellungen > Netz ] Der externe Speicher ist angeschlossen, jedoch nicht betriebsbereit. Der externe Speicher ist angeschlossenen und betriebsbereit. Status Port Dieser Rahmen zeigt eine vereinfachte Ansicht der Ports des Geräts zum Zeitpunkt der letzten Anzeigeaktualisierung. Den Port-Status erkennen Sie an der Markierung. In der Grundansicht zeigt der Rahmen lediglich Ports mit aktivem Link.
Seite 25 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] 1.2.1 Global [ Grundeinstellungen > Netz > Global ] Dieser Dialog ermöglicht Ihnen, die VLAN- und HiDiscovery-Einstellungen festzulegen, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Dieser Rahmen ermöglicht Ihnen, das VLAN festzulegen, in dem das Management des Geräts erreichbar ist.
Seite 26 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] Funktion Schaltet die Funktion HiDiscovery im Gerät ein/aus. Mögliche Werte: (Voreinstellung)  Die Funktion HiDiscovery ist eingeschaltet. Sie haben die Möglichkeit, das Gerät mit der HiDiscovery-Software von Ihrem PC aus zu errei- chen.
Seite 27 Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] 1.2.2 IPv4 [ Grundeinstellungen > Netz > IPv4 ] In diesem Dialog legen Sie die IPv4-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. IP-Parameter Dieser Rahmen ermöglicht Ihnen, die IP-Parameter manuell zuzuweisen.
Seite 28 Grundeinstellungen [ Grundeinstellungen > Software ] Netzmaske Legt die Netzmaske fest. Mögliche Werte: Gültige IPv4-Netzmaske  Gateway-Adresse Legt die IP-Adresse eines Routers fest, über den das Gerät andere Geräte außerhalb des eigenen Netzes erreicht. Mögliche Werte: Gültige IPv4-Adresse  Wenn das Gerät das festgelegte Gateway nicht verwendet, dann prüfen Sie, ob ein anderes Stan- dard-Gateway festgelegt ist.
Seite 29 Grundeinstellungen [ Grundeinstellungen > Software ] Wiederherstellen Das Gerät vertauscht die Software-Images und dementsprechend die in den Feldern Gespeicherte angezeigten Werte. Version Backup-Version Beim nächsten Systemstart lädt das Gerät die im Feld angezeigte Geräte-Soft- Gespeicherte Version ware. Bootcode Zeigt Versionsnummer und Erstellungsdatum des Bootcodes. Software-Update Das Gerät ermöglicht Ihnen, die Geräte-Software mittels der Felder in diesem Rahmen zu aktuali- sieren.
Seite 30 Grundeinstellungen [ Grundeinstellungen > Software ] Das Gerät kopiert die bisher verwendete Geräte-Software in den Backup-Bereich. Um während des Software-Updates beim Management des Geräts angemeldet zu bleiben, bewegen Sie gelegentlich den Mauszeiger. Alternativ dazu legen Sie vor dem Software-Update im Dialog Web, Feld einen...
Seite 31 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts dauerhaft in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 32 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Speichern unter... Öffnet das Fenster unter..., um das in der Tabelle ausgewählte Konfigurationsprofil zu Speichern kopieren und es mit benutzerdefiniertem Namen im permanenten Speicher (NVM) zu speichern. Geben Sie im Feld den Namen ein, unter dem Sie das Konfigurationsprofil speichern Profilname ...
Seite 33 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Auswählen Kennzeichnet das in der Tabelle ausgewählte Konfigurationsprofil als „ausgewählt“. Anschließend ist in Spalte das Kontrollkästchen markiert. Ausgewählt Das Gerät lädt die Einstellungen dieses Konfigurationsprofils beim Systemstart oder beim Anwenden der Funktion in den flüchtigen Speicher Konfigurationsänderungen rückgängig machen (RAM).
Seite 34 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Wenn oben Externer Speicher ausgewählt ist, legen Sie im Rahmen Import profile from external  die Datei des zu importierenden Konfigurationsprofils fest. memory Wählen Sie in der Dropdown-Liste den Namen des zu importierenden Konfigurations- Profilname profils.
Seite 35 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Auf Lieferzustand zurücksetzen... Setzt die Einstellungen im Gerät auf die voreingestellten Werte zurück. • Das Gerät löscht die gespeicherten Konfigurationsprofile aus dem flüchtigen Speicher (RAM) und aus dem permanenten Speicher (NVM). • Das Gerät löscht das vom Webserver im Gerät verwendete digitale Zertifikat. •...
Seite 36 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Um das Konfigurationsprofil als XML-Datei auf Ihren PC zu exportieren, klicken Sie den Link. Dann wählen Sie den Speicherort und legen den Dateinamen fest. Um die Datei auf einem Remote-Server zu speichern, klicken Sie die Schaltfläche und dann den Eintrag Exportieren..
Seite 37 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Anmerkung: Das Gerät wendet Skript-Dateien zusätzlich zu den gegenwärtigen Einstellungen an. Vergewissern Sie sich, dass die Skript-Datei keine Teile enthält, die mit den gegenwärtigen Einstel- lungen in Konflikt stehen. Software-Version Zeigt die Versionsnummer der Geräte-Software, die das Gerät beim Speichern des Konfigurations- profils ausgeführt hat.
Seite 38 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Externer Speicher Ausgewählter externer Speicher Zeigt den Typ des externen Speichers. Mögliche Werte:  Externer USB-Speicher (ACA21/ACA22) Status Zeigt den Betriebszustand des externen Speichers. Mögliche Werte: notPresent  Kein externer Speicher angeschlossen. removed  Jemand hat den externen Speicher während des Betriebs aus dem Gerät entfernt.
Seite 39 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Passwort setzen Öffnet das Fenster setzen, das Ihnen beim Eingeben des Passworts hilft, das für die Passwort Verschlüsselung des Konfigurationsprofils erforderlich ist. Das Verschlüsseln des Konfigurations- profils erschwert den unberechtigten Zugriff. Führen Sie dazu die folgenden Schritte aus: Wenn Sie ein vorhandenes Passwort ändern, geben Sie in das Feld Altes Passwort das bisherige...
Seite 40 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurationsänderungen rückgängig machen Funktion Schaltet die Funktion ein/aus. Mit der Funktion prüft das Konfigurationsänderungen rückgängig machen Gerät kontinuierlich, ob es von der IP-Adresse Ihres PCs erreichbar bleibt. Bricht die Verbindung ab, lädt das Gerät nach einer festgelegten Zeitspanne das „ausgewählte“ Konfigurationsprofil aus dem permanenten Speicher (NVM).
Seite 41 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Watchdog IP-Adresse Zeigt die IP-Adresse des PCs, auf dem Sie die Funktion eingeschaltet haben. Mögliche Werte: IPv4-Adresse (Voreinstellung: 0.0.0.0)  Information NVM synchron mit running-config Zeigt, ob die Einstellungen im flüchtigen Speicher (RAM) von den Einstellungen des „ausgewählten“ Konfigurationsprofils im permanenten Speicher (NVM) abweichen.
Seite 42 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 43 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Automatisches Software-Update Aktiviert/deaktiviert die automatische Aktualisierung der Geräte-Software während des System- starts. Mögliche Werte: markiert (Voreinstellung)  Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: – die Image-Datei der Geräte-Software –...
Seite 44 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Revision Zeigt die durch den Speicher-Hersteller vorgegebene Revisionsnummer. Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 45 Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Zustand der Verbindung, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: [Konfiguration] ...
Seite 46 Grundeinstellungen [ Grundeinstellungen > Port ] Zustand Zeigt, ob der Port gegenwärtig physisch eingeschaltet oder ausgeschaltet ist. Mögliche Werte: markiert  Der Port ist physisch eingeschaltet. unmarkiert  Der Port ist physisch ausgeschaltet. Autoneg. Aktiviert/deaktiviert die automatische Auswahl des Betriebsmodus für den Port. Mögliche Werte: (Voreinstellung) markiert...
Seite 47 Grundeinstellungen [ Grundeinstellungen > Port ] 10M FDX  Vollduplex-Verbindung 100M HDX  Halbduplex-Verbindung 100M FDX  Vollduplex-Verbindung 1G FDX  Vollduplex-Verbindung Anmerkung: Die tatsächlich zur Verfügung stehenden Betriebsmodi des Ports sind abhängig von der Ausstattung des Geräts. Manuelles Cable-Crossing Legt die Belegung der Anschlüsse eines Twisted-Pair-Ports fest.
Seite 48 Grundeinstellungen [ Grundeinstellungen > Port ] Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung des Link-Status auf dem Port erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Senden von SNMP-Traps ist aktiv. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 49 Grundeinstellungen [ Grundeinstellungen > Port ] • Anzahl der vom Gerät erkannten Fehler – Empfangene Fragmente – Erkannte CRC-Fehler – Erkannte Kollisionen • Anzahl der vom Gerät empfangenen Datenpakete pro Größenkategorie – Pakete 64 Byte – Pakete 65 bis 127 Byte –...
Seite 50 Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Port-Zähler und die MAC-Adresstabelle (Forwarding Database) zurückzusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet das Fenster Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 51 Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei leeren Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System-Log. Persistente Log-Datei leeren Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikationsverbindungen aus der State-Tabelle der Fire- wall.
Seite 52 Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen   Grundeinstellungen [ Zeit > Grundeinstellungen ] Nach einem Neustart initialisiert das Gerät seine Uhr auf den 1. Januar 2024, 01.00 Uhr UTC+1. Stellen Sie die Uhrzeit neu ein, wenn Sie das Netzteil vom Gerät trennen oder das Gerät neu starten.
Seite 53 Zeit [ Zeit > Grundeinstellungen ] Mögliche Werte: lokal  Systemuhr des Geräts.  Der NTP-Client ist eingeschaltet und das Gerät ist durch einen NTP-Server synchronisiert. Siehe Dialog Zeit > NTP. Lokaler Offset [min] Legt die Differenz in Minuten zwischen koordinierter Weltzeit (UTC) und Ortszeit fest: Lokaler Offset −...
Seite 54 Zeit [ Zeit > Grundeinstellungen ] Sommerzeit Beginn In diesem Rahmen legen Sie den Zeitpunkt fest, zu dem das Gerät die Uhr von Normalzeit auf Sommerzeit vorstellt. In den ersten 3 Feldern legen Sie den Tag für den Beginn der Sommerzeit fest.
Seite 55 Zeit [ Zeit > Grundeinstellungen ] Systemzeit Legt den Zeitpunkt fest, zu dem das Gerät die Uhr auf Sommerzeit vorstellt. Mögliche Werte: <HH:MM> (Voreinstellung: 00:00)  Sommerzeit Ende In diesem Rahmen legen Sie den Zeitpunkt fest, zu dem das Gerät die Uhr von Sommerzeit auf Normalzeit zurückstellt.
Seite 56 Zeit [ Zeit > NTP ] Juni  Juli  August  September  Oktober  November  Dezember  Systemzeit Legt den Zeitpunkt fest, zu dem das Gerät die Uhr auf Normalzeit zurückstellt. Mögliche Werte: <HH:MM> (Voreinstellung: 00:00)  [ Zeit >...
Seite 57 Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: • Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren NTP-Servern im Netz.
Seite 58 Zeit [ Zeit > NTP > Global ] Client und Server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Management-VLAN sowie in Schicht 3 auf den eingerichteten IP-Interfaces. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 59 Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. • Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest- gelegten Server. •...
Seite 60 Zeit [ Zeit > NTP > Server ] IP-Adresse Legt die IP-Adresse des NTP-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Initial burst Aktiviert/deaktiviert den Initial burst-Modus. Im Betrieb sendet der NTP-Client des Geräts ausschließlich einzelne Datenpakete, um die Zeit zu erfragen.
Seite 61 Zeit [ Zeit > NTP > Server ] Mögliche Werte: markiert  Das Gerät verwendet den NTP-Server als bevorzugte Referenzzeitquelle. Verwenden Sie diese Einstellung, um zu vermeiden, dass der NTP-Client häufig zwischen gleichwertigen NTP- Servern wechselt. (Voreinstellung) unmarkiert  Keine bevorzugte Verwendung des NTP-Servers. Status Zeigt den Synchronisierungs-Status.
Seite 62 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung  Authentifizierungs-Liste  LDAP  Management-Zugriff  Pre-Login-Banner  Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf sein Management, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 63 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier festgelegt. Das Gerät prüft das Passwort gemäß dieser Richtlinie, unabhängig von der Einstellung des Kont- rollkästchens Richtlinien überprüfen.
Seite 64 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Sonderzeichen (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Sonderzeichen enthält, wie hier festgelegt. Mögliche Werte: 0..16 (Voreinstellung: 1)  Der Wert deaktiviert diese Richtlinie. Tabelle Jeder Benutzer benötigt ein aktives Benutzerkonto, um Zugriff auf das Management des Geräts zu erhalten.
Seite 65 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Passwort Zeigt ***** (Sternchen) anstelle des Passworts, mit dem sich der Benutzer beim Management des Geräts anmeldet. Um das Passwort zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 6..64 Zeichen ...
Seite 66 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Benutzer gesperrt Entsperrt das Benutzerkonto. Mögliche Werte: markiert  Das Benutzerkonto ist gesperrt. Der Benutzer hat keinen Zugriff auf das Management des Geräts. Das Gerät sperrt einen Benutzer automatisch, wenn dieser zu oft nacheinander erfolglos versucht, sich anzumelden.
Seite 67 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 68 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Löschen Entfernt die ausgewählte Tabellenzeile. Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das Fenster zeigt die Anwendungen, die Sie der ausge- wählten Liste zuordnen können. Klicken und wählen Sie einen Eintrag, um diesen der gegenwärtig ausgewählten Liste zuzu- ...
Seite 69 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] reject  Abhängig von der Richtlinie, die Sie zuerst anwenden, akzeptiert das Gerät die Anmeldung des Benutzers beim Management des Geräts oder lehnt die Anmeldung ab. Mögliche Authentifizie- rungsszenarios sind: – Wenn die erste Richtlinie in der Authentifizierungsliste lokal ist und das Gerät die Anmelde- daten des Benutzers akzeptiert, meldet das Gerät den Benutzer beim Management des...
Seite 70 Gerätesicherheit [ Gerätesicherheit > LDAP ] LDAP [ Gerätesicherheit > LDAP ] Das Lightweight Directory Access Protocol (LDAP) ermöglicht Ihnen, die Benutzer an einer zent- ralen Stelle im Netz zu authentifizieren und zu autorisieren. Ein weit verbreiteter, mit LDAP abfrag- ®...
Seite 71 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 72 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Client-Cache Timeout [min] Legt fest, wie viele Minuten die Anmeldeinformation nach erfolgreicher Anmeldung eines Benut- zers beim Management des Geräts gültig bleibt. Wenn ein Benutzer sich innerhalb dieser Zeit erneut anmeldet, ist keine aufwendige LDAP-Suchoperation notwendig. Der Anmeldevorgang ist deutlich schneller.
Seite 73 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  (Voreinstellung: userPrincipalName) Default-Domain Legt die Zeichenfolge fest, mit der das Gerät den Benutzernamen sich anmeldender Benutzer ergänzt, sofern der Benutzername kein @-Zeichen enthält. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen ...
Seite 74 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Start Überträgt die im Feld festgelegte Datei auf das Gerät. Damit die Änderungen nach dem Übertragen eines digitalen Zertifikats in das Gerät wirksam werden, schalten Sie die Funktion aus und wieder ein. Siehe Rahmen Funktion. LDAP Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter...
Seite 75 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  DNS-Name im Format <domain>.<tld> oder <host>.<domain>.<tld>  Voraussetzung ist, dass Sie zusätzlich im Dialog die Funktion Erweitert > DNS > Client > Global einschalten. Client Wenn Sie eine verschlüsselte Verbindung mithilfe eines digitalen Zertifikats herstellen, verge- wissern Sie sich, dass die - oder...
Seite 76 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Status Server Zeigt den Zustand der Verbindung und die Authentifizierung mit dem Authentication-Server. Mögliche Werte:  Der Server ist erreichbar. Wenn in Spalte ein anderer Wert als festgelegt ist, dann hat das Gerät Verbindungssicherheit kein das digitale Zertifikat des Servers verifiziert.
Seite 77 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings einzurichten, um Benutzern eine Zugriffsrolle zuzuweisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenmitgliedschaft dem Benutzer eine Zugriffsrolle zuweist.
Seite 78 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Index-Nummer fest. Index Mögliche Werte: 1..64...
Seite 79 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Parameter Legt abhängig von der Einstellung in Spalte eine Gruppe oder ein Attribut mit einem Attributwert fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. – Wenn in Spalte der Wert festgelegt ist, dann legen Sie das Attribut in der Form attribute...
Seite 80 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: [Information] ...
Seite 81 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] SNMPv3 Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit SNMP Version 3 ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte SNMP. Mögliche Werte: markiert  Server-Dienst ist aktiv. unmarkiert  Server-Dienst ist inaktiv.
Seite 82 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration SNMPv1 Aktiviert/deaktiviert den Zugriff auf das Gerät per SNMP Version 1. Mögliche Werte: markiert  Zugriff mittels SNMP-Version 1 ist aktiv. – Die Community-Namen legen Sie fest im Dialog Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community.
Seite 83 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] [SSH] Diese Registerkarte ermöglicht Ihnen, den SSH-Server im Gerät ein-/auszuschalten und die für SSH erforderlichen Einstellungen festzulegen. Der Server arbeitet mit SSH-Version 2. Der SSH-Server ermöglicht den Zugriff auf das Management des Geräts per Fernzugriff mit dem Command Line Interface.
Seite 84 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration TCP-Port Legt die Nummer des TCP-Ports fest, auf dem das Gerät SSH-Anfragen von den Clients entgegen- nimmt. Mögliche Werte: (Voreinstellung: 22) 1..65535 (2¹⁶-1)  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Nach Ändern des Ports startet der Server automatisch neu.
Seite 85 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Erstellen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des generierten Schlüssels: • 2048 Bit (RSA) Damit der SSH-Server den generierten Host-Key verwendet, starten Sie den SSH-Server neu. Alternativ dazu übertragen Sie einen eigenen Host-Schlüssel im PEM-Format auf das Gerät.
Seite 86 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Key-Import Legt Pfad und Dateiname Ihres RSA-Host-Keys fest. Das Gerät akzeptiert den RSA-Schlüssel, wenn dieser die folgende Schlüssellänge aufweist: • 2048 bit (RSA) Das Gerät bietet Ihnen folgende Möglichkeiten, die Datei auf das Gerät zu übertragen: •...
Seite 87 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTP server Schaltet für den Webserver die Funktion ein/aus. HTTP Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet. HTTP Der Zugriff auf das Management des Geräts ist möglich über eine unverschlüsselte HTTP- Verbindung.
Seite 88 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTPS server Schaltet für den Webserver die Funktion ein/aus. HTTPS Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet. HTTPS Der Zugriff auf das Management des Geräts ist möglich über eine verschlüsselte HTTPS-Verbin- dung.
Seite 89 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Vorhanden Zeigt, ob ein digitales Zertifikat im Gerät vorhanden ist. Mögliche Werte: markiert  Ein digitales Zertifikat ist vorhanden. unmarkiert  Das digitale Zertifikat wurde entfernt. Erstellen Generiert ein digitales Zertifikat auf dem Gerät. Bis zum Neustart verwendet der Webserver das vorherige Zertifikat.
Seite 90 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerabdruck Typ Legt fest, welchen Fingerprint das Feld anzeigt. Fingerabdruck Mögliche Werte: sha1  Das Feld Fingerabdruck zeigt den SHA1-Fingerprint des digitalen Zertifikats. sha256 (Voreinstellung)  Das Feld zeigt den SHA256-Fingerprint des digitalen Zertifikats. Fingerabdruck Fingerabdruck Hexadezimale Zeichenfolge des vom Server verwendeten digitalen Zertifikats.
Seite 91 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Das Gerät bietet Ihnen folgende Möglichkeiten, die Datei auf das Gerät zu übertragen: • Import vom PC Befindet sich die Datei auf Ihrem PC oder auf einem Netzlaufwerk, ziehen Sie diese in den Bereich.
Seite 92 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog ermöglicht Ihnen, den Zugriff auf das Management des Geräts für ausgewählte Anwendungen von einem festgelegten IP-Adressbereich aus oder über das festgelegte physische Interface zu beschränken.
Seite 93 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Schaltflächen Hinzufügen Fügt eine Tabellenzeile hinzu. Löschen Entfernt die ausgewählte Tabellenzeile. Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Das Gerät weist den Wert automa- tisch zu, wenn Sie eine Tabellenzeile hinzufügen. Die Priorität des Zugriffs auf das Management des Geräts basiert auf der Indexnummer.
Seite 94 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Mögliche Werte: Gültige Netzmaske (Voreinstellung: 0.0.0.0)  Ein Beispiel: Um den Zugriff von einer einzelnen IP-Adresse aus zu beschränken, legen Sie den Wert fest. 255.255.255.255 HTTP Aktiviert/deaktiviert den HTTP-Zugriff. Mögliche Werte: (Voreinstellung) markiert ...
Seite 95 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Aktiv Aktiviert/deaktiviert die Tabellenzeile. Mögliche Werte: markiert  Die Tabellenzeile ist aktiv. Das Gerät schränkt den Zugriff auf das Management des Geräts auf den festgelegten IP-Adressbereich oder über das festgelegte Interface für ausgewählte Anwen- dungen ein.
Seite 96 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Webinterface-Session Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des beim Management des Geräts angemeldeten Benutzers.
Seite 97 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Weitere Informati- onen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Interface“. Der Dialog enthält die folgenden Registerkarten: [Global] ...
Seite 98 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers beim Management des Geräts wirksam. Für den SSH-Server legen Sie das Timeout fest im Dialog Gerätesicherheit > Management-Zugriff > Server. [Login-Banner] In dieser Registerkarte ersetzen Sie den Startbildschirm im Command Line Interface durch einen individuellen Text.
Seite 99 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie den Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen mittels SNMPv1/v2 mit einem Community-Namen im SNMP- Datenpaket-Header.
Seite 100 Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich beim Management des Geräts anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface.
Seite 101 Gerätesicherheit 3.5 Pre-Login-Banner RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 102 Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht  RADIUS  Asset  Protokoll  Paketfilter  Deep Packet Inspection   Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt eine Übersicht über die im Gerät verwendeten Netzsicherheits-Regeln. Übersicht Die oberste Ebene zeigt: •...
Seite 103 Netzsicherheit [ Netzsicherheit > RADIUS ] Klappt die Ebenen auf. Die Übersicht zeigt dann jede Ebene der Einträge. Klappt den aktuellen Eintrag auf und zeigt die Einträge der nächsttieferen Ebene. Klappt den Eintrag zu und blendet die Einträge der darunter liegenden Ebenen aus. RADIUS [ Netzsicherheit >...
Seite 104 Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Schaltflächen Zurücksetzen Löscht die Statistik im Dialog Netzsicherheit > RADIUS > Authentication-Statistiken. Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 105 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 106 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] IP-Adresse Legt die IP-Adresse des Servers fest. Mögliche Werte: Gültige IPv4-Adresse  Ziel UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der Server Anfragen entgegennimmt. Mögliche Werte: 0..65535 (2¹⁶-1) (Voreinstellung: 1812) ...
Seite 107 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Tabellen- zeile.
Seite 108 Netzsicherheit [ Netzsicherheit > Asset ] Fehlerhafte Access-Antworten Zeigt, wie viele fehlerhafte Access-Response-Datenpakete das Gerät vom Server empfangen hat (einschließlich Datenpakete mit ungültiger Länge). Fehlerhafter Authentifikator Zeigt, wie viele Access-Response-Datenpakete mit ungültigem Authentifikator das Gerät vom Server empfangen hat. Offene Anfragen Zeigt, wie viele Access-Request-Datenpakete das Gerät an den Server gesendet hat, auf die es noch keine Antwort vom Server empfangen hat.
Seite 109 Netzsicherheit [ Netzsicherheit > Asset ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie einen eindeutigen Namen für das Asset fest. Name Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen, mit Ausnahme des Zeichens...
Seite 110 Netzsicherheit [ Netzsicherheit > Asset ] Hersteller Legt den Hersteller des Assets fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Modell Legt das Modell des Assets fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Ungefährer Standort Legt einen allgemeinen Ort für das Asset fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen ...
Seite 111 Netzsicherheit [ Netzsicherheit > Asset ] MAC-Adresse Legt die MAC-Adresse des Assets fest. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede MAC-Adresse, die mit dem Asset verknüpft ist. Gültige MAC-Adresse  Das Gerät wendet die festgelegte MAC-Adresse auf das Asset an. RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 112 Netzsicherheit [ Netzsicherheit > Protokoll ] Protokoll [ Netzsicherheit > Protokoll ] In diesem Dialog legen Sie grundlegende Einstellungen für das benutzerdefinierte Protokoll fest. Das Gerät ermöglicht Ihnen, bis zu 50 benutzerdefinierte Protokolle einzurichten. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 113 Netzsicherheit [ Netzsicherheit > Protokoll ] Protokollname Legt einen eindeutigen Namen für das Protokoll fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen, mit Ausnahme der folgenden Zeichen:  – – icmp – igmp – ipip – – – – – icmpv6 Beschreibung Legt eine Beschreibung für das Protokoll fest.
Seite 114 Netzsicherheit [ Netzsicherheit > Protokoll ] pppoesess  ipxnew  profinet  powerlink  ethercat  vlan8021q  Benutzerspezifischer Ethertype-Wert Legt den Ethertype-Wert der Datenpakete in Dezimalschreibweise fest, den der Schicht-2-Paket- filter anwendet. Voraussetzung ist, dass in Spalte der Wert custom festgelegt ist.
Seite 115 Netzsicherheit [ Netzsicherheit > Paketfilter ] Paketfilter [ Netzsicherheit > Paketfilter ] In diesem Menü legen Sie die Einstellungen für die Funktionen Paketfilter fest. Das Menü enthält die folgenden Dialoge: Routed-Firewall-Modus  Transparent-Firewall-Modus  4.5.1 Routed-Firewall-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] In diesem Menü...
Seite 116 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Routing/ Paket- Paket- Regeln 1:1 NAT Switching Masquerading NAT Filter Filter Destination NAT Double NAT Double NAT Netz 1 Netz 2...
Seite 117 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] 4.5.1.1 Global [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters.
Seite 118 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 119 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] 4.5.1.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Dieser Dialog ermöglicht es Ihnen, die für den Zugriff auf das Netz zulässigen Verbindungen fest- zulegen. Die maximale Anzahl von Regeln, die Sie mithilfe der Funktion festlegen können, ist abhängig von der Anzahl der im Dialog bereits...
Seite 120 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Information Schaltflächen Start Startet die Lernphase. Das Gerät filtert die Datenpakete an den aktiven Interfaces. Stop Stoppt die Lernphase. Leeren Leert den Speicher. Gelernte Daten können ausschließlich dann gelöscht werden, wenn die Funk- tion gestoppt wird.
Seite 121 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Freier Speicher für Lerndaten [%] Zeigt den prozentualen Anteil des freien Speicherplatzes, der für das Erlernen von Daten verfügbar ist. [Regeln] Diese Registerkarte zeigt den Typ der Daten, welche die ausgewählten Ports passieren. Sie können Regeln hinzufügen, um den Datenstrom zu verwalten, der das Gerät durchquert.
Seite 122 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Erstes Vorkommen Zeigt den Zeitpunkt, zu dem das Gerät das Paket zum ersten Mal ermittelt hat. Connections by Rule Set Zeigt die Anzahl der Verbindungen, die mit den in der unten stehenden Tabelle festgelegten Regeln übereinstimmen.
Seite 123 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Gültige IPv4-Adresse  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse an. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse im festgelegten Subnetz an.
Seite 124 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass in Spalte der Wert oder festgelegt ist. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 125 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Eingangs-Interface Zeigt, ob das Gerät die Paketfilter-Regel auf Datenpakete anwendet, die das Gerät über ein Router- Interface sendet oder empfängt. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt.
Seite 126 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] 4.5.1.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter einzurichten. Sie weisen die hier festge- legten Regeln im Dialog Netzsicherheit >...
Seite 127 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Ein der IP-Adresse vorangestelltes Ausrufezeichen (!) verkehrt den Ausdruck ins Gegenteil.  Das Gerät wendet die Regel auf Datenpakete mit beliebiger Quelladresse oder Subnetz an, mit Ausnahme der festgelegten Quelladresse oder des festgelegten Subnetzes. Beispiel: !1.1.1.1 oder...
Seite 128 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] icmpv6  Internet Control Message Protocol for IPv6 (RFC 4443) <user-defined protocols>  Das Gerät verarbeitet auch benutzerdefinierte Protokolle. Sie legen benutzerdefinierte Proto- kolle im Dialog fest. Netzsicherheit > Protokoll Quelle Port Legt den L4-Quell-Port der Datenpakete fest, auf die das Gerät die Regel anwendet.
Seite 129 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Parameter Legt zusätzliche Parameter für diese Regel fest. Geben Sie Parameter in der folgenden Form an: <param>=<val>. Wenn Sie mehrere Parameter eingeben, trennen Sie diese durch ein Komma. Wenn Sie mehrere Werte eingeben, trennen Sie diese durch einen vertikalen Strich.
Seite 130 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] enforce-opc  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Voraussetzung ist, dass in den Spalten ein anderer Wert Quelle Adresse, Ziel Adresse Ziel Port festgelegt ist.
Seite 131 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Index DPI-Profil Zeigt an, welche Regel das Gerät auf die Datenpakete anwendet. Voraussetzung ist, dass in Spalte Aktion einer der folgenden Werte festgelegt ist: • enforce-modbus • enforce-opc • enforce-dnp3 •...
Seite 132 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] 4.5.1.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing >...
Seite 133 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen der Funktion Enforcer.
Seite 134 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Mögliche Werte: 0..4294967295 (2³²-1) (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Regel. Um die Einstellungen auf den Datenstrom anzuwenden, führen Sie die folgenden Schritte aus: Klicken Sie die Schaltfläche , um die gegenwärtigen Einstellungen zu speichern. ...
Seite 135 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] 4.5.1.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 136 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Ziel Adresse Zeigt den Asset-Namen oder die Zieladresse der Datenpakete, auf die das Gerät die Regel anwendet. Ziel Port Zeigt den Ziel-TCP-Port oder Ziel-UDP-Port der Datenpakete, auf die das Gerät die Regel anwendet.
Seite 137 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Das Gerät filtert gezielt die unerwünschten Datenpakete heraus, solange die Verbindung unbe- kannt ist. • Wenn ein Datenpaket die Kriterien einer oder mehrerer Regeln erfüllt, dann wendet das Gerät die in der ersten zutreffenden Regel festgelegte Aktion auf den Datenstrom an. Das Gerät igno- riert die Regeln, die der ersten zutreffenden Regel folgen.
Seite 138 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] 4.5.2.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Transparent-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, können Sie keine neuen Kommunikationsverbindungen herstellen.
Seite 139 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 140 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 4.5.2.2 Paketfilter Regel [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter einzurichten. Die hier festgelegten Regeln weisen Sie im Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung gewünschten nicht-routenden Ports oder VLANs zuweisen.
Seite 141 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] enforce-opc  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Voraussetzung ist, dass in den Spalten ein anderer Quelle IP-Adresse, Ziel IP-Adresse Ziel Port Wert als festgelegt ist.
Seite 142 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel MAC-Adresse Legt den Asset-Namen oder die Zieladresse der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet. Wählen Sie in der Dropdown-Liste einen Eintrag oder legen Sie die Zieladresse fest.
Seite 143 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 1..5ff  Das Gerät wendet die Regel auf Logical-Link-Control-Datenpakete (LLC) an, deren Längenfeld den festgelegten Wert enthält. Diese Werte sind ausschließlich für Port-basierte Regeln verfügbar. 600..ffff  Das Gerät wendet die Regel ausschließlich auf MAC-Datenpakete an, welche den hier festge- legten Ethertype-Wert enthalten.
Seite 144 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Zieladresse im festgelegten Subnetz an. Beispiel: 192.168.112.0/25 Ein der IP-Adresse vorangestelltes Ausrufezeichen (!) verkehrt den Ausdruck ins Gegenteil. ...
Seite 145 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Index DPI-Profil Zeigt an, welche Regel das Gerät auf die Datenpakete anwendet. Voraussetzung ist, dass in Spalte Aktion einer der folgenden Werte festgelegt ist: • enforce-modbus • enforce-opc • enforce-dnp3 •...
Seite 146 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass in Spalte der Wert oder festgelegt ist. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 147 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Einheit Legt die Maßeinheit fest für die in Spalte festgelegte Datentransferrate. Lastbegrenzung Mögliche Werte: (Voreinstellung)  Datenpakete pro Sekunde kbps  kByte pro Sekunde Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Paketfilter-Regel auf ein Datenpaket anwendet.
Seite 148 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] 4.5.2.3 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den nicht-routenden Ports und VLANs des Geräts eine oder mehrere Paketfilter-Regeln zuzuweisen. Information Zuweisungen Zeigt, wie viele Regeln für die nicht-routenden Ports und VLANs aktiv sind.
Seite 149 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, können Sie keine neuen Kommunikationsverbindungen herstellen. Beschreibung Zeigt den Namen der Regel.
Seite 150 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Richtung Zeigt, ob das Gerät die Paketfilter-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem nicht-routenden Ports oder VLAN-Interface empfängt.
Seite 151 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] 4.5.2.4 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 152 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Ziel MAC-Adresse Zeigt den Asset-Namen oder die Zieladresse der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Ethertype Zeigt das Ethertype-Schlüsselwort der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Benutzerspezifischer Ethertype-Wert Zeigt den Ethertype-Wert der MAC-Datenpakete, auf die das Gerät die Regel anwendet.
Seite 153 Netzsicherheit [ Netzsicherheit > DPI ] Burst-Size Zeigt das Limit in KByte für das Datenvolumen während temporärer Bursts. Einheit Zeigt die Maßeinheit für die in Spalte Lastbegrenzung festgelegte Datentransferrate. Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Regel auf ein Datenpaket anwendet. Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Regel auf ein Datenpaket anwendet.
Seite 154 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.6.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Profile zu definieren. Die Profile spezifizieren Funktionscodes sowie Register- oder Coil-Adressen. Der Funktionscode im Protokoll Modbus TCP legt den Zweck der Datenübertragung fest.
Seite 155 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest. Index Mögliche Werte: 1..32...
Seite 156 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Funktionstyp Legt den Funktionstyp für das Enforcer-Profil fest. Nach dem Klicken der Schaltfläche Modbus weist das Gerät die zugehörigen Typ-IDs zu. Mögliche Werte: (Voreinstellung) read-only  Weist die Funktionscodes für die read-Funktion des Protokolls zu.
Seite 157 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: <FC> | <AR>, <FC> | <AR>, …  Das Gerät ermöglicht Ihnen, mehrere Funktionscodes und für manche Funktionscodes einen zusätzlichen Adressbereich festzulegen. Die Bedeutung der Nummern finden Sie im Abschnitt „Bedeutung der Funktionscode-Werte”...
Seite 158 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 159 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Entfernt den Eintrag aus dem Feld Funktionscode. Bedeutung der Funktionscode-Werte Bedeutung Adressbe- Adressbe- reich (Lesen) reich (Schreiben) Read Coils <0..65535> Read Discrete Inputs <0..65535> Read Holding Registers <0..65535> Read Input Registers <0..65535>...
Seite 160 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.6.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Enforcer- (OLE for Process Control Enforcer)-Einstel- lungen festzulegen und Enforcer-spezifische Profile zu definieren. OPC ist ein Integrationsprotokoll für industrielle Umgebungen.
Seite 161 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest. Index Mögliche Werte: 1..32...
Seite 162 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung für Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiv. Das Gerät prüft die Plausibilität der Datenpakete hinsichtlich Format und Spezifikation. Das Gerät blockiert Datenpakete, die gegen die festgelegten Profile verstoßen. unmarkiert ...
Seite 163 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] 4.6.3 Deep Packet Inspection - DNP3 Enforcer [ Netzsicherheit > DPI > DNP3 Enforcer ] Dieser Dialog ermöglicht Ihnen, die DNP3 Enforcer- (Distributed Network Protocol v3 Enforcer)- Einstellungen festzulegen und DNP3 Enforcer-spezifische Profile zu definieren.
Seite 164 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 4.6.3.1 DNP3-Profil [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die DNP3 Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, basierend auf den festgelegten Werten, Datenpakete weiterzuleiten oder zu verwerfen. Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten...
Seite 165 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. • Im Feld legen Sie eine neue Nummer fest, die das kopierte Profil identifiziert. Index Mögliche Werte: 1..32...
Seite 166 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 1..317  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- DNP3 gelegte Index-Nummer enthalten. Dieses Feld ermöglicht Ihnen, folgende Optionen festzulegen: – Eine einzelne Index-Nummer mit einem einzelnen numerischen Wert, zum Beispiel 1. –...
Seite 167 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 168 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Bedeutung Direct Operate Direct Operate-No Response Required Freeze Freeze-No Response Required Freeze Clear Freeze Clear-No Response Required Freeze at Time Freeze at Time-No Response Required Cold Restart Warm Restart Initialize Data Initialize Application Start Application...
Seite 169 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] 4.6.3.2 DNP3-Objekt [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Die Funktion DNP3 verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die Funktion DNP3 verwendet Gruppennummern, um den Datentyp zu kategorisieren, und Variationsnummern, um festzulegen, wie die Daten innerhalb der Gruppe kodiert werden.
Seite 170 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] • Im Funktion-Feld legen Sie den Funktionscode fest. Der Funktionscode kennzeichnet den Zweck der Nachricht. Voraussetzung ist, dass im Feld ein gültiger Wert festgelegt ist. Variation Mögliche Werte: 0..128 ...
Seite 171 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Variation Legt die Variation-Nummer fest. Voraussetzung ist, dass im Feld ein gültiger Wert fest- Gruppen-Nr. gelegt ist. Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, die den DNP3 festgelegten Wert enthalten.
Seite 172 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] single_bit_packed  Wenn die Anzahl der Bit-Werte kein Vielfaches von 8 beträgt, dann füllt das Gerät die gepackten Einzelbit-Werte bis zur nächsten Byte-Grenze auf. double_bit_packed  Wenn die Anzahl der Doppelbit-Werte kein Vielfaches von 4 beträgt, dann füllt das Gerät die gepackten Doppelbit-Werte bis zur nächsten Byte-Grenze auf.
Seite 173 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x06 0x07...
Seite 174 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. DIRECT_OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE_NR 0x00 0x01 0x17 0x28 SELECT 0x07 0x08 OPERATE 0x07 0x08 DIRECT_OPERATE 0x07 0x08 DIRECT_OPERATE_NR...
Seite 175 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. FREEZE_CLEAR 0x00 0x01 0x06 0x17 0x28 FREEZE_CLEAR_NR 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME_NR 0x00...
Seite 176 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 IMMEDIATE_FREEZE 0x00 0x01 0x06 0x17 0x28...
Seite 177 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00...
Seite 178 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE 0x00 0x01 0x17 0x28...
Seite 179 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 READ 0x06 READ 0x06 0x07 0x08 ASSIGN_CLASS 0x06 ENABLE_UNSOLICITED...
Seite 180 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE QC_5B 0x5B WRITE QC_5B 0x5B READ 0x06 READ 0x00 0x01 0x06 0x17 0x28...
Seite 181 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x03 0x04 0x05 0x06 0x17 0x28 WRITE variation 0x00 0x01 0x03 0x04 0x05 0x17 0x28 ACTIVATE_CONFIGURATION variation...
Seite 182 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE single_bit_packed 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 183 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x07 0x08 RESPONSE single_bit_packed 0x00 0x01 RESPONSE 0x17...
Seite 184 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17...
Seite 185 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28...
Seite 186 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 187 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 188 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE...
Seite 189 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 190 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B UNSOLICITED_RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B...
Seite 191 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 RESPONSE variation 0x00 0x01 0x17 0x28 UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 4.6.4 Deep Packet Inspection - IEC104 Enforcer [ Netzsicherheit >...
Seite 192 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Mögliche Werte: markiert  Mindestens eines der aktiven Enforcer-Profile, die im Gerät gespeichert sind, enthält IEC104 geänderte Einstellungen. unmarkiert  Enforcer-Profile, die auf den Datenstrom angewendet werden, stimmen mit den IEC104 Profilen überein, die im Gerät gespeichert sind.
Seite 193 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Index Zeigt die fortlaufende Nummer des Profils, auf das sich die Tabellenzeile bezieht. Sie legen die Index-Nummer fest, wenn Sie eine Tabellenzeile hinzufügen. Beschreibung Legt einen Namen für das Profil fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen ...
Seite 194 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Originator Adressliste Legt die Adressen fest, die den Ursprung der Datenpakete repräsentieren. Voraussetzung ist, dass in Spalte der Wert festgelegt ist. Übertragungsgröße Ursache Mögliche Werte: <leer> (Voreinstellung)  Das Gerät lässt Datenpakete mit beliebiger Originator-Adresse zu. 0..255 ...
Seite 195 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] IEC_60870_5_101 zulassen Aktiviert/deaktiviert die in der IEC101-Spezifikation definierten Type-IDs. Mögliche Werte: markiert  Die in der IEC101-Spezifikation definierten Type-IDs sind aktiv. Das Gerät lässt die Type-ID-Werte zu – 2,4,6,8,10,12,14,16,17,18,19,103,104,105,106 zusammen mit den Type-IDs, die auf den in Spalte oder fest- Funktionstyp...
Seite 196 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: markiert  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- IEC104 pakete an. unmarkiert  Das Profil ist inaktiv. [Erweiterte Liste Type-ID] Erweiterte Liste Type-ID...
Seite 197 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Bedeutung Event of protection equipment with time tag M_EP_TA_1 Packed start events of protection equipment with time tag M_EP_TB_1 Packed output circuit information of protection equipment with time tag M_EP_TC_1 Packed single-point information with status change detection M_PS_NA_1 Measured value, normalized value without quality descriptor M_ME_ND_1 Single point information with time tag CP56Time2a M_SP_TB_1 Double point information with time tag CP56Time2a M_DP_TB_1...
Seite 198 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer ] Bedeutung Call directory, select file, call file, call section F_SC_NA_1 Last section, last segment F_LS_NA_1 Ack file, Ack section F_AF_NA_1 Segment F_SG_NA_1 F_DR_TA_1 QueryLog – Request archive file F_SC_NB_1 4.6.5 Deep Packet Inspection - AMP-Enforcer [ Netzsicherheit >...
Seite 199 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] 4.6.5.1 AMP Global [ Netzsicherheit > DPI > AMP Enforcer > Global ] In diesem Dialog legen Sie die globalen Einstellungen für das Enforcer-Profil fest. Protect-Modus Program and Mode Protect Aktiviert/deaktiviert die Prüfung der Datenpakete, welche die Taskcodes mit dem Wert config Spalte...
Seite 200 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer des Profils fest.
Seite 201 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Beschreibung Legt einen Namen für den Taskcode fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Modus Legt den zutreffenden Modus für den Taskcode fest. Mögliche Werte: config  Legt Kommandos fest, die mit der Modifikation der Steuerungseinstellungen, des Anwendungs- programms oder des Betriebsmodus verknüpft sind.
Seite 202 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] 4.6.5.2 AMP-Profil [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, basierend auf den festgelegten Werten, Datenpakete weiterzuleiten oder zu verwerfen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 203 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Beschreibung Legt einen Namen für das Profil fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  (Voreinstellung: amp) Protokoll Legt den TCP-Nutzlast-Protokolltyp der Datenpakete fest, auf die das Gerät das Profil anwendet. Das Gerät wendet das Profil ausschließlich auf Datenpakete an, die den festgelegten Wert im Feld Protocol enthalten.
Seite 204 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Adress-Klasse Legt den jeweiligen Typ des Speichers fest, auf den auf dem Anlagenteil zugegriffen werden soll. Voraussetzungen: • In Spalte Protokoll ist der Wert camp festgelegt. • In Spalte Message-Typ ist ein Hexadezimalwert im Bereich 00..01...
Seite 205 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet das Profil auf jedes Datenpaket an, ohne die Geräteklasse zu bewerten. 0000..FFFF  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegte Gerä- teklasse enthalten.
Seite 206 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Datenwort Legt die Startadresse fest, welche die Anlage verwendet, um Daten aus dem Paket zu lesen. Voraussetzungen: • In Spalte Protokoll ist der Wert camp festgelegt. • In Spalte Message-Typ ist ein Hexadezimalwert im Bereich 00..01...
Seite 207 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet jeden Taskcode an, der im Feld vorhanden ist. Verfügbare Taskcodes 00..FF  Das Gerät lässt Datenpakete mit den festgelegten Codes zu. Dieses Feld ermöglicht Ihnen, folgende Optionen festzulegen: –...
Seite 208 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: marked (Voreinstellung)  Die Prüfung ist aktiv. unmarked  Die Prüfung ist inaktiv. Debug Aktiviert/deaktiviert das Debugging für die Profile. Mögliche Werte: marked  Das Debugging ist aktiv. Das Gerät sendet das Reset-Paket zusammen mit den Informationen über die Beendigung der TCP-Verbindung.
Seite 209 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: marked  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- pakete an. unmarked  Das Profil ist inaktiv.
Seite 210 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] Bedeutung Read Random Read Block Select Number of SF Module Task Codes Per Scan Read Number of SF Module Task Codes Per Scan Write VME Memory Area Block/Random Read VME Memory Area Block/Random Bedeutung der Message-Typ-Werte Bedeutung Module General Query Command...
Seite 211 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] Wenn das ENIP Enforcer-Profil aktiv ist, wendet das Gerät das Profil auf den Datenstrom an. Das Gerät lässt ausschließlich Datenpakete zu, welche die in den folgenden Spalten festgelegten Werte enthalten: • Funktionstyp •...
Seite 212 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] 4.6.6.1 ENIP-Profil [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] In diesem Dialog legen Sie die globalen Einstellungen für das ENIP Enforcer-Profil fest. Funktion Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Enforcer-Profile von den im Gerät ENIP...
Seite 213 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. • Im Feld legen Sie die neue Nummer des kopierten Profils fest. Index Mögliche Werte: 1..32...
Seite 214 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Embedded PCCC zulassen Aktiviert/deaktiviert DPI für PCCC-Nachrichten, die in Datenpaketen verpackt sind. PCCC-Nach- richten sind in das Ethernet Industrial Protocol (ENIP) eingebettet. Das Aktivieren dieser Einstel- lung ist sinnvoll beim Absichern von Netzverkehr von und zu PLC-5- und MicroLogix- Controllern. Mögliche Werte: marked ...
Seite 215 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Standard-Objektliste Legt die in der Standard-Objektliste verwenden Index-Nummern fest. Mögliche Werte:  Das Gerät wendet das ENIP Enforcer-Profil auf jedes Datenpaket an, unabhängig von der Index- Nummer. 1..347  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- ENIP...
Seite 216 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] 4.6.6.2 ENIP-Objekt [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Die ENIP-Funktion verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die ENIP-Funktion verwendet Class-IDs und Service-Codes, um festzulegen, wie die Daten innerhalb des Objekts codiert sind.
Seite 217 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Legt die benutzerdefinierten Class-IDs für das Enforcer-Profil fest. ENIP Mögliche Werte: 0x00..0xFFFFFFFF  Service-Codes Legt die Service-Codes fest. Mögliche Werte: 0x00..0x7F  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegten Service-Codes enthalten.
Seite 218 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x05 = Connection 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x11 = Find Next Object Instance 0x4B = Connection Bind 0x4C = Production Application Lookup...
Seite 219 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x0F = Parameter 0x01 = Get Attributes All 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 220 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x23 = Position Sensor Object 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 221 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x2E = Selection Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 222 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x37 = File Object 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 223 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x42 = Motion Device Axis 0x03 = Get Attribute List Object 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x1C = GroupSync 0x4B = Get Axis Attributes List 0x4C = Set Axis Attributes List...
Seite 224 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x47 = Device Level Ring (DLR) 0x01 = Get Attributes All Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x4B = Verify Fault Location 0x4C = Clear Rapid Faults...
Seite 225 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0x53 = Power Management Object 0x01 = Get Attributes All 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 226 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 3: Standard-Objektliste (Forts.) Index Class-ID Service-Codes 0xF6 = EtherNet Link Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x4C = Get And Clear 0x300 = Module Diagnostics 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 227 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x02 = Message Router 0x01= Get Attributes All 0x0E = Get Attribute Single 0x4B = Write Data Table (Rockwell) 0x54 0x04 = Assembly 0x0E = Get Attribute Single 0x18 = Get Member...
Seite 228 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x1E = Discrete Output Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x1F = Discrete Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x20 = Analog Input Group 0x01 = Get Attributes All...
Seite 229 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x38 = S-Partial Pressure Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x4C = Get Instance List 0x4D = Get Pressures 0x4E = Get All Pressures 0x40 = S-Sensor Calibration Object 0x0E = Get Attribute Single...
Seite 230 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x50 = Non-Electrical Energy Object 0x01 = Get Attributes All 0x03 = Get Attribute List 0x0E = Get Attribute Single 0x51 = Base Switch Object 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 231 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 4: Class-IDs für Funktionstyp read-only (Forts.) Class-ID Service-Codes 0x400 = Service Port Control Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x401 = Dynamic IO Control Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x402 = Router Diagnostics Object 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 232 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x05 = Connection 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x11 = Find Next Object Instance 0x4B = Connection Bind...
Seite 233 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x0E = Presence Sensing 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x0F = Parameter 0x01 = Get Attributes All 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single...
Seite 234 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x23 = Position Sensor Object 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 235 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x2E = Selection Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member...
Seite 236 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x37 = File Object 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save...
Seite 237 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x42 = Motion Device Axis Object 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x1C = GroupSync 0x4B = Get Axis Attributes List...
Seite 238 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x47 = Device Level Ring (DLR) Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x4B = Verify Fault Location 0x4C = Clear Rapid Faults...
Seite 239 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0x53 = Power Management Object 0x01 = Get Attributes All 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member...
Seite 240 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 5: Class-IDs für Funktionstyp read-write (Forts.) Class-ID Service-Codes 0xF4 = Port Object 0x01 = Get Attributes All 0x05 = Reset 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0xF5 = TCP/IP Interface Object 0x01 = Get Attributes All 0x02 = Set Attributes All...
Seite 241 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] [Liste der PCCC-Befehlscodes für unterschiedliche Funktionstypen] Tab. 6: PCCC-Befehlscodes für Funktionstyp read-only Befehlscodes Funktionscodes 0x0F 0x04 0x09 0xA7 0xA2 0x17 0x29 0x68 0x01 0x01 None 0x04 None 0x06 0x00 0x01 0x03 0x09...
Seite 242 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 7: PCCC-Befehlscodes für Funktionstyp read-write (Forts.) Befehlscodes Funktionscodes 0x0F 0x02 0x04 0x03 0x5E 0x09 0x08 0xA7 0xAF 0xA2 0xAA 0x17 0x26 0x79 0x29 0x0A 0x12 0x68 0x67 0x53 0x55 0x06 0x01...
Seite 243 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 7: PCCC-Befehlscodes für Funktionstyp read-write (Forts.) Befehlscodes Funktionscodes 0x07 0x00 0x01 0x03 0x08 None Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced Befehlscodes Funktionscodes 0x00 None RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 244 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced (Forts.) Befehlscodes Funktionscodes 0x0F 0x8F 0x02 0x3A 0x82 0x41 0x50 0x52 0x05 0x04 0x03 0x11 0x57 0x5E 0x81 0x09 0x08 0xA7 0xAF 0xA2 0xAA 0x17 0x26...
Seite 245 Netzsicherheit [ Netzsicherheit > DoS ] Tab. 8: PCCC-Befehlscodes für Funktionstypen advanced (Forts.) Befehlscodes Funktionscodes 0x06 0x03 0x00 0x01 0x09 0x07 0x08 0x06 0x0A 0x05 0x04 0x02 0x07 0x00 0x01 0x03 0x04 0x05 0x06 0x08 None [ Netzsicherheit > DoS ] Denial-of-Service (DoS) ist ein Cyber-Angriff, der darauf abzielt, bestimmte Dienste oder Geräte funktionsunfähig zu machen.
Seite 246 Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.7.1 DoS Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. Anmerkung: Wir empfehlen, die Filter zu aktivieren, um das Sicherheitsniveau des Geräts zu erhöhen.
Seite 247 Netzsicherheit [ Netzsicherheit > DoS > Global ] SYN/FIN Filter Aktiviert/deaktiviert den SYN/FIN-Filter. Das Gerät erkennt eingehende Datenpakete mit gleichzeitig gesetzten TCP-Flags SYN und FIN und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. TCP-Offset Schutz Aktiviert/deaktiviert den TCP-Offset-Schutz.
Seite 248 Netzsicherheit [ Netzsicherheit > DoS > Global ] Min.-Header-Size Filter Aktiviert/deaktiviert den Minimal-Header-Filter. Der Minimal-Header-Filter vergleicht den TCP-Header von eingehenden Datenpaketen. Wenn der mit 4 multiplizierte Daten-Offset-Wert kleiner ist als die minimale TCP-Header-Größe, dann verwirft der Filter die Datenpakete. Mögliche Werte: markiert ...
Seite 249 Netzsicherheit [ Netzsicherheit > IDS ] Fragmentierte Pakete filtern Aktiviert/deaktiviert den Filter für fragmentierte ICMP-Pakete. Der Filter erkennt fragmentierte ICMP-Pakete und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. (Voreinstellung) unmarkiert  Der Filter ist inaktiv. Anhand Paket-Größe verwerfen Aktiviert/deaktiviert den Filter für eingehende ICMP-Pakete.
Seite 250 Netzsicherheit [ Netzsicherheit > IDS ] Die CylusOne-Plattform wertet die von der CylusOne-Probe empfangenen Daten aus. Wenn die CylusOne-Plattform eine ungewöhnliche oder potenziell unsichere Aktivität im Datenstrom erkennt, dann zeigt das Dashboard der CylusOne-Plattform Alarmmeldungen basierend auf dem Verhal- tensmuster der Datenpakete. Dies hilft dabei, Bedrohungen kontinuierlich und zeitnah zu erkennen.
Seite 251 Netzsicherheit 4.8 Intrusion Detection System RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 252 Virtual Private Network [ Virtual Private Network > Übersicht ] 5 Virtual Private Network Das Menü enthält die folgenden Dialoge: VPN Übersicht  VPN Zertifikate  VPN Verbindungen  VPN Übersicht [ Virtual Private Network > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 253 Virtual Private Network [ Virtual Private Network > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter festgelegte Menge ein. Max. Aktive Verbindungen Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 254 Virtual Private Network [ Virtual Private Network > Übersicht ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung.
Seite 255 Virtual Private Network [ Virtual Private Network > Übersicht ] Lokaler Host Zeigt den Namen und/oder die IP-Adresse des lokalen Hosts, den das Gerät mittels IKE erkannt hat. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat.
Seite 256 Virtual Private Network [ Virtual Private Network > Übersicht ] [Diagnose] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite VPN index Zeigt den Index der Tabellenzeile zur eindeutigen Identifizierung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel.
Seite 257 Virtual Private Network [ Virtual Private Network > Übersicht ] negotiation  Wenn Sie den VPN-Tunnel für diese Instanz als Initiator festlegen, gibt der Wert an, dass der Schlüsselaustausch und der Verhandlungsalgorithmus laufen. Wenn der VPN-Tunnel für diese Instanz der Responder ist, dann gibt der Wert an, dass der VPN-Tunnel auf den Beginn des Prozesses wartet.
Seite 258 Virtual Private Network [ Virtual Private Network > Übersicht ] Tunnel status Zeigt den gegenwärtigen Betriebsstatus des IPsec-Tunnels. Mögliche Werte: unbekannt  Der IPsec-Vorschlag wird ausgeführt. Für diese IPsec-SA wurden keine Traffic-Selectors oder Sicherheitsparameter ausgehandelt. created  Schlüsselaustausch und Algorithmus für die Aushandlung ist für diese IPsec-SA abge- schlossen, der Tunnel ist jedoch inaktiv.
Seite 259 Virtual Private Network [ Virtual Private Network > Übersicht ] IPsec Tunnel-Input [Byte] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Bytes. IPsec Tunnel-Input [Pakete] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Pakete. IPsec-Daten zuletzt empfangen [s] Zeigt die Zeit in Sekunden, die seit dem letzten Empfang von Daten im VPN-Tunnel vergangen ist. IPsec Tunnel-Output [Byte] Zeigt die Anzahl der in diesen VPN-Tunnel gesendeten Bytes.
Seite 260 Virtual Private Network [ Virtual Private Network > Übersicht ] Letzter Verbindungsfehler Zeigt die letzte für diesen VPN-Tunnel aufgetretene Fehlerbenachrichtigung. Wenn die Verbindung inaktiv bleibt, hilft Ihnen dieser Wert dabei, erkannte Fehler zu isolieren. Dieser Wert hilft Ihnen, zu bestimmten, ob ein erkannter Fehler im Vorschlagsaustausch oder während des Tunnelaufbaus aufgetreten ist.
Seite 261 Virtual Private Network [ Virtual Private Network > Zertifikate ] VPN Zertifikate [ Virtual Private Network > Zertifikate ] Eine Zertifizierungsstelle (Certification Authority, CA) stellt digitale Zertifikate zur Authentifizierung der Identität von Geräten aus, die einen VPN-Tunnel anfordern. Sie richten die Geräte, die einen VPN-Tunnel bilden, so ein, dass sie der Zertifizierungsstelle (Certification Authority, CA) vertrauen, welche das digitale Zertifikat signiert hat.
Seite 262 Virtual Private Network [ Virtual Private Network > Zertifikate ] Das Gerät bietet Ihnen folgende Möglichkeiten, die Datei auf das Gerät zu übertragen: • Import vom PC Befindet sich die Datei auf Ihrem PC oder auf einem Netzlaufwerk, ziehen Sie diese in den Bereich.
Seite 263 Virtual Private Network [ Virtual Private Network > Zertifikate ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Aussteller Zeigt den Aussteller des digitalen Zertifikats. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Gültig ab Zeigt, seit wann das digitale Zertifikat gültig ist. Mögliche Werte: Datums- und Zeitstempel ...
Seite 264 Virtual Private Network [ Virtual Private Network > Zertifikate ] Hochgeladen am Zeigt, wann das digitale Zertifikat zuletzt auf das Gerät übertragen wurde. Mögliche Werte: Datums- und Zeitstempel  Private key status Zeigt den Status des privaten Schlüssels im Peer-Zertifikat. Verwenden Sie ein Peer-Zertifikat mit einem privaten Schlüssel.
Seite 265 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Verbindungen [ Virtual Private Network > Verbindungen ] Dieser Dialog ermöglicht Ihnen, VPN-Tunnel einzurichten. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM). Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 266 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Beschreibung Legt den benutzerdefinierten Namen für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Traffic selector index Zeigt den Indexwert, der zusammen mit dem Wert in Spalte den Eintrag in der Traffic- VPN index Selektor-Tabelle identifiziert.
Seite 267 Virtual Private Network [ Virtual Private Network > Verbindungen ] Quelle Einschränkungen Legt die optionalen Einschränkungen hinsichtlich der Quellen auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät sendet ausschließlich den festge- legten Datentyp durch den VPN-Tunnel. Beispiele: •...
Seite 268 Virtual Private Network [ Virtual Private Network > Verbindungen ] ikev1  Das VPN startet mit dem Protokoll IKEv1. ikev2  Das VPN startet mit dem Protokoll IKEv2. Startup Legt fest, ob das Gerät mit dieser Instanz als Responder oder Initiator startet. Wenn Sie den lokalen Peer als Responder festlegen und der entfernte Peer Datenpakete an einen bestimmten Selektor sendet, versucht das Gerät, als Responder die Verbindung herzustellen.
Seite 269 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. Authentifizierung Legt den Authentifizierungstyp fest, den das Gerät verwendet. Mögliche Werte: (Voreinstellung) ...
Seite 270 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE auth. cert. CA Legt den Namen der Zertifizierungsstelle (Certification Authority, CA) fest, die das digitale Zertifikat ausstellt hat. Das Gerät verwendet dieses digitale Zertifikat zur Zertifizierung der Signatur der lokalen und entfernten Zertifikate.
Seite 271 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Verschlüsselter Key/PKCS12-Passphrase Legt die Passphrase fest, die das Gerät für die Entschlüsselung des privaten Schlüssels verwendet, der in Spalte oder im pkcs12-Zertifikat-Container festgelegt ist. Encrypted private key Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen...
Seite 272 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer> (Voreinstellung)  Wenn Sie in Spalte den Wert festlegen, dann legen Sie den Wert unter IKE Local-Identifier Typ Verwendung einer der folgenden Möglichkeiten fest: – eine IPv4-Adresse oder ein DNS-Hostname –...
Seite 273 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer> (Voreinstellung)  Wenn Sie in Spalte den Wert festlegen, dann legen Sie den Wert unter Ferner Identifier Typ Verwendung einer der folgenden Möglichkeiten fest: – eine IPv4-Adresse oder ein DNS-Hostname –...
Seite 274 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha256  Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet. hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet.
Seite 275 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ferner Endpunkt Legt den Hostnamen oder die IP-Adresse des entfernten IPsec-VPN-Tunnel-Endpunktes fest. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede IP-Adresse während der Einrichtung einer IKE-SA als VPN- Responder. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation ...
Seite 276 Virtual Private Network [ Virtual Private Network > Verbindungen ] modp4096  Der Wert stellt einen RSA-Algorithmus mit 4096-Bit-Modulus dar, der zur DH-Gruppe DH- Gruppe 16 gehört. kein  Das Gerät schaltet die Funktion PFS aus. Das Ausschalten der Funktion PFSwird als Verlet- zung der Vertraulichkeit und daher als ein Sicherheitsrisiko betrachtet.
Seite 277 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128 (Voreinstellung)  Das Gerät verwendet Advanced Encryption Standard (AES) mit einer Blockgröße von 128 Bits und einer Schlüssellänge von 128 Key-Bits. aes192  Das Gerät verwendet AES mit einer Blockgröße von 128 Bits und einer Schlüssellänge von 192 Key-Bits.
Seite 278 Virtual Private Network [ Virtual Private Network > Verbindungen ] Margin-Time [s] Legt die Zeitspanne in Sekunden vor Ablauf der [s]und der fest, nach IKE-Lifetime IPsec lifetime [s] der das Gerät mit dem Aushandeln eines neuen Schlüssels beginnt. Mögliche Werte: 1..1800 (Voreinstellung: 150) ...
Seite 279 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN index Legt die Index-Nummer für den VPN-Tunnel fest. Mögliche Werte: 1..256  VPN Beschreibung Legt die benutzerdefinierte Beschreibung für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen ...
Seite 280 Virtual Private Network [ Virtual Private Network > Verbindungen ] Authentifizierung - X.509 IKE auth. cert. local Legt den Namen des im digitalen Zertifikat eingetragenen lokalen Peers fest. Das Gerät verwendet dieses digitale Zertifikat zur Authentifizierung des lokalen Peers auf der entfernten Seite. Das digi- tale Zertifikat bindet die Identität des lokalen Peers an den festgelegten öffentlichen Schlüssel, den die im Feld festgelegte Zertifizierungsstelle (CA) signiert hat.
Seite 281 Virtual Private Network [ Virtual Private Network > Verbindungen ] Legt die Passphrase fest, die das Gerät für die Entschlüsselung des privaten Schlüssels verwendet, der im Feld festgelegt ist. Sie können die Passphrase anzeigen, Encrypted private key indem Sie das Symbol klicken.
Seite 282 Virtual Private Network [ Virtual Private Network > Verbindungen ] Add traffic selector Beschreibung Traffic-Selector Legt die benutzerdefinierte Beschreibung für den Traffic-Selektor fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Quelle Adresse (CIDR) Legt IP-Adresse und Netzmaske des Quell-Hosts fest. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, welche diese IP-Quelladresse enthalten, wendet das Gerät die in diesem Feld festgelegten Einstellungen an.
Seite 283 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ziel Einschränkungen Legt die optionalen Einschränkungen hinsichtlich des Ziels auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät erwartet vom VPN-Tunnel ausschließlich den festgelegten Datentyp. Beispiele: •...
Seite 284 Virtual Private Network [ Virtual Private Network > Verbindungen ] Advanced configuration - IKE/Key-exchange Version Legt die Version des IKE-Protokolls für die VPN-Verbindung fest. Mögliche Werte: auto (Voreinstellung)  Das VPN startet mit dem Protokoll IKEv2 als Initiator und akzeptiert IKEv1/v2 als Responder. ikev1 ...
Seite 285 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE Local-Identifier Typ Legt den Typ der lokalen Peer-Kennung fest, die das Gerät für den Parameter IKE local IDver- wendet. Mögliche Werte: default (Voreinstellung)  Das Verhalten ist abhängig von dem Wert, den Sie für die folgenden Authentifizierungsme- thoden festlegen: –...
Seite 286 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ferner Identifier Typ Legt den Typ der entfernten Peer-Kennung fest, die das Gerät für den Parameter Remote-IDver- wendet. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede empfangene Kennung ohne weitergehende Überprüfung. address ...
Seite 287 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. IKE key agreement Legt fest, welchen Diffie-Hellman- (DH-) Algorithmus zur Schlüsselvereinbarung das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet.
Seite 288 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet. hmacsha512  Das Gerät verwendet SHA-512 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 64-Bit-Wörtern berechnet.
Seite 289 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt den Algorithmus für die IPsec-Integrität (MAC) fest, den das Gerät für die Instanz verwendet. Um die Dateien im VPN zu sichern, mischt (hasht) der Hash-based Message Authentication Code- (HMAC-) Prozess im sendenden Gerät die Nachrichtendaten mit einem gemeinsamen geheimen Schlüssel.
Seite 290 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128ctr  AES-CTR mit 128 Key-Bits. aes192ctr  AES-CTR mit 192 Key-Bits. aes256ctr  AES-CTR mit 256 Key-Bits. aes128gcm64  AES-GCM mit einem 64-Bit-ICV und 128 Key-Bits. aes128gcm96  AES-GCM mit einem 96-Bit-ICV und 128 Key-Bits. aes128gcm128 ...
Seite 291 Virtual Private Network [ Virtual Private Network > Verbindungen ] modp4096  Der Wert stellt einen RSA-Algorithmus mit 4096-Bit-Modulus dar, der zur DH-Gruppe DH- Gruppe 16 gehört. kein  Das Gerät schaltet die Funktion PFS aus. Das Ausschalten der Funktion PFSwird als Verlet- zung der Vertraulichkeit und daher als ein Sicherheitsrisiko betrachtet.
Seite 292 Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global  Lastbegrenzer  Filter für MAC-Adressen  QoS/Priority  VLAN  Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: •...
Seite 293 Switching [ Switching > Global ] Die MAC-Adresstabelle (Forwarding Database) finden Sie im Dialog Switching > Filter für MAC- Adressen. Im Zusammenhang mit der Router-Redundanz wählen Sie eine Zeit ≥ 30 s. Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert ...
Seite 294 Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, die Anzahl der Datenpakete an den Ports zu begrenzen, um auch bei hohem Datenaufkommen einen stabilen Betrieb zu ermöglichen. Wenn die Anzahl der Datenpa- kete auf einem Port den Schwellenwert überschreitet, dann verwirft das Gerät die überschüssigen Datenpakete auf diesem Port.
Seite 295 Switching [ Switching > Lastbegrenzer ] Broadcast Modus Aktiviert/deaktiviert die Lastbegrenzerfunktion für empfangene Broadcast-Datenpakete. Mögliche Werte: markiert  unmarkiert (Voreinstellung)  Bei Überschreiten des Schwellenwerts verwirft das Gerät auf diesem Port die Überlast an Broad- cast-Datenpaketen. Broadcast Schwellenwert Legt den Schwellenwert für empfangene Broadcasts auf diesem Port fest. Mögliche Werte: (Voreinstellung: 0) 0..14880000...
Seite 296 Switching [ Switching > Lastbegrenzer ] Unknown unicast mode Aktiviert/deaktiviert die Lastbegrenzerfunktion für empfangene Unicast-Datenpakete mit unbe- kannter Zieladresse. Mögliche Werte: markiert  unmarkiert (Voreinstellung)  Bei Überschreiten des Schwellenwerts verwirft das Gerät auf diesem Port die Überlast an Unicast- Datenpaketen.
Seite 297 Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die MAC-Adresstabelle (Forwarding Database) anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 298 Switching [ Switching > QoS/Priority ] VLAN-ID Zeigt die ID des VLANs, auf das sich die Tabellenzeile bezieht. Das Gerät lernt die MAC-Adressen für jedes VLAN separat (Independent VLAN Learning). Status Zeigt, auf welche Weise das Gerät den Adressfilter eingerichtet hat. Mögliche Werte: Learned ...
Seite 299 Switching [ Switching > QoS/Priority ] Anmerkung: Wenn Sie die Funktionen in diesem Menü nutzen, dann schalten Sie die Flusskont- rolle aus. Die Flusskontrolle ist ausgeschaltet, wenn im Dialog Global, Rahmen Switching > Konfigu- ration, das Kontrollkästchen unmarkiert ist. Flusskontrolle Das Menü...
Seite 300 Switching [ Switching > QoS/Priority > Global ] 6.4.1 QoS/Priority Global [ Switching > QoS/Priority > Global ] Das Gerät ermöglicht Ihnen, auch in Situationen mit großer Netzlast Zugriff auf das Management des Geräts zu behalten. In diesem Dialog legen Sie die dazu notwendigen QoS-/Priorisierungsein- stellungen fest.
Seite 301 Switching [ Switching > QoS/Priority > Port-Konfiguration ] 6.4.2 QoS/Priorität Port-Konfiguration [ Switching > QoS/Priority > Port-Konfiguration ] In diesem Dialog legen Sie für jeden Port fest, wie das Gerät empfangene Datenpakete anhand ihrer QoS-/Prioritätsinformation verarbeitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 302 Switching [ Switching > QoS/Priority > 802.1D/p Zuweisung ] 6.4.3 802.1D/p Zuweisung [ Switching > QoS/Priority > 802.1D/p Zuweisung ] Das Gerät vermittelt Datenpakete mit VLAN-Tag anhand der enthaltenen QoS-/Priorisierungsinfor- mation mit höherer oder mit niedrigerer Priorität. In diesem Dialog sehen Sie, welche VLAN-Priorität welcher Verkehrsklasse zugewiesen ist. Die Verkehrsklassen sind den Warteschlangen der Ports (Prioritäts-Queues) fest zugewiesen.
Seite 303 Switching [ Switching > VLAN ] VLAN [ Switching > VLAN ] Mit VLAN (Virtual Local Area Network) verteilen Sie die Datenpakete im physischen Netz auf logi- sche Teilnetze. Das bietet Ihnen folgende Vorteile: • Hohe Flexibilität – Mit VLAN verteilen Sie den Datenpakete auf logische Netze in der vorhandenen Infra- struktur.
Seite 304 Switching [ Switching > VLAN > Global ] 6.5.1 VLAN Global [ Switching > VLAN > Global ] Dieser Dialog ermöglicht Ihnen, sich allgemeine VLAN-Parameter des Geräts anzusehen. Konfiguration Schaltflächen VLAN-Einstellungen zurücksetzen Versetzt die VLAN-Einstellungen des Geräts in den Voreinstellung. Beachten Sie, dass Sie Ihre Verbindung zum Gerät trennen, wenn Sie im Dialog das VLAN für das Management des Geräts geändert haben.
Seite 305 Switching [ Switching > VLAN > Konfiguration ] 6.5.2 VLAN Konfiguration [ Switching > VLAN > Konfiguration ] In diesem Dialog verwalten Sie die VLANs. Um ein VLAN einzurichten, fügen Sie eine weitere Tabellenzeile hinzu. Dort legen Sie für jeden Port fest, ob er Datenpakete des betreffenden VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten.
Seite 306 Switching [ Switching > VLAN > Konfiguration ] Name Legt die Bezeichnung des VLANs fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  <Port-Nummer> Legt fest, ob der betreffende Port Datenpakete des VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten. Mögliche Werte: (Voreinstellung) ...
Seite 307 Switching [ Switching > VLAN > Port ] 6.5.3 VLAN Port [ Switching > VLAN > Port ] In diesem Dialog legen Sie fest, wie das Gerät empfangene Datenpakete behandelt, die kein VLAN-Tag haben oder deren VLAN-Tag von der VLAN-ID des Ports abweicht. Dieser Dialog ermöglicht Ihnen, den Ports ein VLAN zuzuweisen und damit die Port-VLAN-ID fest- zulegen.
Seite 308 Switching [ Switching > VLAN > Port ] Ingress-Filtering Aktiviert/deaktiviert die Eingangsfilterung. Mögliche Werte: markiert (Voreinstellung)  Die Eingangsfilterung ist aktiv. Das Gerät vergleicht die im Datenpaket enthaltene VLAN-ID mit den VLANs, in denen der Port Mitglied ist. Siehe Dialog Konfiguration.
Seite 309 Switching 6.5.3 VLAN Port RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 310 Routing [ Routing > Global ] 7 Routing Das Menü enthält die folgenden Dialoge: Routing Global  Routing-Interfaces   Open Shortest Path First  Routing-Tabelle  L3-Relay  Loopback-Interface  Multicast Routing  L3-Redundanz   Routing Global [ Routing > Global ] Das Menü...
Seite 311 Routing [ Routing > Global ] ICMP-Filter Im Rahmen haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den ICMP-Filter eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von ICMP Error-Nachrichten beeinflusst die Leistung des Routers und redu- ziert die verfügbare Bandbreite im Netz.
Seite 312 Routing [ Routing > Interfaces ] Rate limit burst size Zeigt die maximale Anzahl von ICMP-Datenpaketen, die das Gerät während eines Bursts an jeden Empfänger sendet. Mögliche Werte:  Information Default-TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet.
Seite 313 Routing [ Routing > Interfaces > Konfiguration ] 7.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein Port-basiertes Router-Interface einzurichten, bearbeiten Sie die Tabellenzeilen. Um ein VLAN-basiertes Router-Interface einzurichten, verwenden Sie das Fenster Wizard. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 314 Routing [ Routing > Interfaces > Konfiguration ] Port an Aktiviert/deaktiviert den Port. Mögliche Werte: markiert (Voreinstellung)  Der Port ist aktiv. unmarkiert  Der Port ist inaktiv. Der Port sendet und empfängt keine Daten. Status Port Zeigt den Betriebszustand des Ports. Mögliche Werte: ...
Seite 315 Routing [ Routing > Interfaces > Konfiguration ] Mögliche Werte: markiert  Die Funktion ist aktiv. Routing – Beim Port-basierten Routing wandelt das Gerät den Port in ein Router-Interface um. Das Aktivieren der Funktion entfernt den Port aus den VLANs, in denen er bisher Routing Mitglied war.
Seite 316 Routing [ Routing > Interfaces > Konfiguration ] [Wizard: VLAN-Router-Interface einrichten] Das Fenster ermöglicht Ihnen, VLAN-basierte Router-Interfaces einzurichten. Wizard Das Fenster führt Sie durch die folgenden Schritte: Wizard • VLAN erstellen oder auswählen • VLAN einrichten VLAN erstellen oder auswählen VLAN-ID Zeigt die im Gerät eingerichteten VLANs.
Seite 317 Routing [ Routing > Interfaces > Konfiguration ] <Port-Nummer> Zeigt die Nummer des Ports. Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog Switching > VLAN >...
Seite 318 Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) ...
Seite 319 Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 7.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Seite 320 Routing [ Routing > ARP ] Netzmaske Zeigt die primäre Netzmaske des Router-Interfaces. Siehe Dialog Routing > Interfaces > Konfigura- tion. Weitere IP-Adresse Zeigt weitere IP-Adressen, die dem Router-Interface zugewiesen sind. Weitere Netzmaske Zeigt weitere Netzmasken, die dem Router-Interface zugewiesen sind. [ Routing >...
Seite 321 Routing [ Routing > ARP > Global ] 7.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 322 Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Um den Zähler auf den Wert zurückzusetzen, klicken Sie im Dialog Routing >...
Seite 323 Routing [ Routing > ARP > Aktuell ] 7.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 324 Routing [ Routing > ARP > Aktuell ] statisch  Statisch eingerichteter Eintrag. Der Eintrag bleibt erhalten, wenn Sie mit der Schaltfläche die dynamisch eingerichteten Adressen aus der ARP-Tabelle entfernen. lokal  Kennzeichnet die IP/MAC-Adresszuweisung des Router-Interfaces. invalid  Ungültiger Eintrag. RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 325 Routing [ Routing > ARP > Statisch ] 7.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 326 Routing [ Routing > ARP > Statisch ] [Wizard: ARP Das Fenster ermöglicht Ihnen, die IP/MAC-Adresszuweisungen in die ARP-Tabelle einzu- Wizard fügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. ARP-Tabelle bearbeiten Führen Sie die folgenden Schritte aus: Legen Sie die IP-Adresse und die zugeordnete MAC-Adresse fest. ...
Seite 327 Routing [ Routing > OSPF ] IP-Adresse Legt die IP-Adresse des statischen ARP-Eintrags fest. Mögliche Werte: Gültige IPv4-Adresse  MAC-Adresse Legt die MAC-Adresse fest, die das Gerät beim Antworten auf eine ARP-Anfrage der IP-Adresse zuweist. Mögliche Werte: Gültige MAC-Adresse  Open Shortest Path First [ Routing >...
Seite 328 Routing [ Routing > OSPF ] Das Menü enthält die folgenden Dialoge: OSPF Global  OSPF Areas  OSPF Stub Areas  OSPF Not So Stubby Areas  OSPF Interfaces  OSPF Virtual Links  OSPF Ranges  OSPF Diagnose ...
Seite 329 Routing [ Routing > OSPF > Global ] 7.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein]  [Konfiguration]  [Redistribution]  [Allgemein] Diese Registerkarte ermöglicht Ihnen, im Gerät einzuschalten und die Netzparameter fest- OSPF...
Seite 330 Routing [ Routing > OSPF > Global ] Konfiguration Router-ID Legt die eindeutige Kennung für den Router im autonomen System (AS) fest. Es beeinflusst die Wahl der Designated Router (DR) und der Backup Designated Router (BDR). Verwenden Sie idea- lerweise die IP -Adresse eines Router-Interfaces im Gerät. Mögliche Werte: (Voreinstellung: 0.0.0.0) <IP-Adresse eines Interfaces>...
Seite 331 Routing [ Routing > OSPF > Global ] Standard-Metrik Legt den voreingestellten Metrik-Wert für die Funktion fest. OSPF Mögliche Werte: (Voreinstellung)  Die Funktion OSPF weist aus externen Routen gelernten Quellen (statisch oder direkt verbunden) automatisch Kosten von 20 zu. 1..16777214 (2²⁴-2) ...
Seite 332 Routing [ Routing > OSPF > Global ] Exit-Overflow Intervall [s] Legt die Zeit in Sekunden fest, die ein Router nach Beginn des Overflow-Zustands wartet, bevor er versucht, den Overflow-Zustand zu verlassen. Wenn der Router den Overflow-Zustand verlässt, sendet er neue, nicht voreingestellte AS-External-LSAs. Mögliche Werte: (Voreinstellung: 0) 0..2147483647 (2³¹-1)
Seite 333 Routing [ Routing > OSPF > Global ] [Konfiguration] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: • die Art, in der das Gerät die Pfadkosten berechnet • wie die Funktion die Standard-Routen leitet OSPF • den Routen-Typ, den die Funktion OSPF für die Pfad-Kostenberechnung verwendet RFC 1583 Kompatibilität...
Seite 334 Routing [ Routing > OSPF > Global ] Präferenz (intra) Legt die „Administrative Distanz“ zwischen Routern innerhalb derselben Area (Intra-Area-OSPF- Routen) fest. Mögliche Werte: 1..255 (Voreinstellung: 110)  Präferenz (inter) Legt die „Administrative Distanz“ zwischen Routern in unterschiedlichen Areas (Inter-Area-OSPF- Routen) fest.
Seite 335 Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert  Der Router meldet stets als Standard-Route. 0.0.0.0/0 (Voreinstellung) unmarkiert  Das Gerät verwendet die im Parameter festgelegten Einstellungen. Advertise Metrik Legt die Metrik der Standard-Route fest, welche die Funktion OSPF meldet, wenn diese von anderen Protokollen gelernt wurde.
Seite 336 Routing [ Routing > OSPF > Global ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Quelle Zeigt das Quellprotokoll, aus dem die Funktion die Routen neu verteilt. Dieses Objekt dient OSPF außerdem als Bezeichner für die Tabellenzeile.
Seite 337 Routing [ Routing > OSPF > Global ] Legt einen Tag für Routen fest, die in die Funktion neu verteilt werden. OSPF Wenn Sie einen Routen-Tag setzen, weist die Funktion OSPF den Wert zu jeder neu verteilten Route dieses Quellprotokolls zu. Diese Funktion ist nützlich, wenn 2 oder mehr Border Router ein Autonomous System mit einem externen Netz verbinden.
Seite 338 Routing [ Routing > OSPF > Areas ] 7.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 339 Routing [ Routing > OSPF > Areas ] SPF runs Zeigt, wie oft der Router die Intra-Area-Routing-Tabelle berechnet hat, welche die Link-Status- Datenbank dieser Area verwendet. Der Router verwendet den Dijkstra-Algorithmus für die Routen- Berechnung. Area-Border Router Zeigt die Gesamtzahl der ABR, die innerhalb dieser Area erreichbar sind. Die Anzahl der erreich- baren Router ist zunächst 0.
Seite 340 Routing [ Routing > OSPF > Stub Areas ] 7.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 341 Routing [ Routing > OSPF > Stub Areas ] External type 1  Der ABR meldet die Metrik als 1, der den Kosten der internen OSPF-Metrik plus External type der externen Metrik des ASBR entspricht. External type 2  Der ABR meldet die Metrik als 2, der den Kosten der externen Metrik des ASBR External type entspricht.
Seite 342 Routing [ Routing > OSPF > NSSA ] 7.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type 7 AS external-LSAs in Type 5 AS external-LSAs umwandelt.
Seite 343 Routing [ Routing > OSPF > NSSA ] Standard-Metrik Legt die im Type 7 default-LSA gemeldete Metrik fest. Mögliche Werte: 1..16777214 (2²⁴-2) (Voreinstellung: 10)  Standard-Metrik Typ Legt den im Type 7 default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric  Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 344 Routing [ Routing > OSPF > NSSA ] Translator-Stability Intervall [s] Legt die Zeit in Sekunden fest, in welcher der Router die Übersetzung von Type 7-LSAs in Type 5- LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: 0..65535 (2¹⁶-1) (Voreinstellung: 40) ...
Seite 345 Routing [ Routing > OSPF > Interfaces ] 7.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 346 Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router (DR). Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router-ID.
Seite 347 Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: 1..65535 (2¹⁶-1) (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen nicht erreichbaren Nachbarn schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: down (Voreinstellung)
Seite 348 Routing [ Routing > OSPF > Interfaces ] Netzwerktyp Legt den OSPF-Netztyp des autonomen Systems fest. Mögliche Werte: broadcast  Verwenden Sie diesen Wert für Broadcast-Netze wie Ethernet und IEEE 802.5. Die Funktion führt eine Auswahl von DR und BDR durch, mit denen die nicht-designierten Router eine OSPF Adjacency herstellen.
Seite 349 Routing [ Routing > OSPF > Interfaces ] Auth key ID Legt für die Authentifizierungsschlüssel-ID den Wert fest. Die Option zur verschlüsselten Authentifizierung unterstützt Sie dabei, das Netz gegen passive Angriffe zu schützen, und bietet einen wesentlichen Schutz gegen aktive Angriffe. Voraussetzung für das Ändern dieses Wertes ist, dass in Spalte der Wert festgelegt...
Seite 350 Routing [ Routing > OSPF > Virtual Links ] 7.4.6 OSPF Virtual Links [ Routing > OSPF > Virtual Links ] Die Funktion OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone- Area zu verbinden.
Seite 351 Routing [ Routing > OSPF > Virtual Links ] Mögliche Werte: 0..3600 (Voreinstellung: 1)  Retrans-Intervall [s] Legt für Adjacencies, die zu diesem Interface gehören, die Zeit in Sekunden bis zur erneuten Über- tragung von Link State Advertisement fest. Sie verwenden diesen Wert ebenfalls, wenn Sie die Datenbank-Beschreibung (DD) und die Link- Status-Request-Pakete erneut übertragen.
Seite 352 Routing [ Routing > OSPF > Virtual Links ] Auth Typ Legt den Authentifizierungstyp für eine virtuelle Datenverbindung fest. Wenn Sie simple oder festlegen, ist es für diesen Router erforderlich, dass andere Router einen Authentifizierungsprozess durchlaufen, bevor dieser Router die betreffenden Router als Nachbarn akzeptiert.
Seite 353 Routing [ Routing > OSPF > Ranges ] 7.4.7 OSPF Ranges [ Routing > OSPF > Ranges ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 354 Routing [ Routing > OSPF > Ranges ] LSDB Typ Zeigt, welche Route-Informationen durch den Adressbereich zusammengefasst sind. Mögliche Werte: summaryLink  Der Area-Bereich fasst Type 5-Routen-Informationen zusammen. nssaExternalLink  Der Area-Bereich fasst Type 7-Routen-Informationen zusammen. Netzwerk Zeigt die IP-Adresse für das Subnetz der Area. Netzmaske Zeigt die Netzmaske für das Subnetz der Area.
Seite 355 Routing [ Routing > OSPF > Diagnose ] 7.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert die Funktion OSPF auf 2 grundlegenden Prozessen. • Herstellen von Adjacencys • Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus und aktualisieren ihre Routing-Tabellen.
Seite 356 Routing [ Routing > OSPF > Diagnose ] • Type 2-LSAs sind Network-LSAs. Der DR generiert eine Network-LSA auf der Grundlage von Informationen, die über die Type 1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Network-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 357 Routing [ Routing > OSPF > Diagnose ] LS Requests gesendet Zeigt die Gesamtzahl der OSPFv2-Link-Status-Request-Pakete, die seit dem Zurücksetzen der Zähler übertragen wurden. LS Updates empfangen Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler empfangen wurden. LS Updates gesendet Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler über- tragen wurden.
Seite 358 Routing [ Routing > OSPF > Diagnose ] Typ-4 (ASBR) LSAs empfangen Zeigt die Anzahl der Type 4 ASBR summary-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden. Typ-5 (external) LSAs empfangen Zeigt die Anzahl der Type 5 external-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden.
Seite 359 Routing [ Routing > OSPF > Diagnose ] summaryLink  Der Router hat die Informationen von einem ABR empfangen, der Type 3-LSA zur Beschrei- bung von Routen zu Netzen verwendet. Bevor ABR die Routing-Informationen an andere Areas senden, stellen ABR von Type 1-LSAs und Type 2-LSAs gelernte Informationen zusammen, die von den angeschlossenen Areas empfangen wurden.
Seite 360 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Age-Feld des Advertisements erhöht sich mit jedem Router, der die Nachricht über- trägt.
Seite 361 Routing [ Routing > OSPF > Diagnose ] Status Zeigt den Status der Beziehung zu dem in dieser Instanz aufgeführten Nachbarn. Ein Ereignis bewirkt eine Statusänderung, wie der Empfang eines Hello-Pakets. Dieses Ereignis hat abhängig vom gegenwärtigen Status des Nachbarn verschiedene Auswirkungen. Außerdem lösen die Router abhängig vom Status der Änderung des Nachbarn eine DR-Auswahl aus.
Seite 362 Routing [ Routing > OSPF > Diagnose ] [Virtuelle Nachbarn] Die Funktion erfordert eine kontinuierliche Verbindung der Autonomous-System-Backbone- OSPF Area. Außerdem erfordert die Funktion OSPF, dass jede Area über eine Verbindung zur Backbone- Area verfügt. Der physische Standort von Routern lässt häufig nicht zu, dass eine Area direkt an die Backbone-Area angeschlossen wird.
Seite 363 Routing [ Routing > OSPF > Diagnose ] Der Router unterstützt 4 Optionen, indem er, abhängig von den Funktionsmerkmalen des Routers, folgende Bits im Feld Options entweder auf einen hohen oder einen niedrigen Wert setzt. Das Feld zeigt den Wert, indem die folgenden Options-Bits addiert werden. Sie lesen die Felder vom nied- rigstwertigen zum höchstwertigen Bit.
Seite 364 Routing [ Routing > OSPF > Diagnose ] init  Der Router hat kürzlich von seinem Nachbarn ein Hello-Paket empfangen. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das zugehörige Interface listet beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 365 Routing [ Routing > OSPF > Diagnose ] Mögliche Werte: markiert  Der Router unterdrückt Hello-Pakete. unmarkiert  Der Router überträgt Hello-Pakete. [Link-State Externe Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen.
Seite 366 Routing [ Routing > OSPF > Diagnose ] Wenn ein Router 2 LSAs für dasselbe Segment empfängt, die identische LS-Sequenznummern und LS-Prüfsummen aufweisen, prüft der Router das Alter der LSAs. • LSAs mit dem maximalen Alter verwirft der Router sofort. •...
Seite 367 Routing [ Routing > Routing-Tabelle ] ext-type2  Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die OSPF- Area importiert. Diese Routen verwenden nicht die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). nssa-type1 ...
Seite 368 Routing [ Routing > Routing-Tabelle ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine statische Route hinzuzufügen. • Im Feld legen Sie die Adresse des Zielnetzes fest. Netz-Adresse Mögliche Werte: Gültige IPv4-Adresse...
Seite 369 Routing [ Routing > Routing-Tabelle ] Port Zeigt das Router-Interface, über welches das Gerät an das Zielnetz adressierte IP-Pakete gegen- wärtig sendet. Mögliche Werte: <Router-Interface>  Das Gerät vermittelt an das Zielnetz adressierte IP-Pakete über dieses Router-Interface. no port  Die statische Route ist gegenwärtig keinem Router-Interface zugewiesen.
Seite 370 Routing [ Routing > Routing-Tabelle ] Anmerkung: Sie können statische Routen mit gleichem Ziel und Präferenz, aber mit unterschied- lichen nächsten Hops erstellen. Das Gerät verwendet den ECMP-Forwarding-Mechanismus (Equal Cost Multi Path), um für Lastverteilung und Redundanz über das Netz zu sorgen. Abhängig vom Routing-Profil, das im Dialog ausgewählt ist, kann ECMP bis zu 4 Routen Routing >...
Seite 371 Routing [ Routing > Routing-Tabelle ] Mögliche Werte: Name des Tracking-Objekts, zusammensetzt aus und Track-ID.  –  Kein Tracking-Objekt ausgewählt. Diese Funktion ist ausschließlich für statische Routen nutzbar. (Spalte = netmgmt) Protokoll Aktiv Zeigt, ob die Route aktiv oder inaktiv ist. Mögliche Werte: markiert ...
Seite 372 Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Schicht-3-Subnetz senden Bootstrap Protocol (BOOTP)-/Dynamic Host Configu- ration Protocol (DHCP)-Broadcast-Nachrichten an den DHCP-Server, um Informationen zu Netz- werkeinstellungen, wie IP-Adressen, anzufordern. Router helfen dabei, eine Grenze für Broadcast- Nachrichten zu schaffen, so dass BOOTP/DHCP-Anfragen auf das lokale Subnetz beschränkt bleiben.
Seite 373 Routing [ Routing > L3-Relay ] Mögliche Werte: markiert  Das Gerät fügt die Circuit-ID des DHCP-L3-Relay-Agenten zu den Suboptionen für Client- Anfragen hinzu. (Voreinstellung) unmarkiert  Das Gerät fügt die Circuit-ID seines DHCP-L3-Relay-Agenten nicht zu den Suboptionen für Client-Anfragen hinzu. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit in Sekunden fest, die das Gerät wartet, bevor es die BOOTP/DHCP-Anfrage weiterleitet.
Seite 374 Routing [ Routing > L3-Relay ] DHCP-Server weitergeleitete Messages Zeigt die Anzahl der DHCP-Offers, die das Gerät von den in der Tabelle festgelegten Servern empfangen und an die Clients weitergeleitet hat. Empfangene UDP-Nachrichten Zeigt die Anzahl der vom Gerät empfangenen UDP-Requests der Clients. Weitergeleitete UDP-Nachrichten Zeigt die Anzahl der UDP-Requests, die das Gerät an die in der Tabelle festgelegten Server weiter- geleitet hat.
Seite 375 Routing [ Routing > L3-Relay ] • Im Feld UDP-Port legen Sie die Werte der UDP-Helper-Ports für Datenpakete fest, die das Gerät an diesem Interface empfängt. Bei aktiver Funktion leitet das Gerät erhaltene Datenpakete mit diesem Ziel-UDP-Port-Wert an die in im Feld festgelegte IP-Adresse weiter.
Seite 376 Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist eine virtuelle Netzschnittstelle ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 377 Routing [ Routing > Loopback-Interface ] IP-Adresse Legt die IP-Adresse für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Subnet-Maske Legt die Netzmaske für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0)  Beispiel: 255.255.255.255 Aktiv Zeigt, ob das Loopback-Interface aktiv oder inaktiv ist. Mögliche Werte: markiert (Voreinstellung)
Seite 378 Routing [ Routing > Multicast Routing ] Multicast Routing [ Routing > Multicast Routing ] Das Menü enthält die folgenden Dialoge: Multicast-Routing Global  Statisches Multicast-Routing  Multicast-Routing IGMP Querier  RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 379 Routing [ Routing > Multicast Routing > Global ] 7.8.1 Multicast-Routing Global [ Routing > Multicast Routing > Global ] IP-Multicast-Routing ist die Verteilung von IP-Datenpaketen unter einer IP-Adresse gleichzeitig an mehrere Teilnehmer. Mit diesem Menü können Sie globale Einstellungen der Funktion festlegen und Multicast Routing zeigen.
Seite 380 Routing [ Routing > Multicast Routing > Statisches Multicast-Routing > Global ] 7.8.2.1 Statisches Multicast-Routing Global [ Routing > Multicast Routing > Statisches Multicast-Routing > Global ] In diesem Dialog legen Sie die globalen Einstellungen für die Funktion Statisches Multicast-Routing fest.
Seite 381 Routing [ Routing > Multicast Routing > Statisches Multicast-Routing > Routing-Tabelle ] 7.8.2.2 Statische Multicast-Routing-Tabelle [ Routing > Multicast Routing > Statisches Multicast-Routing > Routing-Tabelle ] In diesem Dialog legen Sie die Einstellungen für die Multicast-Gruppe fest und definieren den Routing-Pfad für Multicast-Datenpakete innerhalb des Netzes.
Seite 382 Routing [ Routing > Multicast Routing > Statisches Multicast-Routing > Routing-Tabelle ] Quelle Adresse Legt die IP-Quelladresse in den Multicast-Datenpaketen fest, die das Gerät routen soll. Mögliche Werte: Gültige IPv4-Adresse  Quelle Netzmaske Legt die Netzmaske für die IP-Quelladressen in den Multicast-Datenpaketen fest, die das Gerät routen soll.
Seite 383 Routing [ Routing > Multicast Routing > Statisches Multicast-Routing > Routing-Tabelle ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. • Im Feld legen Sie die Nummer der Multicast-Route fest.
Seite 384 Routing [ Routing > Multicast Routing > Statisches Multicast-Routing > Routing-Tabelle ] Quelle Adresse Legt die IP-Quelladresse in den Multicast-Datenpaketen fest, die das Gerät routen soll. Mögliche Werte: Gültige IPv4-Adresse  Quelle Netzmaske Legt die Netzmaske für die IP-Quelladressen in den Multicast-Datenpaketen fest, die das Gerät routen soll.
Seite 385 Routing [ Routing > Multicast Routing > IGMP Querier ] Mögliche Werte: markiert  Die Multicast-Route ist aktiv. Das Gerät leitet empfangene Multicast-Datenpakete über diese Multicast-Route weiter. unmarkiert  Die Multicast-Route ist inaktiv. Das Gerät leitet empfangene Multicast-Datenpakete nicht über diese Multicast-Route weiter. Multicast-Routing IGMP Querier [ Routing >...
Seite 386 Routing [ Routing > Multicast Routing > IGMP Querier ] Konfiguration Query Intervall Legt das Intervall in Sekunden fest, in dem das Gerät Abfragen an die IGMP-fähigen Hosts vom ausgehenden Router-Interface sendet. Die IGMP-fähigen Hosts im Netzwerk antworten auf die Abfrage mit einer IGMP-Benachrichtigung.
Seite 387 Routing [ Routing > Multicast Routing > IGMP Querier ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Port Zeigt die Nummer des zum Router-Interface gehörenden Ports oder VLANs. Version Legt die für das Router-Interface verwendete IGMP-Version fest. Mögliche Werte: ...
Seite 388 Routing [ Routing > L3-Redundanz ] 7.10 L3-Redundanz [ Routing > L3-Redundanz ] Das Menü enthält die folgenden Dialoge: VRRP  7.10.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol (VRRP) ist ein Verfahren, das es dem Gerät ermöglicht, auf den Ausfall eines Routers zu reagieren.
Seite 389 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 7.10.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: • bis zu 8 virtuelle Router pro Router-Interface • bis zu 2 Adressen pro virtuellem Router Funktion Funktion Schaltet die VRRP-Redundanz im Gerät ein/aus.
Seite 390 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Voraussetzung ist, dass im Dialog Diagnose > Statuskonfiguration > Alarme (Traps) die Funktion eingeschaltet und mindestens Alarme (Traps) ein Trap-Ziel festgelegt ist. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt.
Seite 391 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Aktiv Aktiviert/deaktiviert die in dieser Tabellenzeile festgelegte VRRP-Instanz. Mögliche Werte: markiert  Die VRRP-Instanz ist aktiv. unmarkiert (Voreinstellung)  Die VRRP-Instanz ist inaktiv. Betriebszustand Zeigt den Status der Tabellenzeile. Der Betriebsmodus des entsprechenden virtuellen Routers bestimmt den Status einer gegenwärtig aktiven Tabellenzeile.
Seite 392 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Priorität Zeigt den Wert für die VRRP-Priorität. Die Priorität legen Sie fest im Dialog Routing > OSPF > Inter- faces. Der Router mit dem höchsten Wert für die Priorität übernimmt die Master-Router-Rolle. Wenn die IP-Adresse des virtuellen Routers mit der IP-Adresse eines Router-Interfaces übereinstimmt, dann ist der Router der Inhaber der IP-Adresse.
Seite 393 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Proxy-ARP Aktiviert/deaktiviert die Funktion Proxy ARP auf dem virtuellen Router-Interface. Diese Funktion ermöglicht Ihnen, Geräte in anderen Netzen so zu erreichen, als wären diese Geräte im lokalen Netz. Die Proxy-ARP-Funktion ist erforderlich, wenn das Gerät die VRRP-Instanz mit 1:1-NAT- Regeln verwendet.
Seite 394 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Öffnen Sie im Fenster Wizard die Seite Eintrag bearbeiten.  – Legen Sie in Registerkarte VRRP, Rahmen die Werte für folgende Parameter Konfiguration fest: Priorität Preempt-Modus Advertisement-Intervall [s] Ping-Antwort Wählen Sie in der Dropdown-Liste die IP-Adresse für den VRRP Master-Kandidat.
Seite 395 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Eintrag erstellen oder auswählen VRRP-Instanzen Zeigt die im Gerät verfügbaren Instanzen. Wählen Sie einen Eintrag, um fortzufahren. Alternativ dazu wählen Sie einen Port und legen im Feld unten einen Wert fest. VRID Port Legt das Port-basierte oder VLAN-basierte Router-Interface fest.
Seite 396 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Konfiguration Basis Priorität Legt die Priorität des virtuellen Routers fest. Wenn sich der Wert vom Wert im Feld unter- Priorität scheidet, dann ist das überwachte Objekt nicht erreichbar oder der virtuelle Router ist Inhaber der IP-Adresse.
Seite 397 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Advertisement-Intervall [s] Legt den zeitlichen Abstand zwischen Nachrichten des Master-Routers in Sekunden fest. Mögliche Werte: 1..255 (Voreinstellung: 1)  Anmerkung: Je länger das Nachrichtenintervall ist, desto größer wird der Zeitraum, über den Backup-Router auf eine Nachricht des Master-Routers warten, bevor die Backup-Router einen neuen Auswahlprozess starten (Master-Down-Intervall).
Seite 398 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Tracking Aktuelle Track-Einträge Zeigt die im Gerät verfügbaren Tracking-Objekte. Tracking-Objekte richten Sie ein im Dialog Konfiguration. Wählen Sie einen Eintrag, um fortzufahren. Alternativ dazu Erweitert > Tracking > wählen Sie im Feld Track-Name unten ein Tracking-Objekt.
Seite 399 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Hinzufügen Fügt im Feld einen Eintrag basierend auf den in den Feldern Zugewiesene Track-Einträge Track-Name festgelegten Werten hinzu. Dekrement Virtuelle IP-Adressen IP-Adresse Zeigt die primäre IP-Adresse des Router-Interfaces. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 400 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 7.10.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die Funktion VRRP relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 401 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] Authentifizierungs-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Authentifizierungsfehler. IP-TTL Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Seite 402 Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 7.10.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Seite 403 Routing [ Routing > NAT ] Dekrement Legt den Wert fest, um den die VRRP-Instanz die Priorität des virtuellen Routers reduziert, wenn das Überwachungsergebnis negativ ist. Mögliche Werte: 1..253 (Voreinstellung: 20)  Anmerkung: Wenn im Dialog der Wert in Spalte Routing >...
Seite 404 Routing [ Routing > NAT > NAT Global ] 7.11.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Wenn im Gerät eingerichtet, ermöglicht die Funktion Kommunikationsverbindungen zwischen Geräten in unterschiedlichen Netzen.
Seite 405 Routing [ Routing > NAT > NAT Global ] 1:1-NAT Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten 1:1-NAT-Regeln von den gespeicherten 1:1- NAT-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine gespeicherte 1:1-NAT-Regel enthält geänderte Einstellungen. Um die noch ausstehenden Regeln auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche unmarkiert ...
Seite 406 Routing [ Routing > NAT > NAT Global ] Masquerading-NAT Schaltflächen Commit Wendet die im Gerät gespeicherten Masquerading-NAT-Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen der Funktion Enforcer.
Seite 407 Routing [ Routing > NAT > NAT Global ] Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, können Sie keine neuen Kommunikationsverbindungen herstellen. Double-NAT Regeln (max.) Zeigt die maximale Anzahl an Double-NAT-Regeln an, die Sie im Gerät einrichten können. Double-NAT Eingerichtete Regeln Zeigt die Anzahl der im Gerät eingerichteten Double-NAT-Regeln.
Seite 408 Routing [ Routing > NAT > 1:1-NAT ] 7.11.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die Funktion 1:1-NAT ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 409 Routing [ Routing > NAT > 1:1-NAT > Regel ] 7.11.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog richten Sie die 1:1-NAT-Regeln ein und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Das Gerät ermöglicht, bis zu 255 1:1-NAT-Regeln einzu- richten.
Seite 410 Routing [ Routing > NAT > 1:1-NAT > Regel ] Regelname Zeigt den Namen der 1:1-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  Priorität Legt die Priorität der 1:1-NAT-Regel fest. Anhand der Priorität legen Sie die Reihenfolge fest, in welcher das Gerät mehrere Regeln auf den Datenstrom anwendet.
Seite 411 Routing [ Routing > NAT > 1:1-NAT > Regel ] Ausgangs-Interface Weist der 1:1-NAT-Regel das Router-Interface zu, auf dem das Gerät die modifizierten Datenpakete vermittelt. Im hier angeschlossenen Netz ist das Ziel-Endgerät tatsächlich erreichbar. Mögliche Werte: <Interface-Nummer>  Das Gerät vermittelt die modifizierten Datenpakete auf diesem Router-Interface. no Port ...
Seite 412 Routing [ Routing > NAT > Destination-NAT ] Aktiv Aktiviert/deaktiviert die 1:1-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. 7.11.3 Destination-NAT [ Routing > NAT > Destination-NAT ] Die Funktion Destination-NAT ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten.
Seite 413 Routing [ Routing > NAT > Destination-NAT ] Um die Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein. Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs-...
Seite 414 Routing [ Routing > NAT > Destination-NAT > Regel ] 7.11.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog richten Sie die Destination-NAT-Regeln ein. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing > NAT > Destination-NAT >...
Seite 415 Routing [ Routing > NAT > Destination-NAT > Regel ] Regelname Zeigt den Namen der Destination-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betref- fende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  Quelle Adresse Legt die Quelladresse der Datenpakete fest, auf die das Gerät die Destination-NAT-Regel anwendet. Mögliche Werte: (Voreinstellung) ...
Seite 416 Routing [ Routing > NAT > Destination-NAT > Regel ] Gültige IPv4-Adresse  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Zieladresse enthalten. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, die eine Ziel- adresse im hier festgelegten Subnetz enthalten.
Seite 417 Routing [ Routing > NAT > Destination-NAT > Regel ] Protokoll Beschränkt die Destination-NAT-Regel auf ein IP-Protokoll. Das Gerät wendet die Destination-NAT- Regel ausschließlich auf Datenpakete des festgelegten IP-Protokolls an. Mögliche Werte: icmp  Internet Control Message Protocol (RFC 792) igmp ...
Seite 418 Routing [ Routing > NAT > Destination-NAT > Regel ] Aktiv Aktiviert/deaktiviert die Destination-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 419 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 7.11.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Destination-NAT-Regeln fügen Sie im Dialog hinzu und Routing >...
Seite 420 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Destination-NAT-Regel auf Datenpakete anwendet, die das Gerät sendet oder empfängt. Mögliche Werte: kommend  Das Gerät wendet die Destination-NAT-Regel auf Datenpakete an, die es auf dem Router-Inter- face empfängt.
Seite 421 Routing [ Routing > NAT > Destination-NAT > Übersicht ] 7.11.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln fügen Sie im Dialog hinzu und Routing >...
Seite 422 Routing [ Routing > NAT > Destination-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 423 Routing [ Routing > NAT > Masquerading-NAT ] 7.11.4 Masquerading-NAT [ Routing > NAT > Masquerading-NAT ] Die Funktion Masquerading-NAT versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 424 Routing [ Routing > NAT > Masquerading-NAT > Regel ] 7.11.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading-NAT > Regel ] In diesem Dialog richten Sie die Masquerading-NAT-Regeln ein. Ein Router-Interface weisen Sie der betreffenden Masquerading-NAT-Regel im Dialog Routing > NAT >...
Seite 425 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Gültige IPv4-Adresse  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, die eine Quelladresse im hier festgelegten Subnetz enthalten.
Seite 426 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System- Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Wenn das Gerät die Regel auf ein Datenpaket anwendet, protokolliert das Masquerading-NAT Gerät dies in der Log-Datei.
Seite 427 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] 7.11.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading-NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Masquerading-NAT-Regeln fügen Sie im Dialog hinzu Routing >...
Seite 428 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Masquerading-NAT-Regel auf Datenpakete anwendet, die das Gerät sendet oder empfängt. Mögliche Werte: gehend  Das Gerät wendet die Masquerading-NAT-Regel auf Datenpakete an, die es auf dem Router- Interface sendet.
Seite 429 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] 7.11.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Masquerading-NAT-Regeln fügen Sie im Dialog hinzu Routing >...
Seite 430 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Masquerading-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Wenn das Gerät die Regel auf ein Datenpaket anwendet, protokolliert das Masquerading-NAT Gerät dies in der Log-Datei.
Seite 431 Routing [ Routing > NAT > Double-NAT ] 7.11.5 Double-NAT [ Routing > NAT > Double-NAT ] Die Funktion Double-NAT ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 432 Routing [ Routing > NAT > Double-NAT ] Das Menü enthält die folgenden Dialoge: Double-NAT Regel  Double-NAT Zuweisung  Double-NAT Übersicht  RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 433 Routing [ Routing > NAT > Double-NAT > Regel ] 7.11.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog richten Sie die Double-NAT-Regeln ein. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing > NAT > Double-NAT >...
Seite 434 Routing [ Routing > NAT > Double-NAT > Regel ] • Im Feld Ferne interne IP-Adresse legen Sie für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 435 Routing [ Routing > NAT > Double-NAT > Regel ] Ferne interne IP-Adresse Legt für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 436 Routing [ Routing > NAT > Double-NAT > Zuweisung ] 7.11.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Double-NAT-Regeln fügen Sie im Dialog hinzu und bear- Routing >...
Seite 437 Routing [ Routing > NAT > Double-NAT > Zuweisung ] gehend  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface sendet. beide  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt oder sendet.
Seite 438 Routing [ Routing > NAT > Double-NAT > Übersicht ] 7.11.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln fügen Sie im Dialog hinzu und bear- Routing >...
Seite 439 Routing [ Routing > NAT > Double-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Double-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 440 Diagnose [ Diagnose > Statuskonfiguration ] 8 Diagnose Das Menü enthält die folgenden Dialoge: Statuskonfiguration  System  Syslog  Ports  LLDP  Bericht  Statuskonfiguration [ Diagnose > Statuskonfiguration ] Das Menü enthält die folgenden Dialoge: Gerätestatus  Sicherheitsstatus ...
Seite 441 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 8.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 442 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: (Voreinstellung) markiert  Das Senden von SNMP-Traps ist aktiv. Voraussetzung ist, dass im Dialog Diagnose >...
Seite 443 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externen Speicher entfernen Aktiviert/deaktiviert die Überwachung des aktiven externen Speichers. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den aktiven externen Speicher Geräte-Status aus dem Gerät entfernen.
Seite 444 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Verbindungsfehler melden Aktiviert/deaktiviert die Überwachung des Links auf dem Port/Interface. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf dem ausgewählten Geräte-Status Port/Interface abbricht.
Seite 445 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 8.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 446 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Passwort-Voreinstellung unverändert Aktiviert/deaktiviert die Überwachung des Passworts für das lokal eingerichtete Benutzerkonto admin. Mögliche Werte: markiert (Voreinstellung) ...
Seite 447 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Prüfen der Passwort-Richtlinien im Benutzerkonto deaktiviert Aktiviert/deaktiviert die Überwachung der Funktion Richtlinien überprüfen. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn die Funktion Sicherheits-Status Richtlinien über- bei mindestens ein Benutzerkonto inaktiv ist.
Seite 448 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den System-Monitor akti- Sicherheits-Status vieren. (Voreinstellung) unmarkiert  Die Überwachung ist inaktiv. Den System-Monitor aktivieren/deaktivieren Sie im Dialog Diagnose >...
Seite 449 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Unverschlüsselte Konfiguration vom externen Speicher laden Aktiviert/deaktiviert die Überwachung des Ladens unverschlüsselter Konfigurationsprofile vom externen Speicher. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn die Einstellungen dem Gerät Sicherheits-Status ermöglichen, ein unverschlüsseltes Konfigurationsprofil vom externen Speicher zu laden.
Seite 450 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Port eingeschaltet ist Sicherheits-Status (Dialog Port, Registerkarte Konfiguration, Kontrollkästchen...
Seite 451 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) > Trap Ziele ] 8.1.3.1 Trap Ziele [ Diagnose > Statuskonfiguration > Alarme (Traps) > Trap Ziele ] In diesem Dialog legen Sie die Trap-Ziele fest, an die das Gerät SNMP-Traps sendet. Funktion Funktion Schaltet das Senden von SNMP-Traps ein/aus.
Seite 452 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) > Trap Ziele ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen. Damit richten Sie ein Trap-Ziel auf dem Gerät ein.
Seite 453 Diagnose [ Diagnose > System ] System [ Diagnose > System ] Das Menü enthält die folgenden Dialoge: Systeminformationen  Konfigurations-Check   Selbsttest  RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 454 Diagnose [ Diagnose > System > Systeminformationen ] 8.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Systeminformationen speichern Öffnet die HTML-Seite in einem neuen Webbrowser-Fenster oder -Tab.
Seite 455 Diagnose [ Diagnose > System > Konfigurations-Check ] 8.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 456 Diagnose [ Diagnose > System > Konfigurations-Check ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Zeigt detaillierte Informationen über die erkannten Abweichungen im Bereich unterhalb der Tabel- lenzeile. Um die detaillierten Informationen wieder auszublenden, klicken Sie die Schaltfläche Wenn Sie das Symbol in der Kopfzeile der Tabelle klicken, blenden Sie die detaillierten Informati- onen für jede Tabellenzeile ein oder aus.
Seite 457 Diagnose [ Diagnose > System > ARP ] 8.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 458 Diagnose [ Diagnose > System > Selbsttest ] 8.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: • Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden. • Festlegen, wie sich das Gerät im verhält, wenn es einen Fehler erkennt. Konfiguration Die folgenden Einstellungen sperren Ihnen dauerhaft den Zugang zum Gerät, wenn das Gerät beim Neustart kein lesbares Konfigurationsprofil findet.
Seite 459 Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät verhält, wenn es einen Fehler erkennt. Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Ursache Ursachen erkannter Fehler, auf die das Gerät reagiert.
Seite 460 Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 461 Diagnose [ Diagnose > Syslog ] Mögliche Werte: 1..8  IP-Adresse Legt die IP-Adresse des Syslog-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  DNS-Name im Format <domain>.<tld> oder <host>.<domain>.<tld>  Voraussetzung ist, dass Sie zusätzlich im Dialog Erweitert > DNS > Client > Global die Funktion einschalten.
Seite 462 Diagnose [ Diagnose > Syslog ] Aktiv Aktiviert bzw. deaktiviert die Übermittlung der Ereignisse zum Syslog-Server. Mögliche Werte: markiert  Das Gerät sendet Ereignisse zum Syslog-Server. unmarkiert (Voreinstellung)  Die Übermittlung der Ereignisse zum Syslog-Server ist deaktiviert. RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 463 Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge: LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät das Link Layer Discovery Protocol (LLDP). Diese Informationen ermöglichen einer Netzma- nagement-Station, die Struktur des Netzes darzustellen.
Seite 464 Diagnose [ Diagnose > LLDP > Konfiguration ] 8.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port einzurichten. Funktion Funktion Schaltet die Funktion ein/aus. LLDP Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet.
Seite 465 Diagnose [ Diagnose > LLDP > Konfiguration ] Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: 5..3600 (Voreinstellung: 5)  Nach Senden eines Benachrichtigungs-Traps wartet das Gerät mindestens die hier festgelegte Zeit, bis es den nächsten Benachrichtigungs-Trap sendet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 466 Diagnose [ Diagnose > LLDP > Konfiguration ] Port-Beschreibung senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit der Port-Beschreibung. Mögliche Werte: markiert (Voreinstellung)  Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit der Port-Beschreibung. unmarkiert  Das Senden des TLV ist inaktiv.
Seite 467 Diagnose [ Diagnose > LLDP > Konfiguration ] Nachbarn (max.) Begrenzt für diesen Port die Anzahl der zu erfassenden benachbarten Geräte. Mögliche Werte: 1..50 (Voreinstellung: 10)  Modus FDB Legt fest, welche Funktion das Gerät verwendet, um benachbarte Geräte auf diesem Port zu erfassen.
Seite 468 Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 8.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs gesendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Seite 469 Diagnose [ Diagnose > Bericht ] Nachbar-Adresse Zeigt die IPv4-Adresse oder den Hostnamen, mit der/dem der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar IPv6-Adresse Zeigt die IPv6-Adresse, mit welcher der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar-Port Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts.
Seite 470 Diagnose [ Diagnose > Bericht > Global ] 8.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: • auf der Konsole • auf einen oder mehreren Syslog-Servern •...
Seite 471 Diagnose [ Diagnose > Bericht > Global ] notice  informational  debug  SNMP-Logging Wenn Sie die Protokollierung von SNMP-Anfragen einschalten, sendet das Gerät diese als Ereig- nisse mit dem voreingestellten Schweregrad an die Liste der Syslog-Server. Der voreinge- notice stellte Mindest-Schweregrad für einen Syslog-Server-Eintrag ist critical.
Seite 472 Diagnose [ Diagnose > Bericht > Global ] Schweregrad Get-Request Legt den Schweregrad des Ereignisses fest, welches das Gerät bei empfangenen SNMP Get Requests protokolliert. Weitere Informationen finden Sie unter „Bedeutung der Ereignis-Schwere- grade” auf Seite 472. Mögliche Werte: emergency ...
Seite 473 Diagnose [ Diagnose > Bericht > Global ] error  warning (Voreinstellung)  notice  informational  debug  CLI-Logging Funktion Schaltet die Funktion ein/aus. CLI-Logging Mögliche Werte:  Die Funktion CLI-Logging ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung) ...
Seite 474 Diagnose [ Diagnose > Bericht > Global ] Schweregrad Bedeutung notice Signifikanter, normaler Zustand Informelle Nachricht informational Debug-Nachricht debug RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 475 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 8.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher dauerhaft zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 476 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: (Voreinstellung: 4) 0..25...
Seite 477 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..25  Das Gerät legt diese Nummer automatisch fest. Dateiname Zeigt den Dateinamen der Log-Datei im externen Speicher. Mögliche Werte: messages ...
Seite 478 Diagnose [ Diagnose > Bericht > System-Log ] 8.6.3 System-Log [ Diagnose > Bericht > System-Log ] Dieser Dialog zeigt die System-Log-Datei. Das Gerät protokolliert geräteinterne Ereignisse in der System-Log-Datei. Das Gerät behält die protokollierten Ereignisse auch nach einem Neustart bei. Um die Datei System-Log zu durchsuchen, verwenden Sie die Suchfunktion Ihres Webbrowsers.
Seite 479 Diagnose [ Diagnose > Bericht > Audit-Trail ] 8.6.4 Audit-Trail [ Diagnose > Bericht > Audit-Trail ] Dieser Dialog zeigt den Audit Trail. Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Webbrowsers.
Seite 480 Erweitert [ Erweitert > DNS ] 9 Erweitert Das Menü enthält die folgenden Dialoge:  Tracking  Command Line Interface  [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client  DNS-Cache  9.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Seite 481 Erweitert [ Erweitert > DNS > Client > Global ] 9.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Funktion Client ein. Funktion Funktion Schaltet die Funktion ein/aus. Client Mögliche Werte: ...
Seite 482 Erweitert [ Erweitert > DNS > Client > Aktuell ] 9.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 483 Erweitert [ Erweitert > DNS > Client > Statisch ] 9.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, bis zu 4 IP-Adressen festzulegen.
Seite 484 Erweitert [ Erweitert > DNS > Cache ] IP-Adresse Legt die IP-Adresse des DNS-Servers fest. Mögliche Werte: Gültige IPv4-Adresse  Aktiv Aktiviert/deaktiviert die Tabellenzeile. Voraussetzungen: • Im Dialog ist die Funktion DNS client eingeschaltet. Erweitert > DNS > Client > Global •...
Seite 485 Erweitert [ Erweitert > DNS > Cache > Global ] 9.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Funktion Cache ein. Ist die Funktion Cache eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnames an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 486 Erweitert [ Erweitert > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Erweitert > Tracking > Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. •...
Seite 487 Erweitert [ Erweitert > Tracking > Konfiguration ] 9.2.1 Tracking Konfiguration [ Erweitert > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erstellen, um eine Tabellenzeile hinzuzufügen.
Seite 488 Erweitert [ Erweitert > Tracking > Konfiguration ] Track-ID Legt die Identifikationsnummer des Tracking-Objektes fest. Mögliche Werte: 1..256  Dieser Bereich steht jedem Typ (interface, ping und logical) zur Verfügung. Track-Name Zeigt den Namen des Tracking-Objekts, der sich aus den in Spalte und Spalte ange- Track-ID...
Seite 489 Erweitert [ Erweitert > Tracking > Konfiguration ] Änderungen Zeigt die Anzahl der Zustandsänderungen, seitdem das Tracking-Objekt aktiv ist. Letzte Änderung Zeigt den Zeitpunkt der letzten Zustandsänderung. Trap senden Aktiviert/deaktiviert das Senden eines SNMP-Traps, wenn jemand das Tracking-Objekt aktiviert oder deaktiviert. Mögliche Werte: markiert ...
Seite 490 Erweitert [ Erweitert > Tracking > Konfiguration ] Link-Aggregation-, LRE- und VLAN-Router-Interfaces haben ein negatives Überwachungser- gebnis, wenn die Verbindung jedes aggregierten Ports unterbrochen ist. Ein VLAN-Router-Interface hat ein negatives Überwachungsergebnis, wenn die Verbindung zu jedem physischen Port und Link-Aggregation-Interface, das Mitglied im VLAN ist, unterbrochen ist. Ping-Port Legt für Tracking-Objekte des Typs das Router-Interface fest, über welches das Gerät die...
Seite 491 Erweitert [ Erweitert > Tracking > Konfiguration ] Ankommende Ping-Antworten Legt fest, nach wie vielen empfangenen Antworten das Gerät das Überwachungsergebnis als positiv erkennt. Wenn das Gerät nacheinander sooft wie hier festgelegt eine Antwort auf gesendete ICMP Echo Request-Pakete empfängt, dann zeigt Spalte Status den Wert up.
Seite 492 Erweitert [ Erweitert > Tracking > Konfiguration ] Logischer Operand A Legt für Tracking-Objekte des Typs den ersten Operanden der logischen Verknüpfung logical fest. Mögliche Werte: Eingerichtete Tracking-Objekte  –  Kein Tracking-Objekt des Typs logical. Logischer Operand B Legt für Tracking-Objekte des Typs logical den zweiten Operanden der logischen Verknüpfung fest.
Seite 493 Erweitert [ Erweitert > Tracking > Applikationen ] 9.2.2 Tracking Applikationen [ Erweitert > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 494 Erweitert [ Erweitert > CLI ] Command Line Interface [ Erweitert > CLI ] Dieser Dialog ermöglicht Ihnen, mit dem Command Line Interface auf das Gerät zuzugreifen. Voraussetzungen: • Im Dialog Server, Registerkarte ist der SSH-Server Gerätesicherheit > Management-Zugriff > eingeschaltet.
Seite 495 Erweitert 9.3 Command Line Interface RM GUI EAGLE40-6M Release 5.0 07/2024...
Seite 496 Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............407 802.1D/p-Mapping .
Seite 497 Stichwortverzeichnis Geräte-Software ............. 27 Geräte-Software Backup .
Seite 498 Stichwortverzeichnis Passwort ............. . . 62, 445 Passwort-Länge .
Seite 499 Stichwortverzeichnis Technische Fragen ............499 Temperatur .
Seite 500 Bei technischen Fragen wenden Sie sich bitte an den Hirschmann-Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.belden.com. Technische Unterstützung erhalten Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 501 Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 502 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...
Seite 504 Anwender-Handbuch Konfiguration Industrial Firewall EAGLE40-6M UM Config EAGLE40-6M Technische Unterstützung Release 5.0 07/2024 https://hirschmann-support.belden.com...
Seite 505 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2024 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 506 Inhalt Inhalt Sicherheitshinweise............9 Über dieses Handbuch .
Seite 507 Inhalt Funktion LDAP ............. . . 61 3.4.1 Abstimmung mit dem Server-Administrator .
Seite 508 Inhalt Betriebsart wählen ............108 Unterstützung beim Schutz vor unberechtigtem Zugriff .
Seite 509 Inhalt 11.3 QoS/Priorität..............174 11.3.1 Behandlung empfangener Prioritätsinformationen.
Seite 510 Inhalt 14.4 Tracking konfigurieren ............255 14.4.1 Interface-Tracking konfigurieren .
Seite 511 Inhalt Anhang ..............303 Literaturhinweise .
Seite 512 Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 513 Sicherheitshinweise UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 514 Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 515 Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 516 Ersetzen eines Geräts Ersetzen eines Geräts Das Gerät bietet die folgenden Plug-and-Play-Lösungen für den Austausch eines Geräts durch ein Gerät desselben Typs, zum Beispiel zur vorbeugenden Wartung oder wenn ein Fehler erkannt wurde. Das neue Gerät lädt das Konfigurationsprofil des ersetzten Geräts vom externen Speicher. ...
Seite 517 Ersetzen eines Geräts UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 518 Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Webbrowser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Seite 519 Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface ermöglicht Ihnen, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten. Als erfahrener Benutzer oder Administrator verfügen Sie über Wissen zu den Grund- lagen und den Einsatz von Hirschmann-Geräten.
Seite 520 Benutzeroberflächen 1.2 Command Line Interface In das Feld Host Name (or IP address) geben Sie die IP-Adresse Ihres Geräts ein.  Die IP-Adresse besteht aus 4 Dezimalzahlen im Wert von bis 255. Die 4 Dezimalzahlen sind durch einen Punkt getrennt. Um den Verbindungstyp auszuwählen, wählen Sie in der Optionsliste das Opti- Connection type...
Seite 521 Benutzeroberflächen 1.2 Command Line Interface Geben Sie das Passwort ein.  Das voreingestellte Passwort ist private. Wenn Sie das voreingestellte Passwort zum ersten Mal eingeben, fordert das Gerät Sie anschließend auf, ein neues Passwort zu vergeben. Drücken Sie die <Enter>-Taste. ...
Seite 522 Benutzeroberflächen 1.2 Command Line Interface Führen Sie die folgenden Schritte aus: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ dazu  verbinden Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken eine beliebige Taste. Alternativ dazu richten Sie die serielle Datenverbindung zum Gerät über die serielle Schnittstelle ...
Seite 523 Benutzeroberflächen 1.2 Command Line Interface Geben Sie das Passwort ein.  Das voreingestellte Passwort ist private. Wenn Sie das voreingestellte Passwort zum ersten Mal eingeben, fordert das Gerät Sie anschließend auf, ein neues Passwort zu vergeben. Drücken Sie die <Enter>-Taste. ...
Seite 524 Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT login logout Die User Exec Kommandos Eingeschränkte sind auch im User Exec Modus Funktion Privileged Exec Modus verfügbar. enable exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen vlan serviceshell...
Seite 525 Benutzeroberflächen 1.2 Command Line Interface Global Config Modus  Modus ermöglicht Ihnen, Modifikationen an der laufenden Konfiguration durch- Global Config zuführen. In diesem Modus sind allgemeine Setup-Kommandos zusammengefasst. Kommando-Prompt: (EAGLE) (config)# Modus Interface Range  Die Befehle Interface Range Modus wirken sich auf einen bestimmten Port, auf eine ausgewählte Gruppe von mehreren Ports oder auf alle Ports aus.
Seite 526 Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Kommando Modi, die im jeweiligen Modus sichtbaren Kommando- Prompts (Eingabeaufforderungszeichen) und die Möglichkeit, mit der Sie den Modus beenden. Tab. 2: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus Erste Zugriffsebene.
Seite 527 Benutzeroberflächen 1.2 Command Line Interface 1.2.5 Ausführen von Kommandos Syntaxanalyse Nach Anmelden beim Management des Geräts mit dem Command Line Interface befinden Sie sich im User Exec Modus. Das Command Line Interface gibt das Prompt auf dem Bildschirm (EAGLE)> aus. Wenn Sie ein Kommando eingeben und die <Enter>...
Seite 528 Benutzeroberflächen 1.2 Command Line Interface Format der Kommandos Ein Großteil der Kommandos enthält Parameter. Fehlt der Kommando-Parameter, zeigt das Command Line Interface einen Hinweis auf eine erkannte fehlerhafte Syntax des Befehls. Dieses Handbuch stellt die Befehle und Parameter in der Schriftart dar.
Seite 529 Benutzeroberflächen 1.2 Command Line Interface Die folgende Liste zeigt mögliche Parameterwerte innerhalb des Command Line Interface: Tab. 4: Parameterwerte im Command Line Interface Wert Beschreibung IP-Adresse Dieser Parameter stellt eine gültige IPv4-Adresse dar. Die Adresse besteht aus 4 Hexadezimalzahlen vom Wert 0 bis 255. Die 4 Dezimalzahlen sind durch einen Dezimalpunkt getrennt.
Seite 530 Benutzeroberflächen 1.2 Command Line Interface 1.2.7 Beispiele für Kommandos Beispiel 1: clear arp-table-switch Kommando zum Löschen der ARP-Tabelle des Management-Agenten (Cache). ist die Befehlsbezeichnung. Das Kommando ist ohne weitere Parameter clear arp-table-switch durch Drücken der <Enter>-Taste ausführbar. Beispiel 2: radius server timeout Kommando, um den Zeitüberschreitungs-Wert des RADIUS Servers festzulegen.
Seite 531 Benutzeroberflächen 1.2 Command Line Interface 1.2.8 Eingabeprompt Kommandomodus Das Command Line Interface zeigt durch das Eingabeprompt, in welchem der Modi Sie sich befinden:  (EAGLE) > User Exec Modus  (EAGLE) # Privileged Exec Modus  (EAGLE) (config)# Modus Global Config ...
Seite 532 Benutzeroberflächen 1.2 Command Line Interface Tab. 6: Verwendung von Wildcards am Eingabeprompt des Command Line Interfaces Wildcard Beschreibung IP-Adresse des Geräts MAC-Adresse des Gerätes Produktbezeichnung des Geräts !(EAGLE)>enable !(EAGLE)#cli prompt %i !192.168.1.5#cli prompt (EAGLE)%d !*(EAGLE)2024-07-26#cli prompt (EAGLE)%d%t !*(EAGLE)2024-07-26 16:15:55#cli prompt %m !*AA:BB:CC:DD:EE:FF# 1.2.9 Tastaturkombinationen...
Seite 533 Benutzeroberflächen 1.2 Command Line Interface Das Help-Kommando listet die möglichen Tastenkombinationen des Command Line Interface auf dem Bildschirm auf: (EAGLE) #help HELP: Special keys: Ctrl-H, BkSp delete previous character Ctrl-A ..go to beginning of line Ctrl-E ..go to end of line Ctrl-F ..
Seite 534 Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein ...
Seite 535 Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Führen Sie dazu die folgenden Schritte aus: Geben Sie ein, um in den Privileged Exec Modus zu wechseln.
Seite 536 Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Service-Shell Die Service-Shell dient ausschließlich Service-Zwecken. Die Service-Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service- Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen. Führen Sie keine interne Funktionen ohne die Anweisung eines Servicetechnikers aus.
Seite 537 Benutzeroberflächen 1.2 Command Line Interface Service-Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Geben Sie ein und drücken die <Enter>-Taste.  help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 538 Benutzeroberflächen 1.2 Command Line Interface Geben Sie ein und drücken die <Enter>-Taste.  serviceshell deactivate Um den Aufwand beim Tippen zu reduzieren: – Geben Sie ein und drücken die <Tabulator>-Taste. – Geben Sie ein und drücken die <Tabulator>-Taste. Dieser Schritt ist unumkehrbar! ...
Seite 539 Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen  Betriebssystem aktualisieren  Betriebssystem starten  Konfigurationsprofile löschen, Gerät auf den Lieferzustand zurücksetzen ...
Seite 540 Benutzeroberflächen 1.3 System-Monitor Führen Sie die folgenden Schritte aus: Verbinden Sie mit Hilfe des Terminal-Kabels die serielle Schnittstelle des Geräts mit dem COM-  Port des PCs. Starten Sie die VT100-Terminalemulation auf dem PC.  Legen Sie folgende Übertragungsparameter fest: ...
Seite 541 Benutzeroberflächen 1.3 System-Monitor UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 542 IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts legen Sie die IP-Parameter fest. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface.  Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
Seite 543 IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry)  Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens)  Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 544 IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
Seite 545 IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste (der ARP-Tabelle) nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 546 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface fest- legen 2.2.1 IPv4 Es gibt folgende Möglichkeiten, die IP-Parameter einzugeben: HiDiscovery-Protokoll  Externer Speicher  Command Line Interface über eine serielle Verbindung  Das Gerät ermöglicht Ihnen, die IP-Parameter über das HiDiscovery-Protokoll oder über die seri- elle Schnittstelle mit Hilfe des Command Line Interfaces festzulegen.
Seite 547 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Geben Sie die IP-Parameter ein.  Lokale IP-Adresse  In der Voreinstellung ist die lokale IP-Adresse 0.0.0.0 Netzmaske  Wenn Sie das Netz in Subnetze aufgeteilt haben und diese mit einer Netzmaske identifi- zieren, geben Sie an dieser Stelle die Netzmaske ein.
Seite 548 Die anderen Parameter richten Sie komfortabel über die grafische Benutzeroberfläche ein. Führen Sie die folgenden Schritte aus: Installieren Sie auf Ihrem Rechner das Programm HiDiscovery.  Sie können die Software von https://catalog.belden.com/index.cfm?event=pd&p=PF_HiDisco- very herunterladen. Starten Sie das Programm HiDiscovery. ...
Seite 549 IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen Anmerkung: Schalten Sie die Funktion HiDiscovery im Geräts aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben. Anmerkung: Speichern Sie die Einstellungen, sodass die Eingaben nach einem Neustart wieder zur Verfügung stehen. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 550 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche fest- legen 2.4.1 IPv4 Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Netz > Global.  In diesem Dialog legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist, und richten den HiDiscovery-Zugang ein.
Seite 551 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 552 Melden Sie sich mit Ihrem neuen Passwort erneut beim Management des Geräts an.  Anmerkung: Wenn Sie Ihr Passwort vergessen haben, dann wenden Sie sich an Ihren lokalen Support. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 553 Zugriff auf das Gerät 3.2 Authentifizierungs-Listen Authentifizierungs-Listen Wenn ein Benutzer über eine bestimmte Verbindung auf das Management des Geräts zugreift, verifiziert das Gerät die Anmeldedaten des Benutzers durch eine Authentifizierungs-Liste, welche die Richtlinien enthält, die das Gerät für die Authentifizierung anwendet. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Seite 554 Zugriff auf das Gerät 3.2 Authentifizierungs-Listen Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Deaktivieren Sie die Authentifizierungs-Liste für diejenigen Anwendungen, über die kein Zugriff  auf das Gerät erfolgt. Heben Sie in Spalte Aktiv der gewünschten Authentifizierungs-Liste die Markierung des  Kontrollkästchens auf. Einstellungen vorläufig anwenden.
Seite 555 Zugriff auf das Gerät 3.2 Authentifizierungs-Listen Die Richtlinien radius, lokal reject authlists set-policy loginGUI radius local reject reject reject Authentifizierungs-Liste loginGUI zuweisen. Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Weist der Authentifizierungs-Liste loginGUI eine Anwendung zu.  Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste.
Seite 556 Zugriff auf das Gerät 3.3 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie lokal siehe Dialog...
Seite 557 Zugriff auf das Gerät 3.3 Benutzerverwaltung Tab. 9: Berechtigungen für Benutzerkonten Rolle Beschreibung Autorisiert für folgende Tätigkeiten Der Benutzer ist berechtigt, Sämtliche Tätigkeiten mit Lese-/Schreibzugriff administrator das Gerät zu überwachen einschließlich der folgenden, einem Administrator und zu administrieren. vorbehaltenen Tätigkeiten: Benutzerkonten hinzufügen, ändern und ...
Seite 558 Zugriff auf das Gerät 3.3 Benutzerverwaltung Tab. 9: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog Diagnose > Bericht > Audit-Trail zu speichern.
Seite 559 Zugriff auf das Gerät 3.3 Benutzerverwaltung 3.3.3 Voreingestellte Benutzerkonten In der Voreinstellung ist im Gerät das Benutzerkonto eingerichtet. admin Tab. 10: Einstellungen des voreingestellten Benutzerkontos Parameter Voreinstellung Benutzername admin Passwort private Rolle administrator unmarkiert Benutzer gesperrt Richtlinien überprüfen unmarkiert SNMP-Authentifizierung hmacmd5 SNMP-Verschlüsselung Ändern Sie das Passwort des Benutzerkontos admin, bevor Sie das Gerät im Netz zugänglich...
Seite 560 Zugriff auf das Gerät 3.3 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inactive Für das Benutzerkonto USER das Passwort...
Seite 561 Zugriff auf das Gerät 3.3 Benutzerverwaltung Für das Benutzerkonto das Passwort USER SECRET users password USER SECRET festlegen. Geben Sie mindestens 6 Zeichen ein. Dem USER-Benutzerkonto die Zugriffsrolle operator users access-role USER operator zuweisen. Benutzerkonto USER aktivieren. users enable USER Eingerichtete Benutzerkonten anzeigen.
Seite 562 Zugriff auf das Gerät 3.3 Benutzerverwaltung 3.3.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen zu prüfen, ob die Passwörter für die Benutzerkonten der vorgegebenen Richtlinie entsprechen. Wenn die Passwörter den Passwortregeln entsprechen, erreichen Sie eine höhere Komplexität der Passwörter. Die Benutzerverwaltung des Geräts ermöglicht Ihnen, die Prüfung in jedem Benutzerkonto indivi- duell ein- oder auszuschalten.
Seite 563 Zugriff auf das Gerät 3.3 Benutzerverwaltung Richtlinie für die Mindestanzahl von Ziffern im passwords min-numeric-chars 1 Passwort festlegen. Richtlinie für die Mindestanzahl von Sonderzei- passwords min-special-chars 1 chen im Passwort festlegen. Richtlinie für die Mindestanzahl von Großbuch- passwords min-uppercase-chars 1 staben im Passwort festlegen.
Seite 564 Zugriff auf das Gerät 3.4 Funktion LDAP Funktion LDAP Server-Administratoren verwalten Active Directories, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Seite 565 Zugriff auf das Gerät 3.4 Funktion LDAP Der Server-Administrator kann Berechtigungsstufen individuell mit einem Attribut wie description oder einer Gruppe mit dem Attribut zuweisen. Im Dialog memberOf Gerätesicherheit > LDAP > Rollen- legen Sie fest, welche Attribute die verschiedenen Berechtigungsstufen erhalten. Zuweisung Sie haben außerdem die Möglichkeit, über einen LDAP-Browser wie JXplorer oder Softerra die Namen der Attribute abzurufen, die den Anmeldenamen und die Berechtigungsstufen des Benut-...
Seite 566 Zugriff auf das Gerät 3.4 Funktion LDAP Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste.  Um das Gerät so einzurichten, dass es die Anmeldedaten des Benutzers aus dem ersten  Active Directory abruft, legen Sie für die Liste defaultLoginAuthList in Spalte Richtlinie 1...
Seite 567 Zugriff auf das Gerät 3.4 Funktion LDAP Öffnen Sie den Dialog Gerätesicherheit > LDAP > Rollen-Zuweisung.  Um eine Tabellenzeile hinzuzufügen, klicken Sie die Schaltfläche  Wenn ein Benutzer sich mit eingerichtetem und aktiviertem LDAP beim Management des Geräts anmeldet, sucht das Gerät im Active Directory nach den Anmeldedaten des Benut- zers.
Seite 568 Zugriff auf das Gerät 3.4 Funktion LDAP Für die Zugriffsrolle einen Eintrag zur operator ldap mapping add 1 access-role operator mapping-type attribute mapping-parameter Zuordnung der Remote-Authentifizierungsrolle OPERATOR hinzufügen. Ordnen Sie die Zugriffsrolle operator dem Attribut zu, welches das Wort OPERATOR enthält.
Seite 569 Zugriff auf das Gerät 3.5 SNMP-Zugriff SNMP-Zugriff Das Simple Network Management Protocol (SNMP) ermöglicht Ihnen, mit einem Netzmanage- mentsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.5.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Seite 570 Zugriff auf das Gerät 3.5 SNMP-Zugriff Um die SNMPv3-Parameter des Benutzerkontos an die Einstellungen im Netzmanagementsystem anzupassen, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Benutzerverwaltung.  Der Dialog zeigt die eingerichteten Benutzerkonten. Klicken Sie in der Tabellenzeile des betreffenden Benutzerkontos in das Feld SNMP- ...
Seite 571 Zugriff auf das Gerät 3.5 SNMP-Zugriff UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 572 VPN – Virtuelles privates Netz 4.1 Internet Protocol Security (IPsec) 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 573 VPN – Virtuelles privates Netz 4.1 Internet Protocol Security (IPsec) Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus  Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
Seite 574 VPN – Virtuelles privates Netz 4.2 Internet Key Exchange (IKE) Internet Key Exchange (IKE) IPsec verwendet das Protokoll Internet Key Exchange (IKE) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
Seite 575 VPN – Virtuelles privates Netz 4.2 Internet Key Exchange (IKE) 4.2.3 Ein digitales Zertifikat mit OpenSSL generieren Die Verwendung von OpenSSL ermöglicht Ihnen, ein digitales Zertifikat zu generieren und zu signieren, das für die VPN-Authentifizierung verwendet wird. Vorraussetzung: Auf einem Windows-System benötigen Sie einen Texteditor, der Unix-Zeilenum- brüche korrekt behandelt, zum Beispiel die Anwendung Notepad++.
Seite 576 VPN – Virtuelles privates Netz 4.2 Internet Key Exchange (IKE) Die OpenSSL-Anwendung ermöglicht Ihnen auch, digitale Zertifikate zu generieren. Um die mögli- chen Zertifikattypen anzuzeigen, geben Sie in einem Prompt-Fenster das folgende Command Kommando ein: C:\OpenSSL\bin\openssl.exe help Um einen Certificate Signing Request (CSR) zu generieren, der zum Beispiel 365 Tage lang ...
Seite 577 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiel für das Verbinden von 2 Teilnetzen Anwendungsbeispiel für das Verbinden von 2 Teilnetzen In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, richten Sie das VPN im Tunnelmodus ein.
Seite 578 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiel für das Verbinden von 2 Teilnetzen Führen Sie die folgenden Schritte aus: Erstellen Sie eine VPN-Verbindung.  Öffnen Sie den Dialog Virtual Private Network > Verbindungen.  Klicken Sie die Schaltfläche  Die Tabelle zeigt die VPN-Verbindungen, die bereits auf dem Eintrag erstellen oder auswählen Gerät verfügbar sind.
Seite 579 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiel für das Verbinden von 2 Teilnetzen Legen Sie im Dialog die folgenden Einstellungen fest: Add traffic selector  Den Wert in Spalte Traffic selector index  Das Gerät gibt die Index-Nummer ein und ermöglicht Ihnen außerdem, die Index- Nummer zu ändern.
Seite 580 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiel für das Verbinden von 2 Teilnetzen Geben Sie die IKE-Schlüsselaustauschparameter ein.  Das Gerät verwendet die im Dialog festgelegten Werte. In diesem Advanced configuration Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen lautet die Voreinstellung für das Feld 540 s.
Seite 581 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiel für das Verbinden von 2 Teilnetzen UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 582 Die Systemzeit im Netz synchronisieren 5.1 Uhrzeit einstellen 5 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: •...
Seite 583 Die Systemzeit im Netz synchronisieren 5.1 Uhrzeit einstellen In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Systemzeit des Geräts einstellen. clock set <YYYY-MM-DD> <HH:MM:SS> Differenz in Minuten zwischen der Ortszeit und der clock timezone offset <-780..840> empfangenen koordinierten Weltzeit (UTC) eingeben.
Seite 584 Die Systemzeit im Netz synchronisieren 5.2 Sommerzeit automatisch umschalten Sommerzeit automatisch umschalten Wenn Sie das Gerät in einer Zeitzone mit Sommerzeitumstellung betreiben, ermöglicht Ihnen das Gerät, die Sommerzeitumstellung automatisch durchzuführen. Wenn der Sommerzeit-Modus eingeschaltet ist, stellt das Gerät während der Sommerzeit seine Ortszeit um eine Stunde vor.
Seite 585 Die Systemzeit im Netz synchronisieren 5.2 Sommerzeit automatisch umschalten Sommerzeit Ende – Woche letzte – Sonntag – Oktober Monat – 03:00 Systemzeit Führen Sie zu diesem Zweck die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen, Registerkarte Sommerzeit. Zeit > ...
Seite 586 Die Systemzeit im Netz synchronisieren 5.3 NTP Das Network Time Protocol (NTP) ermöglicht Ihnen, die Systemzeit im Netz zu synchronisieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schichten bezeichnet werden.
Seite 587 Die Systemzeit im Netz synchronisieren 5.3 NTP Tab. 11: Einstellungen für das Beispiel Gerät 192.168.1.2 192.168.1.3 192.168.1.4 Rahmen Nur Client Client Modus unicast Rahmen Client und Server Server Modus client-server client-server 192.168.43.17 192.168.1.2 192.168.43.17 ServerIP-Adresse Schalten Sie die Funktion auf denen Geräten ein, deren Zeit Sie mittels NTP einstellen ...
Seite 588 Die Systemzeit im Netz synchronisieren 5.3 NTP Für Switch 2:  Legen Sie in Spalte den Wert fest. IP-Adresse 192.168.1.2 Um die Tabellenzeile zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche ...
Seite 589 Die Systemzeit im Netz synchronisieren 5.3 NTP UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 590 Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 591 Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6.1.2 Externer Speicher (ACA) und nichtflüchtiger Speicher (NVM) Sie können erkennen, ob die Einstellungen des „ausgewählten“ Konfigurationsprofils (ACA) im externen Speicher von den Einstellungen des „ausgewählten“ Konfigurationsprofils im perma- nenten Speicher (NVM) abweichen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 592 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Einstellungen speichern 6.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 593 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Die im permanenten Speicher (nvm) enthaltenen show config profiles nvm Konfigurationsprofile anzeigen. In den Privileged-EXEC-Modus wechseln. enable Aktuelle Einstellungen im Konfigurationsprofil mit copy config running-config nvm profile <string> der Bezeichnung im permanenten Spei- <string> cher (nvm) speichern. Wenn vorhanden, über- schreibt das Gerät ein namensgleiches Konfigurationsprofil.
Seite 594 Konfigurationsprofile verwalten 6.2 Einstellungen speichern 6.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Speicher. In der Voreinstellung ist Ausgewählter externer die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 595 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Exportieren Sie das Konfigurationsprofil auf einen Remote-Server. Führen Sie dazu die folgenden Schritte aus: Klicken Sie die Schaltfläche und dann den Eintrag Exportieren.. Der Dialog zeigt das Fenster Exportieren..Legen Sie im Feld die URL der Datei auf dem Remote-Server fest. ...
Seite 596 Konfigurationsprofile verwalten 6.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 6.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Seite 597 Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Vergewissern Sie sich, dass das Gerät beim Systemstart ein Konfigurationsprofil aus dem  externen Speicher lädt. In der Voreinstellung ist die Funktion eingeschaltet. Wenn die Funktion ausgeschaltet ist, schalten Sie sie wie folgt wieder ein: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 598 Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Laden/Speichern.  Klicken Sie die Schaltfläche und dann den Eintrag Importieren.. Der Dialog zeigt das Fenster Importieren..Wählen Sie in der Dropdown-Liste den Speicherort aus, von dem das Gerät Select source ...
Seite 599 Konfigurationsprofile verwalten 6.3 Einstellungen laden Importieren Sie das Konfigurationsprofil aus dem externen Speicher. Führen Sie dazu die folgenden Schritte aus: Wählen Sie im Rahmen in der Dropdown-Liste Import profile from external memory Profilname  den Namen des zu importierenden Konfigurationsprofils. Voraussetzung ist, dass der externe Speicher ein exportiertes Konfigurationsprofil enthält.
Seite 600 Konfigurationsprofile verwalten 6.4 Gerät auf Voreinstellung zurücksetzen Gerät auf Voreinstellung zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 601 Konfigurationsprofile verwalten 6.4 Gerät auf Voreinstellung zurücksetzen Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste.  Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM). Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Speicher gespeicherten Konfigurationsprofile.
Seite 602 Geräte-Software aktualisieren 7.1 Laden einer früheren Version der Geräte-Software 7 Geräte-Software aktualisieren Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Geräte-Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirschmann.com.
Seite 603 Geräte-Software aktualisieren 7.2 Software-Aktualisierung vom PC Software-Aktualisierung vom PC Das Gerät ermöglicht Ihnen, die Geräte-Software zu aktualisieren, wenn ein geeignetes Image der Geräte-Software auf einem Datenträger gespeichert ist, den Sie von Ihrem PC aus erreichen. Um während der Software-Aktualisierung beim Management des Geräts angemeldet zu bleiben, bewegen Sie gelegentlich den Mauszeiger.
Seite 604 Geräte-Software aktualisieren 7.3 Software-Aktualisierung von einem Server Software-Aktualisierung von einem Server Das Gerät ermöglicht Ihnen, seine Software zu aktualisieren, wenn Sie Zugriff auf einen Server haben, auf dem ein passendes Image der Geräte-Software gespeichert ist. Das Gerät bietet Ihnen folgende Möglichkeiten, die Geräte-Software zu aktualisieren: Software-Aktualisierung von einem SFTP-Server ...
Seite 605 Geräte-Software aktualisieren 7.3 Software-Aktualisierung von einem Server In den Privileged-EXEC-Modus wechseln. enable Übertragen des Images der Geräte-Software von copy firmware remote sftp:// user:password@10.0.1.159:21/path/to/ einem SFTP-Server in den Flash-Speicher des software_image.bin system Geräts. • copy firmware remote Übertragen des Images der Geräte-Software von einem entfernten Standort.
Seite 606 Geräte-Software aktualisieren 7.3 Software-Aktualisierung von einem Server Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Software.  Legen Sie im Rahmen Software-Update, Feld den URL zum Image der Geräte-Soft-  ware in der folgenden Form fest: scp://Benutzer:Passwort@IP-Adresse/Pfad/zum/Software_Image.bin Sie können den URL auch ohne den Benutzernamen und das Passwort festlegen.
Seite 607 Geräte-Software aktualisieren 7.4 Software-Aktualisierung aus dem externen Speicher Software-Aktualisierung aus dem externen Speicher 7.4.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software zu aktualisieren, wenn auf dem externen Spei- cher ein geeignetes Image der Geräte-Software gespeichert ist. Um während der Software-Aktualisierung beim Management des Geräts angemeldet zu bleiben, bewegen Sie gelegentlich den Mauszeiger.
Seite 608 Geräte-Software aktualisieren 7.4 Software-Aktualisierung aus dem externen Speicher Starten Sie das Gerät neu.  Während des Boot-Vorgangs prüft das Gerät automatisch folgende Kriterien: – Ist ein externer Speicher angeschlossen? – Befindet sich im Hauptverzeichnis des externen Speichers eine Datei startup.txt? –...
Seite 609 Geräte-Software aktualisieren 7.4 Software-Aktualisierung aus dem externen Speicher UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 610 Ports konfigurieren 8.1 Port ein-/ausschalten 8 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten  Betriebsart wählen  Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Port, Registerkarte Konfiguration.
Seite 611 Ports konfigurieren 8.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Autoneg.. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Port, Registerkarte Konfiguration. Grundeinstellungen >...
Seite 612 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.1 SNMPv1/v2-Community ändern 9 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Seite 613 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Seite 614 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Seite 615 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Seite 616 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 Zugriffe auf das Management des Geräts beschränken Zugriffe auf das Management des Geräts beschränken In der Voreinstellung kann ein jeder von einer beliebigen IP-Adresse und mit einem beliebigen Protokoll auf das Management des Geräts zugreifen. Das Gerät ermöglicht Ihnen, Zugriffe auf das Management des Geräts für ausgewählte Protokolle aus einem bestimmten IP-Adressbereich oder über einen bestimmten physischen Port einzuschränken.
Seite 617 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 Zugriffe auf das Management des Geräts beschränken 9.5.2 Zugriffe aus einem bestimmten IP-Adressbereich einschränken Im folgenden Beispiel soll das Gerät ausschließlich aus dem Firmennetz über die grafische Benut- zeroberfläche erreichbar sein. Der Administrator soll zusätzlich Fernzugriff per SSH erhalten. Das Firmennetz hat den Adressbereich 192.168.1.0/24 und der Fernzugriff erfolgt aus einem Mobil-...
Seite 618 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 Zugriffe auf das Management des Geräts beschränken IP-Adresse des Firmennetzes festlegen. network management access modify 2 ip 192.168.1.0 Netzmaske des Firmennetzes festlegen. network management access modify 2 mask 24 SSH für den Adressbereich des Firmennetzes network management access modify 2 ssh disable deaktivieren.
Seite 619 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität des angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: Command Line Interface: Sessions über eine SSH-Verbindung ...
Seite 620 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Web.  Legen Sie im Rahmen Konfiguration, Feld Webinterface-Session Timeout [min] die Timeout- ...
Seite 621 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 622 Datenverkehr kontrollieren 10 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 623 Datenverkehr kontrollieren 10.1 Asset 10.1 Asset Ein Asset repräsentiert ein physisches Gerät, zum Beispiel eine SPS (Speicherprogrammierbare Steuerung), einen Computer oder ein Gerät im Netz. Ein Asset kann auch ein virtuelles Objekt repräsentieren, zum Beispiel einen Multicast-Adressbereich oder eine Multicast-Adresse. Assets bieten Flexibilität beim Hinzufügen und Pflegen von Paketfilter-Regeln.
Seite 624 Datenverkehr kontrollieren 10.1 Asset In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Ein Asset hinzufügen. asset add 1 name corporate-unity-pro type controller model unity-pro tag corporate • asset add 1 ip-address 192.168.112.5 Asset mit Index = hinzufügen. • name corporate-unity-pro Name festlegen.
Seite 625 Datenverkehr kontrollieren 10.2 Protokoll 10.2 Protokoll Protokolle definieren die einzelnen Dienste, mit denen die Kommunikation zwischen Geräten im Netz erfolgt. Das Gerät verfügt über mehrere vordefinierte Protokolle, die in zahlreichen industri- ellen Systemen zum Einsatz kommen. In bestimmten Fällen kann es jedoch erforderlich sein, neue Protokolle für bestimmte Geräte oder Situationen hinzuzufügen.
Seite 626 Datenverkehr kontrollieren 10.2 Protokoll In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Ein benutzerdefiniertes Protokoll hinzufügen. protocol add 1 name my-protocol protocol- type tcp port 200 • protocol add 1 Protokoll mit Index = hinzufügen. • name my-protocol Name festlegen.
Seite 627 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus 10.3 Paketfilter – Routed-Firewall-Modus 10.3.1 Beschreibung Der Routed-Firewall-Modus-Paketfilter (Schicht 3) enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen routenden Ports anwendet. Die Filterung beinhaltet naturgemäß das Prüfen und Bewerten des Datenstroms. Das Gerät enthält eine Stateful Firewall. Eine Stateful Fire- wall zeichnet den Status der Verbindungen auf, welche die Firewall durchlaufen.
Seite 628 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Tab. 13: Mögliche Eingaben in Spalte Parameter Eingabe Bedeutung Diese Regel trifft auf jedes Paket zu, das aus neuen oder bereits state=new|est bestehenden Verbindungen stammt. Diese Regel trifft nur auf Pakete mit dem ICMP-Typ 5 zu. type=5 Diese Regel trifft nur auf Pakete zu, bei denen das Flag SYN gesetzt flags=syn...
Seite 629 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Anmerkung: Um die Information aus der State-Tabelle der Firewall zu löschen, klicken Sie im Dialog die Schaltfläche Grundeinstellungen > Neustart Firewall-Tabelle leeren. 10.3.2 Paketfilter-Regeln einrichten Die Abbildung zeigt einen typischen Anwendungsfall: Eine Fertigungssteuerung möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist.
Seite 630 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Legen Sie für die Regel die folgenden Einstellungen fest:  Den Wert oder in Spalte 10.0.2.17 10.0.2.17/32 Quelle Adresse  Den Wert in Spalte Quelle Port  Den Wert 10.0.1.5 oder 10.0.1.5/32 in Spalte Ziel Adresse ...
Seite 631 Datenverkehr kontrollieren 10.3 Paketfilter – Routed-Firewall-Modus Erstellen Sie Regeln für zu sendende IP-Pakete. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel.  Erstellen Sie eine Regel drop everything, die jedes IP-Paket verwirft. ...
Seite 632 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus 10.4 Paketfilter – Transparent-Firewall-Modus 10.4.1 Beschreibung Der Transparent-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen nicht-routenden Ports oder VLAN-Interfaces anwendet. Der Transparent- Firewall-Modus-Paketfilter wertet jedes Datenpaket, das die Firewall durchläuft, anhand des Zustands der Verbindung wie unten beschrieben aus: •...
Seite 633 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Transparent-Firewall-Modus Paketfilter folgt einem zweistufigen Konzept zur Aktivierung neu hinzugefügter oder geänderter Regeln. Wenn Sie die Schaltfläche klicken, speichert das Gerät die in der Tabelle enthaltenen Regeln flüchtig im Cache. Um die Regeln auf den Datenstrom anzu- wenden, klicken Sie im Dialog die Schalt- Netzsicherheit >...
Seite 634 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche  Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Wählen Sie in der Dropdown-Liste den Port 1/1.
Seite 635 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Transparent-Firewall-Modus-Paketfilter-Regel hinzu- packet-filter l2 rule add 1 action accept src-ip 10.0.1.11 dest-ip 10.0.1.158 fügen. ethertype ipv4 description accept ipv4 dev • packet-filter l2 rule add 1 b to dev a Transparent-Firewall-Modus-Paketfilter-Regel mit Index =...
Seite 636 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Eintrag kommend, um die Regel für Richtung ...
Seite 637 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Regeln basierend auf MAC-Adressen einrichten Im folgenden Beispiel möchte der Administrator des Netzes die Datenpakete von den Computern B und C zu Computer A auf Grundlage der MAC-Adresse der Geräte akzeptieren. Die Firewall trennt Computer A vom Firmennetz.
Seite 638 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Wählen Sie in der Dropdown-Liste Port/VLAN den Port 1/1.  Wählen Sie in der Dropdown-Liste Richtung den Eintrag kommend, um die Regel für ...
Seite 639 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Transparent-Firewall-Modus-Paketfilter-Regel hinzu- packet-filter l2 rule add 1 action accept src-mac 10:22:33:44:55:66 dest-mac fügen. 10:22:33:44:55:99 ethertype vlan8021q vlan • packet-filter l2 rule add 1 10 description accept mac dev b to dev a Transparent-Firewall-Modus-Paketfilter-Regel mit Index = hinzufügen.
Seite 640 Datenverkehr kontrollieren 10.4 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Eintrag kommend, um die Regel für Richtung ...
Seite 641 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken 10.5 Unterstützung beim Schutz vor DoS-Attacken Denial-of-Service (DoS) ist ein Cyber-Angriff, der darauf abzielt, bestimmte Dienste oder Geräte funktionsunfähig zu machen. Sowohl Angreifer als auch Netzwerkadministratoren können mit der Port-Scan-Methode offene Ports in einem Netzwerk aufspüren, um verwundbare Geräte zu finden. Die Funktion unterstützt Sie beim Schutz des Netzes vor ungültigen oder gefälschten Datenpa- keten, die auf bestimmte Dienste oder Geräte abzielen.
Seite 642 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken In der Voreinstellung ist die Funktion Null-Scan Filter ausgeschaltet. Um die Funktion Null-Scan Filter zu aktivieren, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DoS > Global.  Aktivieren Sie die Funktion Filter.
Seite 643 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion SYN/FIN Filter aktivieren Bei der SYN/FIN-Methode sendet die angreifende Station Datenpakete, bei denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind. Das Gerät verwendet die Funktion Filter, um SYN/FIN empfangene Datenpakete zu verwerfen, in denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind.
Seite 644 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion TCP-SYN Schutz aktivieren Bei der TCP SYN-Methode sendet die angreifende Station Datenpakete, in denen das TCP-Flag SYN gesetzt ist und bei denen der L4- (Schicht 4-) Quell-Port <1024 ist. Das Gerät verwendet die Funktion Schutz, um eingehende Datenpakete zu verwerfen, in denen das TCP-Flag SYN TCP-SYN...
Seite 645 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion Min.-Header-Size Filter aktivieren Das Gerät verwendet die Funktion Filter, um den TCP-Header von empfangenen Min.-Header-Size Datenpaketen zu prüfen. Das Gerät verwirft das Datenpaket, wenn (Daten-Offset-Wert × 4) < minimale TCP-Header-Größe ist. Die Funktion erkennt empfangene Datenpakete mit den folgenden Eigen- Min.-Header-Size Filter...
Seite 646 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion aktivieren. Land-Attack Filter dos ip-land enable Funktion deaktivieren. Land-Attack Filter no dos ip-land disable Funktion IP-Source-Route verwerfen deaktivieren Das Gerät verwendet die Funktion verwerfen, um die empfangenen IP-Datenpakete IP-Source-Route zu filtern, bei denen die Option Strict Source Routing oder Loose Source Routing gesetzt ist.
Seite 647 Datenverkehr kontrollieren 10.5 Unterstützung beim Schutz vor DoS-Attacken Funktion Fragmentierte Pakete filtern aktivieren Das Gerät verwendet die Funktion filtern, um das Netzwerk vor angreifenden Fragmentierte Pakete Stationen zu schützen, die fragmentierte ICMP-Pakete senden. Fragmentierte ICMP-Pakete können eine Fehlfunktion des Zielgeräts verursachen, wenn das Zielgerät die fragmentierten ICMP-Pakete falsch verarbeitet.
Seite 648 Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection 10.6 Funktion Deep Packet Inspection Die Funktion (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz des Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die Funktion untersucht Datenpakete auf unerwünschte Merkmale und Protokollverletzungen.
Seite 649 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Das Protokoll Modbus ist im Bereich der Automatisierung weit verbreitet. Das Protokoll basiert auf Funktionscode, den Kommandos.  Einige der ermöglichen Ihnen, Register- oder Coil-Adressbereiche festzulegen. Funktionscode ...
Seite 650 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil erstellen Für den im Anwendungsbeispiel beschriebenen Zweck fügen Sie das Enforcer-Profil mit den Modbus oben genannten Werten und dem Namen my-modbus hinzu. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 651 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil auf den Datenstrom anwenden Führen Sie den folgenden Schritt aus: Klicken Sie die Schaltfläche  Enforcer-Profile anwenden. Modbus dpi modbus commit UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 652 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer 10.8 Funktion Deep Packet Inspection - OPC Enforcer OLE for Process Control (OPC) ist ein Integrationsprotokoll für industrielle Umgebungen. Die Funk- tion dient der Sicherheit im Netz. Das Gerät blockiert Datenpakete, die gegen die fest- OPC Enforcer gelegten Profile verstoßen.
Seite 653 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer OPC Enforcer-Profil erstellen Für den im Anwendungsbeispiel beschriebenen Zweck fügen Sie das Enforcer-Profil mit den oben genannten Werten und dem Namen my-opc hinzu. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 654 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - OPC Enforcer OPC Enforcer-Profil auf den Datenstrom anwenden Führen Sie den folgenden Schritt aus: Klicken Sie die Schaltfläche  Enforcer-Profile anwenden. dpi opc commit UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 655 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Das Protokoll DNP3 (Distributed Network Protocol v3) umfasst Multiplexing, Fehlerprüfung, Verbin- dungssteuerung, Priorisierung und Schicht-2-Adressierungsdienste für die Benutzerdaten. Das Protokoll basiert auf dem Profil, das Funktionscode-Liste, Objekte und Kommandos ...
Seite 656 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Der Netzadministrator möchte, dass das Gerät Datenpakete vom DNP3-Master an den DNP3- Client (Outstation) weiterleitet. Die Datenpakete enthalten folgende Funktionscodes und Objekte: Funktionscode-Liste:  – 1 (Read) – 2 (Write) –...
Seite 657 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer Erstellen Sie die Objekte und wenden Sie diese auf das Enforcer-Profil an. Führen DNP3  Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > DNP3 Enforcer > Objekt.
Seite 658 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - DNP3 Enforcer DNP3 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > DNP3 Enforcer > Profil.  Markieren Sie das Kontrollkästchen in Spalte Profil aktiv. ...
Seite 659 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer Die Funktion IEC104 Enforcer aktiviert die Firewall-Funktionen der Deep Packet Inspection (DPI) für den IEC104-Datenstrom. Das Protokoll basiert auf einem Profil, das folgende Parameter enthält: Type-IDs ...
Seite 660 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil erstellen Für den im Anwendungsbeispiel beschriebenen Zweck fügen Sie das Enforcer-Profil mit den IEC104 oben genannten Werten und dem Namen my-iec104 hinzu. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 661 Datenverkehr kontrollieren 10.10 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche  aktivieren. IEC104 Enforcer-Profil dpi iec104 enable 1 Nach dem Aktivieren des Profils hilft das Gerät, Änderungen an dem Profil zu verhindern.
Seite 662 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11.1 Beschreibung Die Funktion AMP Enforcer unterstützt das Common ASCII Message Protocol (CAMP) und das Non- Intelligent Terminal Protocol (NITP) mittels Transmission Control Protocol (TCP). Die Funktion wendet die Deep Packet Inspection (DPI) auf den CAMP- und NITP-Datenstrom an.
Seite 663 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer 10.11.2 Funktion Program and Mode Protect Das Gerät verwendet die Funktion Protect, um Datenpakete zu vermitteln oder zu Program and Mode verwerfen, die Taskcodes mit dem Modus config enthalten. Die Taskcodes mit dem Modus config sind Kommando- oder Antwortmeldungen.
Seite 664 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer Zu dem oben beschriebenen Zweck fügen Sie das Enforcer-Profil mit den oben genannten Werten und dem Namen hinzu. accept-camp Führen Sie die folgenden Schritte aus: Enforcer-Profil erstellen.  Öffnen Sie den Dialog Netzsicherheit >...
Seite 665 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer aktivieren. Enforcer-Profil dpi amp profile enable 1 Nach dem Aktivieren des Profils hilft das Gerät, Änderungen an dem Profil zu verhindern. Enforcer-Profil auf den Datenstrom anwenden.  Öffnen Sie den Dialog Netzsicherheit >...
Seite 666 Datenverkehr kontrollieren 10.11 Funktion Deep Packet Inspection - AMP-Enforcer Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Legen Sie im Feld den Wert fest. Index  Klicken Sie die Schaltfläche Ok.  Das Gerät fügt ein Profil hinzu. Legen Sie für das Profil die folgenden Einstellungen fest: ...
Seite 667 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Das Ethernet Industrial Protocol (ENIP) ist Teil des Common Industrial Protocol (CIP). Das Proto- koll Common Industrial Protocol (CIP) definiert die Objektstruktur und legt den Austausch der Nachrichten fest.
Seite 668 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Der Administrator des Netzes möchte, dass das Gerät Datenpakete von der ENIP-Leitstelle (Server) an die SPS (Client) weiterleitet. Die Datenpakete enthalten folgende Merkmale: Funktionstyp advanced  Spalte = markiert Embedded PCCC zulassen ...
Seite 669 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Enforcer-Profil hinzufügen. ENIP dpi enip profile add 1 description my-enip function-type advanced def-list 6 wildcard- • dpi enip profile add 1 list 0x01 allow-emb-pccc enable Enforcer-Profil mit Index = hinzufügen.
Seite 670 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer Enforcer-Profile anwenden. ENIP dpi enip profile commit ENIP Enforcer-Profile anzeigen. show dpi enip profiletable Enforcer-Objekte anzeigen. ENIP show dpi enip objecttable UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 671 Datenverkehr kontrollieren 10.12 Funktion Deep Packet Inspection - ENIP Enforcer UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 672 Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, die Ihnen helfen können, die Netzlast zu redu- zieren: Gezielte Paketvermittlung  Lastbegrenzung  Priorisierung - QoS  Flusskontrolle  11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete.
Seite 673 Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (Forwarding Database) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 674 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure MAC-Adressfilter hinzufügen, bestehend aus mac-filter <MAC address> <VLAN ID> MAC-Adresse und VLAN-ID. In den Interface-Konfigurationsmodus von interface 1/1 Interface wechseln. Dem Port einen bereits hinzugefügten mac-filter <MAC address> <VLAN ID> MAC-Adressfilter zuweisen.
Seite 675 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von interface 1/1 Interface wechseln. Auf dem Port die Zuweisung des MAC-Adressfil- no mac-filter <MAC address> <VLAN ID> ters aufheben. In den Konfigurationsmodus wechseln. exit MAC-Adressfilter löschen, bestehend aus no mac-filter <MAC address>...
Seite 676 Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt für einen stabilen Betrieb auch bei hohem Datenaufkommen, indem sie die Menge der Datenpakete auf den Ports begrenzt. Die Lastbegrenzung erfolgt indivi- duell für jeden Port sowie getrennt für eingehende und ausgehende Datenpakete. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Seite 677 Netzlaststeuerung 11.3 QoS/Priorität 11.3 QoS/Priorität QoS (Quality of Service) ist ein in IEEE 802.1D beschriebenes Verfahren, mit dem Sie die Ressourcen im Netz verteilen. QoS ermöglicht Ihnen, Daten der wichtigsten Anwendungen zu prio- risieren. Die Priorisierung vermeidet insbesondere bei starker Netzlast, dass Datenpakete mit geringerer Priorität verzögerungsempfindliche Datenpakete stören.
Seite 678 Netzlaststeuerung 11.3 QoS/Priorität Das Gerät wertet bei Datenpaketen mit VLAN-Tags folgende Informationen aus: Prioritätsinformation  VLAN-Tag, sofern VLANs eingerichtet sind  4 Octets Abb. 31: Aufbau des VLAN-Tag Ein Datenpaket, dessen VLAN-Tag eine Prioritätsinformation, aber keine VLAN-Information (VLAN-ID = 0) enthält, bezeichnet man als Priority Tagged Frame. Anmerkung: Netzprotokolle und Redundanzmechanismen nutzen die höchste Verkehrsklasse 7.
Seite 679 Netzlaststeuerung 11.3 QoS/Priorität VLAN-Priorität einer Verkehrsklasse zuweisen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Switching > QoS/Priority > 802.1D/p Zuweisung.  Um einer VLAN-Priorität eine Verkehrsklasse zuzuweisen, fügen Sie in Spalte Traffic-  den betreffenden Wert ein. Klasse Einstellungen vorläufig anwenden.
Seite 680 Netzlaststeuerung 11.4 Flusskontrolle 11.4 Flusskontrolle Wenn in der Warteschlange eines Ports sehr viele Datenpakete gleichzeitig eintreffen, dann führt dies möglicherweise zum Überlaufen des Port-Speichers. Dies geschieht zum Beispiel, wenn das Gerät Daten auf einem Gigabit-Port empfängt und diese an einen Port mit niedrigerer Bandbreite weiterleitet.
Seite 681 Netzlaststeuerung 11.4 Flusskontrolle 11.4.2 Flusskontrolle bei Vollduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Vollduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät eine Aufforderung an Arbeitsstation 2, beim Senden eine kleine Pause einzulegen. 11.4.3 Flusskontrolle einrichten Führen Sie die folgenden Schritte aus:...
Seite 682 VLANs 12.1 Beispiele für ein VLAN 12 VLANs Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basieren zusätzlich auf logi- schen (statt ausschließlich physischen) Verbindungen zwischen Netzteilnehmern.
Seite 683 VLANs 12.1 Beispiele für ein VLAN 12.1.1 Anwendungsbeispiel für ein einfaches Port-basiertes VLAN Das Beispiel zeigt eine minimale VLAN-Konfiguration (Port-basiertes VLAN). Ein Administrator hat an einem Vermittlungsgerät mehrere Endgeräte angeschlossen und diese 2 VLANs zugewiesen. Dies unterbindet wirksam jeglichen Datenverkehr zwischen verschiedenen VLANs; deren Mitglieder kommunizieren ausschließlich innerhalb ihres eigenen VLANs.
Seite 684 VLANs 12.1 Beispiele für ein VLAN Führen Sie die folgenden Schritte aus: VLAN einrichten  Öffnen Sie den Dialog Switching > VLAN > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Legen Sie im Feld den Wert fest.
Seite 685 VLANs 12.1 Beispiele für ein VLAN Legen Sie in Spalte das zugehörige VLAN fest: Port VLAN-ID  oder Da Endgeräte in der Regel keine Datenpakete mit Tag interpretieren, legen Sie für die  Endgeräte-Ports in Spalte den Wert admitAll fest. Akzeptierte Datenpakete Einstellungen vorläufig anwenden.
Seite 686 VLANs 12.1 Beispiele für ein VLAN 12.1.2 Anwendungsbeispiel für ein komplexes VLAN-Setup Das zweite Beispiel zeigt eine komplexere Konfiguration mit 3 VLANs (1 bis 3). Zusätzlich zu dem schon bekannten Switch aus Beispiel 1 verwenden Sie einen zweiten Switch (im Beispiel rechts gezeichnet).
Seite 687 VLANs 12.1 Beispiele für ein VLAN Tab. 18: Ingress-Tabelle Gerät rechts Endgerät Port Port VLAN Identifer (PVID) Uplink Tab. 19: Egress-Tabelle Gerät links VLAN-ID Port Tab. 20: Egress-Tabelle Gerät rechts VLAN-ID Port Die Kommunikationsbeziehungen sind hierbei wie folgt: Endgeräte an Port 1 und 4 des linken Geräts sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 688 VLANs 12.1 Beispiele für ein VLAN Klicken Sie die Schaltfläche Ok.  Legen Sie für das VLAN den Namen fest: VLAN2  Doppelklicken Sie in Spalte und legen den Namen fest. Name Ändern Sie für VLAN den Wert in Spalte Default auf VLAN1.
Seite 689 VLANs 12.1 Beispiele für ein VLAN Legen Sie für den Uplink-Port in Spalte Akzeptierte Datenpakete  Wert fest. admitOnlyVlanTagged Markieren Sie für den Uplink-Port das kontrollkästchen in Spalte Ingress-Filtering, um  VLAN-Tags auf diesem Port auszuwerten. Einstellungen vorläufig anwenden. Klicken Sie dazu die Schaltfläche ...
Seite 690 VLANs 12.1 Beispiele für ein VLAN In den Konfigurationsmodus wechseln. exit In den Privileged-EXEC-Modus wechseln. exit Details zu VLAN anzeigen. show vlan id 3 VLAN ID......3 VLAN Name....VLAN3 VLAN Type....Static VLAN Creation Time...0 days, 00:07:47 (System Uptime) VLAN Routing....disabled Interface Current Configured Tagging...
Seite 691 VLANs 12.1 Beispiele für ein VLAN UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 692 Routing 13.1 Konfiguration 13 Routing 13.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten des Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Seite 693 Routing 13.2 Routing - Grundlagen 13.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren;  eine gemeinsame Basis für die Entwicklung von weiteren Normen für offene Systeme zur Verfü- ...
Seite 694 Routing 13.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist der Netz-Administrator in der Lage, durch systematisches Zuweisen von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 193 „CIDR”).
Seite 695 Routing 13.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und sendet die Daten.
Seite 696 Routing 13.2 Routing - Grundlagen Anmerkung: Die Funktion 1:1-NAT ermöglicht Ihnen außerdem, die Geräte in ein größeres L3-Netz zu integrieren. 13.2.2 CIDR Die ursprüngliche Klasseneinteilung der IP-Adressen sah nur 3 für Anwender nutzbare Adress- klassen vor. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Tab.
Seite 697 Routing 13.2 Routing - Grundlagen 13.2.3 Multinetting Multinetting ermöglicht Ihnen, mehrere Subnetze an einem Routerport anzuschließen. Multinetting bietet sich als Lösung an, wenn Sie bestehende Subnetze innerhalb eines physischen Mediums mit einem Router verbinden wollen. In diesem Fall können Sie mit Multinetting dem Router-Inter- face, an dem Sie das physische Medium anschließen, mehrere IP-Adressen für die unterschiedli- chen Subnetze zuweisen.
Seite 698 Routing 13.3 Statisches Routing 13.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Sie legen fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 699 Routing 13.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 42: Einfachster Fall einer Route Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von interface 2/1 Interface wechseln.
Seite 700 Routing 13.3 Statisches Routing 13.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 701 Routing 13.3 Statisches Routing Port aus VLAN herausnehmen. In der Vorein- vlan participation exclude 1 stellung ist jeder Port dem VLAN zugewiesen. Port zum Mitglied von VLAN erklären. vlan participation include 2 Die Port-VLAN-ID festlegen. Damit weist das vlan pvid 2 Gerät Datenpakete, die der Port ohne VLAN-Tag empfängt, dem VLAN In den Konfigurationsmodus wechseln.
Seite 702 Routing 13.3 Statisches Routing Klicken Sie die Schaltfläche Weiter.  Legen Sie im Feld einen Namen für das VLAN fest. Für dieses Beispiel legen Sie Name  den Wert fest. VLAN002 Markieren Sie das Kontrollkästchen in Spalte für die Ports, die Mitglied dieses Member ...
Seite 703 Routing 13.3 Statisches Routing Konfiguration einer einfachen statischen Route Geben Sie für Router A eine statische Route ein, ausgehend von der Konfiguration des Router- Interfaces im vorhergehenden Beispiel. Siehe Abbildung 42 auf Seite 196. Führen Sie dazu die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln.
Seite 704 Routing 13.3 Statisches Routing Die Funktion an diesem Interface akti- Routing ip routing vieren. In den Konfigurationsmodus wechseln. exit Den statischen Routing-Eintrag für die redundante ip route add 10.0.3.0 255.255.255.0 10.0.4.2 preference 2 Route hinzufügen. Der Wert am Ende des Kommandos kennzeichnet den Präferenz-Wert.
Seite 705 Routing 13.4 NAT – Network Address Translation 13.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Seite 706 Routing 13.4 NAT – Network Address Translation 13.4.2 1:1 NAT Die Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- 1:1-NAT dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 707 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Sie benötigen 2 NAT-Router.  In jedem Gerät ist die Funktion eingeschaltet. Routing  In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen- ...
Seite 708 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Ingress-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog oder den Dialog Routing > Interfaces > Konfiguration Routing > L3-  Redundanz > VRRP > Konfiguration.
Seite 709 Routing 13.4 NAT – Network Address Translation 13.4.3 Destination NAT Die Funktion ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Destination-NAT Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form der Funktion Destination-NAT ist die Port-Weiterleitung. Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommu- nikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 710 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Funktion eingeschaltet. Routing  Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden.  In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als ...
Seite 711 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Fügen Sie eine Regel hinzu.  Öffnen Sie den Dialog Routing > NAT > Destination-NAT > Regel.  Fügen Sie eine Tabellenzeile hinzu. Klicken Sie dazu die Schaltfläche ...
Seite 712 Routing 13.4 NAT – Network Address Translation Regel auf den Datenstrom anwenden.  Öffnen Sie den Dialog Routing > NAT > NAT Global.  Klicken Sie die Schaltfläche  Wenn sich geänderte Regeln auf bestehende Einträge in der State-Tabelle der Firewall auswirken, hilft es, die State-Tabelle zu löschen.
Seite 713 Routing 13.4 NAT – Network Address Translation 13.4.5 Double-NAT Die Funktion ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in Double-NAT unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 714 Routing 13.4 NAT – Network Address Translation Anwendungsbeispiel für die Funktion Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 715 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Router-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Markieren Sie auf den Router-Interfaces, die mit dem Firmennetz und mit der Produktions- ...
Seite 716 Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > Double-NAT > Zuweisung.  Klicken Sie die Schaltfläche Zuweisen.  Wählen Sie im Feld das Router-Interface aus, das mit der Produktionszelle verbunden Port  ist. Wählen Sie im Feld den Wert gehend.
Seite 717 Routing 13.5 VRRP 13.5 VRRP Üblicherweise ermöglichen Endgeräte, ein Standard-Gateway zum Vermitteln von Datenpaketen in externe Subnetze festzulegen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mit anderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden. In diesem Fall bietet das Virtual-Router-Redundancy-Protokoll (VRRP) Unterstützung.
Seite 718 Routing 13.5 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 719 Routing 13.5 VRRP VRRP-Priorität  Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den Inhaber der IP-Adresse. VRID  Die Kennung des Virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Seite 720 Routing 13.5 VRRP Schalten Sie den virtuellen Router ein.  Weisen Sie die VRRP-Priorität zu.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion global einschalten. Routing ip routing VRRP global einschalten. ip vrrp operation In den Interface-Konfigurationsmodus von interface 1/3 Interface wechseln.
Seite 721 Routing 13.5 VRRP Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen  Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway  13.5.3 VRRP mit Multinetting Der Router ermöglicht Ihnen, VRRP mit Multinetting zu kombinieren.
Seite 722 Routing 13.6 OSPF 13.6 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF-Kosten“, die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 723 Routing 13.6 OSPF 13.6.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut. Mit Hilfe von sogenannten Areas unterteilen Sie das Netz. Autonomes System Ein autonomes System (Autonomous System, AS) ist eine Anzahl von Routern, die unter einer administrativen Verwaltung stehen und ein gemeinsames Interior Gateway Protokoll (IGP) benutzen.
Seite 724 Routing 13.6 OSPF Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung. Zwischen den Areas werden die Routing-Informationen so weit wie möglich zusammengefasst (Route Summarization).
Seite 725 Routing 13.6 OSPF Stub-Area:  Eine Area definieren Sie als Stub-Area, wenn externe LSAs nicht in die Area geflutet werden sollen. Extern heißt außerhalb des autonomen Systems. Das sind die gelben und orangefar- benen Verbindungen (siehe Abbildung 57 auf Seite 222).
Seite 726 Routing 13.6 OSPF Virtuelle Verbindung (Virtual Link) OSPF setzt voraus, dass die Backbone-Area mit jeder Area verbunden ist. Ist das aber in der Realität nicht möglich, bietet OSPF eine virtuelle Verbindung (VL) an, um Teile der Backbone-Area miteinander zu verbinden. Eine VL ermöglicht Ihnen außerdem eine Area anzubinden, die über eine andere Area mit der Backbone Area verbunden ist.
Seite 727 Routing 13.6 OSPF Area Border Router (ABR)  ABRs besitzen OSPF-Interfaces in mehreren Areas, darunter auch in der Backbone-Area. ABRs partizipieren somit in mehreren Areas. Wenn möglich, fassen Sie mehrere Routen zusammen und senden Sie „Summary-LSAs“ in die Backbone-Area. Autonomous System Area Border Router (ASBR): ...
Seite 728 Routing 13.6 OSPF 13.6.2 Prinzipielle Arbeitsweise von OSPF OSPF wurde speziell auf die Bedürfnisse von größeren Netzen zugeschnitten und bietet eine schnelle Konvergenz sowie eine minimale Verwendung von Protokollnachrichten. Das Konzept von OSPF basiert auf der Generierung, Aufrechterhaltung und Verteilung der soge- nannten Link-State-Database.
Seite 729 Routing 13.6 OSPF Aus Sicherheitsgründen sieht OSPF noch die Wahl eines Backup-Designated-Routers (BDR) vor, der beim Ausfall des DR dessen Aufgaben übernimmt. Der OSPF-Router mit der höchsten Router- Priorität wird DR. Die Router-Priorität legt der Administrator fest. Wenn Router die gleiche Priorität haben, dann wird der Router mit der höheren Router-ID gewählt.
Seite 730 Routing 13.6 OSPF Die folgende Liste enthält die Status der Adjacencies: Noch keine Hello-Pakete empfangen Down Hello-Pakete empfangen Init Bidirektionale Kommunikation, Ermittlung des DR und BDR 2-way Aushandeln von Master/Slave für LSA-Austausch Exstart LSAs werden ausgetauscht bzw. geflutet Exchange Abschluss des LSA-Austauschs. Loading Datenbasis komplett und in der Area einheitlich.
Seite 731 Routing 13.6 OSPF 13.6.5 Routenberechnung Nach dem Lernen der LSDs und und dem Übergang der Nachbarschaftbeziehungen in den "Full State", berechnet jeder Router einen Pfad zu jedem Ziel mit Hilfe des Shortest Path First (SPF) Algorithmus. Nachdem der optimale Weg zu jedem Ziel ermittelt wurde, werden diese Routen in die Routing-Tabelle eingetragen.
Seite 732 Routing 13.6 OSPF Richten Sie die OSPF-Funktionen ein. Führen Sie dazu die folgenden Schritte aus: Router Interfaces einrichten – IP-Adresse und Netzmaske zuweisen.  Funktion auf dem Port aktivieren. OSPF  Funktion global einschalten. OSPF  Routing global einschalten (falls nicht schon geschehen). ...
Seite 733 Routing 13.6 OSPF Konfiguration für Router B Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von interface 2/2 Interface wechseln. Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf diesem Port aktivieren.
Seite 734 Routing 13.6 OSPF Die Einstellungen der Interfaces-Konfiguration show ip ospf interface 2/1 anzeigen. IP address........10.0.2.2 OSPF admin mode........ enabled OSPF area ID........1.1.1.1 Transmit delay......... 1 Hello interval......... 10 Dead interval........40 Re-transmit interval......5 Authentification type......none OSPF interface type......broadcast Status.........
Seite 735 Routing 13.6 OSPF Das Beispiel gliedert sich in die folgenden Abschnitte: Routen einrichten und verteilen  Route mit permit-Regel explizit freigeben  Route mit deny-Regel explizit sperren  Routen einrichten und verteilen In Router A richten Sie 2 statische Routen für die Subnetze 8.1.2.0/24 8.1.4.0/24 ein.
Seite 736 Routing 13.6 OSPF Router A Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Erstes Router-Interface einrichten. 10.0.1.1/24  Routing aktivieren. Die Funktion auf den Router-Interfaces aktivieren. OSPF In den Interface-Konfigurationsmodus von interface 1/1 Interface wechseln.
Seite 737 Routing 13.6 OSPF Router B Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Router-Interface einrichten. 10.0.1.2/24  Routing aktivieren. Die Funktion auf den Router-Interfaces aktivieren. OSPF In den Interface-Konfigurationsmodus von interface 2/2 Interface wechseln.
Seite 738 Routing 13.6 OSPF Route mit permit-Regel explizit freigeben Die Route für das Subnetz soll für die Verteilung in OSPF freigegeben sein. 8.1.2.0/24 Mit einer permit-Regel geben Sie die Route für das Subnetz 8.1.2.0/24 explizit frei.  Wegen der fest im Gerät verankerten impliziten deny-Regel sind sämtliche anderen Routen für ...
Seite 739 Routing 13.6 OSPF Router A Access-Control-Liste mit expliziter permit-Regel einrichten.  Access-Control-Liste OSPF-rule hinzufügen. Eine ip access-list extended name OSPF-rule permit src 8.1.2.0-0.0.0.0 dst permit-Regel für das Subnetz einrichten. 8.1.2.0 255.255.255.0-0.0.0.0 proto ip • = Adresse des Zielnetzes src 8.1.2.0-0.0.0.0 und inverse Maske •...
Seite 740 Routing 13.6 OSPF Router B Die Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active --------------- -------- ------------ -----------...
Seite 741 Routing 13.6 OSPF Router A permit-Regel löschen.  Diese Schritte sind ausschließlich dann notwendig, wenn Sie, wie im Abschnitt „Route mit permit-Regel explizit freigeben” auf Seite 235 beschrieben, eine permit-Regel eingerichtet haben. Access-Control-Liste von der Funktion OSPF-rule no ip ospf distribute-list out static OSPF- rule trennen.
Seite 742 Routing 13.6 OSPF Router A Explizite permit-Regel in Access-Control-Liste einfügen.  Eine permit-Regel für sämtliche Subnetze in die ip access-list extended name OSPF-rule permit src any dst any proto ip Access-Control-Liste einfügen. OSPF-rule Die eingerichteten Regeln prüfen.  Anzeigen der eingerichteten Access-Control- show access-list ip Listen und Regeln.
Seite 743 Routing 13.6 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 744 Routing 13.6 OSPF Router B Die Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active --------------- -------- ------------ -----------...
Seite 745 Routing 13.7 Statisches Multicast-Routing 13.7 Statisches Multicast-Routing Die Funktion Statisches Multicast-Routing ermöglicht es dem Gerät, Datenpakete von einer einzigen Quelle an mehrere Ziele im Netz effizient zu verteilen. Durch die Verwendung statischer Multicast-Routen kann ein Netzadministrator die Pfade von Multi- cast-Datenpaketen innerhalb des Netzes vordefinieren.
Seite 746 Routing 13.7 Statisches Multicast-Routing Führen Sie die folgenden Schritte aus: Erstellen Sie eine Multicast-Gruppe.  Öffnen Sie den Dialog Routing > Multicast Routing > Statisches Multicast-Routing > Routing-  Tabelle, Registerkarte Multicast-Gruppe. Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erstellen. Legen Sie im Feld den Wert fest.
Seite 747 Routing 13.7 Statisches Multicast-Routing In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Eine Multicast-Gruppe hinzufügen. ip static-mcast mgroup add 1 inbound 1/1 source-address 10.1.2.1 source-mask 24 • ip static-mcast mgroup add 1 group-address 239.1.1.100 group-mask 24 Eine Multicast-Gruppe mit dem Gruppenindex hinzufügen.
Seite 748 Routing 13.7 Statisches Multicast-Routing Eine Multicast-Route hinzufügen. ip static-mcast mroute add 1 inbound 1/1 source-address 10.1.2.1 source-mask 24 • ip static-mcast mroute add 1 group-address 239.1.1.100 group-mask 24 Eine Multicast-Route mit dem Routenindex = outbound 1/2 hinzufügen. • inbound 1/1 Legen Sie das eingehende Interface fest.
Seite 749 Routing 13.7 Statisches Multicast-Routing In den Interface-Konfigurationsmodus von interface 1/2 Interface wechseln. Die Funktion an diesem Statisches Multicast-Routing ip static-mcast operation Interface aktivieren. In den Konfigurationsmodus wechseln. exit Funktion einschalten. Statisches Multicast-Routing ip static-mcast operation UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 750 Routing 13.8 IP-Parameter eingeben 13.8 IP-Parameter eingeben siehe OSPF Area 0 siehe siehe Port-based Router Interface VLAN-based Router Interface SN 11 SN 10 VLAN 2 SN 12 VRRP SN 13 siehe VRRP SN 14 Abb. 63: Netzplan Zur Einrichtung der Funktion auf Schicht 3 benötigen Sie Zugriff auf das Management des Geräts. Abhängig von Ihrem Anwendungsfall finden Sie viele Möglichkeiten, den Geräten IP-Adressen zuzuweisen.
Seite 751 Routing 13.8 IP-Parameter eingeben Die Geräte und deren Verbindungen sind installiert.  Redundante Anbindungen sind offen (siehe VRRP). Um Loops während der Konfigurations-  phase zu vermeiden, schließen Sie die redundanten Verbindungen erst nach der Konfigurati- onsphase. IP = 10.0.200.11/24 Area 0 IP = 10.0.100.10/24 IP = 10.0.11.11/24...
Seite 752 Routing 13.8 IP-Parameter eingeben Weisen Sie die IP-Parameter jedem Schicht-2 und Schicht-3-Gerät gemäß Netzplan zu.  Die Geräte der Subnetze 10 bis 14 erreichen Sie wieder, wenn Sie die folgende Router-Konfi- guration abgeschlossen haben. Richten Sie die Routing-Funktion der Schicht-3-Geräte ein. ...
Seite 753 Routing 13.8 IP-Parameter eingeben UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 754 Tracking 14.1 Interface-Tracking 14 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: Verbindungsstatus eines Interfaces (Interface-Tracking) ...
Seite 755 Tracking 14.1 Interface-Tracking Das Einstellen einer Verzögerungszeit ermöglicht Ihnen, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Seite 756 Tracking 14.2 Ping-Tracking 14.2 Ping-Tracking Beim Ping-Tracking überwacht das Gerät den Verbindungsstatus zu anderen Geräten durch Ping- Anfragen. PC B PC A Abb. 67: Überwachen einer Leitung mit Ping-Tracking Das Gerät sendet Ping-Anfragen an das Gerät mit der IP-Adresse, die Sie in Spalte IP-Adresse eingegeben haben.
Seite 757 Tracking 14.3 Logical-Tracking 14.3 Logical-Tracking Logical-Tracking ermöglicht Ihnen, mehrere Tracking-Objekte logisch miteinander zu verknüpfen und somit relativ komplexe Überwachungsaufgaben zu realisieren. Mit Logical-Tracking können Sie zum Beispiel den Verbindungsstatus zu einem Netzknoten über- wachen, zu dem redundante Pfade führen. Siehe Abschnitt „Anwendungsbeispiel für Logical- Tracking”...
Seite 758 Tracking 14.4 Tracking konfigurieren 14.4 Tracking konfigurieren Tracking konfigurieren Sie durch das Einrichten von Tracking-Objekten. Das Einrichten von Tracking-Objekten erfordert folgende Schritte: Tracking-Objekt-Identifikationsnummer (Track-ID) eingeben.  Tracking-Typ, zum Beispiel Interface, auswählen.  Abhängig vom Track-Typ weitere Optionen wie „Port” oder „Link-Up-Verzögerung” beim Inter- ...
Seite 759 Tracking 14.4 Tracking konfigurieren In den Privileged-EXEC-Modus wechseln. exit Die eingerichteten Tracking-Objekte zeigen. show track interface Name If-Number Link-Up-Delay Link-Down-Delay State Active -------- ---------- ------------- --------------- ----- ------ if-11 14.4.2 Anwendungsbeispiel für Ping-Tracking Das Interface-Tracking überwacht die direkt angeschlossene Verbindung. Siehe Abbildung 66 auf Seite 251.
Seite 760 Tracking 14.4 Tracking konfigurieren Tracking ID ping-21 created Target IP address set to 10.0.2.53 Interface used for sending pings to target set to 1/2 Ping interval for target set to 500 ms Max. no. of missed ping replies from target set to 3 Min.
Seite 761 Tracking 14.4 Tracking konfigurieren Voraussetzungen für die weitere Konfiguration: Die Ping-Tracking-Objekte für die Operanden 1 und 2 sind eingerichtet. Siehe Abschnitt  „Anwendungsbeispiel für Ping-Tracking” auf Seite 256. PC B PC A Abb. 68: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten.
Seite 762 Tracking 14.4 Tracking konfigurieren Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 763 Tracking 14.5 Statisches Route-Tracking 14.5 Statisches Route-Tracking 14.5.1 Beschreibung der Funktion für statisches Routen-Tracking Bestehen beim statischen Routing mehrere Routen zu einem Ziel, wählt der Router die Route mit der höchsten Präferenz. Der Router erkennt eine bestehende Route am Zustand des Router-Inter- faces.
Seite 764 Tracking 14.5 Statisches Route-Tracking 10.0.1.0/24 10.0.2.0/24 10.0.5.0/24 IF 1/4 IF 1/2 IF 1/3 IF 2/2 IF 1/1 IF 1/2 10.0.4.0/24 Abb. 70: Statisches Route-Tracking konfigurieren Die folgende Liste nennt die Voraussetzungen für die weitere Konfiguration: Die IP-Parameter der Router-Interfaces sind eingerichtet. ...
Seite 765 Tracking 14.5 Statisches Route-Tracking Für die Quell-Interface-Nummer der Ping- track modify ping 1 interface 1/2 Tracking-Instanz einstellen. Das Tracking-Objekt aktivieren. track enable ping 1 Ein Tracking-Objekt mit der Track-ID hinzufügen. track add ping 2 Den Eintrag ping 2 um die IP-Adresse 10.0.4.2 track modify ping 2 address 10.0.4.2 ergänzen.
Seite 766 Tracking 14.5 Statisches Route-Tracking In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Einen statischen Routing-Eintrag mit der voreinge- ip route add 10.0.5.0 255.255.255.0 10.0.2.53 stellten Präferenz hinzufügen. Einen statischen Routing-Eintrag mit der ip route add 10.0.5.0 255.255.255.0 10.0.4.2 preference 2 Präferenz 2 hinzufügen.
Seite 767 Tracking 14.5 Statisches Route-Tracking UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 768 Funktionsdiagnose 15.1 SNMP-Traps senden 15 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: SNMP-Traps senden  Gerätestatus überwachen  Ereigniszähler auf Portebene  Erkennen der Nichtübereinstimmung der Duplex-Modi  Auto-Disable  SFP-Zustandsanzeige  Topologie-Erkennung  IP-Adresskonflikte erkennen  Erkennen von Loops ...
Seite 769 Funktionsdiagnose 15.1 SNMP-Traps senden Tab. 27: Mögliche SNMP-Traps (Forts.) Bezeichnung des SNMP-Traps Bedeutung linkDown Das Gerät sendet diesen Trap, wenn die Verbindung an einem Port abbricht. Das Gerät sendet diesen Trap, wenn die Verbindung zu einem linkUp Port hergestellt ist. hm2DevMonSensePSState Das Gerät sendet diesen Trap, wenn sich der Zustand des Netz- teils ändert.
Seite 770 Funktionsdiagnose 15.1 SNMP-Traps senden 15.1.2 SNMP-Traps für Konfigurationsaktivitäten Nachdem Sie eine Konfiguration im Speicher gespeichert haben, sendet das Gerät einen hm2Con- figurationSavedTrap. Dieser SNMP-Trap enthält die Statusvariablen des nichtflüchtigen Spei- chers (NVM) und des externen Speichers (ENVM), die angeben, ob die aktuelle Konfiguration mit dem nichtflüchtigen Speicher und dem externen Speicher übereinstimmt.
Seite 771 Funktionsdiagnose 15.1 SNMP-Traps senden 15.1.4 ICMP-Messaging Das Gerät ermöglicht Ihnen, das Internet Control Message Protocol (ICMP) für Diagnoseanwen- dungen zu verwenden, zum Beispiel Ping und Traceroute. Das Gerät verwendet außerdem ICMP für Time-to-Live und das Verwerfen von Nachrichten, in denen das Gerät eine ICMP-Nachricht zurück an das Quellgerät des Paketes weiterleitet.
Seite 772 Funktionsdiagnose 15.2 Gerätestatus überwachen 15.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen gegenwärtigen Status als error oder im Rahmen Geräte-Status.
Seite 773 Funktionsdiagnose 15.2 Gerätestatus überwachen Tab. 28: Gerätestatus-Ereignisse (Forts.) Name Bedeutung Externen Speicher Aktivieren Sie diese Funktion, um das Vorhandensein eines externen Spei- chergeräts zu überwachen. entfernen Das Gerät überwacht die Synchronisation zwischen den Geräteeinstel- Externer Speicher nicht lungen und dem im externen Speicher (ENVM) gespeicherten Konfigurati- synchron onsprofil.
Seite 774 Funktionsdiagnose 15.2 Gerätestatus überwachen Aktiven externen Speicher überwachen. Der Wert device-status monitor envm-removal im Rahmen wechselt auf error, wenn Geräte-Status Sie den aktiven externen Speicher aus dem Gerät entfernen. Netzteil überwachen. Der Wert im Rahmen device-status monitor power-supply 1 Geräte-Status wechselt auf error, wenn das Gerät einen Fehler am Netzteil feststellt.
Seite 775 Funktionsdiagnose 15.2 Gerätestatus überwachen 15.2.3 Gerätestatus anzeigen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  In den Privileged-EXEC-Modus wechseln. enable Gerätestatus und Einstellung zur Ermittlung des show device-status all Gerätestatus anzeigen. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 776 Funktionsdiagnose 15.3 Sicherheitsstatus 15.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog System, Rahmen Sicherheits-Status.
Seite 777 Funktionsdiagnose 15.3 Sicherheitsstatus Tab. 29: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Aktivieren Sie diese Funktion, um zu überwachen, ob die Funk- tion HiDiscovery Schreibzugriff auf das Gerät hat. Das Gerät überwacht die Sicherheitseinstellungen für das Unverschlüsselte Konfiguration vom Laden der Konfiguration aus dem externen Speicher.
Seite 778 Funktionsdiagnose 15.3 Sicherheitsstatus HTTP-Server überwachen. Der Wert im Rahmen security-status monitor http-enabled wechselt auf error, wenn Sie den Sicherheits-Status HTTP-Server einschalten. SNMP-Server überwachen. security-status monitor snmp-unsecure Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: •...
Seite 779 Funktionsdiagnose 15.3 Sicherheitsstatus 15.3.3 Anzeigen des Sicherheitsstatus Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  In den Privileged-EXEC-Modus wechseln. enable Sicherheitsstatus und Einstellung zur Ermittlung show security-status all des Sicherheitsstatus anzeigen. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 780 Funktionsdiagnose 15.4 Portereignis-Zähler 15.4 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, mögliche Unterbrechungen im Netz zu finden. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog können Sie Grundeinstellungen > Neustart die Ereigniszähler zurücksetzen. Tab.
Seite 781 Funktionsdiagnose 15.4 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Duplex-Problem erkannt  Nicht übereinstimmende Duplex-Modi.  Elektromagnetische Interferenz. Netzausdehnung  Die Netzausdehnung ist zu groß bzw. sind zu viele Kaskadenhubs vorhanden. Kollisionen, Late Collisions ...
Seite 782 Funktionsdiagnose 15.5 SFP-Zustandsanzeige 15.5 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp,  Seriennummer des Medien-Moduls  Temperatur in º C,  Sendeleistung in mW,  Empfangsleistung in mW. ...
Seite 783 Funktionsdiagnose 15.6 Topologie-Erkennung 15.6 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht Ihnen die automatische Topologie-Erkennung im lokalen Netz. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein-  samen LANs.
Seite 784 Funktionsdiagnose 15.6 Topologie-Erkennung Wenn Sie den Port mit Geräten mit einer aktiven Topologie-Erkennungsfunktion verbinden, tauschen die Geräte LLDP Data Units (LLDPDU) aus, und die Topologie-Tabelle zeigt diese benachbarten Geräte. Sind an einen Port ausschließlich Geräte ohne aktive Topologie-Erkennung angeschlossen, enthält die Tabelle eine Zeile für diesen Port, um die angeschlossenen Geräte darzustellen. Diese Zeile enthält die Anzahl der angeschlossenen Geräte.
Seite 785 Funktionsdiagnose 15.7 Berichte 15.7 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei  Das Gerät protokolliert geräteinterne Ereignisse in der System-Log-Datei. Audit Trail  Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 786 Funktionsdiagnose 15.7 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion protokolliert Benutzeranfragen Logge SNMP Get-Requests nach Geräte-Konfigurationsinformationen. Die Set-Requests-Funktion protokolliert Logge SNMP Geräte-Einrichtungs-Ereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Seite 787 Funktionsdiagnose 15.7 Berichte 15.7.2 Syslog Das Gerät ermöglicht Ihnen, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog Diagnose >...
Seite 788 Funktionsdiagnose 15.7 Berichte Server IP Port Max. Severity Type Status ----- -------------- ----- -------------- ---------- ------- 10.0.1.159 error systemlog active In den Konfigurationsmodus wechseln. configure Den Empfang von SNMP Get Requests protokol- logging snmp-requests get operation lieren. Der Wert legt den Schweregrad des Ereignisses logging snmp-requests get severity 5 fest, welches das Gerät beim Empfang eines SNMP Get Requests protokolliert.
Seite 789 Funktionsdiagnose 15.7 Berichte In den Privileged-EXEC-Modus wechseln. enable Die gespeicherten Protokolleinträge anzeigen. show logging buffered Nach Inhalten suchen Das Gerät protokolliert Ereignisse kontinuierlich in der System-Log-Datei. Nach einiger Zeit kann die Datei sehr viele Ereignisse enthalten. Führen Sie die folgenden Schritte aus: Suchen Sie nach einem Schlüsselwort in der System-Log-Datei.
Seite 790 Funktionsdiagnose 15.7 Berichte System-Log-Datei im Gerät leeren Das Gerät protokolliert Ereignisse kontinuierlich in der System-Log-Datei. Nach einiger Zeit kann die Datei viele Ereignisse enthalten. Wenn Sie an den protokollierten Ereignissen nicht länger inte- ressiert sind, können Sie die System-Log-Datei im Gerät leeren. Führen Sie die folgenden Schritte aus: Löschen Sie den Inhalt der System-Log-Datei.
Seite 791 Funktionsdiagnose 15.7 Berichte UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 792 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden 16 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden Als DNS-Client fragt das Gerät einen DNS-Server ab, um den Hostnamen eines Geräts im Netz in die zugehörige IP-Adresse aufzulösen. Das Gerät ermöglicht Ihnen, bis zu 4 DNS-Server festzulegen, an welche es eine Anfrage zum Auflösen eines Hostnamens (DNS request) weiterleitet.
Seite 793 Erweiterte Funktionen des Geräts 16.1 Gerät als DNS-Client verwenden Zeichenfolge als Domänenname fest- example.com dns client domain-name example.com legen. Das Gerät fügt diesen Domain-Namen an Hostnamen ohne Domain-Suffix an. Hinzufügen eines DNS-Servers mit der dns client servers add 1 ip 192.168.3.5 IPv4-Adresse 192.168.3.5 als Index 1.
Seite 794 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Sie können sich über SSH mit dem Gerät verbinden. Führen Sie dazu die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät.  oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Seite 795 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Server, Registerkarte SSH. Gerätesicherheit > Management-Zugriff >  Um den SSH-Server auszuschalten, wählen Sie im Rahmen das Optionsfeld Aus.
Seite 796 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.3 SSH-Client-Programm vorbereiten Das Programm ermöglicht Ihnen, auf das Gerät mit SSH zuzugreifen. Sie können die Soft- PuTTY ware von www.chiark.greenend.org.uk/~sgtatham/putty/ herunterladen. Führen Sie die folgenden Schritte aus: Starten Sie das Programm mit einem Doppelklick. ...
Seite 797 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Gegen Ende des Verbindungsaufbaus zeigt das Programm PuTTY eine Sicherheitsalarmmeldung und ermöglicht Ihnen, den Fingerabdruck des Schlüssels zu prüfen. Prüfen Sie den Fingerabdruck des Schlüssels, um sich zu vergewissern, dass Sie sich tatsäch-  lich mit dem gewünschten Gerät verbunden haben. Stimmt der Fingerabdruck mit dem Ihres Schlüssels überein, dann klicken Sie die Schaltfläche ...
Seite 798  Laden Sie das ZIP-Archiv, das die Geräte-Software und die MIB-Dateien enthält, von hirsch-  mann-support.belden.com herunter. Extrahieren Sie den Inhalt des ZIP-Archivs in ein temporäres Verzeichnis.  Kopieren Sie die Ordner standard-mibs und released-mibs in das erwünschte Verzeichnis, zum ...
Seite 799 Konfigurationsumgebung einrichten A.2 SSH-Algorithmen Schalten Sie die Algorithmen im Gerät ein.  snmpset -Ln -u admin -a SHA-1 -A welcome123 -x AES-128 -X welcome123 -l authPriv 192.168.1.1 <MIB variable for algorithm> b '<algorithm indexes>' Erläuterung: Keine Protokollierung -u admin Name des Benutzerkontos -a SHA-1 Authentifizierungsprotokoll für SNMPv3 Verwenden Sie SHA-1, um die Sicherheit zu erhöhen.
Seite 800 Konfigurationsumgebung einrichten A.2 SSH-Algorithmen Tab. 32: Unterstützte KEX-Algorithmen Index Algorithmus Voreinstellung diffie-hellman-group18-sha512 eingeschaltet diffie-hellman-group-exchange-sha256 eingeschaltet ecdh-sha2-nistp256 eingeschaltet ecdh-sha2-nistp384 ausgeschaltet ecdh-sha2-nistp521 eingeschaltet curve25519-sha256 eingeschaltet curve25519-sha256@libssh.org eingeschaltet Sie können die Algorithmen, die Sie benötigen, einschalten oder diejenigen ausschalten, die Sie nicht benötigen. Folgen Sie dazu den Anweisungen im Abschnitt „SSH-Algorithmen im Gerät einschalten”...
Seite 801 Konfigurationsumgebung einrichten A.2 SSH-Algorithmen Sie können die Algorithmen, die Sie benötigen, einschalten oder diejenigen ausschalten, die Sie nicht benötigen. Folgen Sie dazu den Anweisungen im Abschnitt „SSH-Algorithmen im Gerät einschalten” auf Seite 295. • Die MIB-Variable HM2-MGMTACCESS-MIB::hm2SshHostKeyAlgorithms.0 legt fest, dass Sie die Host-Key-basierten Algorithmen einschalten.
Seite 802 Konfigurationsumgebung einrichten A.2 SSH-Algorithmen Führen Sie die folgenden Schritte aus, um zum Beispiel die Algorithmen aes128-ctr aes192- einzuschalten: Schalten Sie die Algorithmen im Gerät ein.  snmpset -Ln -u admin -a SHA-1 -A welcome123 -x AES-128 -X welcome123 -l authPriv 192.168.1.1 HM2- MGMTACCESS-MIB::hm2SshEncryptionAlgorithms.0 b '0 1' Prüfen Sie die Algorithmen, die im Gerät eingeschaltet sind.
Seite 803 Konfigurationsumgebung einrichten A.3 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Webbrowser stellt mittels Hypertext Transfer Protocol Secure (HTTPS) die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion im Dialog HTTPS server Gerätesicherheit > Management-Zugriff > Server, Registerkarte einschalten. HTTPS Anmerkung: Software-Anwendungen von Drittanbietern wie Webbrowser validieren digitale Zerti- fikate anhand von Kriterien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfeh- lungen.
Seite 804 Konfigurationsumgebung einrichten A.3 HTTPS-Zertifikat Befindet sich die Datei auf Ihrem PC oder auf einem Netzlaufwerk, ziehen Sie diese in den  -Bereich. Alternativ dazu klicken Sie in den Bereich, um die Datei auszuwählen. Um die Datei auf das Gerät zu übertragen, klicken Sie die Schaltfläche Start. ...
Seite 805 Konfigurationsumgebung einrichten A.3 HTTPS-Zertifikat UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 806 TSN – Time-Sensitive Networking (in Deutsch)  Wolfgang Schulte VDE Verlag, 2020 ISBN 978-3-8007-5078-8 Time-Sensitive Networking For Dummies, Belden/Hirschmann Special Edition (in Englisch)  Oliver Kleineberg, Axel Schneider Wiley, 2018 ISBN 978-1-119-52791-6 (Print), ISBN 978-1-119-52799-2 (eBook) IPv6: Grundlagen - Funktionalität - Integration (in Deutsch) ...
Seite 807 Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 808 Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 809 Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Seite 810 Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 811 Anhang B.4 Liste der RFCs RFC 3411 An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks RFC 3412 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Manage- ment Protocol (SNMPv3) RFC 3415...
Seite 812 Anhang B.5 Zugrundeliegende IEEE-Normen Zugrundeliegende IEEE-Normen IEEE 802.1AB Station and Media Access Control Connectivity Discovery IEEE 802.1D MAC Bridges (switching function) IEEE 802.1Q Virtual LANs (VLANs, MRP, Spanning Tree) IEEE 802.3 Ethernet IEEE 802.3ac VLAN Tagging IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet UM Config EAGLE40-6M...
Seite 813 Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 814 Anhang B.7 Technische Daten Technische Daten 16.1.2 Switching Größe der MAC-Adresstabelle 16384 (Forwarding Database) (inkl. statische Filter) Max. Anzahl statisch eingerichteter MAC-Adressfilter Anzahl Warteschlangen 8 Queues Einstellbare Port-Prioritäten 0..7 MTU (max. erlaubte Länge der 1996 Bytes Pakete, die ein Port empfangen oder senden kann) 16.1.3 VLAN...
Seite 815 Anhang B.7 Technische Daten 16.1.5 Firewall Max. Anzahl Paketfilter-Regeln 2048 (Routed Firewall Mode) Max. Anzahl Paketfilter-Regeln (Transparent Firewall Mode) 16.1.6 Max. Anzahl der 1:1-NAT-Regeln Max. Anzahl der Destination-NAT- Regeln Max. Anzahl der Double-NAT-Regeln 255 Max. Anzahl der Masquerading-NAT- Regeln Max. Anzahl der Einträge für Connec- 7768 tion Tracking UM Config EAGLE40-6M...
Seite 816 Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog Hilfe > Lizenzen. UM Config EAGLE40-6M Release 5.0 07/2024...
Seite 817 Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Extended Unique Identifier Forwarding Database Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP...
Seite 818 Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............203 ABR .
Seite 819 Stichwortverzeichnis Echtzeit ..............174 Encryption (Ciphers) .
Seite 820 Stichwortverzeichnis LACNIC ..............40 Lastverteilung .
Seite 821 Stichwortverzeichnis Paketfilter ..............119 Paketfilter (Routed Firewall Mode) .
Seite 822 Stichwortverzeichnis Schulungsangebote ............321 Secure Shell (SSH) .
Seite 823 Stichwortverzeichnis Variable Length Subnet Mask ..........219 Verkehrsflussvertraulichkeit .
Seite 824 Bei technischen Fragen wenden Sie sich bitte an den Hirschmann-Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.belden.com. Technische Unterstützung erhalten Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 825 Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 826 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...

Belden HIRSCHMANN EAGLE40-6M Referenzhandbuch

Quicklinks

Verwandte Anleitungen für Belden HIRSCHMANN EAGLE40-6M

Inhaltszusammenfassung für Belden HIRSCHMANN EAGLE40-6M