Seite 1 Anwender-Handbuch Grundkonfiguration Industrial ETHERNET (Gigabit-)Switch Power MICE, MACH 4000 Grundkonfiguration L3E Technische Unterstützung Release 4.1 03/08 HAC-Support@hirschmann.de...
Seite 2 Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Seite 3: Inhaltsverzeichnis
Inhalt Inhalt Über dieses Handbuch Legende Einleitung Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web based Interface IP-Parameter eingeben Grundlagen IP-Parameter 2.1.1 IP-Adresse (Version 4) 2.1.2 Netzmaske IP-Parameter über das CLI eingeben IP-Parameter über HiDiscovery eingeben System-Konfiguration vom ACA laden System-Konfiguration über BOOTP System-Konfiguration über DHCP System-Konfiguration über DHCP Option 82...
Seite 4 Inhalt Einstellungen speichern 3.2.1 Lokal (und auf den ACA) speichern 3.2.2 Speichern in eine Datei auf URL 3.2.3 Speichern in eine Binär-Datei auf den PC 3.2.4 Speichern als Script auf den PC Neueste Software laden Software vom ACA laden 4.1.1 Auswahl der zu ladenden Software 4.1.2 Starten der Software 4.1.3 Kaltstart durchführen Software vom tftp-Server laden...
Seite 5 Inhalt Zugriffs-Kontroll-Listen (ACL) 6.6.1 Beschreibung Priorisierung mit ACLs 6.6.2 Beschreibung IP-basierte ACLs 6.6.3 Beschreibung MAC-basierte ACLs 6.6.4 IP-ACLs konfigurieren 6.6.5 MAC-ACLs konfigurieren 6.6.6 Priorisierung mit IP-ACLs konfigurieren 6.6.7 Reihenfolge der Regeln festlegen Die Systemzeit im Netz synchronisieren Uhrzeit eingeben SNTP 7.2.1 Beschreibung SNTP 7.2.2 Vorbereitung der SNTP-Konfiguration 7.2.3 Konfiguration SNTP...
Seite 6 Inhalt QoS/Priorität 8.4.1 Beschreibung Priorisierung 8.4.2 VLAN-Tagging 8.4.3 IP ToS / DiffServ 8.4.4 Management-Priorisierung 8.4.5 Behandlung empfangener Prioritätsinformationen 8.4.6 Handhabung der Traffic Classes 8.4.7 Priorisierung einstellen Flusskontrolle 8.5.1 Beschreibung Flusskontrolle 8.5.2 Flusskontrolle einstellen VLANs 8.6.1 Beschreibung VLANs 8.6.2 VLANs konfigurieren 8.6.3 Beispiel für ein einfaches VLAN Funktionsdiagnose Alarmmeldungen versenden...
Seite 7 Inhalt IP-Adresskonflikte erkennen 9.9.1 Beschreibung IP-Adresskonflikte 9.9.2 ACD konfigurieren 9.9.3 ACD anzeigen 9.10 Berichte 9.11 Datenverkehr eines Ports beobachten (Portmirroring) Konfigurationsumgebung einrichten DHCP/BOOTP-Server einrichten DHCP-Server Option 82 einrichten tftp-Server für SW-Updates A.3.1 tftp-Prozeß einrichten A.3.2 Software-Zugriffsrechte SSH-Zugriff vorbereiten A.4.1 Schlüssel erzeugen A.4.2 Schlüssel hochladen A.4.3 Zugriff mittels SSH Allgemeine Informationen...
Seite 8 Inhalt Grundkonfiguration L3E Release 4.1 03/08...
Seite 9: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Grundkonfiguration“ enthält alle Informationen, die Sie zur Inbetriebnahme des Gerätes benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellun- gen für einen Ihrer Umgebung angepassten Betrieb. In der Praxis hat sich folgende thematische Reihenfolge bewährt: Gerätezugang zur Bedienung herstellen durch Eingabe der IP-Parameter,...
Seite 10 Über dieses Handbuch Das Anwender-Handbuch „Routing-Konfiguration“ enthält alle Informatio- nen, die Sie zur Inbetriebnahme der Routing-Funktion benötigen. Es leitet Sie Schritt für Schritt von einer kleinen Router-Anwendung bis hin zur Router-Konfiguration eines komplexen Netzes. Das Handbuch versetzt Sie in die Lage, durch Ableitung aus den Beispielen Ihre Router zu konfigurieren.
Seite 11: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Zwischenüberschrift Link Querverweis mit Verknüpfung Hinweis: Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: Router mit Firewall...
Seite 12 Legende Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter Grundkonfiguration L3E Release 4.1 03/08...
Seite 13: Einleitung
Einleitung Einleitung Das Gerät ist für die Praxis in der rauhen Industrie-Umgebung entwickelt. Dementsprechend einfach ist die Installation. Mit wenigen Einstellungen können Sie dank der gewählten Voreinstellungen das Gerät sofort in Betrieb nehmen. Grundkonfiguration L3E Release 4.1 03/08...
Seite 14 Einleitung Grundkonfiguration L3E Release 4.1 03/08...
Seite 15: Zugang Zu Den Bedienoberflächen
Zugang zu den Bedienoberflächen 1 Zugang zu den Bedienoberflächen Das Gerät hat drei Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen: System-Monitor über die V.24-Schnittstelle (out-of-band), Command Line Interface (CLI) über den V.24-Anschluß (out-of-band) und über Telnet (in-band), Web-base Interface über Ethernet (in-band). Grundkonfiguration L3E Release 4.1 03/08...
Seite 16: System-Monitor
Zugang zu den Bedienoberflächen 1.1 System-Monitor 1.1 System-Monitor Der System-Monitor ermöglicht die Auswahl der zu ladenden Software, die Durchführung eines Update der Software, Starten der ausgewählten Software, Beenden des System-Monitor, Löschen der gespeicherten Konfiguration und Anzeige der Bootcode-Information. Öffnen des System-Monitors Verbinden Sie mit Hilfe des Terminalkabels (siehe Zubehör) –...
Seite 17 Zugang zu den Bedienoberflächen 1.1 System-Monitor < PowerMICE MS4128-5 (Boot) Release: 1.00 Build: 2005-09-17 15:36 > Press <1> to enter System Monitor 1 ... Abb. 1: Bildschirmansicht beim Bootvorgang Drücken Sie innerhalb von einer Sekunde die <1>-Taste, um den System-Monitor 1 zu starten. System Monitor (Selected OS: L3P-01.0.00-K16 (2005-10-31 19:32)) Select Boot Operating System...
Seite 18: Command Line Interface
Zugang zu den Bedienoberflächen 1.2 Command Line Interface 1.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, alle Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten.
Seite 19 Zugang zu den Bedienoberflächen 1.2 Command Line Interface Copyright (c) 2004-2005 Hirschmann Automation and Control GmbH All rights reserved PowerMICE Release L3P-01.0.00-K16 (Build date 2005-10-31 19:32) System Name: PowerMICE Mgmt-IP 149.218.112.105 1.Router-IP: 0.0.0.0 Base-MAC 00:80:63:51:74:00 System Time: 2005-11-01 16:00:59 User: Abb.
Seite 20 NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) > Abb. 4: CLI-Bildschirm nach dem Einloggen Grundkonfiguration L3E...
Seite 21: Web Based Interface
Zugang zu den Bedienoberflächen 1.3 Web based Interface 1.3 Web based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, das Gerät von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Gerät über das Simple Network Management Protokoll (SNMP) Daten austauscht.
Seite 22 Zugang zu den Bedienoberflächen 1.3 Web based Interface Abb. 5: Java installieren Starten Sie Ihren Web Browser. Stellen Sie sicher, daß in den Sicherheitseinstellungen Ihres Browsers Javascript und Java eingeschaltet ist. Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Gerätes, das Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: http://xxx.xxx.xxx.xxx...
Seite 23 Zugang zu den Bedienoberflächen 1.3 Web based Interface Abb. 6: Login-Fenster Wählen Sie die gewünschte Sprache aus. Wählen Sie im Login-Ausklappmenü – user, um mit Leserecht oder – admin, um mit Schreib- und Leserecht auf das Gerät zuzugreifen. Im Passwort-Feld ist das Passwort "public", mit dem Sie über Lese- rechte verfügen, vorgegeben.
Seite 24 Zugang zu den Bedienoberflächen 1.3 Web based Interface Grundkonfiguration L3E Release 4.1 03/08...
Seite 25: Ip-Parameter Eingeben
IP-Parameter eingeben 2 IP-Parameter eingeben Bei der Erstinstallation des Gerätes ist die Eingabe der IP-Parameter notwendig. Das Gerät bietet bei der Erstinstallation 6 Möglichkeiten zur Eingabe der IP- Parameter: Eingabe mit Hilfe des Command Line Interfaces (CLI). Diese sogenannte „out-of-band“-Methode wählen Sie, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren Sie keinen Netzzugang („in-band“) zum Gerät haben (siehe Seite 32 „IP-Parameter über das CLI...
Seite 26 IP-Parameter eingeben Konfiguration über DHCP Option 82. Diese sogenannte „in-band“-Methode wählen Sie, wenn Sie das bereits installierte Gerät mittels DHCP Option 82 konfigurieren wollen. Hierzu be- nötigen Sie einen DHCP-Server mit der Option 82. Der DHCP-Server ord- net dem Gerät anhand seiner physikalischen Anbindung die Konfigurationsdaten zu (siehe Seite 48 „System-Konfiguration über DHCP Option...
Seite 27: Grundlagen Ip-Parameter
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter 2.1 Grundlagen IP-Parameter 2.1.1 IP-Adresse (Version 4) Die IP-Adressen bestehen aus vier Bytes. Die vier Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Class Netzadresse Hostadresse Adressbereich...
Seite 28: Netzmaske
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B Net ID - 21 bits Host ID - 8 bit s Klasse C Multicast Group ID - 28 bits Klasse D...
Seite 29 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: dezimale Darstellung 255.255.192.0 binäre Darstellung 11111111.11111111.11000000.00000000 Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: dezimale Darstellung 129.218.65.17 128 < 129 ≤ 191 Klasse B binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1...
Seite 30: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske In einem großen Netz ist es möglich, dass Gateways oder Router den Ma- nagement-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb.
Seite 31 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine ei- gene MAC-Adresse als Quelladresse.
Seite 32: Ip-Parameter Über Das Cli Eingeben
IP-Parameter eingeben 2.2 IP-Parameter über das CLI eingeben 2.2 IP-Parameter über das CLI eingeben Sollten Sie weder über BOOTP/DHCP, DHCP Option 82, HiDiscovery Proto- koll noch über den AutoConfiguration Adapter ACA das System konfigurie- ren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor.
Seite 33 'normal' and 'no' command forms. the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) > Wechseln Sie in den Privileged EXEC Modus durch Eingabe von enable und anschließendem Drücken der Eingabetaste.
Seite 34 (Hirschmann PowerMICE) >en (Hirschmann PowerMICE) #network protocol none (Hirschmann PowerMICE) #network parms 149.218.112.105 255.255.255.0 (Hirschmann PowerMICE) #copy system:running-config nvram:startup-con- Are you sure you want to save? (y/n) y Copy OK: 15811 bytes copied Configuration Saved! (Hirschmann PowerMICE) # Nach der Eingabe der IP Parameter können Sie das Gerät über das Web-...
Seite 35: Ip-Parameter Über Hidiscovery Eingeben
IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben 2.3 IP-Parameter über HiDiscovery eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Die Software befin- det sich auf der CD, die mit dem Gerät ausgeliefert wurde.
Seite 36 IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben Abb. 10: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt die erste gefundene Netzwerkkarte des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie diese in HiDis- covery in der Werkzeugleiste auswählen.
Seite 37 IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben Abb. 11: HiDiscovery - IP-Parameter-Zuweisung Hinweis: Mit dem Eintragen der IP-Adresse übernimmt das Gerät die lokalen Konfiguartionseinstellungen (siehe auf Seite 53 „Einstellungen la- den/speichern“). Hinweis: Schalten Sie aus Sicherheitsgründen im Web-based Interface die HiDiscovery-Funktion des Gerätes aus, nachdem Sie dem Gerät die IP-Pa- rameter zugewiesen haben (siehe Seite 49 „System-Konfiguration über das...
Seite 38: System-Konfiguration Vom Aca Laden
IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden 2.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät zum Speichern der Konfigurationsdaten eines Gerätes und zum Speichern der Geräte-Software. Der ACA ermöglicht beim Ausfall eines Gerätes eine denkbar einfache Kon- figurationsdatenübernahme durch ein Ersatzgerät des gleichen Typs.
Seite 39: Ip-Parameter Eingeben
IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden Gerät starten Nein vorhanden? Passwort im Voreingestelltes Nein Nein Gerät und ACA Passwort im identisch? Gerät? Konfiguration vom Konfiguration aus ACA laden lokalem Speicher laden ACA-LEDs blinken ACA-LEDs blinken synchron alternierend Konfigurationsdaten geladen Abb.
Seite 40: System-Konfiguration Über Bootp
IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP 2.5 System-Konfiguration über BOOTP Bei der Inbetriebnahme mit Hilfe von BOOTP (bootstrap protocol) erhält ein Gerät gemäß dem Ablaufdiagramm "BOOTP-Prozeß" (siehe Abb. 13) seine Konfigurationsdaten. Hinweis: Im Lieferzustand bezieht das Gerät seine Konfigurationsdaten vom DHCP-Server.
Seite 41 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP switch_01:ht=ethernet:ha=008063086501:ip=149.218.112.83:tc=.global: switch_02:ht=ethernet:ha=008063086502:ip=149.218.112.84:tc=.global: Zeilen mit vorangestelltem #-Zeichen sind Kommentarzeilen. Die Zeilen unter ".global:" dienen der Arbeitserleichterung bei der Konfigura- tion mehrerer Geräte. Jedem Gerät weisen Sie mit dem Template (tc) die glo- balen Konfigurationsdaten (tc=.global:) zu. In den Gerätezeilen (switch-0...) erfolgt die direkte Zuordnung von Hardware- und IP-Adresse.
Seite 42 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP Inbetriebnahme Lade Default Konfiguration Gerät wird initialisiert Gerät arbeitet mit Einstellungen aus lokalem Flash Sende DHCP DHCP/ oder BOOTP BOOTP? Requests Nein Antwort vom IP-Parameter und Nein* DHCP/BOOTP- config file URL Server? lokal speichern IP-Stack mit IP-Parametern initialisieren...
Seite 43 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP Lade Remote- Starte tftp-Prozeß Konfiguration von mit config file URL aus DHCP? URL aus DHCP Nein tftp erfolgreich ? Nein* Lade übertragenes config file Speichere übertragenes config file lokal, setze Boot-Konfiguration auf lokal schalte BOOTP/DHCP aus Laden der Konfigurationsdaten abgeschlossen...
Seite 44 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP Hinweis: Den von DHCP/BOOTP (siehe auf Seite 40 „System-Konfiguration über BOOTP“) gestarteten Ladevorgang zeigt die Selektion von „vom URL & lokal speichern“ im Rahmen „Laden“ an. Sollten Sie beim Speichern einer Konfiguration eine Fehlermeldung erhalten, dann kann eine Ursache ein ak- tiver Ladevorgang sein.
Seite 45: System-Konfiguration Über Dhcp
IP-Parameter eingeben 2.6 System-Konfiguration über DHCP 2.6 System-Konfiguration über DHCP Das DHCP (dynamic host configuration protocol) verhält sich im Grunde wie das BOOTP und bietet zusätzlich die Konfiguration eines DHCP-Clients über einen Namen anstatt über die MAC-Adresse an. Dieser Name heißt bei DHCP nach rfc 2131 "client identifier".
Seite 46 IP-Parameter eingeben 2.6 System-Konfiguration über DHCP Das besondere von DHCP gegenüber BOOTP ist, daß der DHCP-Server die Konfigurationsparameter (“lease”) nur für eine bestimmte Zeitspanne zur Verfügung stellen kann. Nach Ablauf dieser Zeitspanne (“lease duration”), muß der DHCP-Client versuchen dieses lease entweder zu erneuern oder ein neues lease aushandeln.
Seite 47 IP-Parameter eingeben 2.6 System-Konfiguration über DHCP # Host hugo requests IP configuration # with his client identifier. host hugo { option dhcp-client-identifier "hugo"; option dhcp-client-identifier 00:68:75:67:6f; fixed-address 149.218.112.83; server-name "149.218.112.11"; filename "/agent/config.dat"; Zeilen mit vorangestelltem #-Zeichen sind Kommentarzeilen. Die Zeilen vor den einzeln aufgeführten Geräten bezeichnen Einstellungen, die für alle folgenden Geräte gelten.
Seite 48: System-Konfiguration Über Dhcp Option
IP-Parameter eingeben 2.7 System-Konfiguration über DHCP 2.7 System-Konfiguration über DHCP Option 82 Wie beim klassischen DHCP erhält bei der Inbetriebnahme ein Agent gemäß dem Ablaufdiagramm „BOOTP/DHCP-Prozeß“ (siehe Abb. 13) seine Konfi- gurationsdaten. Während sich die System-Konfiguration über das klassische DHCP-Proto- koll (siehe auf Seite 45 „System-Konfiguration über DHCP“) am zu konfigu-...
Seite 49: System-Konfiguration Über Das Web-Based Interface
IP-Parameter eingeben 2.8 System-Konfiguration über das Web-based 2.8 System-Konfiguration über das Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält, weisen IP-Pa- rameter und VLAN ID zu und konfigurieren den HiDiscovery-Zugriff. Abb.
Seite 50 IP-Parameter eingeben 2.8 System-Konfiguration über das Web-based Im Modus lokal werden die Netzparameter aus dem Speicher des Ge- rätes verwendet. Geben Sie entsprechend des gewählten Modus rechts die Parameter ein. Den für das DHCP-Protokoll relevanten Namen geben Sie im System- Dialog des Web-based Interface in der Zeile "Name"...
Seite 51: Defekte Geräte Ersetzen
IP-Parameter eingeben 2.9 Defekte Geräte ersetzen 2.9 Defekte Geräte ersetzen Das Gerät bietet zwei Plug-and-Play-Lösungen zum Austauschen eines defekten Gerätes durch einen Gerät des gleichen Typs (Faulty Device Replacement): Konfiguration des neuen Gerätes mit Hilfe eines AutoConfiguration Adapters (siehe auf Seite 38 „System-Konfiguration vom ACA laden“) oder Konfiguration mit Hilfe des DHCP Option 82 (siehe auf Seite 210 „DHCP-...
Seite 52 IP-Parameter eingeben 2.9 Defekte Geräte ersetzen Grundkonfiguration L3E Release 4.1 03/08...
Seite 53: Einstellungen Laden/Speichern
Einstellungen laden/speichern 3 Einstellungen laden/speichern Einstellungen wie z.B. IP-Parameter und Portkonfiguration speichert das Ge- rät im flüchtigen Arbeitsspeicher. Diese gehen beim Ausschalten oder einem Neustart verloren. Das Gerät bietet Ihnen die Möglichkeit, Einstellungen aus dem flüchtigen Arbeitsspeicher in einen nicht-flüchti- gen Speicher zu speichern, Einstellungen von einem nicht-flüchtigen Speicher in den flüchtigen Arbeitsspeicher zu laden.
Seite 54: Einstellungen Laden
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1 Einstellungen laden Bei einem Neustart lädt das Gerät seine Konfigurationsdaten vom lokalen nicht-flüchtigen Speicher, sofern Sie nicht BOOTP/DHCP aktiviert haben und kein ACA am Gerät angeschlossen ist. Während des Betriebs bietet Ihnen das Gerät die Möglichkeit, Einstellungen aus folgenden Quellen zu laden: vom lokalen nicht-flüchtigen Speicher, vom AutoConfiguration Adapter.
Seite 55: Laden Aus Lokalem Nicht-Flüchtigen Speicher
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.1 Laden aus lokalem nicht-flüchtigen Speicher Beim lokalen Laden der Konfigurationsdaten lädt das Gerät die Konfigurationsdaten aus dem lokalen nicht-flüchtigen Speicher, sofern kein ACA am Gerät angeschlossen ist. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Laden“ auf „Lokal“. Klicken Sie auf „Konfiguration laden“.
Seite 56: Laden Aus Einer Datei
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.3 Laden aus einer Datei Das Gerät bietet Ihnen die Möglichkeit, die Konfigurationsdaten aus einer Datei im angeschlossenen Netz zu laden, sofern kein AutoConfiguration Adapter am Gerät angeschlossen ist. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Laden“ auf „vom URL“, wenn das Gerät die Konfigurationsdaten aus einer Datei laden soll und die lokal gespeicherte Konfiguration erhalten bleiben soll.
Seite 57 Einstellungen laden/speichern 3.1 Einstellungen laden Abb. 17: Dialog Laden/Speichern Wechsel in den Priviledged-EXEC-Modus. enable Das Gerät lädt die Konfigurationsdaten von ei- copy tftp://149.218.112.159/ nem tftp-Server im angeschlossenen Netz. switch/config.dat nv- ram:startup-config Hinweis: Den von DHCP/BOOTP (siehe auf Seite 40 „System-Konfiguration über BOOTP“) gestarteten Ladevorgang zeigt die Selektion von „vom URL &...
Seite 58: Konfiguration In Den Lieferzustand Versetzen
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.4 Konfiguration in den Lieferzustand versetzen Das Gerät bietet Ihnen die Möglichkeit, die aktuelle Konfiguration in den Lieferzustand zurückzusetzen. Die lokal gespeicherte Konfiguration bleibt erhalten. das Gerät in den Lieferzustand zurückzusetzen. Nach dem nächsten Neustart ist auch die IP-Adresse im Lieferzustand. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Seite 59: Einstellungen Speichern
Einstellungen laden/speichern 3.2 Einstellungen speichern 3.2 Einstellungen speichern Im Rahmen „Speichern“ haben Sie die Möglichkeit, die aktuelle Konfiguration auf dem Gerät speichern, die aktuelle Konfiguration in einer Datei unter dem angegebenen URL im Binärformat oder als editier- und lesbares Script zu speichern, die aktuelle Konfiguration im Binärformat oder als editier- und lesbares Script auf dem PC zu speichern.
Seite 60: Speichern In Eine Datei Auf Url
Einstellungen laden/speichern 3.2 Einstellungen speichern 3.2.2 Speichern in eine Datei auf URL Das Gerät bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine Datei im angeschlossenen Netz zu speichern. Hinweis: Die Konfigurationsdatei enthält alle Konfigurationsdaten, auch das Passwort. Achten Sie deshalb auf die Zugriffsrechte auf dem tftp-Server. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Seite 61: Speichern In Eine Binär-Datei Auf Den Pc
Einstellungen laden/speichern 3.2 Einstellungen speichern 3.2.3 Speichern in eine Binär-Datei auf den PC Das Gerät bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine Binär-Datei Ihres PCs zu speichern. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Speichern“ auf „auf dem PC (binär)“. Geben Sie im Speichern-Fenster den Dateinamen an, unter wel- chem das Gerät die Konfigurationsdatei speichern soll.
Seite 62 Einstellungen laden/speichern 3.2 Einstellungen speichern Grundkonfiguration L3E Release 4.1 03/08...
Seite 63: Neueste Software Laden
Neueste Software laden 4 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann (www.hirschmann.com) eine neuere Release der Geräte-Soft- ware finden, als die Release, die auf Ihrem Gerät gespeichert ist.
Seite 64: Software Laden
Neueste Software laden Software laden Das Gerät bietet drei Möglichkeiten die Software zu laden: vom ACA 21-USB (out-of-band), über tftp von einem tftp-Server (in-band) und über ein Datei-Auswahl-Fenster von Ihrem PC. Hinweis: Die Konfiguration des Gerätes bleibt nach der Installation der neuen Software erhalten.
Seite 65: Software Vom Aca Laden
Neueste Software laden 4.1 Software vom ACA laden 4.1 Software vom ACA laden Den ACA 21-USB können Sie wie einen gewöhnlichen USB-Stick an einen USB-Port Ihres PCs anschließen und die Geräte-Software in das Hauptver- zeichnis des ACA 12-USB kopieren. Verbinden Sie den ACA 21-USB, auf den Sie die Geräte-Software kopiert haben, mit dem USB-Port des Gerätes.
Seite 66: Auswahl Der Zu Ladenden Software
Neueste Software laden 4.1 Software vom ACA laden 4.1.1 Auswahl der zu ladenden Software Mit diesem Menüpunkt des System-Monitors wählen Sie eine von zwei möglichen Software-Releases aus, die geladen werden soll. Am Bildschirm erscheint folgendes Fenster: Select Operating System Image (Available OS: Selected: 1.00 (2004-08-26 07:15), Backup: 1.00 (2004-08-26 07 :15(Locally selected: 1.00 (2004-08-26 07:15))
Seite 67: Test Stored Images In Flash Memory
Neueste Software laden 4.1 Software vom ACA laden Test stored images in flash memory Wählen Sie 3, um zu prüfen, ob die gespeicherten Abbilder der Soft- ware im Flash-Speicher gültige Codes enthalten. Test stored images in USB memory Wählen Sie 4, um zu prüfen, ob die gespeicherten Abbilder der Soft- ware im ACA 21-USB gültige Codes enthalten.
Seite 68: Software Vom Tftp-Server Laden
Neueste Software laden 4.2 Software vom tftp-Server laden 4.2 Software vom tftp-Server laden Für ein tftp-Update benötigen Sie einen tftp-Server, auf dem die zu ladende Software abgelegt ist (siehe auf Seite 214 „tftp-Server für SW-Updates“). Wählen Sie den Dialog Grundeinstellungen:Software. Der URL kennzeichnet den Pfad zu der auf dem tftp-Server gespeicherten Software.
Seite 69 Neueste Software laden 4.2 Software vom tftp-Server laden Abb. 19: Dialog Software-Update Nach erfolgreichem Laden aktivieren Sie die neue Software: Wählen Sie den Dialog Grundeinstellungen:Neustart und führen Sie einen Kaltstart durch. Klicken Sie nach dem Booten des Gerätes in Ihrem Browser auf „Neu laden“, um wieder auf das Gerät zugreifen zu können.
Seite 70: Software Über Datei-Auswahl Laden
Neueste Software laden 4.3 Software über Datei-Auswahl laden 4.3 Software über Datei-Auswahl laden Für ein Update über ein Datei-Auswahl-Fenster benötigen Sie die Geräte- Software auf einem Laufwerk, das Sie über Ihren PC erreichen. Wählen Sie den Dialog Grundeinstellungen:Software. Klicken Sie im Datei-Auswahl-Rahmen auf „...“. Wählen Sie im Datei-Auswahl-Fenster die Geräte-Software (de- vice.bin) aus und klicken Sie auf „Öffnen“.
Seite 71: Ports Konfigurieren
Ports konfigurieren 5 Ports konfigurieren Die Portkonfiguration umfasst: Port ein-/ausschalten, Betriebsart wählen, Meldung von Verbindungsfehlern aktivieren, Power over ETHERNET konfigurieren. Port ein-/ausschalten Im Lieferzustand sind alle Ports eingeschaltet. Um einen höheren Zugangsschutz zu erzielen, schalten Sie die Ports aus, an denen Sie keine Verbindung anschließen.
Seite 72: Power Over Ethernet Konfigurieren
Deshalb nimmt das Gerät an dieser Stelle als „Nominale Leistung“ den Wert 60 Watt pro PoE-Medienmodul an. Nominale Leistung für MACH 4000: Das Gerät bietet die nominale Leistung für die Summe aller PoE-Ports zu- züglich einer Reserve. Benötigen die angeschlossenen Geräte mehr PoE-Leistung, als die angebotene PoE-Leistung, dann schaltet das Gerät...
Seite 73 Ports konfigurieren Mit „Funktion An/Aus" schalten Sie PoE ein/aus. „Verschicke Trap" bietet Ihnen die Möglichkeit, das Gerät zu veran- lassen, in folgenden Fällen einen Trap zu senden: – beim Überschreiten/Unterschreiten der Leistungsschwelle. – beim Ein-/Ausschalten der PoE-Versorgungsspannung an min- destens einem Port. In „Threshold“...
Seite 74 In der Spalte "Port an" haben Sie die Möglichkeit, PoE an diesem Port ein-/auszuschalten. Die Spalte "Status" zeigt den PoE-Status des Ports an. In der Spalte "Priorität" (MACH 4000) legen Sie die PoE-Priorität „niedrig“, „hoch“ oder „kritisch" des Ports fest. Die Spalte "Class" zeigt die Klasse des angeschlossenen Gerätes...
Seite 75: Schutz Vor Unberechtigtem Zugriff
Schutz vor unberechtigtem Zugriff 6 Schutz vor unberechtigtem Zugriff Schützen Sie Ihr Netz vor unberechtigten Zugriffen. Das Gerät bietet Ihnen folgende Funktionen zum Schutz gegen unberechtigte Zugriffe. Passwort für SNMP-Zugriff, Telnet-/Web/SSH-Zugriff abschaltbar, HiDiscovery-Funktion abschaltbar, Portzugangskontrolle über IP- oder MAC-Adresse, Portauthentifizierung nach 802.1X, Zugriffs-Kontroll-Listen (Access Control Lists, ACL).
Seite 76: Passwort Für Snmp-Zugriff
Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff 6.1 Passwort für SNMP-Zugriff 6.1.1 Beschreibung Passwort für SNMP-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Gerät. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Gerätes zugreifen will.
Seite 77: Passwort Für Snmp-Zugriff Eingeben
Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff 6.1.2 Passwort für SNMP-Zugriff eingeben Wählen Sie den Dialog Sicherheit:Passwort / SNMPv3-Zu- griff. Dieser Dialog bietet Ihnen die Möglichkeit, das Lese- und das Schreib/ Lese-Passwort für den Zugriff mit Web-based Interface/CLI/SNMP auf dem Gerät zu ändern.
Seite 78 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Abb. 21: Dialog Passwort Grundkonfiguration L3E Release 4.1 03/08...
Seite 79 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Wichtig: Wenn Sie kein Passwort mit der Berechtigung „read-write“ kennen, haben Sie keine Möglichkeit auf das Gerät schreibend zuzu- greifen! Hinweis: Um nach dem Ändern des Passwortes für den Schreibzugriff auf das Gerät zugreifen zu können, starten Sie das Web-based Inter- face neu.
Seite 80 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Passwort Passwort, mit welchem dieser Rechner auf das Gerät zu- greifen darf. Dieses Passwort ist unabhängig vom SNMPv3-Passwort. IP-Adresse IP-Adresse des Rechners, der auf das Gerät zugreifen darf. IP-Maske IP-Maske zur IP-Adresse Zugriffs- Zugriffsrecht legt fest, ob der Rechner mit Lese- oder recht...
Seite 81: Telnet-/Web-/Ssh-Zugriff
Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff 6.2 Telnet-/Web-/SSH-Zugriff 6.2.1 Beschreibung Telnet-Zugriff Der Telnet-Server des Gerätes bietet Ihnen die Möglichkeit, das Gerät mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren. Sie können den Telnet-Server ausschalten, um einen Telnet-Zugriff auf das Gerät zu verhindern.
Seite 82: Beschreibung Ssh-Zugriff
Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff Nach dem Abschalten des Web-Servers ist ein erneutes Anmelden über ei- nen Web-Browser nicht mehr möglich. Die Anmeldung im offenen Browser- fenster bleibt aktiv. Hinweis: Das Command Line Interface und dieser Dialog bieten Ihnen die Möglichkeit, den Telnet-Server wieder zu aktivieren.
Seite 83: Telnet-/Web-/Ssh-Zugriff Aus-/Einschalten
Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff 6.2.4 Telnet-/Web-/SSH-Zugriff aus-/einschalten Wählen Sie den Dialog Sicherheit:Telnet/Web-/SSH-Zu- griff. Schalten Sie den Server aus, zu welchem Sie den Zugang verwehren wollen. Wechsel in den Priviledged-EXEC-Modus. enable Telnet-Server einschalten. transport input telnet Telnet-Server ausschalten. no transport input telnet Web-Server einschalten.
Seite 84: Hidiscovery-Funktion Ausschalten
Schutz vor unberechtigtem Zugriff 6.3 HiDiscovery-Funktion ausschalten 6.3 HiDiscovery-Funktion ausschalten 6.3.1 Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät anhand seiner MAC- Adresse eine IP-Adresse zuzuweisen (siehe auf Seite 35 „IP-Parameter über HiDiscovery eingeben“). HiDiscovery ist ein Layer-2-Protokoll. Hinweis: Schränken Sie aus Sicherheitsgründen die HiDiscovery-Funktion des Gerätes ein oder schalten Sie sie aus, nachdem Sie dem Gerät die IP- Parameter zugewiesen haben.
Seite 85 Schutz vor unberechtigtem Zugriff 6.3 HiDiscovery-Funktion ausschalten HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen“ einschalten read-only HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen und schreiben“ einschalten read-write Grundkonfiguration L3E Release 4.1 03/08...
Seite 86: Portzugangskontrolle
Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle 6.4 Portzugangskontrolle 6.4.1 Portzugangskontrolle Das Gerät schützt jeden Port vor unberechtigtem Zugriff. Abhängig von Ihrer Auswahl prüft das Gerät die MAC-Adresse oder die IP-Adresse des ange- schlossenen Gerätes. Zur Sicherheitsüberwachung jedes einzelnen Ports stehen folgende Funkti- onen zur Verfügung: Wer hat Zugang zu diesem Port? Das Gerät kennt 2 Klassen von Zugangskontrolle:...
Seite 87: Portzugangskontrolle Festlegen
Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle Hinweis: Da das Gerät auf Layer 2 arbeitet, übersetzt er eingetragene IP- Adressen in MAC-Adressen. Dies setzt voraus, dass einer MAC-Adresse ge- nau eine IP-Adresse zugeordnet ist. Beachten Sie, dass z.B. über einen Router mehrere IP-Adressen einer MAC- Adresse, nämlich der des Routers, zugeordnet werden.
Seite 88 Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle Falls Sie IP-basiert gewählt haben, geben Sie in der Spalte "Erlaub- te IP-Adressen" die IP-Adressen der Geräte ein, mit denen ein Da- tenaustausch an diesem Port erlaubt ist. Sie können bis zu 10 - jeweils durch ein Leerzeichen getrennte - IP-Adressen eingeben.
Seite 89 Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle Hinweis: Voraussetzungen damit das Gerät einen Alarm (Trap) senden kann (siehe auf Seite 177 „Trapeinstellung“): – mindestens ein Empfänger ist eingetragen, – der entsprechende Status („Aktiv“) ist angekreuzt, – „Portsicherheit“ ist angekreuzt. Grundkonfiguration L3E Release 4.1 03/08...
Seite 90: Portauthentifizierung Nach 802.1X
Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X 6.5 Portauthentifizierung nach 802.1X 6.5.1 Beschreibung Portauthentifizierung nach 802.1X Die portbasierte Netzzugriffskontrolle ist eine im Standard IEEE 802.1X be- schriebene Methode zum Schutz von IEEE 802-Netzen vor unberechtigtem Zugriff. Durch die Authentifizierung und Autorisierung eines Gerätes, das an einem Port des Gerätes angeschlossen ist, kontrolliert das Protokoll den Zugang an diesem Port.
Seite 91: Authentifizierungsablauf
Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X 6.5.2 Authentifizierungsablauf Ein Supplikant versucht über einen Geräteport zu kommunizieren. Das Gerät fordert den Supplikanten auf, sich zu authentifizieren. Zu diesem Zeitpunkt ist ausschließlich EAPOL Verkehr zwischen Supplikant und Gerät erlaubt. Der Supplikant antwortet mit seinen Identitätsdaten. Das Gerät leitet die Identitätsdaten an den Authentifizierungsserver weiter.
Seite 92: Einstellung
Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X 6.5.4 802.1X Einstellung Konfiguration des RADIUS-Servers Wählen Sie den Dialog Sicherheit:802.1x Port-Authenti- fizierung:RADIUS-Server. Dieser Dialog bietet Ihnen die Möglichkeit, die Daten für einen, zwei oder drei RADIUS-Server einzugeben. Klicken Sie auf „Eintrag erzeugen“, um das Dialogfenster zur Ein- gabe der IP-Adresse eines RADISUS-Servers zu öffnen.
Seite 93: Zugriffs-Kontroll-Listen (Acl)
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 6.6 Zugriffs-Kontroll-Listen (ACL) Mit Zugriffs-Kontroll-Listen (Access Control Lists, ACL) haben Sie die Möglichkeit, Datenpakete beim Empfangen auszufiltern, weiterzuleiten, um- zuleiten oder zu priorisieren. Das Gerät bietet MAC-basierte ACLs und IP-basierte ACLs. Das Gerät berücksichtigt die ACLs beim Paketempfang. Deshalb heißen die Listen Ingress-ACLs.
Seite 94: Beschreibung Priorisierung Mit Acls
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Hinweis: Beim Power MICE und MACH 4000 können Sie je Interface ent- weder MAC-basierte oder IP-basierte ACLs anwenden. Beim MACH 4002-24G/48G können Sie je Interface sowohl MAC-basierte als auch IP-basierte ACLs anwenden. 6.6.1 Beschreibung Priorisierung mit ACLs Die Priorisierung mit ACLs bietet Ihnen eine Erweiterung der Priorisierungs- funktion.
Seite 95: Beschreibung Ip-Basierte Acls
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 6.6.2 Beschreibung IP-basierte ACLs Das Gerät unterscheidet zwischen Standard- und erweiterten IP-basierten ACLs. ACLs mit einer Identifikationsnummer (ACL ID) von 1 bis 99 sind Standard-IP-basierte ACLs und von 100 bis 199 sind erweiterte (extended) IP-basierte ACLs. Standard-IP-basierte ACLs bieten folgende Kriterien zur Filterung: IP-Quelladresse mit Netzmaske Alle Datenpakete (match every)
Seite 96: Beschreibung Mac-Basierte Acls
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Hinweis: IP-Adressmasken in den Regeln von ACLs sind invers. Das bedeutet, wenn Sie eine einzelne IP-Adresse maskieren wollen, dann wählen Sie die Netzmaske 0.0.0.0. 6.6.3 Beschreibung MAC-basierte ACLs Während Sie IP-basierte ACLs über eine Identifikationsnummer identifizie- ren, identifizieren Sie MAC-basierte ACLs über einen beliebigen eindeutigen Namen.
Seite 97: Ip-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Hinweis: Wenn Sie MAC-ACLs an Ports anwenden, die sich im MRP-Ring befinden, dann fügen Sie den ACLs die folgende Regel hinzu: PERMIT Source MAC: ANY Destination MAC: 01:15:4E:00:00:00 Destination MAC-Maske: 00:00:00:00:00:03 CLI-Komando im Config-mac-access-Modus: permit any 01:15:4E:00:00:00 00:00:00:00:00:03 Hinweis: MAC-Adressmasken in den Regeln von ACLs sind invers.
Seite 98 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Wechsel in den Priviledged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL 100 mit der 1. Regel. access-list 100 deny ip Diese verweigert den Datenverkehr von der IP- 10.0.1.11 0.0.0.0 Quelladresse 10.0.1.11 zur IP-Zieladresse 10.0.1.158 0.0.0.0 10.0.1.158.
Seite 99: Mac-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) show access-lists interface 2/3 in ACL Type ACL ID Sequence Number -------- ------------------------------- --------------- 6.6.5 MAC-ACLs konfigurieren Beispiel: MAC-ACL AppleTalk und IPX aus dem gesamten Netz ausfiltern. Wechsel in den Priviledged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL „ipx-apple“...
Seite 100: Priorisierung Mit Ip-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 6.6.6 Priorisierung mit IP-ACLs konfigurieren Beispiel: Priorisieren von Multicast-Strömen. Den Multicast-Strömen mit den IP-Multicast-Zieladressen 239.1.1.1 bis 239.1.1.255 die Priorität 6 zuordnen und Den Multicast-Strömen mit den IP-Multicast-Zieladressen 237.1.1.1 bis 237.1.1.255 die Priorität 5 zuordnen und Wechsel in den Priviledged-EXEC-Modus.
Seite 101 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Beispiel: Erweiterte ACL mit Priorisierung an Hand des Simple Network Management Protokolls (Layer 4) Wechsel in den Priviledged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL 104 mit der 1. Regel. access-list 104 permit udp Diese Regel weist allen SNMP-Paketen mit dem any any eq snmp assign...
Seite 102: Reihenfolge Der Regeln Festlegen
Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 6.6.7 Reihenfolge der Regeln festlegen Die Anwendung der ACLs hängt von deren Reihenfolge ab. Die erste Liste, die zutrifft kommt zur Anwendung und alle folgenden Regeln werden ignoriert. Durch die Vergabe der „Sequence Number“ können Sie die Reihenfolge beeinflussen.
Seite 103: Die Systemzeit Im Netz Synchronisieren
Die Systemzeit im Netz synchronisieren 7 Die Systemzeit im Netz synchronisieren Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Das Gerät bietet zwei Möglichkeiten mit unterschiedlicher Genauigkeit, die Zeit in Ihrem Netz zu synchronisieren. Bei weniger großen Genauigkeitsanforderungen, im besten Fall eine Genau- igkeit im Millisekunden-Bereich, ist das Simple Network Time Protocol (SNTP) eine kostengünstige Lösung.
Seite 104: Uhrzeit Eingeben
Die Systemzeit im Netz synchronisieren 7.1 Uhrzeit eingeben 7.1 Uhrzeit eingeben Steht Ihnen keine Referenzuhr zur Verfügung, dann haben Sie die Möglich- keit, in einem Gerät die Systemzeit einzugeben, um ihn dann wie eine Referenzuhr einzusetzen (siehe auf Seite 108 „Konfiguration SNTP“) (siehe auf Seite 117 „Konfiguration PTP“) Hinweis: Passen Sie in Zeitzonen mit Sommer-/Winterzeit den lokalen Off- set bei der Zeitumstellung an.
Seite 105 Die Systemzeit im Netz synchronisieren 7.1 Uhrzeit eingeben Mit „Setze Zeit vom PC“ übernimmt das Gerät die Zeit des PCs als Systemzeit und berechnet mit der lokalen Zeitdifferenz die IEEE 1588 / SNTP-Zeit. „IEEE 1588 / SNTP-Zeit" = „Systemzeit" - „Lokaler Offset" „Lokaler Offset"...
Seite 106: Sntp
Die Systemzeit im Netz synchronisieren 7.2 SNTP 7.2 SNTP 7.2.1 Beschreibung SNTP Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die SNTP-Server- und die SNTP-Client-Funktion. Der SNTP-Server stellt die UTC (Universal Time Coordinated) zur Verfü- gung.
Seite 107: Vorbereitung Der Sntp-Konfiguration
Die Systemzeit im Netz synchronisieren 7.2 SNTP 7.2.2 Vorbereitung der SNTP-Konfiguration Zeichnen Sie einen Netzplan mit allen am PTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallauf- zeit abhängig ist.
Seite 108: Konfiguration Sntp
Die Systemzeit im Netz synchronisieren 7.2 SNTP 7.2.3 Konfiguration SNTP Wählen Sie den Dialog Zeit:SNTP. Konfiguration SNTP-Client und -Server In diesem Rahmen schalten Sie die SNTP-Funktion ein/aus. Im ausgeschalteten Zustand sendet der SNTP-Server keine SNTP-Pakete und beantwortet keine SNTP-Anfragen. Der SNTP-Client sendet keine SNTP-Anforderungen und wertet keine SNTP-Broadcast-/Multicast-Pakete aus.
Seite 109 Die Systemzeit im Netz synchronisieren 7.2 SNTP In „VLAN ID“ geben Sie das VLAN an, in welches das Gerät zykli- sche SNTP-Pakete verschicken darf. In „Anycast Sendeintervall“ geben Sie den Zeitabstand an, in wel- chem das Gerät SNTP-Pakete verschickt (gültige Werte: 1 Sekunde bis 3600 Sekunden, Lieferzustand: 120 Sekunden).
Seite 110 Die Systemzeit im Netz synchronisieren 7.2 SNTP Konfiguration SNTP-Client In „Externe Server Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert. In „Redundante Server Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert, wenn er 0,5 Sekunden nach einer Anforderung keine Antwort vom „Externen Server Adresse“...
Seite 111 Die Systemzeit im Netz synchronisieren 7.2 SNTP Gerät 149.218.112.1 149.218.112.2 149.218.112.3 Funktion Server Zieladresse 0.0.0.0 0.0.0.0 0.0.0.0 Server VLAN ID Sendeintervall Client Externe Server Adresse 149.218.112.0 149.218.112.1 149.218.112.2 Anforderungsinterval Broadcasts akzeptieren nein nein nein Tab. 6: Einstellungen für das Beispiel (siehe Abb.
Seite 112: Precison Time Protocol
Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol 7.3 Precison Time Protocol 7.3.1 Funktionsbeschreibung PTP Voraussetzung für zeitkritische, über ein LAN gesteuerte Anwendungen ist ein präzises Zeitmanagement. Der Standard IEEE 1588 beschreibt mit dem Precision Time Protocol (PTP) ein Verfahren, das ausgehend von einer genauesten Uhr die präzise Syn- chronisation aller Uhren in einem LAN ermöglicht.
Seite 113 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Stratum- Spezifikation nummer Für zeitlich begrenzte, spezielle Zwecke, um einer Uhr einen besseren Wert zuzuordnen als allen anderen Uhren im Netz. Bezeichnet die Uhr als Referenzuhr mit höchster Genauigkeit. Eine Stratum 1 Uhr kann sowohl Boundary als auch Ordenary Uhr sein. Zu Stratum 1 Uhren gehören GPS-Uhren und kalibrierte Atomuhren.
Seite 114 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Reference Local (Master clock) (Slave clock) Delay + Jitter Delay + Jitter Delay + Jitter Precision Time Protocol (Application Layer) UDP User Datagramm Protocol (Transport Layer) Internet Protocol (Network Layer) MAC Media Access Control Physical Layer Abb.
Seite 115 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Reference (Grandmaster Clock) Switch Ordinary Clock Ordinary Clock Slave Master Boundary Clock Abb. 29: Boundary Clock Unabhängig von physikalischen Kommunikationspfaden sieht das PTP logische Kommunikationspfade vor, die Sie durch das Einrichten von PTP- Subdomänen definieren.
Seite 116: Vorbereitung Der Ptp-Konfiguration
Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Ordinary Clock Reference (Grandmaster Clock) Switch PTP Subdomain 1 Boundary Clock PTP Subdomain 2 Abb. 30: PTP-Subdomänen 7.3.2 Vorbereitung der PTP-Konfiguration Nach dem Aktivieren der Funktion übernimmt das PTP die Konfiguration automatisch.
Seite 117: Konfiguration Ptp
Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Schalten Sie die PTP-Funktion auf allen Geräten ein, deren Zeit Sie mittels PTP synchronisieren wollen. Wenn Sie keine Referenzuhr zur Verfügung haben, dann bestimmen Sie ein Gerät als Referenzuhr und stellen Sie dessen Systemzeit möglichst genau ein.
Seite 118 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Abb. 31: Dialog PTP-Global Anwendungsbeispiel: Die Synchronisation der Zeit im Netz soll über PTP erfolgen. Das linke Gerät erhält als SNTP-Client über SNTP die Uhrzeit vom NTP-Server. Ei- ner von einem NTP-Server empfangenen Uhrzeit weist das Gerät eine Clock Stratum „2“...
Seite 119 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Reference Switch mit (Grandmaster Clock) RT-Modul Switch mit 10.0.1.116 RT-Modul 10.0.1.112 10.0.1.2 Boundary Clock Ordinary Clock Switch ohne Switch ohne RT-Modul RT-Modul 10.0.1.105 10.0.1.106 Abb. 32: Beispiel für PTP-Synchronisation . Gerät 10.0.1.112 10.0.1.116 10.0.1.105...
Seite 120: Interaktion Von Ptp Und Sntp
Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP 7.4 Interaktion von PTP und SNTP Laut PTP und SNTP können beide Protokolle parallel in einem Netz existieren. Da aber beide Protokolle die Systemzeit des Gerätes beeinflussen, können Situationen auftreten, in denen beide Protokolle konkurieren.
Seite 121 Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP Anwendungsbeispiel: Die Anforderungen an die Genauigkeit der Uhrzeit im Netz sei recht hoch, die Endgeräte jedoch unterstützen ausschließlich SNTP (siehe Abb. 33). Gerät 149.218.112.1 149.218.112.2 149.218.112.3 Funktion Clock Modus ptp-mode- ptp-mode- ptp-mode-...
Seite 122 Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP Grundkonfiguration L3E Release 4.1 03/08...
Seite 123: Netzlaststeuerung
Netzlaststeuerung 8 Netzlaststeuerung Zur Optimierung der Datenübertragung bietet Ihnen das Gerät folgende Funktionen, um die Netzauslastung zu steuern: Einstellungen zur gezielten Paketvermittlung (MAC-Adressfilter) Multicast-Einstellungen Lastbegrenzung Priorisierung - QOS Flusskontrolle Virtuelle LANs Grundkonfiguration L3E Release 4.1 03/08...
Seite 124: Gezielte Paketvermittlung
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung bewahrt Sie das Gerät vor unnötiger Netz- belastung. Folgende Funktionen bietet Ihnen das Gerät zur gezielten Paket- vermittlung: Store and Forward Multiadress-Fähigkeit Altern gelernter Adressen Statische Adresseinträge Ausschalten der gezielten Paketvermittlung 8.1.1 Store and Forward Alle Daten, die das Gerät empfängt, werden gespeichert und auf ihre Gültig- keit geprüft.
Seite 125: Altern Gelernter Adressen
Netzlaststeuerung 8.1 Gezielte Paketvermittlung Das Gerät kann bis zu 8000 Adressen lernen. Dies wird notwendig, wenn an einem oder mehreren Ports mehr als ein Endgerät angeschlossen ist. So können mehrere eigenständige Subnetze an das Gerät angeschlossen werden. 8.1.3 Altern gelernter Adressen Das Gerät überwacht das Alter der gelernten Adressen.
Seite 126: Statische Adresseinträge Eingeben
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1.4 Statische Adresseinträge eingeben Eine wichtige Funktion des Gerätes ist unter anderem die Filterfunktion. Sie selektiert Datenpakete nach definierten Mustern, den Filtern. Diesen Mus- tern sind Vermittlungsvorschriften zugeordnet. Das heißt, ein Datenpaket, das ein Gerät an einem Port empfängt, wird mit den Mustern verglichen. Be- steht ein Muster, mit dem das Datenpaket übereinstimmt, dann sendet oder blockiert ein Gerät dieses Datenpaket entsprechend den Vermittlungsvor- schriften an den betroffenen Ports.
Seite 127 Netzlaststeuerung 8.1 Gezielte Paketvermittlung Hinweis: Die Filtertabelle bietet Ihnen die Möglichkeit, bis zu 100 Filter für Multicast-Adressen zu erzeugen. Wählen Sie den Dialog Switching:Filter für MAC-Adressen. Jede Zeile der Filtertabelle stellt einen Filter dar. Filter legen die Ver- mittlungsweise von Datenpaketen fest. Sie werden entweder automa- tisch vom Gerät (Status learned) oder manuell angelegt.
Seite 128: Gezielte Paketvermittlung Ausschalten
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1.5 Gezielte Paketvermittlung ausschalten Um die Daten aller Ports beobachten zu können, bietet Ihnen das Gerät die Möglichkeit, das Lernen der Adressen auszuschalten. Ist das Lernen der Adressen ausgeschaltet, dann überträgt das Gerät alle Daten von allen Ports an alle Ports.
Seite 129: Multicast-Anwendung
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2 Multicast-Anwendung 8.2.1 Beschreibung Multicast-Anwendung Die Datenverteilung im LAN unterscheidet drei Verteilungsklassen bezüglich der adressierten Empfänger: Unicast - ein Empfänger, Multicast - eine Gruppe von Empfängern, Broadcast - jeder erreichbare Empfänger. Im Falle der Multicast-Adressierung leitet das Gerät alle Datenpakete mit einer Multicast-Adresse an allen Ports weiter.
Seite 130: Beispiel Für Eine Multicast-Anwendung
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.2 Beispiel für eine Multicast-Anwendung Die Kameras zur Maschinenüberwachung übertragen in der Regel ihre Bil- der auf Monitore im Maschinenraum und in einen Überwachungsraum. Bei einer IP-Übertragung sendet eine Kamera ihre Bilddaten mit einer Multi- cast-Adresse über das Netz. Damit die vielen Bilddaten nicht unnötig das ganze Netz belasten, benutzt das Gerät das GMRP zur Verteilung der Multicast-Address-Information.
Seite 131: Beschreibung Igmp-Snooping
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.3 Beschreibung IGMP-Snooping Das Internet Group Management Protocol (IGMP) beschreibt die Verteilung von Multicast-Informationen zwischen Routern und Endgeräten auf Ebene 3. Router mit aktiver IGMP-Funktion verschicken periodisch Anfragen (Query), um zu erfahren, welche IP-Multicast-Gruppen-Mitglieder im LAN ange- schlossen sind.
Seite 132: Beschreibung Gmrp
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.4 Beschreibung GMRP Das GARP Multicast Registration Protocol (GMRP) beschreibt die Verteilung von Datenpaketen mit einer Multicast-Adresse als Zieladresse auf Ebene 2. Geräte, die Datenpakete mit einer Multicast-Adresse als Zieladresse emp- fangen wollen, veranlassen mit Hilfe des GMRPs die Registrierung der Mul- ticast-Adresse.
Seite 133: Multicast-Anwendung Einstellen
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.5 Multicast-Anwendung einstellen Wählen Sie den Dialog Switching:Multicasts. Globale Einstellungen „IGMP Snooping" bietet Ihnen die Möglichkeit, IGMP Snooping für das gesamte Gerät global einzuschalten. Ist IGMP Snooping ausgeschaltet, dann: wertet das Gerät empfangene Query- und Report-Pakete nicht aus sendet (flutet) empfangene Datenpakete mit einer Multicast-Adres- se als Zieladresse an allen Ports.
Seite 134: Igmp Querier
Netzlaststeuerung 8.2 Multicast-Anwendung IGMP Querier „IGMP Querier aktiv“ bietet Ihnen die Möglichkeit, die Query-Funktion ein-/auszuschalten. Die Protokoll-Auswahlfelder bieten Ihnen die Möglichkeit, die IGMP- Version 1, 2 oder 3 auszuwählen In „Sende-Intervall“ geben Sie den Zeitabstand an, in welchem der Switch Query-Pakete verschickt (gültige Werte: 2-3599 s, Lieferzu- stand: 125 s).
Seite 135: Unbekannte Multicasts
Netzlaststeuerung 8.2 Multicast-Anwendung Unbekannte Multicasts In diesem Rahmen bestimmen Sie, wie das Gerät im IGMP-Modus Pakete mit unbekannten - nicht mit IGMP-Snooping gelernten- MAC/IP- Multicast-Adressen vermittelt. „An Query Ports senden". Das Gerät sendet die Pakete mit unbekannter MAC/IP-Multicast- Adresse an alle Query-Ports. „An alle Ports senden".
Seite 136: Einstellungen Pro Port (Tabelle)
Diese Tabellenspalte bietet Ihnen die Möglichkeit, IGMP-Report- Nachrichten auch an: anderen ausgewählten Ports (enable) oder angeschlossene Hirschmann-Geräte (automatic) zu vermitteln . Gelernter Query Port Diese Tabellenspalte zeigt Ihnen, an welchen Ports das Gerät IGMP-Anfragen empfangen hat wenn in „Statischer Query Port“...
Seite 137 Netzlaststeuerung 8.2 Multicast-Anwendung GMRP Diese Tabellenspalte bietet Ihnen die Möglichkeit, bei eingeschalte- tem globalem GMRP das GMRP je Port ein-/auszuschalten. Das Ausschalten des GMRPs an einem Port verhindert Registrierungen für diesen Port und das Weiterleiten von GMRP-Paketen an diesem Port. GMRP Service Requirements Geräte, die das GMRP nicht unterstützen, können in die Multicast- Adressierung mit eingebunden werden durch...
Seite 138 Netzlaststeuerung 8.2 Multicast-Anwendung Abb. 35: Dialog IGMP/GMRP Grundkonfiguration L3E Release 4.1 03/08...
Seite 139: Lastbegrenzer
Netzlaststeuerung 8.3 Lastbegrenzer 8.3 Lastbegrenzer 8.3.1 Beschreibung Lastbegrenzer Um bei großer Belastung einen sicheren Datenaustausch zu gewährleisten, kann das Gerät den Verkehr begrenzen. Die Eingabe einer Begrenzungsrate je Port legt fest, wieviel Verkehr das Gerät ausgangs- und eingangsseitig vermitteln darf. Werden an diesem Port mehr als die eingegebene maximale Belastung ver- mittelt, dann verwirft das Gerät die Überlast an diesem Port.
Seite 140 Netzlaststeuerung 8.3 Lastbegrenzer Einstellmöglichkeiten pro Port: Eingangsbegrenzerrate für den im Eingangsbegrenzerrahmen ge- wählten Pakettyp: = 0, keine Begrenzung eingangsseitig an diesem Port. > 0, maximale Übertragungsrate in kbit/s, die ausgangsseitig an diesem Port gesendet werden darf. Ausgangsbegrenzerrate für Broadcast-Pakete: = 0, keine Begrenzung der Broadcasts ausgangsseitig an diesem Port.
Seite 141: Qos/Priorität
Netzlaststeuerung 8.4 QoS/Priorität 8.4 QoS/Priorität 8.4.1 Beschreibung Priorisierung Diese Funktion verhindert, daß zeitkritischer Datenverkehr wie Sprach-/ Video- oder Echtzeitdaten in Zeiten starker Verkehrslast durch weniger zeit- kritischen Datenverkehr gestört wird. Die Zuweisung von hohen Verkehrs- klassen (Traffic Class) für zeitkritische Daten und niedrigen Verkehrsklassen für weniger zeitkritische Daten gewährleistet einen optimierten Datenfluss für zeitkritische Datenverkehr.
Seite 142: Vlan-Tagging
Netzlaststeuerung 8.4 QoS/Priorität Datenpakete können Priorisierungs/QoS-Informationen enthalten: VLAN-Priorität nach IEEE 802.1Q/ 802.1D (Layer 2) Type-of-Service (ToS) bzw. DiffServ (DSCP) bei IP-Paketen (Layer 3) 8.4.2 VLAN-Tagging Für die Funktionen VLAN und Priorisierung sieht der Standard IEEE 802.1 Q vor, dass in einen MAC-Datenrahmen das VLAN-Tag eingebunden wird. Das VLAN-Tag besteht aus 4 Bytes.
Seite 143 Netzlaststeuerung 8.4 QoS/Priorität Hinweis: Netzprotokolle und Redundanzmechanismen nutzen die höchste Traffic Class 7. Wählen Sie deshalb andere Traffic Classes für Anwendungs- daten. 42-1500 Octets min. 64, max. 1522 Octets Abb. 37: Ethernet-Datenpaket mit Tag 4 Octets Abb. 38: Tag-Format Grundkonfiguration L3E Release 4.1 03/08...
Seite 144: Ip Tos / Diffserv
Netzlaststeuerung 8.4 QoS/Priorität Obwohl die VLAN-Priorisierung im Industrie-Bereich weit verbreitet ist, hat sie einige Einschränkungen: Das zusätzliche 4-byte VLAN-Tag vergrössert die Datenpakete. Bei kleinen Datenpaketen führt dies zu einer größeren Bandbreitenbelastung. Eine Ende-zu-Ende Priorisierung setzt das Übertragen der VLAN-Tags im gesamten Netz voraus, d.h. alle Netzkomponenten müssen VLAN- fähig sein.
Seite 145 Netzlaststeuerung 8.4 QoS/Priorität Bits (0-2): IP Precedence Defined Bits (3-6): Type of Service Defined Bit (7) 111 - Network Control 0000 - [all normal] 0 - Must be zero 110 - Internetwork Control 1000 - [minimize delay] 101 - CRITIC / ECP 0100 - [maximize throughput 100 - Flash Override 0010 - [maximize reliability]...
Seite 146 Netzlaststeuerung 8.4 QoS/Priorität Assured Forwarding (AF): Bietet ein differenziertes Schema zur Behandlung unterschiedlichen Verkehrs (RFC 2597). Default Forwarding/Best Effort: Keine besondere Priorisierung. Das Class Selector PHB ordnet die 7 möglichen IP-Precedence Werte aus dem alten TOS-Feld bestimmten DSCP-Werten zu, was die Abwärts- kompatibilität gewährleistet.
Seite 147: Management-Priorisierung
Netzlaststeuerung 8.4 QoS/Priorität 8.4.4 Management-Priorisierung Damit Sie in Situationen großer Netzlast immer vollen Zugriff auf die Verwaltung des Gerätes haben, bietet Ihnen das Gerät die Möglichkeit, Management-Pakete zu priorisieren. Bei der Priorisierung von Management-Paketen (SNMP, Telnet, usw.) sendet das Gerät die Management-Pakete mit einer Prioritäts-Information. Auf Layer 2 modifiziert das Gerät die VLAN-Priorität im VLAN-Tag.
Seite 148: Handhabung Der Traffic Classes
Netzlaststeuerung 8.4 QoS/Priorität 8.4.6 Handhabung der Traffic Classes Für die Handhabung der Traffic Classes bietet dasGerät: Strict Priority Weighted Fair Queuing Strict Priority kombiniert mit Weighted Fair Queuing Voreinstellung: Strict Priority. Beschreibung Strict Priority Bei Strict Priority vermittelt das Gerät zuerst alle Datenpakete mit höherer Traffic Class, bevor er ein Datenpaket mit der nächst niedrigeren Traffic Class vermittelt.
Seite 149: Maximale Bandbreite
Netzlaststeuerung 8.4 QoS/Priorität Wenn Sie Weighted Fair Queuing mit Strict Priority kombinieren, dann achten Sie darauf, dass die höchste Traffic Class von Weighted Fair Queuing kleiner ist als die niedrigste Traffic Class von Strict Priority. In diesem Fall kann eine hohe Strict-Priority-Netzlast die für Weighted Fair Queuing verfügbare Bandbreite deutlich reduzieren.
Seite 150: Priorisierung Einstellen
Netzlaststeuerung 8.4 QoS/Priorität 8.4.7 Priorisierung einstellen Port-Priorität zuweisen Wählen Sie den Dialog QoS/Priorit‰t:Portkonfiguration. In der Spalte „Port Priorität“ haben Sie die Möglichkeit, die Priorität (0-7) festzulegen, mit welcher das Gerät Datenpakete vermittelt, die er an diesem Port ohne VLAN-Tag empfängt. Hinweis: Falls Sie VLANs eingerichtet haben, beachten Sie den „Transparent Modus“...
Seite 151: Empfangenen Datenpaketen Immer Die Port-Priorität Zuweisen (Power Mice Und Mach 4000)
Netzlaststeuerung 8.4 QoS/Priorität User Priority Traffic Class ------------- ------------- Empfangenen Datenpaketen immer die Port-Priorität zuweisen (Power MICE und MACH 4000) Wechsel in den Priviledged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface 1/1. Weist dem Interface den „no trust“-Modus zu.
Seite 152: Empfangenen Ip-Datenpaketen Immer Die Dscp-Priorität Pro Interface Zuweisen (Power Mice Und Mach 4000)
Netzlaststeuerung 8.4 QoS/Priorität Empfangenen IP-Datenpaketen immer die DSCP-Priorität pro Interface zuweisen (Power MICE und MACH 4000) Wechsel in den Priviledged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 6/1 von Interface 6/1. classofservice trust ip- Weist dem Interface den „trust ip-dscp“-Modus zu.
Seite 153: Konfiguration Von Traffic Shaping An Einem Interface
Netzlaststeuerung 8.4 QoS/Priorität Weist den Weighted-Fair-Queuing-Traffic Classes cos-queue min-bandwidth 10 die Gewichtung zu. Da das Gerät bei Strict Priority 10 15 15 20 30 0 0 zuerst alle Datenpakete mit höherer Priorität ver- mittelt, können Sie hier für die Strict-Priority-Traffic Classes die Gewichtung 0 eingeben und auf die verbleibenden Traffic Classes 100% verteilen.
Seite 154: Management-Priorität Layer 2 Konfigurieren
Netzlaststeuerung 8.4 QoS/Priorität Interface........1/2 Interface Shaping Rate......50 Queue Id Min. Bandwidth Max. Bandwidth Scheduler Type -------- -------------- -------------- -------------- Weighted Weighted Weighted Weighted Weighted Weighted Strict Strict Management-Priorität Layer 2 konfigurieren Konfigurieren Sie die VLAN-Ports, an denen das Gerät Management- Pakete verschickt, als Mitglied im VLAN, das Datenpakete mit Tag versendet (siehe auf Seite 162 „VLANs...
Seite 155: Management-Priorität Layer 3 Konfigurieren
Netzlaststeuerung 8.4 QoS/Priorität Management-Priorität Layer 3 konfigurieren Wählen Sie den Dialog QoS/Priorität:Global. In der Zeile IP-DSCP-Wert für Management-Pakete geben Sie den IP-DSCP-Wert ein, mit denen das Gerät Management- Pakete verschickt. Wechsel in den Priviledged-EXEC-Modus. enable Der Management-Priorität den Wert cs7 zuweisen, network priority ip-dscp damit Management-Pakete mit höchster Priorität behandelt werden.
Seite 156: Flusskontrolle
Netzlaststeuerung 8.5 Flusskontrolle 8.5 Flusskontrolle 8.5.1 Beschreibung Flusskontrolle Flusskontrolle ist ein Mechanismus, der als Überlastschutz für das Gerät dient. Während verkehrsstarken Zeiten hält er zusätzlichen Verkehr vom Netz fern. Im Beispiel (siehe Abb. 40) ist die Wirkungsweise der Flusskontrolle graphisch dargestellt. Die Workstations 1, 2 und 3 wollen zur gleichen Zeit viele Daten an die Workstation 4 übertragen.
Seite 157: Flusskontrolle Bei Vollduplex-Verbindung
Netzlaststeuerung 8.5 Flusskontrolle Port 1 Port 4 Switch Port 2 Port 3 Workstation 1 Workstation 2 Workstation 3 Workstation 4 Abb. 40: Beispiel für Flusskontrolle Flusskontrolle bei Vollduplex-Verbindung Im Beispiel (siehe Abb. 40) sei zwischen der Workstation 2 und dem Gerät eine Vollduplex-Verbindung.
Seite 158: Flusskontrolle Einstellen
Netzlaststeuerung 8.5 Flusskontrolle 8.5.2 Flusskontrolle einstellen Wählen Sie den Dialog Grundeinstellungen:Portkonfiguration. In der Spalte „Flusskontolle an“ legen Sie durch Ankreuzen fest, daß an diesem Port Flusskontrolle aktiv ist. Aktivieren Sie hierzu auch den globalen Schalter "Flusskontrolle" im Dialog Switching:Global. Wählen Sie den Dialog Switching:Global. dieser Dialog bietet Ihnen die Möglichkeit, die Flusskontrolle an allen Ports auszuschalten oder die Flusskontrolle an den Ports einschalten, bei denen die Fluss-...
Seite 159: Vlans
Netzlaststeuerung 8.6 VLANs 8.6 VLANs 8.6.1 Beschreibung VLANs Ein virtuelles LAN (VLAN) besteht aus einer Gruppe von Netzteilnehmern in einem oder mehreren Netzsegmenten, die so miteinander kommunizieren können, als gehörten sie demselben LAN an. VLANs basieren auf logischen (statt physikalischen) Verbindungen und sind flexible Elemente der Netzgestaltung.
Seite 160 Netzlaststeuerung 8.6 VLANs VLAN Gelb VLAN Grün MACH 3002 VLAN Grün VLAN Gelb MICE VLAN Gelb VLAN Grün Abb. 41: Beispiel für VLAN Schlagworte, die oft im Zusammenhang mit VLANs benutzt werden sind: Ingress Rule Die Ingress Rules (= Eingangsregeln) legen fest, wie eingehende Daten vom Gerät behandelt werden.
Seite 161 Netzlaststeuerung 8.6 VLANs Egress Rule Die Egress Rules (= Ausgangsregeln) legen fest, wie die ausgehenden Daten vom Gerät behandelt werden. VLAN Identifier Die Zuordnung zu einem VLAN geschieht über eine VLAN Identifikation. Jedes in einem Netz existierende VLAN wird durch eine Identifikation ge- kennzeichnet.
Seite 162: Vlans Konfigurieren
In diesem Modus bleibt die VLAN-ID „0“ im Paket erhalten, unab- hängig von der Einstellung der Port-VLAN-ID im Dialog „VLAN Port“. Hinweis: für Power MICE und MACH 4000 Im „Transparent Modus“ ignorieren die Geräte beim Empfang die VLAN-Tags. Stellen Sie die VLAN-Zugehörigkeit der Ports aller VLANs auf untagged.
Seite 163 Die Änderung wird sofort wirksam. Laden Zeigt die aktuellen Konfigurationsdaten an. Hinweis: Speichern Sie die VLAN-Konfiguration reset-fest (siehe Abb. 47). Hinweis: Die VLAN-IDs der bis zu 256 VLANs liegen im Bereich zwischen 1 und 4042 (MACH 4000: 3966). Grundkonfiguration L3E Release 4.1 03/08...
Seite 164 MICE (ab Rel. 3.0) oder Power MICE MS 20, MS 30 RSR20, RSR30 MACH 1000 MACH 4000 MACH 3000 (ab Rel. 3.3) OCTOPUS Hinweis: Bei der HIPER-Ring-Konfiguration wählen Sie für die Ring- ports die VLAN ID 1 und „Ingress Filtering“ aus in der Port-Tabelle und VLAN-Zugehörigkeit U in der statischen VLAN Tabelle.
Seite 165: Beispiel Für Ein Einfaches Vlan
Netzlaststeuerung 8.6 VLANs 8.6.3 Beispiel für ein einfaches VLAN Das folgende Beispiel vermittelt einen schnellen Einstieg in die Konfiguration eines VLANs, wie es in der Praxis häufig zu finden ist. Schritt für Schritt erfolgt die Konfiguration. 149.218.112.76 VLAN Braun ID = 1 VLAN Gelb VLAN Grün Netzmanagement-...
Seite 166 Netzlaststeuerung 8.6 VLANs Abb. 43: VLAN erzeugen Abb. 44: VLAN ID eingeben Wiederholen Sie die Schritte VLAN erzeugen und VLAN ID einge- ben für alle VLANs. Grundkonfiguration L3E Release 4.1 03/08...
Seite 167 Netzlaststeuerung 8.6 VLANs Abb. 45: VLANs mit beliebigen Namen benennen und speichern Grundkonfiguration L3E Release 4.1 03/08...
Seite 168 Netzlaststeuerung 8.6 VLANs Abb. 46: VLAN-Zugehörigkeit der Ports definieren. Die Ports 1.1 bis 1.3 sind den Endgeräten des VLANs Gelb und die Ports 2.1 bis 2.4 sind Endgeräten des VLANs Grün zugeordnet. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, ist hier die Einstellung U zu wählen.
Seite 169 Netzlaststeuerung 8.6 VLANs Abb. 47: VLAN-Konfiguration speichern Abb. 48: VLAN-Identifikation, Acceptable Frame Types und Ingress Filtering den Ports zuweisen und speichern Grundkonfiguration L3E Release 4.1 03/08...
Seite 170 Netzlaststeuerung 8.6 VLANs Die Ports 1.1 bis 1.3 sind den Endgeräten des VLANs Gelb und somit der VLAN ID 2 und die Ports 2.1 bis 2.4 sind Endgeräten des VLANS Grün und somit der VLAN ID 3 zugeordnet. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, ist hier die Einstellung admitAll zu wählen.
Seite 171 Netzlaststeuerung 8.6 VLANs Abb. 50: Konfiguration nicht-flüchtig speichern Grundkonfiguration L3E Release 4.1 03/08...
Seite 172 Netzlaststeuerung 8.6 VLANs Grundkonfiguration L3E Release 4.1 03/08...
Seite 173: Funktionsdiagnose
Funktionsdiagnose 9 Funktionsdiagnose Zur Funktionsdiagnose bietet Ihnen das Gerät folgende Diagnosewerkzeuge Alarmmeldungen versenden Gerätestatus überwachen Out-of-band-Signalisierung durch Meldekontakt Port-Zustandsanzeige Ereigniszähler auf Portebene SFP-Zustandsanzeige TP-Kabeldiagnose Topologie-Erkennung Berichte Datenverkehr eines Ports beobachten (Portmirroring) Grundkonfiguration L3E Release 4.1 03/08...
Seite 174: Alarmmeldungen Versenden
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1 Alarmmeldungen versenden Treten im Normalbetrieb des Gerätes außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter „Polling“ versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände.
Seite 175: Auflistung Der Snmp-Traps
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1.1 Auflistung der SNMP-Traps Welche Traps das Gerät verschicken kann, finden Sie in der folgenden Tabelle. Trapbezeichnung Bedeutung authenticationFailure wird gesendet, falls eine Station versucht, unberechtigt auf einen Agenten zuzugreifen. coldStart wird sowohl bei Kalt- als auch bei Warmstart während des Boo- tens nach erfolgreicher Initialisierung des Managements gesen- det.
Seite 176: Snmp-Traps Beim Booten
Funktionsdiagnose 9.1 Alarmmeldungen versenden Trapbezeichnung Bedeutung hmRelayDuplicateTrap wird gesendet, wenn im Zusammenhang mit der DHCP Option 82 eine doppelte IP-Adresse erkannt wird. lldpRemTablesChange- wird gesendet, wenn sich ein Eintrag in der Topologie-Tabelle än- Trap dert. vrrpTrapNewMaster wird gesendet, wenn ein anderer Router für ein Interface bzw. eine virtuelle Adresse Master geworden ist.
Seite 177: Trapeinstellung
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1.3 Trapeinstellung Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit, festzulegen, welche Ereig- nisse einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen. Wählen Sie „Eintrag erzeugen“. In der Spalte „IP-Adresse“ geben Sie die IP-Adresse des Empfän- gers an, an den die Traps geschickt werden sollen.
Seite 178 Funktionsdiagnose 9.1 Alarmmeldungen versenden Die auswählbaren Ereignisse haben folgende Bedeutung: Name Bedeutung Authentication Das Gerät hat einen unerlaubten Zugriff zurückgewiesen (siehe Dialog Zugriff für IP-Adressen und Portsicherheit). Cold Start Das Gerät wurde eingeschaltet. Link Down An einem Port des Gerätes wurde die Verbindung zu dem dort ange- schlossenen Gerät unterbrochen.
Seite 179: Gerätestatus Überwachen
Über- oder Unterschreiten der eingestellten Temperaturschwelle. das Entfernen eines Moduls (bei modularen Geräten). das Entfernen des ACA. den Ausfall eines Lüfters (MACH 4000). den fehlerhaften Linkstatus mindestens eines Ports. Die Meldung des Linkstatus kann beim Gerät pro Port über das Management maskiert wer- (siehe auf Seite 72 „Verbindungsfehler...
Seite 180: Gerätestatus Konfigurieren
Funktionsdiagnose 9.2 Gerätestatus überwachen Welche Ereignisse den Gerätestatus bestimmen, hängt von der Einstellung im Management ab. Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet das Gerät das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Ein- gänge zuführen oder die Überwachung ausschalten (siehe auf Seite 184 „Funktionsüberwachung mit...
Seite 181: Gerätestatus Anzeigen
Funktionsdiagnose 9.2 Gerätestatus überwachen 9.2.2 Gerätestatus anzeigen Wählen Sie den Dialog Grundeinstellungen:System . Beginn des ältesten, bestehenden Alarms Ursache des ältesten, bestehenden Alarms Das Symbol zeigt den Gerätestatus an Abb. 52: Gerätestatus- und Alarm-Anzeige Wechsel in den Priviledged-EXEC-Modus. exit Zeigt den Gerätestatus und die Einstellung zur show device-status Gerätestatusermittlung an.
Seite 182: Out-Of-Band-Signalisierung
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktions- überwachung des Gerätes und ermöglichen damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestromschaltung) meldet das Gerät durch Kontaktunterbrechung: Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Gerät (interne Versorgungsspannung).
Seite 183: Meldekontakt Steuern
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3.1 Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fern- zubedienen. Anwendungsmöglichkeiten: Simulation eines Fehlers bei einer SPS-Fehlerüberwachung. Fernbedienung eines Gerätes über SNMP, wie z.B. das Einschalten einer Kamera. Wählen Sie den Dialog Diagnose:Meldekontakt 1/2. Wählen Sie „Manuelle Einstellung“...
Seite 184: Funktionsüberwachung Mit Meldekontakt
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3.2 Funktionsüberwachung mit Meldekontakt Funktionsüberwachung konfigurieren Wählen Sie den Dialog Diagnose:Meldekontakt. Wählen Sie „Funktionsüberwachung“ im Feld „Modus Meldekon- takt“, um den Kontakt zur Funktionsüberwachung zu nutzen. Wählen Sie im Feld „Funktionsüberwachung“ die Ereignisse, die Sie überwachen möchten. Zur Temperaturüberwachung stellen Sie im Dialog Grundeinstellun- gen:System am Ende der Systemdaten die Temperaturschwellen ein.
Seite 185: Gerätestatus Mit Meldekontakt Überwachen
Funktionsdiagnose 9.3 Out-of-band-Signalisierung Abb. 53: Dialog Meldekontakt Wechsel in den Priviledged-EXEC-Modus. exit Zeigt den Zustand der Funktionsüberwachung show signal-contact 1 und die Einstellung zur Statusermittlung an. 9.3.3 Gerätestatus mit Meldekontakt überwachen Die Auswahl „Gerätestatus“ bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe auf Seite 179 „Gerätestatus überwachen“)
Seite 186: Port-Zustandsanzeige
Funktionsdiagnose 9.4 Port-Zustandsanzeige 9.4 Port-Zustandsanzeige Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt das Gerät mit der aktuellen Bestückung. Unterhalb des Geräteabbildes stellen Symbole den Status der einzelnen Ports dar. Abb. 54: Bedeutung der Symbole: Der Port (10, 100 MBit/s, 1, 10 GBit/s) ist freigegeben und die Verbindung ist in Ordnung.
Seite 187: Ereigniszähler Auf Portebene
Funktionsdiagnose 9.5 Ereigniszähler auf Portebene 9.5 Ereigniszähler auf Portebene Die Port-Statistiktabelle versetzt den erfahrenen Netzbetreuer in die Lage, eventuelle Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt Ihnen die Inhalte verschiedener Ereigniszähler an. Im Menüpunkt Neustart können Sie mit "Warmstart", "Kaltstart" oder "Portzähler zurücksetzen"...
Seite 188 Funktionsdiagnose 9.5 Ereigniszähler auf Portebene Abb. 55: Dialog Portstatistiken Grundkonfiguration L3E Release 4.1 03/08...
Seite 189: Sfp-Zustandsanzeige
Funktionsdiagnose 9.6 SFP-Zustandsanzeige 9.6 SFP-Zustandsanzeige Die SFP-Zustandsanzeige bietet Ihnen die Möglichkeit, die aktuelle Bestü- ckung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigen- schaften zählen: Modultyp, Unterstützung im Medienmodul gewährt, Temperatur in Grad Celcius Sendeleistung in Milliwatt Empfangsleistung in Milliwatt Wählen Sie den Dialog Diagnose:Ports:SFP-Module.
Seite 190: Tp-Kabeldiagnose
Funktionsdiagnose 9.7 TP-Kabeldiagnose 9.7 TP-Kabeldiagnose Die TP-Kabeldiagnose ermöglicht Ihnen, das angeschlossene Kabel auf Kurzschluss oder Unterbrechung zu prüfen. Hinweis: Während der Überprüfung ruht der Datenverkehr an diesem Port. Die Prüfung dauert wenige Sekunden. Nach der Prüfung finden sie in der Zeile „Ergebnis“...
Seite 191 Funktionsdiagnose 9.7 TP-Kabeldiagnose Voraussetzungen für eine korrekte TP-Kabeldiagnose: 1000BASE-T-Port über 8adriges Kabel mit 1000BASE-T-Port verbunden oder 10BASE-T/100BASE-TX-Port mit 10BASE-T/100BASE-TX-Port verbunden. Wählen Sie den Dialog Diagnose:Ports:TP-Kabeldiagno- Wählen Sie den TP-Port aus, an dem Sie die Prüfung durchführen wollen. Klicken sie auf „Schreiben“ um die Prüfung zu starten. Grundkonfiguration L3E Release 4.1 03/08...
Seite 192: Topologie-Erkennung
Funktionsdiagnose 9.8 Topologie-Erkennung 9.8 Topologie-Erkennung 9.8.1 Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs, sofern diese auch das LLDP aktiviert haben.
Seite 193: Anzeige Der Topologie-Erkennung
Hirschmann-Multicast-MAC-Adresse 01:80:63:2F:FF:0B. Hirschmann- Geräte mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Gerätes hält die LLDP-Informationen in der lldp-MIB und in der privaten hmLLDP vor.
Seite 194 Funktionsdiagnose 9.8 Topologie-Erkennung Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ih- nen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagementstation in der Lage, die Struktur Ihres Netzes darzustellen. Die Auswahl „Ausschließlich LLDP-Einträge anzeigen“...
Seite 195 Funktionsdiagnose 9.8 Topologie-Erkennung Sind an einem Port, z.B. über einen Hub, mehrere Geräte angeschlos- sen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn Geräte mit aktiver Topologie-Erkennungs-Funktion und Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie-Ta- belle die Geräte ohne aktive Topologie-Erkennung aus.
Seite 196: Ip-Adresskonflikte Erkennen
Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9 IP-Adresskonflikte erkennen 9.9.1 Beschreibung IP-Adresskonflikte Per Definition darf jede IP-Adresse innerhalb eines Subnetzes nur einmal vergeben sein. Existieren innerhalb eines Subnetzes irrtümlicherweise zwei oder mehr Geräte mit der gleichen IP-Adresse, dann kommt es unweigerlich zu Störungen bis hin zur Unterbrechung der Kommunikation mit Geräten dieser IP-Adresse.Stuart Cheshire beschreibt in seinem Internet Draft einen Mechanismus, den industrielle Ethernet-Geräte benutzen können, um Adresskonflikte zu erkennen und zu beheben (Address Conflict Detection,...
Seite 197: Acd Konfigurieren
Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9.2 ACD konfigurieren Wählen Sie den Dialog Diagnose:IP-Adressen Konflikterkennung. Mit „Status“ schalten Sie die IP-Adressen Konflikterkennung ein/aus bzw. wählen Sie die Betriebsart (siehe Tab. 18). 9.9.3 ACD anzeigen Wählen Sie den Dialog Diagnose:IP-Adressen Konflikterkennung. Grundkonfiguration L3E Release 4.1 03/08...
Seite 198 Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen In der Tabelle protokolliert das Gerät IP-Adresskonflikte mit seiner IP-Adresse. Zu jedem Konflikt protokolliert das Gerät: die Uhrzeit, die IP-Adresse mit der der Konflikt bestand, die MAC-Adresse des Gerätes, mit welchem der IP-Adresskonf- likt bestand. Je IP-Adresse protokolliert das Gerät eine Zeile und zwar die mit dem letzten Konflikt.
Seite 199: Berichte
Funktionsdiagnose 9.10 Berichte 9.10Berichte Folgende Berichte stehen zur Diagnose zur Verfügung: Logdatei. Die Logdatei ist eine HTML-Datei, in die das Gerät alle wichtigen geräte- internen Ereignisse schreibt. Systeminformation. Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. Systeminformation. Das Security Data Sheet IAONA ist ein von der IAONA (Industrial Auto- mation Open Networking Alliance) standardisiertes Datenblatt im XML- Format.
Seite 200 Funktionsdiagnose 9.10 Berichte Index IP Address Severity Port Status ----- ----------------- ---------- ---- ------------- 10.0.1.159 error Active Grundkonfiguration L3E Release 4.1 03/08...
Seite 201: Datenverkehr Eines Ports Beobachten
Funktionsdiagnose 9.11 Datenverkehr eines Ports beobachten 9.11Datenverkehr eines Ports beobachten (Portmirroring) Beim Portmirroring werden gültige Datenpakete eines Ports, dem Quellport, zu einem anderen Port, dem Zielport, kopiert. Der Datenverkehr am Quell- port wird beim Portmirroring nicht beeinflußt. Ein am Zielport angeschlossenes Management-Werkzeug, wie z.B. ein RMON-Probe, kann so den Datenverkehr des Quellports in Sende- und Empfangsrichtung beobachten.
Seite 202 Funktionsdiagnose 9.11 Datenverkehr eines Ports beobachten Wählen Sie den Quellport aus, dessen Datenverkehr sie beobachten wollen. Wählen Sie den Zielport aus, an dem Sie Ihr Management-Werkzeug angeschlossen haben. Wählen Sie „Aktiv“, um die Funktion einzuschalten. Die „Löschen“-Bedientaste im Dialog bietet Ihnen die Möglichkeit, alle Portmirroring-Einstellungen des Gerätes in den Lieferzustand zurück zu versetzen.
Seite 203: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A Konfigurationsumgebung einrichten Grundkonfiguration L3E Release 4.1 03/08...
Seite 204: Dhcp/Bootp-Server Einrichten
Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten A.1 DHCP/BOOTP-Server einrichten Auf der CDROM, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT-Consul- ting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 205 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Nehmen Sie die im Bild dargestellten Einstellungen vor und klicken Sie auf OK. Abb. 62: DHCP-Einstellung Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten. Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf Hinzufügen.
Seite 206 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 64: Netzmaske im Konfigurationsprofil Wählen Sie die Karteikarte Boot. Geben Sie die IP-Adresse Ihres tftp-Servers. Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. Klicken Sie auf übernehmen und danach auf OK. Abb.
Seite 207 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf Abb. 66: Konfigurationsprofile verwalten Zur Eingabe der statischen Adressen klicken Sie im Hauptfenster auf Statisch.
Seite 208 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 68: Statische Adressen hinzufügen Geben Sie die MAC-Adresse des Gerätes ein. Geben Sie die IP-Adresse des Gerätes ein. Wählen Sie das Konfigurationsprofil des Gerätes. Klicken Sie auf übernehmen und danach auf OK. Abb. 69: Einträge für statische Adressen Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu.
Seite 209 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 70: DHCP-Server mit Einträgen Grundkonfiguration L3E Release 4.1 03/08...
Seite 210: Dhcp-Server Option 82 Einrichten
Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten A.2 DHCP-Server Option 82 einrichten Auf der CDROM, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT-Consul- ting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 211 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten Abb. 72: DHCP-Einstellung Zur Eingabe der statischen Adressen klicken Sie auf Hinzufügen. Abb. 73: Statische Adressen hinzufügen Wählen Sie Circuit Identifier und Remote Identifier. Grundkonfiguration L3E Release 4.1 03/08...
Seite 212 Subidentifier für Typ des Circuit ID cl: Länge des Circuit ID hh: Hirschmann-Identifier: 01, wenn an dem Port ein Hirschmann- Gerät angeschlossen wird, sonst 00. vvvv: VLAN ID der DHCP-Anfrage (Voreinstelung: 0001 = VLAN 1) ss: Steckplatz im Gerät, auf dem sich das Modul mit dem Port befindet, an dem das Gerät angeschlossen wird.
Seite 213 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten Abb. 75: Eintragen der Adressen Switch (Option 82) MACH 3002 MICE MAC-Adresse = IP = 00:80:63:10:9a:d7 149.218.112.100 DHCP-Server IP = 149.218.112.1 IP = 149.218.112.100 Abb. 76: Anwendungsbeispiel für den Einsatz von Option 82 Grundkonfiguration L3E Release 4.1 03/08...
Seite 214: Tftp-Server Für Sw-Updates
Konfigurationsumgebung einrichten A.3 tftp-Server für SW-Updates A.3 tftp-Server für SW-Updates Im Lieferzustand steht die Geräte-Software im lokalen Flash-Speicher. Das Gerät bootet die Software vom Flash-Speicher. Über einen tftp-Server können Software-Updates durchgeführt werden. Dies setzt voraus, daß im angeschlossenen Netz ein tftp-Server installiert und aktiv ist.
Seite 215: Tftp-Prozeß Einrichten
Konfigurationsumgebung einrichten A.3 tftp-Server für SW-Updates A.3.1 tftp-Prozeß einrichten Allgemeine Voraussetzungen: Die lokale IP-Adresse des Gerätes und die IP-Adresse des tftp-Servers bzw. des Gateways sind dem Gerät bekannt. Der TCP/IP-Stack mit tftp ist auf dem tftp-Server installiert. Die folgenden Abschnitte enthalten Hinweise zum Einrichten des tftp- Prozesses gegliedert nach Betriebssystemen und Anwendungen.
Seite 216 Konfigurationsumgebung einrichten A.3 tftp-Server für SW-Updates Hinweis: Der tftp-Dämon wird nicht immer mit dem Befehl „ps“ ange- zeigt, obwohl er läuft. Besonderheit bei HP-Workstations: Tragen Sie bei der Installation auf einer HP-Workstation in die Datei /etc/passwd den Benutzer tftp ein. Zum Beispiel: tftp:*:510:20:tftp server:/usr/tftpdir:/bin/false tftpBenutzerkennung,...
Seite 217: Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.3 tftp-Server für SW-Updates Überprüfen des tftp-Prozesses Editieren der Datei e t c i n e t d . c o n f Ist tftp* als nein Kommentarzeile eingetragen? In dieser Zeile das Kommentarzeichen »#« entfernen Neuinitialisieren von inetd. conf durch Eingabe von k i l l - 1 P I D nein...
Seite 218: Software-Zugriffsrechte
Konfigurationsumgebung einrichten A.3 tftp-Server für SW-Updates A.3.2 Software-Zugriffsrechte Der Agent benötigt Leserecht auf dem tftp-Verzeichnis, in das die Geräte- Software abgelegt ist. Beispiel für einen tftp-Server unter UNIX Nach der Installation der Geräte-Software sollte sich folgende Verzeich- nis-Struktur mit den angegebenen Zugriffsrechten auf dem tftp-Server befinden:.
Seite 219: Ssh-Zugriff Vorbereiten
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten A.4 SSH-Zugriff vorbereiten Um über SSH auf das Gerät zugreifen zu können, benötigen Sie: einen Schlüssel. installieren Sie den Schlüssel auf das Gerät. geben Sie auf dem Gerät den Zugriff über SSH frei. ein Programm zum Ausführen des SSH-Protokolls auf Ihrem Rechner. A.4.1 Schlüssel erzeugen Eine Möglichkeit den Schlüssel zu erzeugen, bietet das Programm PuTTYgen.
Seite 220: A.4.2 Schlüssel Hochladen
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Abb. 78: PuTTY Schlüsselgenerator Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, den Schlüssel zu erzeugen. Zur Erzeugung des Schlüssels geben Sie folgenden Befehl ein: ssh-keygen(.exe) -q -t rsa1 -f rsa1.key -C '' -N '' A.4.2 Schlüssel hochladen Das Command Line Interface ermöglicht Ihnen das Hochladen des SSH- Schlüssels auf das Gerät.
Seite 221: Zugriff Mittels Ssh
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Lädt die Schlüsseldatei in den nicht-flüchtigen copy tftp://10.0.10.1/ Speicher des Gerätes. device/rsa1.key 10.0.10.1 stellt die IP-Adresse des tftp-Servers nvram:sshkey-rsa1 dar. device stellt das Verzeichnis auf dem tftp- Server dar. rsa1.key stellt den Dateinamen des Schlüssels dar.
Seite 222 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Abb. 79: Sicherheitsabfrage für den Fingerabdruck Überprüfen Sie den Fingerabdruck, um sich vor unliebsamen Gästen zu schützen. Ihren Fingerabdruck finden Sie im Rahmen „Key“ des PuTTY Schlüsselgenerators (siehe Abb. 78) Stimmt der Fingerabdruck mit dem Ihres Schlüssels überein, dann klicken Sie „Ja“.
Seite 223 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Aufbau der Verbin- dung geben Sie folgenden Befehl ein: ssh admin@149.218.112.53 -cdes admin stellt den Benutzernamen dar. 149.218.112.53 stellt die IP-Adresse Ihres Gerätes dar. -cdes legt die Verschlüsselung für SSHv1 fest.
Seite 224 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Grundkonfiguration L3E Release 4.1 03/08...
Seite 225: B Allgemeine Informationen
Allgemeine Informationen B Allgemeine Informationen Grundkonfiguration L3E Release 4.1 03/08...
Seite 226: Management Information Base Mib
Allgemeine Informationen B.1 Management Information BASE MIB B.1 Management Information BASE MIB Die Management Information Base MIB ist als abstrakte Baumstruktur ange- legt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tra- gen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt die abstrakte Struktur auf die Realität abbilden, erfolgt z.
Seite 227 Identifizierer unterer (z. B. Grenzwert) Spannungsversorgung Stromversorgung System Benutzer-Schnittstelle (User Interface) oberer (z. B. Grenzwert) vendor = Hersteller (Hirschmann) Definition der verwendeten Syntaxbegriffe: Integer Ganze Zahl im Bereich von 0-2 IP-Adresse xxx.xxx.xxx.xxx (xxx = ganze Zahl im Bereich von 0-255)
Seite 228: Allgemeine Informationen
6 tcp 16 vacm 7 udp 11 snmp 16 rmon 17 dot1dBridge 26 snmpDot3MauMGT Abb. 81: Baumstruktur der Hirschmann-MIB Die vollständige Beschreibung der MIB finden Sie auf der CDROM, die zum Lieferungfang des Gerätes gehört. Grundkonfiguration L3E Release 4.1 03/08...
Seite 229: B.2 Verwendete Abkürzungen
Allgemeine Informationen B.2 Verwendete Abkürzungen B.2 Verwendete Abkürzungen AutoConfiguration Adapter Access Control List BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Forwarding Database GARP General Attribute Registration Protocol GMRP GARP Multicast Registration Protocol http Hypertext Transfer Protocol ICMP Internet Control Message Protocol IGMP...
Seite 230: Liste Der Rfcs
Allgemeine Informationen B.3 Liste der RFCs B.3 Liste der RFCs RFC 768 (UDP) RFC 783 (TFTP) RFC 791 (IP) RFC 792 (ICMP) RFC 793 (TCP) RFC 826 (ARP) RFC 854 (Telnet) RFC 855 (Telnet Option) RFC 951 (BOOTP) RFC 1112 (IGMPv1) RFC 1157 (SNMPv1)
Seite 231 Allgemeine Informationen B.3 Liste der RFCs RFC 2576 (Coexistence between SNMP v1,v2 & v3) RFC 2578 (SMI v2) RFC 2579 (Textual Conventions for SMI v2) RFC 2580 (Conformance statements for SMI v2) RFC 2613 (SMON) RFC 2618 (RADIUS Authentication Client MIB) RFC 2620 (RADIUS Accounting MIB) RFC 2674...
Seite 232: Zugrundeliegende Ieee-Normen
IEEE 802.3 - 2002 Ethernet IEEE 802.3 ac VLAN Tagging IEEE 802.3 ad Link Aggregation with Static LAG and LACP support (Power MICE and MACH 4000) IEEE 802.3 x Flow Control IEEE 802.1 af Power over Ethernet Grundkonfiguration L3E Release 4.1 03/08...
Seite 233: B.5 Technische Daten
Allgemeine Informationen B.5 Technische Daten B.5 Technische Daten VLAN VLAN ID 1 bis 4042 (MACH 4000: 3966) Anzahl VLANs max. 256 gleichzeitig pro Gerät max. 256 gleichzeitig pro Port Anzahl VLANs im GMRP in VLAN 1 max. 256 gleichzeitig pro Gerät max.
Seite 234: Copyright Integrierter Software
Allgemeine Informationen B.6 Copyright integrierter Software B.6 Copyright integrierter Software B.6.1 Bouncy Castle Crypto APIs (Java) The Legion Of The Bouncy Castle Copyright (c) 2000 - 2004 The Legion Of The Bouncy Castle (http://www.bouncycastle.org) Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies...
Seite 235: Lvl7 Systems, Inc
Allgemeine Informationen B.6 Copyright integrierter Software B.6.2 LVL7 Systems, Inc. (c) Copyright 1999-2006 LVL7 Systems, Inc. All Rights Reserved. Grundkonfiguration L3E Release 4.1 03/08...
Seite 236: B.7 Leserkritik
Allgemeine Informationen B.7 Leserkritik B.7 Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, damit der Einsatz dieses Produkts problemlos erfolgen kann. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 237 PLZ / Ort: Datum / Unterschrift: Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer 07127/14-1798 oder Hirschmann Automation and Control GmbH Abteilung AMM Stuttgarter Str. 45-51 72654 Neckartenzlingen Grundkonfiguration L3E Release 4.1 03/08...
Seite 238 Allgemeine Informationen B.7 Leserkritik Grundkonfiguration L3E Release 4.1 03/08...
Seite 239: C Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis Differentiated Services 38, 54, 55, 65, 67, 178 DiffServ Access-Control-Listen DiffServ-Codepoint DSCP 142, 145, 147, 151, 152 Dynamisch Address Conflict Detection Adresskonflikt Adreßtabelle Echtzeit 103, 141 Aging Time 125, 131 Egress Rules Alarm 88, 177 Empfangsport Alarmmeldungen Erlaubte IP-Adressen Anforderungsintervall (SNTP) Erlaubte MAC-Adressen...
Seite 240 Stichwortverzeichnis Multicast-Adresse iana IAONA IEEE 1588-Zeit Netzadresse IEEE 802.1 Q Netzmanagement IEEE 802.1X Netzmaske IEEE-MAC-Adress Netztopologie IGMP Neustart IGMP Querier IGMP-Snooping 129, 131 Industrie-Protokolle Ingress Filter Object Description Ingress Rules Object-ID Instanzierung Objektklassen Internet Assigned Numbers Authority Option 82 26, 48, 210 Internet-Service-Provider Ordinary Clock IP- Header...
Seite 241 Stichwortverzeichnis Referenzuhr 104, 107, 112, 117 141, 142, 144, 145 Relaiskontakt TP-Kabeldiagnose Release Tracking Report Traffic Class Reset Traffic Classes Traffic Shaping 149, 152, 153 Ring-Kopplung Trap 88, 174, 177 Trap Destination Table RIPE NCC Trivial File Transfer Protocol RMON-Probe trust dot1p Router 10, 28...
Seite 242 Stichwortverzeichnis Zeitdifferenz Zeitmanagement Zeitstempeleinheit 114, 116, 117 Zeitverschiebung Zeitzone Zieladresse 126, 127, 132 Zieladreßfeld Zielport Zieltabelle Zugangsschutz Zugriff Zugriffsrecht 60, 76 Grundkonfiguration L3E Release 4.1 03/08...
Seite 243: D Weitere Unterstützung
Weitere Unterstützung D Weitere Unterstützung Technische Fragen und Schulungsangebote Bei technischen Fragen wenden Sie sich bitte an den Hirschmann Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann-ac.com. Darüber hinaus steht Ihnen unsere Hotline zur Verfügung: Tel.

Hirschmann MACH 4000 Anwenderhandbuch

1 Zugang zu den Bedienoberflächen

2 IP-Parameter Eingeben

3 Einstellungen Laden/Speichern

4 Neueste Software Laden

5 Ports Konfigurieren

6 Schutz vor Unberechtigtem Zugriff

7 Die Systemzeit IM Netz Synchronisieren

8 Netzlaststeuerung

9 Funktionsdiagnose

Quicklinks

Verwandte Anleitungen für Hirschmann MACH 4000

Inhaltszusammenfassung für Hirschmann MACH 4000