Seite 1 Anwender-Handbuch Grundkonfiguration Industrial ETHERNET (Gigabit-)Switch PowerMICE, MACH 1040, MACH 4000 Basiskonfiguration Technische Unterstützung Release 6.0 07/2010 HAC.Support@Belden.com...
Seite 2 Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Seite 3: Inhaltsverzeichnis
Inhalt Inhalt Über dieses Handbuch Legende Einleitung Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web-based Interface IP-Parameter eingeben Grundlagen IP-Parameter 2.1.1 IP-Adresse (Version 4) 2.1.2 Netzmaske 2.1.3 Classless Inter-Domain Routing IP-Parameter via CLI eingeben IP-Parameter per HiDiscovery eingeben System-Konfiguration vom ACA laden System-Konfiguration via BOOTP System-Konfiguration via DHCP System-Konfiguration via DHCP-Option 82...
Seite 4 Inhalt 3.2.1 Lokal (und auf den ACA) speichern 3.2.2 Speichern in eine Datei auf URL 3.2.3 Speichern in eine Binär-Datei auf den PC 3.2.4 Speichern als Skript auf den PC Neueste Software laden Software manuell vom ACA laden 4.1.1 Auswahl der zu ladenden Software 4.1.2 Starten der Software 4.1.3 Kaltstart durchführen Automatischer Software-Update vom ACA...
Seite 5 8.2.1 Beschreibung Multicast-Anwendung 8.2.2 Beispiel für eine Multicast-Anwendung 8.2.3 Beschreibung IGMP-Snooping 8.2.4 IGMP-Snooping einstellen 8.2.5 Beschreibung GMRP 8.2.6 GMRP einstellen Lastbegrenzer 8.3.1 Beschreibung Lastbegrenzer 8.3.2 Lastbegrenzer-Einstellungen (PowerMICE und MACH 4000) 8.3.3 Lastbegrenzer-Einstellungen QoS/Priorität 8.4.1 Beschreibung Priorisierung Basiskonfiguration Release 6.0 07/2010...
Seite 6 Inhalt 8.4.2 VLAN-Tagging 8.4.3 IP ToS / DiffServ 8.4.4 Management-Priorisierung 8.4.5 Behandlung empfangener Prioritätsinformationen 8.4.6 Handhabung der Traffic Classes 8.4.7 Priorisierung einstellen Flusskontrolle 8.5.1 Beschreibung Flusskontrolle 8.5.2 Flusskontrolle einstellen VLANs 8.6.1 Beschreibung VLAN 8.6.2 Beispiele für ein VLAN 8.6.3 Double-VLAN-Tagging Funktionsdiagnose Alarmmeldungen versenden 9.1.1 Auflistung der SNMP-Traps...
Seite 7 Inhalt 9.10 Erkennen von Loops (Schleifen) 9.11 Berichte 9.12 Datenverkehr von Ports beobachten (Port-Mirroring) 9.13 Syslog 9.14 Ereignis-Log Konfigurationsumgebung einrichten Allgemeine Informationen Stichwortverzeichnis Weitere Unterstützung Basiskonfiguration Release 6.0 07/2010...
Seite 8 Inhalt Basiskonfiguration Release 6.0 07/2010...
Seite 9: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Dokument „Anwender-Handbuch Grundkonfiguration“ enthält die Infor- mationen, die Sie zur Inbetriebnahme des Gerätes benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. In der Praxis hat sich folgende thematische Reihenfolge bewährt: Gerätezugang zur Bedienung herstellen durch Eingabe der IP-Parameter,...
Seite 10 Über dieses Handbuch Das Dokument „Anwender-Handbuch Routing-Konfiguration“ enthält Infor- mationen, die Sie zur Inbetriebnahme der Routing-Funktion benötigen. Es leitet Sie Schritt für Schritt von einer kleinen Router-Anwendung bis hin zur Router-Konfiguration eines komplexen Netzes. Das Handbuch versetzt Sie in die Lage, durch Ableitung aus den Beispielen Ihre Router zu konfigurieren.
Seite 11: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Zwischenüberschrift Link Querverweis mit Verknüpfung Hinweis: Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: WLAN-Access-Point...
Seite 12 Legende Bridge Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter Basiskonfiguration Release 6.0 07/2010...
Seite 13: Einleitung
Einleitung Einleitung Das Gerät ist für die Praxis in der rauen Industrieumgebung entwickelt. Dem- entsprechend einfach ist die Installation. Mit wenigen Einstellungen können Sie dank der gewählten Voreinstellungen das Gerät sofort in Betrieb nehmen. Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt das Gerät flüchtig, wenn Sie auf „Schreiben“...
Seite 14 Einleitung Basiskonfiguration Release 6.0 07/2010...
Seite 15: Zugang Zu Den Bedienoberflächen
Zugang zu den Bedienoberflächen 1 Zugang zu den Bedienoberflächen Das Gerät bietet Ihnen 3 Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen: System-Monitor über die V.24-Schnittstelle (out-of-band), Command Line Interface (CLI) über den V.24-Anschluss (out-of-band) sowie über Telnet und SSH (in-band) Web-based Interface über Ethernet (in-band).
Seite 16: System-Monitor
Zugang zu den Bedienoberflächen 1.1 System-Monitor 1.1 System-Monitor Der System-Monitor ermöglicht die Auswahl der zu ladenden Software, die Durchführung eines Updates der Software, Starten der ausgewählten Software, Beenden des System-Monitors, Löschen der gespeicherten Konfiguration und Anzeige der Bootcode-Information. Öffnen des System-Monitors Verbinden Sie mit Hilfe des Terminalkabels (siehe Zubehör) –...
Seite 17 Zugang zu den Bedienoberflächen 1.1 System-Monitor < Device Name (Boot) Release: 1.00 Build: 2005-09-17 15:36 > Press <1> to enter System Monitor 1 ... Abb. 1: Bildschirmansicht beim Bootvorgang Drücken Sie innerhalb von einer Sekunde die „1“-Taste, um den System-Monitor 1 zu starten. System Monitor (Selected OS: L3P-01.0.00-K16 (2005-10-31 19:32)) Select Boot Operating System...
Seite 18: Command Line Interface
Zugang zu den Bedienoberflächen 1.2 Command Line Interface 1.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten.
Seite 19 Zugang zu den Bedienoberflächen 1.2 Command Line Interface Copyright (c) 2004-2009 Hirschmann Automation and Control GmbH All rights reserved PowerMICE Release L3P-05.1.00 (Build date 2009-10-11 12:13) System Name: PowerMICE Mgmt-IP 10.0.1.105 1.Router-IP: 0.0.0.0 Base-MAC 00:80:63:51:74:00 System Time: 2009-10-11 13:14:15 User: Abb.
Seite 20 NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. the syntax of a particular command form, please consult the documentation. (Hirschmann Product) > Abb. 4: CLI-Bildschirm nach dem Einloggen Basiskonfiguration...
Seite 21: Web-Based Interface
Zugang zu den Bedienoberflächen 1.3 Web-based Interface 1.3 Web-based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, das Gerät von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Gerät über das Simple Network Management Protokoll (SNMP) Daten austauscht.
Seite 22 Zugang zu den Bedienoberflächen 1.3 Web-based Interface Starten Sie Ihren Web Browser. Stellen Sie sicher, dass in den Sicherheitseinstellungen Ihres Brow- sers Javascript und Java eingeschaltet sind. Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Gerätes, das Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: http://xxx.xxx.xxx.xxx Auf dem Bildschirm erscheint das Login-Fenster.
Seite 23 Zugang zu den Bedienoberflächen 1.3 Web-based Interface Am Bildschirm erscheint die Web Site des Gerätes. Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt das Gerät, wenn Sie auf „Schreiben“ klicken. Klicken Sie auf „Laden“, um die Anzeige zu aktualisieren. Hinweis: Durch eine Fehlkonfiguration können Sie sich den Zugang zum Gerät versperren.
Seite 24 Zugang zu den Bedienoberflächen 1.3 Web-based Interface Basiskonfiguration Release 6.0 07/2010...
Seite 25: Ip-Parameter Eingeben
IP-Parameter eingeben 2 IP-Parameter eingeben Bei der Erstinstallation des Gerätes ist die Eingabe der IP-Parameter notwendig. Das Gerät bietet bei der Erstinstallation 7 Möglichkeiten zur Eingabe der IP- Parameter: Eingabe mit Hilfe des Command Line Interfaces (CLI). Diese sogenannte „out-of-band“-Methode wählen Sie, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren Sie keinen Netzzugang („in-band“) zum Gerät haben (siehe Seite 33 „IP-Parameter via CLI...
Seite 26 IP-Parameter eingeben Konfiguration über DHCP Option 82. Diese sogenannte „in-band“-Methode wählen Sie, wenn Sie das bereits installierte Gerät mittels DHCP Option 82 konfigurieren wollen. Hierzu be- nötigen Sie einen DHCP-Server mit der Option 82. Der DHCP-Server ord- net dem Gerät anhand seiner physikalischen Anbindung die Konfigurationsdaten zu (siehe Seite 49 „System-Konfiguration via DHCP- Option...
Seite 27: Grundlagen Ip-Parameter
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter 2.1 Grundlagen IP-Parameter 2.1.1 IP-Adresse (Version 4) Die IP-Adressen bestehen aus 4 Bytes. Die 4 Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 5 Klassen von IP-Adressen definiert. Klasse Netzadresse Hostadresse Adressbereich...
Seite 28: Netzmaske
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B Net ID - 21 bits Host ID - 8 bit s Klasse C Multicast Group ID - 28 bits Klasse D...
Seite 29 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: dezimale Darstellung 255.255.192.0 binäre Darstellung 11111111.11111111.11000000.00000000 Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: dezimale Darstellung 129.218.65.17 128 < 129 ≤ 191 Klasse B binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1...
Seite 30: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske In einem großen Netz ist es möglich, dass Gateways oder Router den Management-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb.
Seite 31: Classless Inter-Domain Routing
IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 32 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Seit 1993 bietet die RFC 1519 mit Classless Inter-Domain Routing (CIDR) eine Lösung, diese Probleme zu umgehen. Das CIDR überwindet diese Klassenschranken und unterstützt klassenlose IP-Adressbereiche. Mit CIDR geben Sie die Anzahl der Bits an, die den IP-Adressbereich kenn- zeichnen.
Seite 33: Ip-Parameter Via Cli Eingeben
IP-Parameter eingeben 2.2 IP-Parameter via CLI eingeben 2.2 IP-Parameter via CLI eingeben Sollten Sie weder über BOOTP/DHCP, DHCP Option 82, HiDiscovery Proto- koll noch über den AutoConfiguration Adapter ACA das System konfigurie- ren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor.
Seite 34 NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) > Schalten Sie DHCP aus. Geben Sie die IP-Parameter ein. Lokale IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 0.0.0.0.
Seite 35 IP-Parameter eingeben 2.2 IP-Parameter via CLI eingeben Wechsel in den Privileged-EXEC-Modus. enable DHCP ausschalten. network protocol none Dem Gerät die IP-Adresse 10.0.1.23 und die network parms 10.0.1.23 Netzmaske 255.255.255.0 zuweisen. Optional 255.255.255.0 können Sie zusätzlich eine Gateway-Adresse zuweisen. Die aktuelle Konfiguration in den nichtflüchtigen copy system:running-config Speicher sichern.
Seite 36: Ip-Parameter Per Hidiscovery Eingeben
IP-Parameter eingeben 2.3 IP-Parameter per HiDiscovery ein- geben 2.3 IP-Parameter per HiDisco- very eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Sie finden die Soft- ware auf der CD, die Sie mit dem Gerät erhalten haben.
Seite 37 IP-Parameter eingeben 2.3 IP-Parameter per HiDiscovery ein- geben Starten Sie das Programm HiDiscovery. Abb. 10: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt die erste gefundene Netzwerkkarte des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie diese in HiDis- covery in der Werkzeugleiste auswählen.
Seite 38 IP-Parameter eingeben 2.3 IP-Parameter per HiDiscovery ein- geben Mit einem Doppelklick auf eine Zeile öffnen Sie ein Fenster, in dem Sie den Gerätename und die IP-Parameter eintragen können. Abb. 11: HiDiscovery - IP-Parameter-Zuweisung Hinweis: Mit dem Eintragen der IP-Adresse übernimmt das Gerät die lokalen Konfigurationseinstellungen (siehe auf Seite 53 „Einstellungen la- den/speichern“).
Seite 39: System-Konfiguration Vom Aca Laden
IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden 2.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät zum Speichern der Konfigurationsdaten eines Gerätes und zum Speichern der Geräte-Software. Der ACA ermöglicht bei einem betriebsunfähigen Gerät eine denkbar ein- fache Konfigurationsdatenübernahme durch ein Ersatzgerät des gleichen Typs.
Seite 40 IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden Abb. 12: Ablaufdiagramm Konfigurationsdaten vom ACA laden 1 – Gerät starten 2 – ACA vorhanden? 3 – Passwort im Gerät und ACA identisch? 3a – Voreingestelltes Passwort im Gerät? 4 – Konfiguration vom ACA laden, ACA-LEDs blinken synchron 4a –Konfiguration aus lokalem Speicher laden, ACA-LEDs blinken alternierend...
Seite 41: System-Konfiguration Via Bootp
IP-Parameter eingeben 2.5 System-Konfiguration via BOOTP 2.5 System-Konfiguration via BOOTP Bei der Inbetriebnahme mit Hilfe von BOOTP (Bootstrap Protocol) erhält ein Gerät gemäß dem Ablaufdiagramm "BOOTP-Prozess" (siehe Abb. 13) seine Konfigurationsdaten. Hinweis: Im Lieferzustand bezieht das Gerät seine Konfigurationsdaten vom DHCP-Server.
Seite 42 IP-Parameter eingeben 2.5 System-Konfiguration via BOOTP switch_01:ht=ethernet:ha=008063086501:ip=10.1.112.83:tc=.global: switch_02:ht=ethernet:ha=008063086502:ip=10.1.112.84:tc=.global: Zeilen mit vorangestelltem #-Zeichen sind Kommentarzeilen. Die Zeilen unter ".global:" dienen der Arbeitserleichterung bei der Konfigura- tion mehrerer Geräte. Jedem Gerät weisen Sie mit dem Template (tc) die glo- balen Konfigurationsdaten (tc=.global:) zu. In den Gerätezeilen (switch-0...) erfolgt die direkte Zuordnung von Hardware- und IP-Adresse.
Seite 43: Ip-Parameter Eingeben
IP-Parameter eingeben 2.5 System-Konfiguration via BOOTP Inbetriebnahme Lade Default Konfiguration Gerät wird initialisiert Gerät arbeitet mit Einstellungen aus lokalem Flash Sende DHCP DHCP/ oder BOOTP BOOTP? Requests Nein Antwort vom IP-Parameter und Nein* config file URL DHCP/BOOTP- Server? lokal speichern IP-Stack mit IP-Parametern initialisieren...
Seite 44 IP-Parameter eingeben 2.5 System-Konfiguration via BOOTP Lade Remote- Starte tftp-Prozeß Konfiguration von mit config file URL aus DHCP? URL aus DHCP Nein tftp erfolgreich ? Nein* Lade übertragenes config file Speichere übertragenes config file lokal, setze Boot-Konfiguration auf lokal schalte BOOTP/DHCP aus Laden der Konfigurationsdaten abgeschlossen...
Seite 45 IP-Parameter eingeben 2.5 System-Konfiguration via BOOTP Hinweis: Den von DHCP/BOOTP (siehe auf Seite 41 „System-Konfiguration via BOOTP“) gestarteten Ladevorgang zeigt die Selektion von „vom URL & lokal speichern“ im Rahmen „Laden“ an. Sollten Sie beim Speichern einer Konfiguration eine Fehlermeldung erhalten, dann kann eine Ursache ein ak- tiver Ladevorgang sein.
Seite 46: System-Konfiguration Via Dhcp
IP-Parameter eingeben 2.6 System-Konfiguration via DHCP 2.6 System-Konfiguration via DHCP Das DHCP (Dynamic Host Configuration Protocol) ist eine Weiterentwick- lung von BOOTP und hat dieses abgelöst. DHCP bietet zusätzlich die Konfi- guration eines DHCP-Clients über einen Namen anstatt über die MAC- Adresse an.
Seite 47 IP-Parameter eingeben 2.6 System-Konfiguration via DHCP Option Bedeutung Subnet Mask Time Offset Router Time server Host Name Client Identifier TFTP Server Name Bootfile Name Tab. 3: DHCP-Optionen, die das Gerät anfordert Der Vorteil beim Einsatz von DHCP gegenüber BOOTP ist, dass der DHCP- Server die Gültigkeit der Konfigurationsparameter (“Lease”) auf eine be- stimmte Zeitspanne einschränken kann (sogenannte dynamische Adress- Vergabe) Rechtzeitig vor Ablauf dieser Zeitspanne (“Lease Duration”), kann...
Seite 48 IP-Parameter eingeben 2.6 System-Konfiguration via DHCP Beispiel für eine DHCP-Konfigurationsdatei: # /etc/dhcpd.conf for DHCP Daemon subnet 10.1.112.0 netmask 255.255.240.0 { option subnet-mask 255.255.240.0; option routers 10.1.112.96; # Host berta requests IP configuration # with her MAC address host berta { hardware ethernet 00:80:63:08:65:42;...
Seite 49: System-Konfiguration Via Dhcp-Option
IP-Parameter eingeben 2.7 System-Konfiguration via DHCP- Option 82 2.7 System-Konfiguration via DHCP-Option 82 Wie beim klassischen DHCP erhält bei der Inbetriebnahme ein Agent gemäß dem Ablaufdiagramm „BOOTP/DHCP-Prozess“ (siehe Abb. 13) seine Konfi- gurationsdaten. Während sich die System-Konfiguration über das klassische DHCP-Proto- koll (siehe auf Seite 46 „System-Konfiguration via DHCP“) am zu konfigu-...
Seite 50: Ip-Konfiguration Via Web-Based Interface
IP-Parameter eingeben 2.8 IP-Konfiguration via Web-based Interface 2.8 IP-Konfiguration via Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält, weisen IP- Parameter und VLAN-ID zu und konfigurieren den HiDiscovery-Zugriff. Abb.
Seite 51 IP-Parameter eingeben 2.8 IP-Konfiguration via Web-based Interface Geben Sie entsprechend des gewählten Modus rechts die Parameter ein. Den für das DHCP-Protokoll relevanten Namen geben Sie im System- Dialog des Web-based Interface in der Zeile „Name“ ein. Der Rahmen „VLAN“ bietet Ihnen die Möglichkeit, dem Agenten ein VLAN zuzuweisen.
Seite 52: Defekte Geräte Ersetzen
IP-Parameter eingeben 2.9 Defekte Geräte ersetzen 2.9 Defekte Geräte ersetzen Das Gerät bietet 2 Plug-and-Play-Lösungen zum Austauschen eines defekten Gerätes durch ein Gerät des gleichen Typs (Faulty Device Replacement): Konfiguration des neuen Gerätes mit Hilfe eines AutoConfiguration Adap- ters (siehe auf Seite 39 „System-Konfiguration vom ACA laden“) oder Konfiguration mit Hilfe des DHCP Option 82 (siehe auf Seite 248 „DHCP-...
Seite 53: Einstellungen Laden/Speichern
Einstellungen laden/speichern 3 Einstellungen laden/speichern Einstellungen wie z.B. IP-Parameter und Portkonfiguration speichert das Ge- rät im flüchtigen Arbeitsspeicher. Diese gehen beim Ausschalten oder einem Neustart verloren. Das Gerät bietet Ihnen die Möglichkeit, Einstellungen von einem nicht-flüchtigen Speicher in den flüchtigen Arbeitsspeicher zu laden, Einstellungen aus dem flüchtigen Arbeitsspeicher in einen nicht-flüch- tigen Speicher zu speichern.
Seite 54: Einstellungen Laden
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1 Einstellungen laden Bei einem Neustart lädt das Gerät seine Konfigurationsdaten vom lokalen nicht-flüchtigen Speicher, sofern Sie nicht BOOTP/DHCP aktiviert haben und kein ACA am Gerät angeschlossen ist. Während des Betriebs bietet Ihnen das Gerät die Möglichkeit, Einstellungen aus folgenden Quellen zu laden: vom lokalen nicht-flüchtigen Speicher, vom AutoConfiguration Adapter.
Seite 55: Laden Aus Lokalem Nicht-Flüchtigen Speicher
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.1 Laden aus lokalem nicht-flüchtigen Speicher Beim lokalen Laden der Konfigurationsdaten lädt das Gerät die Konfigurationsdaten aus dem lokalen nicht-flüchtigen Speicher, sofern kein ACA am Gerät angeschlossen ist. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Laden“ auf „vom Gerät“. Klicken Sie auf „Wiederherstellen“.
Seite 56: Laden Aus Einer Datei
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.3 Laden aus einer Datei Das Gerät bietet Ihnen die Möglichkeit, die Konfigurationsdaten aus einer Datei im angeschlossenen Netz zu laden, sofern kein AutoConfiguration Ad- apter am Gerät angeschlossen ist. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Laden“...
Seite 57 Einstellungen laden/speichern 3.1 Einstellungen laden Abb. 17: Dialog Laden/Speichern Wechsel in den Privileged-EXEC-Modus. enable Das Gerät lädt die Konfigurationsdaten von copy tftp://10.1.112.159/ einem tftp-Server im angeschlossenen Netz. switch/config.dat nvram:startup-config Hinweis: Den von DHCP/BOOTP (siehe auf Seite 41 „System-Konfiguration via BOOTP“) gestarteten Ladevorgang zeigt die Selektion von „vom URL &...
Seite 58: Konfiguration In Den Lieferzustand Versetzen
Einstellungen laden/speichern 3.1 Einstellungen laden 3.1.4 Konfiguration in den Lieferzustand versetzen Das Gerät bietet Ihnen die Möglichkeit, die aktuelle Konfiguration in den Lieferzustand zurückzusetzen. Die lokal gespeicherte Konfiguration bleibt erhalten. das Gerät in den Lieferzustand zurückzusetzen. Nach dem nächsten Neustart ist auch die IP-Adresse im Lieferzustand. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Seite 59: Einstellungen Speichern
Einstellungen laden/speichern 3.2 Einstellungen speichern 3.2 Einstellungen speichern Im Rahmen „Speichern“ haben Sie die Möglichkeit, die aktuelle Konfiguration auf dem Gerät speichern, die aktuelle Konfiguration in einer Datei unter dem angegebenen URL im Binärformat oder als editier- und lesbares Skript zu speichern, die aktuelle Konfiguration im Binärformat oder als editier- und lesbares Skript auf dem PC zu speichern.
Seite 60: Speichern In Eine Datei Auf Url
Einstellungen laden/speichern 3.2 Einstellungen speichern Hinweis: Nachdem Sie die Konfiguration erfolgreich auf dem Gerät gespei- chert haben, sendet das Gerät einen Alarm (Trap) hmConfigurationSa- vedTrap, zusammen mit der Information über einen ggf. angeschlossenen AutoConfiguration Adapter (ACA). Wenn Sie die Konfiguration nach dem Speichern zum ersten Mal verändern, sendet das Gerät einen Trap hmCon- figurationChangedTrap.
Seite 61: Speichern In Eine Binär-Datei Auf Den Pc
Einstellungen laden/speichern 3.2 Einstellungen speichern Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie im Rahmen „Speichern“ auf „auf URL (binär)“, um eine Binär-Datei zu erhalten, „auf URL (script)“, um ein editier- und lesbares Script zu erhalten. Geben Sie im Rahmen „URL“ den Pfad an, unter welchem das Gerät die Konfigurationsdatei speichern soll.
Seite 62: Speichern Als Skript Auf Den Pc
Einstellungen laden/speichern 3.2 Einstellungen speichern Geben Sie im Speichern-Fenster den Dateinamen an, unter wel- chem das Gerät die Konfigurationsdatei speichern soll. Klicken Sie auf „Sichern“. 3.2.4 Speichern als Skript auf den PC Das Gerät bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine editer- und lesbare Datei Ihres PCs zu speichern.
Seite 63: Neueste Software Laden
Neueste Software laden 4 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann (www.hirschmann-ac.de) eine neuere Release der Geräte-Soft- ware finden, als die Release, die auf Ihrem Gerät gespeichert ist.
Seite 64 Neueste Software laden Software laden Das Gerät bietet 4 Möglichkeiten, die Software zu laden: manuell vom ACA 21-USB (out-of-band), automatisch vom ACA 21-USB (out-of-band), über TFTP von einem tftp-Server (in-band) und über ein Datei-Auswahl-Fenster von Ihrem PC. Hinweis: Die Konfiguration des Gerätes bleibt nach der Installation der neuen Software erhalten.
Seite 65: Software Manuell Vom Aca Laden
Neueste Software laden 4.1 Software manuell vom ACA laden 4.1 Software manuell vom ACA laden Den ACA 21-USB können Sie wie einen gewöhnlichen USB-Stick an einen USB-Port Ihres PCs anschließen und die Geräte-Software in das Hauptver- zeichnis des ACA 21-USB kopieren. Verbinden Sie den ACA 21-USB, auf den Sie die Geräte-Software kopiert haben, mit dem USB-Port des Gerätes.
Seite 66: Auswahl Der Zu Ladenden Software
Neueste Software laden 4.1 Software manuell vom ACA laden 4.1.1 Auswahl der zu ladenden Software Mit diesem Menüpunkt des System-Monitors wählen Sie eine von 2 möglichen Software-Releases aus, die geladen werden soll. Am Bildschirm erscheint folgendes Fenster: Select Operating System Image (Available OS: Selected: 05.0.00 (2009-08-07 06:05), Backup: 04.2.00 (2009-07-06 06:05 (Locally selected: 05.0.00 (2009-08-07 06:05)) Swap OS images...
Seite 67: Test Stored Images In Flash Memory
Neueste Software laden 4.1 Software manuell vom ACA laden Test stored images in flash memory Wählen Sie 3, um zu prüfen, ob die gespeicherten Abbilder der Soft- ware im Flash-Speicher gültige Codes enthalten. Test stored images in USB memory Wählen Sie 4, um zu prüfen, ob die gespeicherten Abbilder der Soft- ware im ACA 21-USB gültige Codes enthalten.
Seite 68: Kaltstart Durchführen
Neueste Software laden 4.1 Software manuell vom ACA laden 4.1.3 Kaltstart durchführen Dieser Menüpunkt (End (reset and reboot)) des System-Monitors bietet Ihnen die Möglichkeit, die Hardware des Gerätes zurückzusetzen und einen Neustart durchzuführen. Basiskonfiguration Release 6.0 07/2010...
Seite 69: Automatischer Software-Update Vom Aca
Neueste Software laden 4.2 Automatischer Software-Update vom ACA 4.2 Automatischer Software- Update vom ACA Für ein Software-Update über den ACA kopieren Sie zunächst die neue Geräte-Software in das Hauptverzeichnis des AutoConfiguration Adap- ters. Ist die Version der Software auf dem ACA neuer oder älter als die auf dem Gerät, dann führt das Gerät ein Software-Update durch.
Seite 70 Neueste Software laden 4.2 Automatischer Software-Update vom ACA – Das Gerät bewahrt von der bisherigen Software ein Backup im nicht- flüchtigen Speicher auf. – Danach führt das Gerät einen Kaltstart durch und lädt dabei die neue Software aus dem nichtflüchtigen Speicher. Eine der folgenden Meldungen in der Log-Datei zeigt das Ergebnis des Update-Vorgangs an: S_watson_AUTOMATIC_SWUPDATE_SUCCESSFUL: Update erfolg-...
Seite 71: Software Vom Tftp-Server Laden
Neueste Software laden 4.3 Software vom tftp-Server laden 4.3 Software vom tftp-Server laden Für ein tftp-Update benötigen Sie einen tftp-Server, auf dem die zu ladende Software abgelegt ist (siehe auf Seite 252 „TFTP-Server für SW-Updates“). Wählen Sie den Dialog Grundeinstellungen:Software. Der URL kennzeichnet den Pfad zu der auf dem tftp-Server gespeicherten Software.
Seite 72 Neueste Software laden 4.3 Software vom tftp-Server laden Geben Sie den Pfad zur Geräte-Software ein. Klicken Sie auf "tftp-Update" um die Software vom tftp-Server auf das Gerät zu laden. Abb. 19: Dialog Software-Update Nach erfolgreichem Laden aktivieren Sie die neue Software: Wählen Sie den Dialog Grundeinstellungen:Neustart und führen Sie einen Kaltstart durch.
Seite 73: Software Über Datei-Auswahl Laden
Neueste Software laden 4.4 Software über Datei-Auswahl la- 4.4 Software über Datei-Aus- wahl laden Für ein http-Software-Update (über ein Datei-Auswahl-Fenster) benötigen Sie die Geräte-Software auf einem Datenträger, den Sie von Ihrer Worksta- tion aus erreichen. Wählen Sie den Dialog Grundeinstellungen:Software. Klicken Sie im Datei-Auswahl-Rahmen auf „...“.
Seite 74 Neueste Software laden 4.4 Software über Datei-Auswahl la- Basiskonfiguration Release 6.0 07/2010...
Seite 75: Ports Konfigurieren
Ports konfigurieren 5 Ports konfigurieren Die Portkonfiguration umfasst: Port ein-/ausschalten, Betriebsart wählen, Meldung von Verbindungsfehlern aktivieren, Power over ETHERNET konfigurieren. Port ein-/ausschalten Im Lieferzustand sind alle Ports eingeschaltet. Um einen höheren Zugangsschutz zu erzielen, schalten Sie die Ports aus, an denen Sie keine Verbindung anschließen.
Seite 76: Power Over Ethernet Konfigurieren
Im Lieferzustand ist die Funktion Power over ETHERNET global und an allen Ports eingeschaltet. Nominale Leistung für MS20/30, MACH 1000 und PowerMICE: Das Gerät bietet die nominale Leistung für die Summe aller PoE-Ports zu- züglich einer Reserve. Da das PoE-Medienmodul seine PoE-Spannung von extern bezieht, kennt das Gerät die mögliche nominale Leistung...
Seite 77 Ports konfigurieren Wählen Sie den Dialog Grundeinstellungen:Power over Ethernet. Mit „Funktion An/Aus" schalten Sie PoE ein/aus. „Verschicke Trap" bietet Ihnen die Möglichkeit, das Gerät zu veran- lassen, in folgenden Fällen einen Trap zu senden: – beim Überschreiten/Unterschreiten der Leistungsschwelle. – beim Ein-/Ausschalten der PoE-Versorgungsspannung an min- destens einem Port.
Seite 78 Ports konfigurieren Die Differenz von „Nominale“ und „Reservierte“ Leistung gibt an, wieviel Leistung an den freien PoE-Ports noch zur Verfügung steht. In der Spalte „POE an" haben Sie die Möglichkeit, PoE an diesem Port ein-/auszuschalten. Die Spalte „Status" zeigt den PoE-Status des Ports an. In der Spalte „Priorität"...
Seite 79: Schutz Vor Unberechtigtem Zugriff
Schutz vor unberechtigtem Zugriff 6 Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen folgende Funktionen zur Hilfe beim Schutz gegen un- berechtigte Zugriffe. Passwort für SNMP-Zugriff, Telnet-/Web/SSH-Zugriff abschaltbar, Eingeschränkter Management-Zugriff, HiDiscovery-Funktion abschaltbar, Portzugangskontrolle über IP- oder MAC-Adresse, Portauthentifizierung nach IEEE 802.1X, Zugriffs-Kontroll-Listen (Access Control Lists, ACL).
Seite 80: Das Gerät Schützen
Schutz vor unberechtigtem Zugriff 6.1 Das Gerät schützen 6.1 Das Gerät schützen Wenn Sie den Schutz vor unberechtigtem Zugriff auf das Gerät mit wenigen Schritten maximieren möchten, können Sie nach der Konfiguration des Geräts einige oder alle der folgenden Schritte ausführen: Schalten Sie SNMPv1 und SNMPv2 ab und stellen Sie für den SNMPv3- Zugriff ein anderes als das Standard-Passwort ein (siehe auf Seite 82...
Seite 81: Passwort Für Snmp-Zugriff
Schutz vor unberechtigtem Zugriff 6.2 Passwort für SNMP-Zugriff 6.2 Passwort für SNMP-Zugriff 6.2.1 Beschreibung Passwort für SNMP-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Gerät. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Gerätes zugreifen will.
Seite 82: Passwort Für Snmp-Zugriff Eingeben
Schutz vor unberechtigtem Zugriff 6.2 Passwort für SNMP-Zugriff 6.2.2 Passwort für SNMP-Zugriff eingeben Wählen Sie den Dialog Sicherheit:Passwort / SNMP-Zu- griff. Dieser Dialog bietet Ihnen die Möglichkeit, das Lese- und das Schreib/ Lese-Passwort für den Zugriff mit dem Web-based Interface, über das CLI und per SNMPv3 (SNMP-Version 3) auf dem Gerät zu ändern.
Seite 83 Schutz vor unberechtigtem Zugriff 6.2 Passwort für SNMP-Zugriff Abb. 21: Dialog Passwort/SNMP-Zugriff Hinweis: Wenn Sie kein Passwort mit der Berechtigung „schreiben/le- sen“ kennen, haben Sie keine Möglichkeit, auf das Gerät schreibend zuzugreifen. Hinweis: Aus Sicherheitsgründen zeigt das Gerät die Passwörter nicht an.
Seite 84 Schutz vor unberechtigtem Zugriff 6.2 Passwort für SNMP-Zugriff Wählen Sie den Dialog Sicherheit:SNMPv1/v2-Zugriff. Dieser Dialog bietet Ihnen die Möglichkeit, den Zugriff über SNMPv1 oder SNMPv2 auszuwählen. Im Lieferzustand sind beide Protokolle aktiviert. Damit können Sie das Gerät mit HiVision verwalten und mit früheren Versionen von SNMP kommunizieren.
Seite 85 Schutz vor unberechtigtem Zugriff 6.2 Passwort für SNMP-Zugriff Abb. 22: Dialog SNMPv1/v2-Zugriff Um eine neue Zeile in der Tabelle zu erzeugen, klicken Sie auf „Ein- trag erzeugen“. Um einen Eintrag aus der Tabelle zu löschen, wählen Sie die Zeile aus und klicken Sie auf „Eintrag löschen“ . Basiskonfiguration Release 6.0 07/2010...
Seite 86: Telnet-/Web-/Ssh-Zugriff
Schutz vor unberechtigtem Zugriff 6.3 Telnet-/Web-/SSH-Zugriff 6.3 Telnet-/Web-/SSH-Zugriff 6.3.1 Beschreibung Telnet-Zugriff Der Telnet-Server des Gerätes bietet Ihnen die Möglichkeit, das Gerät mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren. Sie können den Telnet-Server ausschalten, um einen Telnet-Zugriff auf das Gerät zu verhindern.
Seite 87: Beschreibung Ssh-Zugriff
Schutz vor unberechtigtem Zugriff 6.3 Telnet-/Web-/SSH-Zugriff Nach dem Abschalten des Web-Servers ist ein erneutes Anmelden über ei- nen Web-Browser nicht mehr möglich. Die Anmeldung im offenen Browser- fenster bleibt aktiv. 6.3.3 Beschreibung SSH-Zugriff Der SSH-Server des Gerätes bietet Ihnen die Möglichkeit, das Gerät mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren.
Seite 88: Telnet-/Web-/Ssh-Zugriff Aus-/Einschalten
Schutz vor unberechtigtem Zugriff 6.3 Telnet-/Web-/SSH-Zugriff 6.3.4 Telnet-/Web-/SSH-Zugriff aus-/einschalten Wählen Sie den Dialog Sicherheit:Telnet/Web-/SSH-Zu- griff. Schalten Sie den Server aus, zu welchem Sie den Zugang verwehren wollen. Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Telnet-Server einschalten. transport input telnet Telnet-Server ausschalten.
Seite 89: Eingeschränkter Management-Zugriff
Schutz vor unberechtigtem Zugriff 6.4 Eingeschränkter Management- Zugriff 6.4 Eingeschränkter Manage- ment-Zugriff Das Gerät bietet Ihnen die Möglichkeit, den Management-Zugang zu dem Gerät nach IP-Adressbereichen und diese wiederum nach Management- Diensten (http, snmp, telnet, ssh) zu differenzieren. So haben Sie die Mög- lichkeit, Management-Zugriffsrechte fein einzustellen.
Seite 90 Schutz vor unberechtigtem Zugriff 6.4 Eingeschränkter Management- Zugriff Wechsel in den Privileged-EXEC-Modus. enable Zeigt die momentane Konfiguration an. show network mgmt-access Legt einen Eintrag für das IT-Netz an. Dieser network mgmt-access add bekommt die kleinste freie ID, im Beispiel 2. Setzt die IP-Adresse des Eintrags für das IT- network mgmt-access modify 2 Netz.
Seite 91: Hidiscovery-Zugriff Aus-/Einschalten
Schutz vor unberechtigtem Zugriff 6.5 HiDiscovery-Zugriff aus-/einschal- 6.5 HiDiscovery-Zugriff aus-/ein- schalten 6.5.1 Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät anhand seiner MAC- Adresse eine IP-Adresse zuzuweisen (siehe auf Seite 36 „IP-Parameter per HiDiscovery eingeben“). HiDiscovery ist ein Layer 2-Protokoll. Hinweis: Schränken Sie aus Sicherheitsgründen die HiDiscovery-Funktion des Gerätes ein oder schalten Sie sie aus, nachdem Sie dem Gerät die IP- Parameter zugewiesen haben.
Seite 92 Schutz vor unberechtigtem Zugriff 6.5 HiDiscovery-Zugriff aus-/einschal- HiDiscovery-Funktion ausschalten. network protocol hidiscovery HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen“ einschalten read-only HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen und schreiben“ einschalten read-write Basiskonfiguration Release 6.0 07/2010...
Seite 93: Portzugangskontrolle
Schutz vor unberechtigtem Zugriff 6.6 Portzugangskontrolle 6.6 Portzugangskontrolle 6.6.1 Beschreibung der Portzugangskontrolle Sie haben die Möglichkeit, das Gerät so zu konfigurieren, dass es Sie unter- stützt, jeden Port vor unberechtigtem Zugriff zu schützen. Abhängig von Ihrer Auswahl prüft das Gerät die MAC-Adresse oder die IP-Adresse des ange- schlossenen Gerätes.
Seite 94: Anwendungsbeispiel Für Portzugangskontolle
Schutz vor unberechtigtem Zugriff 6.6 Portzugangskontrolle 6.6.2 Anwendungsbeispiel für Portzugangskontolle Sie haben einen LAN-Anschluss in einem Raum, der für jeden zugänglich ist. Um einzustellen, dass ausschließlich definierte Benutzer diesen LAN-An- schluss nutzen können, aktivieren Sie die Portzugangskontrolle an diesem Port. Bei einem unberechtigten Zugriff soll das Gerät den Port ausschalten und Sie mit einer Alarmmeldung informieren.
Seite 95 Schutz vor unberechtigtem Zugriff 6.6 Portzugangskontrolle Konfigurieren Sie die Portsicherheit. Wählen Sie den Dialog Sicherheit:Portsicherheit. Wählen Sie im Rahmen „Konfiguration“ die „IP-basierte Port- sicherheit“. Klicken Sie in der Tabelle in der Zeile des zu schützenden Ports in die Zelle „Erlaubte IP-Adressen“. Geben Sie der Reihe nach ein: –...
Seite 96 Schutz vor unberechtigtem Zugriff 6.6 Portzugangskontrolle Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie im Rahmen „Speichern“ den Speicherort „auf dem Gerät“ und klicken Sie auf „Sichern“, um die Konfiguration nicht- flüchtig in der aktiven Konfiguration zu speichern. Basiskonfiguration Release 6.0 07/2010...
Seite 97: Port-Authentifizierung Nach Ieee 802.1X
Schutz vor unberechtigtem Zugriff 6.7 Port-Authentifizierung nach IEEE 802.1X 6.7 Port-Authentifizierung nach IEEE 802.1X 6.7.1 Beschreibung Port-Authentifizierung nach IEEE 802.1X Die portbasierte Netzzugriffskontrolle ist eine im Standard IEEE 802.1X be- schriebene Methode zum Schutz von IEEE 802-Netzen vor unberechtigtem Zugriff. Durch die Authentifizierung und Autorisierung eines Endgeräts, das an einem Port des Gerätes angeschlossen ist, kontrolliert das Protokoll den Zugang an diesem Port.
Seite 98: Authentifizierungsablauf Nach Ieee 802.1X
Schutz vor unberechtigtem Zugriff 6.7 Port-Authentifizierung nach IEEE 802.1X 6.7.2 Authentifizierungsablauf nach IEEE 802.1X Ein Supplikant versucht über einen Geräteport zu kommunizieren. Das Gerät fordert den Supplikanten auf, sich zu authentifizieren. Zu diesem Zeitpunkt ist ausschließlich EAPOL Verkehr zwischen Supplikant und Gerät erlaubt. Der Supplikant antwortet mit seinen Identitätsdaten.
Seite 99: Ieee 802.1X-Einstellungen
Schutz vor unberechtigtem Zugriff 6.7 Port-Authentifizierung nach IEEE 802.1X 6.7.4 IEEE 802.1X-Einstellungen Konfiguration des RADIUS-Servers Wählen Sie den Dialog Sicherheit:802.1X Port-Authenti- fizierung:RADIUS-Server. Dieser Dialog bietet Ihnen die Möglichkeit, die Daten für bis zu 3 RADIUS-Server einzugeben. Klicken Sie auf „Eintrag erzeugen“, um das Dialogfenster zur Ein- gabe der IP-Adresse eines RADIUS-Servers zu öffnen.
Seite 100 Schutz vor unberechtigtem Zugriff 6.7 Port-Authentifizierung nach IEEE 802.1X Zugriffskontrolle aktivieren Wählen Sie den Dialog Sicherheit:802.1X Port-Authenti- fizierung:Global. Mit „Funktion" schalten Sie die Funktion an. Basiskonfiguration Release 6.0 07/2010...
Seite 101: Zugriffs-Kontroll-Listen (Acl)
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) 6.8 Zugriffs-Kontroll-Listen (ACL) Mit Zugriffs-Kontroll-Listen (Access Control Lists, ACL) haben Sie die Möglichkeit, Datenpakete beim Empfangen auszufiltern, weiterzuleiten, um- zuleiten oder zu priorisieren. Das Gerät bietet MAC-basierte ACLs und IP-basierte ACLs. Das Gerät berücksichtigt die ACLs beim Paketempfang. Deshalb heißen die Listen Ingress-ACLs.
Seite 102: Beschreibung Priorisierung Mit Acls
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) Hinweis: Beim PowerMICE und MACH 4000 können Sie je Interface ent- weder MAC-basierte oder IP-basierte ACLs anwenden. Beim MACH 4002-24G/48G können Sie je Interface sowohl MAC-basierte als auch IP-basierte ACLs anwenden. 6.8.1 Beschreibung Priorisierung mit ACLs Die Priorisierung mit ACLs bietet Ihnen eine Erweiterung der Priorisierungs- funktion.
Seite 103: Beschreibung Ip-Basierte Acls
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) 6.8.2 Beschreibung IP-basierte ACLs Das Gerät unterscheidet zwischen Standard- und erweiterten IP-basierten ACLs. ACLs mit einer Identifikationsnummer (ACL-ID) von 1 bis 99 sind Standard-IP-basierte ACLs und von 100 bis 199 sind erweiterte (extended) IP-basierte ACLs. Standard-IP-basierte ACLs bieten folgende Kriterien zur Filterung: IP-Quelladresse mit Netzmaske Alle Datenpakete (match every)
Seite 104: Beschreibung Mac-Basierte Acls
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) Hinweis: IP-Adressmasken in den Regeln von ACLs sind invers. Das bedeutet, wenn Sie eine einzelne IP-Adresse maskieren wollen, dann wählen Sie die Netzmaske 0.0.0.0. 6.8.3 Beschreibung MAC-basierte ACLs Während Sie IP-basierte ACLs über eine Identifikationsnummer identifizie- ren, identifizieren Sie MAC-basierte ACLs über einen beliebigen eindeutigen Namen.
Seite 105: Ip-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) Hinweis: Wenn Sie MAC-ACLs an Ports anwenden, die sich im MRP-Ring befinden, dann fügen Sie den ACLs die folgende Regel hinzu: PERMIT Source MAC: ANY Destination MAC: 01:15:4E:00:00:00 Destination MAC-Maske: 00:00:00:00:00:03 CLI-Komando im Config-mac-access-Modus: permit any 01:15:4E:00:00:00 00:00:00:00:00:03 Hinweis: MAC-Adressmasken in den Regeln von ACLs sind invers.
Seite 106 Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL 100 mit der 1. Regel. access-list 100 deny ip Diese verweigert den Datenverkehr von der IP- 10.0.1.11 0.0.0.0 Quelladresse 10.0.1.11 zur IP-Zieladresse 10.0.1.158 0.0.0.0 10.0.1.158.
Seite 107: Mac-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) show access-lists interface 2/3 in ACL Type ACL ID Sequence Number -------- ------------------------------- --------------- 6.8.5 MAC-ACLs konfigurieren Beispiel: MAC-ACL AppleTalk und IPX aus dem gesamten Netz ausfiltern. Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL „ipx-apple“...
Seite 108: Priorisierung Mit Ip-Acls Konfigurieren
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) 6.8.6 Priorisierung mit IP-ACLs konfigurieren Beispiel: Priorisieren von Multicast-Strömen. Den Multicast-Strömen mit den IP-Multicast-Zieladressen 239.1.1.1 bis 239.1.1.255 die Priorität 6 zuordnen und Den Multicast-Strömen mit den IP-Multicast-Zieladressen 237.1.1.1 bis 237.1.1.255 die Priorität 5 zuordnen und Wechsel in den Privileged-EXEC-Modus.
Seite 109 Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) Beispiel: Erweiterte ACL mit Priorisierung an Hand des Simple Network Management-Protokolls (SNMP, Layer 4) Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugt die erweiterte ACL 104 mit der 1. Regel. access-list 104 permit udp Diese Regel weist allen SNMP-Paketen mit dem any any eq snmp...
Seite 110: Reihenfolge Der Regeln Festlegen
Schutz vor unberechtigtem Zugriff 6.8 Zugriffs-Kontroll-Listen (ACL) 6.8.7 Reihenfolge der Regeln festlegen Die Anwendung der ACLs hängt von deren Reihenfolge ab. Die erste Liste, die zutrifft kommt zur Anwendung und alle folgenden Regeln werden ignoriert. Durch die Vergabe der „Sequence Number“ können Sie die Reihenfolge beeinflussen.
Seite 111: Die Systemzeit Im Netz Synchronisieren
Die Systemzeit im Netz synchronisieren 7 Die Systemzeit im Netz synchronisieren Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Das Gerät bietet 2 Möglichkeiten mit unterschiedlicher Genauigkeit, die Zeit in Ihrem Netz zu synchronisieren. Bei weniger großen Genauigkeitsanforderungen, im besten Fall eine Genau- igkeit im Millisekunden-Bereich, ist das Simple Network Time Protocol (SNTP) eine kostengünstige Lösung.
Seite 112: Uhrzeit Eingeben
Die Systemzeit im Netz 7.1 Uhrzeit eingeben synchronisieren 7.1 Uhrzeit eingeben Steht Ihnen keine Referenzuhr zur Verfügung, dann haben Sie die Möglich- keit, in einem Gerät die Systemzeit einzugeben, um das Gerät dann wie eine Referenzuhr einzusetzen (siehe auf Seite 116 „Konfiguration SNTP“), (siehe auf Seite 127...
Seite 113 Die Systemzeit im Netz 7.1 Uhrzeit eingeben synchronisieren Mit „Setze Zeit vom PC“ übernimmt das Gerät die Zeit des PCs als Systemzeit und berechnet mit der lokalen Zeitdifferenz die IEEE 1588- / SNTP-Zeit. „IEEE 1588- / SNTP-Zeit“ = „Systemzeit“ - „Lokaler Offset“ „Lokaler Offset“...
Seite 114: Sntp
Die Systemzeit im Netz 7.2 SNTP synchronisieren 7.2 SNTP 7.2.1 Beschreibung SNTP Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die SNTP-Client- und die SNTP-Server-Funktion. Der SNTP-Server stellt die UTC (Universal Time Coordinated) zur Verfü- gung.
Seite 115: Vorbereitung Der Sntp-Konfiguration
Die Systemzeit im Netz 7.2 SNTP synchronisieren 7.2.2 Vorbereitung der SNTP-Konfiguration Zeichnen Sie einen Netzplan mit allen am SNTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallauf- zeit abhängig ist.
Seite 116: Konfiguration Sntp
Die Systemzeit im Netz 7.2 SNTP synchronisieren 7.2.3 Konfiguration SNTP Wählen Sie den Dialog Zeit:SNTP. Funktion In diesem Rahmen schalten Sie die SNTP-Funktion global ein/ aus. SNTP-Status Die „Statusmeldung“ zeigt Zustände des SNTP-Clients als eine oder mehrere Textmeldungen an. Mögliche Meldungen sind: Lokale Systemuhr ist synchronisiert;...
Seite 117 Die Systemzeit im Netz 7.2 SNTP synchronisieren Konfiguration SNTP-Client In „Client-Status“ schalten Sie den SNTP-Client des Geräts ein/ aus. In „Externe Server-Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert. In „Redundante Server-Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert, wenn es 1 Sekunde nach einer Anforderung keine Antwort vom „Externen Server-Adresse“...
Seite 118 Die Systemzeit im Netz 7.2 SNTP synchronisieren Konfiguration SNTP-Server In „Server-Status“ schalten Sie den SNTP-Server des Geräts ein/ aus. In „Anycast-Zieladresse“ geben Sie die IP-Adresse an, an die der SNTP-Server des Geräts seine SNTP-Pakete schickt (siehe Tab. In „VLAN-ID“ geben Sie das VLAN an, in das das Gerät zyklisch seine SNTP-Pakete verschicken soll.
Seite 119 Die Systemzeit im Netz 7.2 SNTP synchronisieren Abb. 27: Dialog SNTP Gerät 192.168.1.1 192.168.1.2 192.168.1.3 Funktion Server Zieladresse 0.0.0.0 0.0.0.0 0.0.0.0 Server VLAN-ID Sendeintervall Client Externe Server Adresse 192.168.1.0 192.168.1.1 192.168.1.2 Anforderungsintervall Broadcasts akzeptieren nein nein nein Tab. 7: Einstellungen für das Beispiel (siehe Abb.
Seite 120: Precison Time Protocol
Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren 7.3 Precison Time Protocol 7.3.1 Funktionsbeschreibung PTP Voraussetzung für zeitkritische, über ein LAN gesteuerte Anwendungen ist ein präzises Zeitmanagement. Der Standard IEEE 1588 beschreibt mit dem Precision Time Protocol (PTP) ein Verfahren, das ausgehend von einer genauesten Uhr die präzise Syn- chronisation aller Uhren in einem LAN ermöglicht.
Seite 121 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren PTPv1 PTPv2 Spezifikation Stratum- Clock Class nummer – (Priorität 1 = Für zeitlich begrenzte, spezielle Zwecke, um einer Uhr eine hö- here Genauigkeit zuzuordnen als allen anderen Uhren im Netz. Bezeichnet die Uhr als Referenzuhr mit höchster Genauigkeit. Die Uhr kann sowohl eine Boundary- als auch eine Ordinary-Uhr sein.
Seite 122 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Reference Local (Master clock) (Slave clock) Delay + Jitter Delay + Jitter Delay + Jitter Precision Time Protocol (Application Layer) UDP User Datagramm Protocol (Transport Layer) Internet Protocol (Network Layer) MAC Media Access Control Physical Layer Abb.
Seite 123 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Peer-to-Peer (P2P) Bei P2P misst wie bei E2E jede Slave-Uhr die Laufzeit zu ihrer Master- Uhr. Zusätzlich misst bei P2P jede Master-Uhr die Laufzeit zur Slave-Uhr. Z.B. kann bei einer Unterbrechung eines redundanten Ringes die Slave- Uhr zur Master-Uhr und die Master-Uhr zur Slave-Uhr werden.
Seite 124: Ptp-Konfiguration Vorbereiten
Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Unabhängig von physikalischen Kommunikationspfaden sieht das PTP logische Kommunikationspfade vor, die Sie durch das Einrichten von PTP- Subdomänen definieren. Subdomänen haben den Zweck, Gruppen von Uhren, die zeitlich unabhängig vom Rest der Domäne sind, zu bilden. Typischerweise benutzen die Uhren einer Gruppe die gleichen Kommunika- tionspfade wie andere Uhren auch.
Seite 125 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Zeichnen Sie einen Netzplan mit allen am PTP beteiligten Geräten, um einen Überblick über die Uhrenverteilung zu erhalten. Hinweis: Schließen Sie alle Verbindungen, die Sie zur Verteilung der PTP- Informationen benutzen an Anschlüsse mit integrierter Zeitstempeleinheit (RT-Module) an.
Seite 126 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Wenn Sie keine Referenzuhr zur Verfügung haben, dann bestimmen Sie ein Gerät als Referenzuhr und stellen Sie dessen Systemzeit möglichst genau ein. Basiskonfiguration Release 6.0 07/2010...
Seite 127: Anwendungsbeispiel
Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren 7.3.3 Anwendungsbeispiel Die Synchronisation der Zeit im Netz soll über PTP erfolgen. Das linke Gerät (siehe Abb. 31) erhält als SNTP-Client über SNTP die Uhrzeit vom NTP-Ser- ver. Einer von einem NTP-Server empfangenen Uhrzeit weist das Gerät ein PTP-Clock-Stratum von 2 (PTPv1) bzw.
Seite 128 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Gerät 10.0.1.112 10.0.1.116 10.0.1.105 10.0.1.106 PTP Global Funktion Clock Modus v1-boundary- v1-boundary- v1-simple-mode v1-simple-mode clock clock Bevorzugter Master true false false false SNTP Funktion Client-Status Externe Server- 10.0.1.2 0.0.0.0 0.0.0.0 0.0.0.0 Adresse Server-Anforde- beliebig...
Seite 129 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Wählen Sie den Dialog Zeit:SNTP. Schalten Sie im Rahmen „Funktion“ SNTP global ein. Schalten Sie im Rahmen „Konfiguration SNTP-Client“ den SNTP- Client ein (Client-Status). Geben Sie im Rahmen „Konfiguration SNTP-Client“ ein: –...
Seite 130 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren Wählen Sie den Dialog Zeit:PTP:Global. Schalten Sie im Rahmen „Funktion IEEE 1588 / PTP“ die Funktion ein. Wählen Sie v1-boundary-clock für „PTP-Version-Modus“. Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern.
Seite 131 Die Systemzeit im Netz 7.3 Precison Time Protocol synchronisieren PTP-Parameter übernehmen. ptp v1 re-initialize Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie im Rahmen „Speichern“ den Speicherort „auf dem Gerät“ und klicken Sie auf „Sichern“, um die Konfiguration nicht- flüchtig in der aktiven Konfiguration zu speichern.
Seite 132: Interaktion Von Ptp Und Sntp
Die Systemzeit im Netz 7.4 Interaktion von PTP und SNTP synchronisieren 7.4 Interaktion von PTP und SNTP Laut PTP- und SNTP-Standard können beide Protokolle parallel in einem Netz existieren. Da beide Protokolle die Systemzeit des Gerätes beeinflussen, können Situationen auftreten, in denen beide Protokolle konkurrieren.
Seite 133 Die Systemzeit im Netz 7.4 Interaktion von PTP und SNTP synchronisieren Anwendungsbeispiel Die Anforderungen an die Genauigkeit der Uhrzeit im Netz sei recht hoch, die Endgeräte unterstützen jedoch ausschließlich SNTP (siehe Abb. 32). Gerät 149.218.112.1 149.218.112.2 149.218.112.3 Funktion Clock Modus v1-boundary-clock v1-boundary-clock v1-boundary-clock Bevorzugter Master false...
Seite 134 Die Systemzeit im Netz 7.4 Interaktion von PTP und SNTP synchronisieren Basiskonfiguration Release 6.0 07/2010...
Seite 135: Netzlaststeuerung
Netzlaststeuerung 8 Netzlaststeuerung Zur Optimierung der Datenübertragung bietet Ihnen das Gerät folgende Funktionen, um die Netzauslastung zu steuern: Einstellungen zur gezielten Paketvermittlung (MAC-Adressfilter) Multicast-Einstellungen Lastbegrenzung Priorisierung - QoS Flusskontrolle Virtuelle LANs (VLANs) Basiskonfiguration Release 6.0 07/2010...
Seite 136: Gezielte Paketvermittlung
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung hilft Ihnen das Gerät, Sie vor unnötiger Netzbelastung zu bewahren. Folgende Funktionen bietet Ihnen das Gerät zur gezielten Paketvermittlung: Store and Forward Multiadress-Fähigkeit Altern gelernter Adressen Statische Adresseinträge Ausschalten der gezielten Paketvermittlung 8.1.1 Store and Forward Alle Daten, die das Gerät empfängt, werden gespeichert und auf ihre Gültig-...
Seite 137: Altern Gelernter Adressen
Netzlaststeuerung 8.1 Gezielte Paketvermittlung im Zieladressfeld werden an diesen Port gesendet. Gelernte Quelladressen trägt das Gerät in seine Filtertabelle ein (siehe auf Seite 138 „Statische Adresseinträge eingeben“). Das Gerät kann bis zu 8.000 Adressen lernen. Dies wird notwendig, wenn an einem oder mehreren Ports mehr als ein Endgerät angeschlossen ist.
Seite 138: Statische Adresseinträge Eingeben
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1.4 Statische Adresseinträge eingeben Eine wichtige Funktion des Gerätes ist unter anderem die Filterfunktion. Sie selektiert Datenpakete nach definierten Mustern, den Filtern. Diesen Mus- tern sind Vermittlungsvorschriften zugeordnet. Das heißt, ein Datenpaket, das ein Gerät an einem Port empfängt, wird mit den Mustern verglichen. Be- steht ein Muster, mit dem das Datenpaket übereinstimmt, dann sendet oder blockiert ein Gerät dieses Datenpaket entsprechend den Vermittlungsvor- schriften an den betroffenen Ports.
Seite 139 Netzlaststeuerung 8.1 Gezielte Paketvermittlung Hinweis: Die Filtertabelle bietet Ihnen für Multicast-Adressen die Möglich- keit, bis zu 100 Filter-Einträge zu erzeugen. Wählen Sie den Dialog Switching:Filter für MAC-Adressen. Jede Zeile der Filtertabelle stellt einen Filter dar. Filter legen die Ver- mittlungsweise von Datenpaketen fest. Sie werden entweder automa- tisch vom Gerät (Status learned) oder manuell angelegt.
Seite 140: Gezielte Paketvermittlung Ausschalten
Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1.5 Gezielte Paketvermittlung ausschalten Um die Daten aller Ports beobachten zu können, bietet Ihnen das Gerät die Möglichkeit, das Lernen der Adressen auszuschalten. Ist das Lernen der Adressen ausgeschaltet, dann überträgt das Gerät alle Daten von allen Ports an alle Ports.
Seite 141: Multicast-Anwendung
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2 Multicast-Anwendung 8.2.1 Beschreibung Multicast-Anwendung Die Datenverteilung im LAN unterscheidet 3 Verteilungsklassen bezüglich der adressierten Empfänger: Unicast - ein Empfänger, Multicast - eine Gruppe von Empfängern, Broadcast - jeder erreichbare Empfänger. Im Falle der Multicast-Adressierung leitet das Gerät alle Datenpakete mit einer Multicast-Adresse an allen Ports weiter.
Seite 142: Beispiel Für Eine Multicast-Anwendung
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.2 Beispiel für eine Multicast-Anwendung Die Kameras zur Maschinenüberwachung übertragen in der Regel ihre Bil- der auf Monitore im Maschinenraum und in einen Überwachungsraum. Bei einer IP-Übertragung sendet eine Kamera ihre Bilddaten mit einer Multi- cast-Adresse über das Netz. Damit die vielen Videodaten nicht unnötig das ganze Netz belasten, benutzt das Gerät das GMRP zur Verteilung der Multicast-Adress-Information.
Seite 143: Beschreibung Igmp-Snooping
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.3 Beschreibung IGMP-Snooping Das Internet Group Management Protocol (IGMP) beschreibt die Verteilung von Multicast-Informationen zwischen Routern und Endgeräten auf Layer 3. Router mit aktiver IGMP-Funktion verschicken periodisch Anfragen (Query), um zu erfahren, welche IP-Multicast-Gruppen-Mitglieder im LAN ange- schlossen sind.
Seite 144: Igmp-Snooping Einstellen
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.4 IGMP-Snooping einstellen Wählen Sie den Dialog Switching:Multicast:IGMP. Funktion Der Rahmen „Funktion“ bietet Ihnen die Möglichkeit, IGMP Snooping für das gesamte Gerät global an-oder auszuschalten. Ist IGMP Snooping ausgeschaltet, dann: wertet das Gerät empfangene Query- und Report-Pakete nicht aus sendet (flutet) empfangene Datenpakete mit einer Multicast-Adres- se als Zieladresse an allen Ports.
Seite 145 Netzlaststeuerung 8.2 Multicast-Anwendung IGMP-Querier „IGMP Querier aktiv“ bietet Ihnen die Möglichkeit, die Query-Funktion ein-/auszuschalten. „Protokoll-Version“ bietet Ihnen die Möglichkeit, die IGMP-Version 1, 2 oder 3 auszuwählen. In „Sende-Intervall [s]“ geben Sie den Zeitabstand an, in welchem der Switch Query-Pakete verschickt (gültige Werte: 2-3.599 s, Lieferzu- stand: 125 s).
Seite 146: Igmp-Einstellungen
Netzlaststeuerung 8.2 Multicast-Anwendung IGMP-Einstellungen „Aktuelle Querier IP-Adresse“ zeigt Ihnen die IP-Adresse des Gerätes an, das die Query-Funktion innehat. In „Max. Response-Time“ geben Sie die Zeit ein, innerhalb derer die Multicast-Gruppen-Mitglieder auf einen Query antworten (gültige Wer- te: 1-3.598 s, Lieferzustand: 10 s). Beachten Sie den Parameter-Zusammenhang zwischen Max.
Seite 147 Netzlaststeuerung 8.2 Multicast-Anwendung Wenn Sie Werte eingeben, die dieser Beziehung widersprechen, dann ersetzt das Gerät diese Werte durch eine Voreinstellung oder die zuletzt gültigen Werte. Parameter Protokoll Wertebereich Voreinstellung Version Max. Response-Time 1, 2 1-25 Sekunden 10 Sekunden 1-3.598 Sekunden Sende-Intervall 1, 2, 3 2-3.599 Sekunden 125 Sekunden...
Seite 148: Bekannte Multicasts
Netzlaststeuerung 8.2 Multicast-Anwendung Bekannte Multicasts In diesem Rahmen bestimmen Sie, wie das Gerät im IGMP-Modus Pakete mit bekannten -mit IGMP-Snooping gelernten- MAC/IP-Multica- st-Adressen vermittelt. „An Query- und registrierte Ports senden". Das Gerät sendet die Pakete mit bekannter MAC/IP-Multicast- Adresse an alle Query-Ports und an registrierte Ports. Diese standardkonforme Einstellung sendet alle Multicasts an allen Query-Ports und an registrierte Ports.
Seite 149 Diese Tabellenspalte bietet Ihnen die Möglichkeit, IGMP-Report- Nachrichten auch an: anderen ausgewählten Ports (enable) oder angeschlossene Hirschmann-Geräte (automatic) zu vermitteln . „Gelernter Query Port“ Diese Tabellenspalte zeigt Ihnen, an welchen Ports das Gerät IGMP-Anfragen empfangen hat, wenn in „Statischer Query Port“...
Seite 150: Beschreibung Gmrp
Netzlaststeuerung 8.2 Multicast-Anwendung Hinweis: Ist das Gerät in einen HIPER-Ring eingebunden, dann errei- chen Sie für Datenpakete mit registrierten Multicast-Zieladressen eine schnelle Rekonfiguration des Netzes nach einer Ringumschaltung durch die folgende Einstellungen: Schalten Sie IGMP-Snooping an den Ringports und global ein; und schalten Sie „IGMP Forward All“...
Seite 151 Netzlaststeuerung 8.2 Multicast-Anwendung Geräte, die Datenpakete mit einer Multicast-Adresse als Zieladresse emp- fangen wollen, veranlassen mit Hilfe des GMRPs die Registrierung der Mul- ticast-Adresse. Registrieren heißt für einen Switch, die Multicast-Adresse in die Filtertabelle einzutragen. Beim Eintrag einer Multicast-Adresse in die Fil- tertabelle sendet der Switch diese Information in einem GMRP-Paket an al- len Ports.
Seite 152: Gmrp Einstellen
Netzlaststeuerung 8.2 Multicast-Anwendung 8.2.6 GMRP einstellen Wählen Sie den Dialog Switching:Multicasts:GMRP. Funktion Der Rahmen „Funktion“ bietet Ihnen die Möglichkeit, GMRP für das ge- samte Gerät global einzuschalten. Ist GMRP ausgeschaltet, dann generiert das Gerät keine GMRP-Pakete, wertet empfangene GMRP-Pakete nicht aus und sendet (flutet) empfangene Datenpakete an allen Ports.
Seite 153 Netzlaststeuerung 8.2 Multicast-Anwendung Hinweis: Ist das Gerät in einen HIPER-Ring eingebunden, dann errei- chen Sie für Datenpakete mit registrierten Multicast-Zieladressen eine schnelle Rekonfiguration des Netzes nach einer Ringumschaltung durch die folgende Einstellungen: Schalten Sie GMRP an den Ringports und global ein; und schalten Sie „Forward all groups“...
Seite 154: Lastbegrenzer
Netzlaststeuerung 8.3 Lastbegrenzer 8.3 Lastbegrenzer 8.3.1 Beschreibung Lastbegrenzer Um bei großer Belastung einen sicheren Datenaustausch zu gewährleisten, kann das Gerät den Verkehr begrenzen. Die Eingabe einer Begrenzungsrate je Port legt fest, wie viel Verkehr das Gerät ausgangs- und eingangsseitig vermitteln darf. Werden an diesem Port mehr als die eingegebene maximale Belastung ver- mittelt, dann verwirft das Gerät die Überlast an diesem Port.
Seite 155: Lastbegrenzer-Einstellungen (Powermice Und Mach 4000)
Netzlaststeuerung 8.3 Lastbegrenzer 8.3.2 Lastbegrenzer-Einstellungen (PowerMICE und MACH 4000) 8.3.3 Lastbegrenzer-Einstellungen Wählen Sie den Dialog Switching:Lastbegrenzer. „Eingangsbegrenzer (kbit/s)“ bietet Ihnen die Möglichkeit, die Eingangsbegrenzerfunktion für alle Ports ein-/auszuschalten die Eingangsbegrenzung für Broadcast-Pakete oder für Broadcast- und Multicast-Pakete an allen Ports zu wählen.
Seite 156 Netzlaststeuerung 8.3 Lastbegrenzer Einstellmöglichkeiten pro Port: Eingangsbegrenzerrate für den im Eingangsbegrenzerrahmen ge- wählten Pakettyp: = 0, keine Begrenzung eingangsseitig an diesem Port. > 0, maximale Übertragungsrate in kbit/s, die eingangsseitig an diesem Port gesendet werden darf. Ausgangsbegrenzerrate für Broadcast-Pakete: = 0, keine Begrenzung der Broadcasts ausgangsseitig an diesem Port.
Seite 157: Qos/Priorität
Netzlaststeuerung 8.4 QoS/Priorität 8.4 QoS/Priorität 8.4.1 Beschreibung Priorisierung Diese Funktion verhindert, dass zeitkritischer Datenverkehr wie Sprach-/ Video- oder Echtzeitdaten in Zeiten starker Verkehrslast durch weniger zeit- kritischen Datenverkehr gestört wird. Die Zuweisung von hohen Verkehrs- klassen (Traffic Class) für zeitkritische Daten und niedrigen Verkehrsklassen für weniger zeitkritische Daten bietet einen optimierten Datenfluss für zeit- kritische Datenverkehr.
Seite 158: Vlan-Tagging
Netzlaststeuerung 8.4 QoS/Priorität Das Gerät berücksichtigt die Klassifizierungsmechanismen in der oben dar- gestellten Reihenfolge. D.h. Access-Control-Listen haben immer Vorrang vor den folgenden Mechanismen. Access-Control-Listen können die Daten- pakete bezüglich Layer 2, Layer 3 und Layer 4 klassifizieren (z.B. MAC- Adressen, IP-Adressen, Protokolle, TCP/UDP-Ports). Datenpakete können Priorisierungs/QoS-Informationen enthalten: VLAN-Priorität nach IEEE 802.1Q/ 802.1D (Layer 2) Type-of-Service (ToS) bzw.
Seite 159: Netzlaststeuerung
Netzlaststeuerung 8.4 QoS/Priorität Eingetragene Traffic Class IEEE 802.1D-Verkehrstyp Priorität (Voreinstellung) Best Effort (default) Background Standard Excellent Effort (business critical) Controlled Load (Streaming multimedia) Video, less than 100 millisconds of latency and jitter Voice; less than 10 milliseconds of latency and jitter Network Control reserved traffic Tab.
Seite 160 Netzlaststeuerung 8.4 QoS/Priorität 4 Octets Abb. 37: Tag-Format Beim Einsatz der VLAN-Priorisierung beachten Sie folgende Besonder- heiten: Eine Ende-zu-Ende Priorisierung setzt das Übertragen der VLAN-Tags im gesamten Netz voraus, d.h. alle Netzkomponenten müssen VLAN- fähig sein. Router können über portbasierte Router-Interfaces keine Pakete mit VLAN-Tags empfangen bzw.
Seite 161: Ip Tos / Diffserv
Netzlaststeuerung 8.4 QoS/Priorität 8.4.3 IP ToS / DiffServ TYPE of Service Das Type of Service-Feld (ToS) im IP-Header (siehe Tab. 14) ist bereits von Beginn an Bestandteil des IP-Protokolls und war zur Unterscheidung unterschiedlicher Dienstgüten in IP-Netzen vorgesehen. Schon damals machte man sich aufgrund der geringen zur Verfügung stehenden Band- breiten und der unzuverlässigen Verbindungswege Gedanken um eine differenzierte Behandlung von IP-Paketen.
Seite 162 Netzlaststeuerung 8.4 QoS/Priorität Differentiated Services Das in RFC 2474 neu definierte Differentiated Services Feld im IP-Header (siehe Abb. 38) - oft auch als DiffServ-Codepoint oder DSCP bezeichnet, löst das ToS-Feld ab und dient zur Markierung der einzelnen Pakete mit einem DSCP. Hier werden die Pakete in unterschiedliche Qualitäts-Klas- sen eingeteilt.
Seite 163 Netzlaststeuerung 8.4 QoS/Priorität ToS-Bedeutung Precedence -Wert Zugeordneter DSCP Network Control CS7 (111000) Internetwork Control CS6 (110000) Critical CS5 (101000) Flash Override CS4 (100000) Flash CS3 (011000) Immidiate CS2 (010000) Priority CS1 (001000) Routine CS0 (000000) Tab. 15: Zuordnung der IP-Precedence Werte zum DSCP-Wert DSCP-Wert DSCP-Name Traffic Class...
Seite 164: Management-Priorisierung
Netzlaststeuerung 8.4 QoS/Priorität 8.4.4 Management-Priorisierung Damit Sie in Situationen großer Netzlast immer vollen Zugriff auf die Verwaltung des Gerätes haben, bietet Ihnen das Gerät die Möglichkeit, Management-Pakete zu priorisieren. Bei der Priorisierung von Management-Paketen (SNMP, Telnet, usw.) sendet das Gerät die Management-Pakete mit einer Prioritäts-Information. Auf Layer 2 modifiziert das Gerät die VLAN-Priorität im VLAN-Tag.
Seite 165: Handhabung Der Traffic Classes
Netzlaststeuerung 8.4 QoS/Priorität trust ip-dscp Das Gerät ordnet IP-Paketen entsprechend des DSCP-Wertes im IP- Header den unterschiedlichen Traffic Classes zu, auch wenn das Paket zusätzlich VLAN-getagged war. Die Zuordnung erfolgt nach den vorein- gestellten Werten (siehe Tab. 16). Diese Zuordnung können Sie modifizieren.
Seite 166: Beschreibung Weighted Fair Queuing
Netzlaststeuerung 8.4 QoS/Priorität Beschreibung Weighted Fair Queuing Bei Weighted Fair Queuing, auch Weighted Round Robin (WRR) genannt, kann der Anwender jeder Traffic Class eine minimale bzw. re- servierte Bandbreite zuweisen. Dies gewährleistet, dass bei hoher Netzlast auch Datenpakete mit einer niederen Priorität vermittelt werden. Die Werte für die Gewichtung liegen im Bereich von 0% bis 100% der verfügbaren Bandbreite in Schritten von 5%.
Seite 167: Beschreibung Traffic Shaping
Netzlaststeuerung 8.4 QoS/Priorität Beschreibung Traffic Shaping Beim Traffic Shaping haben Sie die Möglichkeit, die maximale Bandbreite eines Interfaces zu beschränken. Die Werte für die Bandbreitenbegrenzung liegen im Bereich von 0% bis 95% in Schritten von 5%. Der Wert „0“ entspricht der Einstellung „keine Bandbreiten- begrenzung“.
Seite 168: Zuordnung Der Vlan-Priorität Zu Den Traffic Classes
User Priority Traffic Class ------------- ------------- Empfangenen Datenpaketen immer die Port-Priorität zuweisen (PowerMICE, MACH 104, MACH 1040 und MACH 4000) Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Port 1.1.
Seite 169: Einem Dscp Die Traffic Class Zuweisen
IP DSCP Traffic Class ------------- ------------- 0(be/cs0) 8(cs1) Empfangenen IP-Datenpaketen immer die DSCP-Priorität pro Interface zuweisen (PowerMICE, MACH 104, MACH 1040 und MACH 4000) Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 6/1 von Interface 6/1.
Seite 170: Empfangenen Ip-Datenpaketen Immer Die Dscp-Priorität Global Zuweisen
Netzlaststeuerung 8.4 QoS/Priorität Class of Service Trust Mode: IP DSCP Non-IP Traffic Class: 2 Empfangenen IP-Datenpaketen immer die DSCP-Priorität global zuweisen Wählen Sie den Dialog QoS/Priorität:Global. Wählen Sie in der Zeile „Trust Mode” trustIPDSCP aus. Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus.
Seite 171: Konfiguration Von Traffic Shaping An Einem Interface
Netzlaststeuerung 8.4 QoS/Priorität Weist allen Traffic Classes eine maximale Band- cos-queue max-bandwidth 20 breite zu (Shaping). 20 20 20 20 30 30 30 Weil die beiden Strict-Priority-Traffic Classes auf maximal 30% begrenzt sind, steht den verblei- benden Queues mindestens 40% der Bandbreite zur Verfügung.
Seite 172: Management-Priorität Layer 2 Konfigurieren
Subnet Mask........255.255.255.0 Default Gateway........ 10.0.1.200 Burned In MAC Address......00:80:63:51:7A:80 Network Configuration Protocol (BootP/DHCP)..None DHCP Client ID (same as SNMP System Name).."PowerMICE-517A80" Network Configuration Protocol HiDiscovery..Read-Write Management VLAN ID......1 Management VLAN Priority....... 7 Management IP-DSCP Value....... 0(be/cs0) Web Mode........
Seite 173: Management-Priorität Layer 3 Konfigurieren
Subnet Mask........255.255.255.0 Default Gateway........ 10.0.1.200 Burned In MAC Address......00:80:63:51:7A:80 Network Configuration Protocol (BootP/DHCP)..None DHCP Client ID (same as SNMP System Name).."PowerMICE-517A80" Network Configuration Protocol HiDiscovery..Read-Write Management VLAN ID......1 Management VLAN Priority....... 7 Management IP-DSCP Value....... 56(cs7) Web Mode........
Seite 174: Flusskontrolle
Netzlaststeuerung 8.5 Flusskontrolle 8.5 Flusskontrolle 8.5.1 Beschreibung Flusskontrolle Flusskontrolle (flow control) ist ein Mechanismus, der als Überlastschutz für das Gerät dient. Während verkehrsstarken Zeiten hält er zusätzlichen Ver- kehr vom Netz fern. Im Beispiel (siehe Abb. 39) ist die Wirkungsweise der Flusskontrolle graphisch dargestellt.
Seite 175: Flusskontrolle Bei Vollduplex-Verbindung
Netzlaststeuerung 8.5 Flusskontrolle Port 1 Port 4 Switch Port 2 Port 3 Workstation 1 Workstation 2 Workstation 3 Workstation 4 Abb. 39: Beispiel für Flusskontrolle Flusskontrolle bei Vollduplex-Verbindung Im Beispiel (siehe Abb. 39) sei zwischen der Workstation 2 und dem Gerät eine Vollduplex-Verbindung.
Seite 176: Flusskontrolle Bei Halbduplex-Verbindung
Netzlaststeuerung 8.5 Flusskontrolle Flusskontrolle bei Halbduplex-Verbindung Im Beispiel (siehe Abb. 39) sei zwischen der Workstation 2 und dem Gerät eine Halbduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät Daten zurück, damit die Workstation 2 eine Kollision erkennt und somit den Sendevorgang unterbricht.
Seite 177: Vlans
Netzlaststeuerung 8.6 VLANs 8.6 VLANs 8.6.1 Beschreibung VLAN Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basie- ren zusätzlich auf logischen (statt ausschließlich physikalischen) Verbin- dungen zwischen Netzteilnehmern.
Seite 178: Beispiele Für Ein Vlan
Netzlaststeuerung 8.6 VLANs 8.6.2 Beispiele für ein VLAN Die folgenden Beispiele aus der Praxis vermitteln einen schnellen Einstieg in den Aufbau eines VLANs. Beispiel 1 VLAN VLAN Abb. 40: Beispiel für ein einfaches portbasiertes VLAN Das Beispiel zeigt eine minimale VLAN-Konfiguration (portbasiertes VLAN).
Seite 179 Netzlaststeuerung 8.6 VLANs Für obiges Beispiel hat der Status des TAG-Feldes der Datenpakete keine Relevanz, setzen Sie es generell auf „U“. Endgerät Port Port VLAN Identifer (PVID) Tab. 17: Ingress-Tabelle VLANID Port Tab. 18: Egress-Tabelle Basiskonfiguration Release 6.0 07/2010...
Seite 180 Netzlaststeuerung 8.6 VLANs Verfahren Sie wie folgt, um die Beispielkonfiguration durchzuführen: VLAN konfigurieren Wählen Sie den Dialog Switching:VLAN:Statisch Abb. 41: Neue VLANs erzeugen und benennen Klicken Sie auf „Eintrag erzeugen“, um das Eingabefenster für die VLAN-ID zu öffnen. Weisen Sie dem VLAN die VLAN-ID 2 zu. Klicken Sie auf „OK“.
Seite 181 Netzlaststeuerung 8.6 VLANs Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den VLAN-Konfigurationsmodus. vlan database Erzeugt ein neues VLAN mit der VLAN-ID 2. vlan 2 Benennt das VLAN mit der VLAN-ID 2 mit dem vlan name 2 VLAN2 Namen VLAN2. Erzeugt ein neues VLAN mit der VLAN-ID 3. vlan 3 Benennt das VLAN mit der VLAN-ID 3 mit dem vlan name 3 VLAN3...
Seite 182 Netzlaststeuerung 8.6 VLANs Ports konfigurieren Abb. 42: VLAN-Zugehörigkeit der Ports definieren. Weisen Sie die Ports des Gerätes den entsprechenden VLANs zu, indem Sie durch einen Klick in die zugehörigen Tabellenzellen das Auswahlmenü öffnen und den Status bestimmen. Entsprechende Wahlmöglichkeiten sind: - = Momentan kein Mitglied in diesem VLAN (GVRP erlaubt) T = Mitglied im VLAN, Datenpakete mit Tag versenden U = Mitglied im VLAN, Datenpakete ohne Tag versenden...
Seite 183 Netzlaststeuerung 8.6 VLANs Abb. 43: Port-VLAN-IDs, Acceptable Frame Types und Ingress Filtering zuweisen und speichern Weisen Sie den einzelnen Ports die Port-VLAN-ID des zugehörigen VLANs (2 oder 3) zu, siehe Tabelle. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, wäh- len Sie bei „Acceptable Frame Types“...
Seite 184 Netzlaststeuerung 8.6 VLANs Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Port 1.1. vlan participation include 2 Port 1/1 wird member untagged in VLAN 2. Port 1/1 wird die Port-VLAN-ID 2 zugewiesen. vlan pvid 2 Wechsel in den Konfigurationsmodus.
Seite 185 Netzlaststeuerung 8.6 VLANs Beispiel 2 Abb. 44: Beispiel für eine komplexere VLAN-Konstellation Das zweite Beispiel zeigt eine komplexere Konstellation mit 3 VLANs (1 bis 3). Zusätzlich zu dem schon bekannten Switch aus Beispiel 1 kommt nun ein 2. Switch (im Beispiel rechts gezeichnet) zum Einsatz. Die Endgeräte der einzelnen VLANs (A bis H) erstrecken sich über zwei Vermittlungsgeräte (Switch).
Seite 186 Netzlaststeuerung 8.6 VLANs Die Egress-Tabelle legt fest, welchem VLAN die Frames, die von diesem Port abgehen, zugeordnet werden. Mit Ihrem Eintrag definieren Sie zu- sätzlich, ob an diesem Port abgehende Ethernet-Frames markiert (tagged) werden sollen: T = mit Tag-Feld (T = Tagged, markiert) U = ohne Tag-Feld (U = Untagged, nicht markiert) Markierte (Tagged) Frames kommen in diesem Beispiel in der Kommuni- kation zwischen den Vermittlungsgeräten (Uplink) zum Einsatz, da an...
Seite 187 Netzlaststeuerung 8.6 VLANs VLAN-ID Port Tab. 22: Egress Tabelle Gerät rechts Die Kommunikationsbeziehungen sind hierbei wie folgt:Endgeräte an Port 1 und 4 des linken Gerätes sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 188 Netzlaststeuerung 8.6 VLANs Verfahren Sie wie folgt, um die Beispielkonfiguration durchzuführen: VLAN konfigurieren Wählen Sie den Dialog Switching:VLAN:Statisch Abb. 45: Neue VLANs erzeugen und benennen Klicken Sie auf „Eintrag erzeugen“, um das Eingabefenster für die VLAN-ID zu öffnen. Weisen Sie dem VLAN die VLAN-ID 2 zu. Benennen Sie dieses VLAN mit VLAN2, indem Sie in das Feld klicken und den Namen eintragen.
Seite 189 Netzlaststeuerung 8.6 VLANs Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den VLAN-Konfigurationsmodus. vlan database Erzeugt ein neues VLAN mit der VLAN-ID 2. vlan 2 Benennt das VLAN mit der VLAN-ID 2 mit dem vlan name 2 VLAN2 Namen VLAN2. Erzeugt ein neues VLAN mit der VLAN-ID 3. vlan 3 Benennt das VLAN mit der VLAN-ID 3 mit dem vlan name 3 VLAN3...
Seite 190 Netzlaststeuerung 8.6 VLANs Ports konfigurieren Abb. 46: VLAN-Zugehörigkeit der Ports definieren. Weisen Sie die Ports des Gerätes den entsprechenden VLANs zu, indem Sie durch einen Klick in die zugehörigen Tabellenzellen das Auswahlmenü öffnen und den Status bestimmen. Entsprechende Wahlmöglichkeiten sind: - = Momentan kein Mitglied in diesem VLAN (GVRP erlaubt) T = Mitglied im VLAN, Datenpakete mit Tag versenden U = Mitglied im VLAN, Datenpakete ohne Tag versenden...
Seite 191 Netzlaststeuerung 8.6 VLANs Abb. 47: Port-VLAN-IDs, Acceptable Frame Types und Ingress Filtering zuweisen und speichern Weisen Sie den einzelnen Ports die ID des zugehörigen VLANs (1 bis 3) zu. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, wäh- len Sie an den Endgeräte-Ports die Einstellung admitAll.
Seite 192 Netzlaststeuerung 8.6 VLANs Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Port 1.1. vlan participation include 1 Port 1/1 wird member untagged in VLAN 1. vlan participation include 2 Port 1/1 wird member untagged in VLAN 2. Port 1/1 wird member tagged in VLAN 2.
Seite 193: Double-Vlan-Tagging
Netzlaststeuerung 8.6 VLANs Zeigt Details zum VLAN 3 an. #show vlan 3 VLAN ID VLAN Name : VLAN3 VLAN Type : Static VLAN Creation Time: 0 days, 00:07:47 (System Uptime) Interface Current Configured Tagging ---------- -------- ----------- -------- Include Include Tagged Exclude Autodetect...
Seite 194 Netzlaststeuerung 8.6 VLANs Die Ports, die an diesem VLAN-Tunnel beteiligt sind, sind entweder: sogenannte Access-Ports, an denen Ihr Netz externen Verkehr empfängt und sendet, oder sogenannte Core-Ports, die alle innerhalb Ihres Netzes liegen und mit einem anderen Core-Port verbunden sind. Zum Aufbau eines VLAN-Tunnels richten Sie frei ein wählbares VLAN auf Ihren Geräten ein und nehmen die Access- und Core-Ports in dieses Tunnel- VLAN auf.
Seite 195: Beispiel Für Double-Vlan-Tagging
Netzlaststeuerung 8.6 VLANs Beispiel für Double-VLAN-Tagging Kunden- Kunden- Netz A Netz B Access-Port, PVID 100, ungetaggtes Mitglied in VLAN 100 Access-Port, PVID 200, ungetaggtes Mitglied in VLAN 200 Switch 1 Provider-Netz Switch 2 Access-Port, PVID 100, Core-Ports, getaggte Mitglieder ungetaggtes Mitglied in in VLANs 100 und 200 VLAN 100 Access-Port, PVID 200,...
Seite 196 Netzlaststeuerung 8.6 VLANs Switch Port Port-Rolle Mitglied in VLAN (Tagging) PVID Access 100 (U) Access 200 (U) Core 100 (T), 200 (T) Core 100 (T), 200 (T) Access 100 (U) Access 200 (U) Tab. 24: Port-Einstellungen für VLAN-Tunnel Basiskonfiguration Release 6.0 07/2010...
Seite 197 Netzlaststeuerung 8.6 VLANs Stellen Sie die Beispielkonfiguration mit dem CLI ein: Switch 1: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den VLAN-Konfigurationsmodus. vlan database Erzeugt ein neues VLAN mit der VLAN-ID 100. vlan 100 Benennt das VLAN mit der VLAN-ID 100 mit dem vlan name 100 KUNDE_A Namen KUNDE_A.
Seite 198 Netzlaststeuerung 8.6 VLANs Switch 2: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den VLAN-Konfigurationsmodus. vlan database Erzeugt ein neues VLAN mit der VLAN-ID 100. vlan 100 Benennt das VLAN mit der VLAN-ID 100 mit dem vlan name 100 KUNDE_A Namen KUNDE_A. Erzeugt ein neues VLAN mit der VLAN-ID 200.
Seite 199: Funktionsdiagnose
Funktionsdiagnose 9 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: Alarmmeldungen versenden Gerätestatus überwachen Out-of-band-Signalisierung durch Meldekontakt Port-Zustandsanzeige Ereigniszähler auf Portebene Erkennen der Nichtübereinstimmung der Duplex-Modi SFP-Zustandsanzeige TP-Kabeldiagnose Topologie-Erkennung IP-Adresskonflikte erkennen Erkennen von Loops (Schleifen) Berichte Datenverkehr eines Ports beobachten (Port Mirroring) Syslog Ereignis-Log Basiskonfiguration...
Seite 200: Alarmmeldungen Versenden
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1 Alarmmeldungen versenden Treten im Normalbetrieb des Gerätes außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter „Polling“ versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände.
Seite 201: Auflistung Der Snmp-Traps
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1.1 Auflistung der SNMP-Traps Welche Traps das Gerät verschicken kann, finden Sie in der folgenden Tabelle. Trapbezeichnung Bedeutung authenticationFailure wird gesendet, falls eine Station versucht, unberechtigt auf den Agenten zuzugreifen. coldStart wird sowohl bei Kalt- als auch bei Warmstart während des Boo- tens nach erfolgreicher Initialisierung des Managements gesen- det.
Seite 202: Snmp-Traps Beim Booten
Funktionsdiagnose 9.1 Alarmmeldungen versenden Trapbezeichnung Bedeutung hmSNTPTrap wird gesendet, wenn im Zusammenhang mit dem SNTP Fehler auftreten (z.B. Server nicht erreichbar). hmRelayDuplicateTrap wird gesendet, wenn im Zusammenhang mit der DHCP-Option 82 eine doppelte IP-Adresse erkannt wird. lldpRemTablesChange- wird gesendet, wenn sich ein Eintrag in der Topologie-Remote- Trap Tabelle ändert.
Seite 203: Trapeinstellung
Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1.3 Trapeinstellung Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit festzulegen, welche Ereig- nisse einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen. Wählen Sie „Eintrag erzeugen“. In der Spalte „IP-Adresse“ geben Sie die IP-Adresse des Empfän- gers an, an den die Traps geschickt werden sollen.
Seite 204 Funktionsdiagnose 9.1 Alarmmeldungen versenden Die auswählbaren Ereignisse haben folgende Bedeutung: Name Bedeutung Authentifizie- Das Gerät hat einen unerlaubten Zugriff zurückgewiesen (siehe Dialog rung Zugriff für IP-Adressen und Portsicherheit). Link Up/Down An einem Port des Gerätes wurde die Verbindung zu einem anderen Gerät hergestellt/unterbrochen.
Seite 205: Gerätestatus Überwachen
Funktionsdiagnose 9.2 Gerätestatus überwachen 9.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Gerätes. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Das Gerät bietet Ihnen die Möglichkeit, den Gerätezustand über einen Meldekontakt out-of-band zu signalisieren (siehe auf Seite 210 „Gerätestatus mit Meldekontakt überwachen“) durch das Versenden eines Traps bei einer Änderung des Geräte- zustandes zu signalisieren.
Seite 206: Gerätestatus Konfigurieren
Funktionsdiagnose 9.2 Gerätestatus überwachen Entscheiden Sie durch Markieren der entsprechenden Einträge, welche Er- eignisse der Gerätestatus erfasst. Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet das Gerät das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge zuführen oder die Überwachung ausschalten (siehe auf Seite 210 „Gerätefunktionen mit Meldekontakt...
Seite 207: Gerätestatus Anzeigen
Funktionsdiagnose 9.2 Gerätestatus überwachen 9.2.2 Gerätestatus anzeigen Wählen Sie den Dialog Grundeinstellungen:System . Abb. 50: Gerätestatus- und Alarm-Anzeige 1 - Das Symbol zeigt den Gerätestatus an 2 - Ursache des ältesten, bestehenden Alarms 3 - Beginn des ältesten, bestehenden Alarms Wechsel in den Privileged-EXEC-Modus.
Seite 208: Out-Of-Band-Signalisierung
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktions- überwachung des Gerätes. Die Funktionsüberwachung bietet Ihnen die Möglichkeit einer Ferndiagnose. Den Funktionsstatus meldet das Gerät über den potentialfreien Melde- kontakt (Relaiskontakt, Ruhestromschaltung) durch Kontaktunterbrechung: Inkorrekte Versorgungsspannung mindestens eine der 2 Versorgungsspannungen ist außer Betrieb, die interne Versorgungsspannung ist außer Betrieb.
Seite 209: Meldekontakt Steuern
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3.1 Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fernzubedienen. Anwendungsmöglichkeiten: Simulation eines Fehlers bei einer SPS-Fehlerüberwachung. Fernbedienung eines Gerätes über SNMP, wie z.B. das Einschalten einer Kamera. Wählen Sie den Dialog Diagnose:Meldekontakt 1/2. Wählen Sie „Manuelle Einstellung“...
Seite 210: Gerätestatus Mit Meldekontakt Überwachen
Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3.2 Gerätestatus mit Meldekontakt überwachen Die Auswahl „Gerätestatus“ bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe auf Seite 205 „Gerätestatus überwachen“) über den Meldekontakt zu überwachen. 9.3.3 Gerätefunktionen mit Meldekontakt überwachen Funktionsüberwachung konfigurieren Wählen Sie den Dialog Diagnose:Meldekontakt.
Seite 211: Lüfter Überwachen
Funktionsdiagnose 9.3 Out-of-band-Signalisierung Abb. 51: Dialog Meldekontakt Wechsel in den Privileged-EXEC-Modus. exit Zeigt den Zustand der Funktionsüberwachung show signal-contact 1 und die Einstellung zur Statusermittlung an. 9.3.4 Lüfter überwachen Geräte der Mach 4000-Familie verfügen über einen auswechselbaren Lüftereinschub. Dieser Lüftereinschub trägt wesentlich zur Senkung der Innentemperatur des Gerätes bei.
Seite 212 Funktionsdiagnose 9.3 Out-of-band-Signalisierung Das Gerät bietet Ihnen die Möglichkeit, Statusänderungen des Lüfterein- schubs über einen Meldekontakt out-of-band (außerhalb des Datenstroms) zu signalisieren. (siehe auf Seite 210 „Gerätestatus mit Meldekontakt über- wachen“) durch das Versenden eines Traps bei einer Änderung des Gerätezustan- des zu signalisieren.
Seite 213 Funktionsdiagnose 9.3 Out-of-band-Signalisierung Wählen Sie den Dialog Diagnose:Meldekontakt. Wählen Sie über die entsprechende Karteikarte „Meldekontakt 1“ oder „Meldekontakt 2“ den Meldekontakt aus, den Sie zur Signalisi- sierung benutzen wollen (im Beispiel Meldekontakt 1). Im Rahmen „Modus Meldekontakt“ wählen Sie „Funktionsüber- wachung“.
Seite 214: Port-Zustandsanzeige
Funktionsdiagnose 9.4 Port-Zustandsanzeige 9.4 Port-Zustandsanzeige Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt das Gerät mit der aktuellen Bestückung. Unterhalb des Geräteabbildes stellen Symbole den Status der einzelnen Ports dar. Abb. 53: Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100 MBit/s, 1, 10 GBit/s) ist freigegeben und die Verbindung ist in Ordnung.
Seite 215: Ereigniszähler Auf Portebene
Funktionsdiagnose 9.5 Ereigniszähler auf Portebene 9.5 Ereigniszähler auf Portebene Die Port-Statistiktabelle versetzt den erfahrenen Netzbetreuer in die Lage, erkannte eventuelle Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt Ihnen die Inhalte verschiedener Ereigniszähler an. Im Menüpunkt Neustart können Sie mit „Warmstart“, „Kaltstart“ oder „Port-Zäh- ler zurücksetzen“...
Seite 216: Erkennen Der Nichtübereinstimmung Der Duplex-Modi
Funktionsdiagnose 9.5 Ereigniszähler auf Portebene Abb. 54: Dialog Portstatistiken 9.5.1 Erkennen der Nichtübereinstimmung der Duplex-Modi Stimmen die Duplex-Modi von 2 direkt miteinander verbundenen Ports nicht überein, kann dies schwer aufzuspürende Probleme verursachen. Die auto- matische Detektion und Meldung dieser Situation hat den Vorteil, dies bereits zu erkennen, bevor Probleme auftreten.
Seite 217: Möglichen Ursachen Für Port-Fehlerereignisse
Funktionsdiagnose 9.5 Ereigniszähler auf Portebene Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusam- men mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Kollisionen:diese bedeuten im Halbduplexmodus Normalbetrieb. Duplex-Problem: Nichtübereinstimmung der Duplex-Modi. EMI: Elektromagnetische Interferenz. Netzausdehnung: die Netzausdehnung ist zu groß...
Seite 218: Aktivieren Der Erkennung
Funktionsdiagnose 9.5 Ereigniszähler auf Portebene Aktivieren der Erkennung Wählen Sie den Dialog Switching:Global. Markieren Sie „Duplex Mismatch Detection aktivieren“. Das Gerät prüft dann, ob der Duplex-Modus eines Ports möglicherweise nicht mit dem des entfernten Ports übereinstimmt. Entdeckt das Gerät eine mögliche Nichtübereinstimmung, erzeugt es einen Eintrag im Ereignis-Log und sendet einen Alarm (Trap).
Seite 219: Sfp-Zustandsanzeige
Funktionsdiagnose 9.6 SFP-Zustandsanzeige 9.6 SFP-Zustandsanzeige Die SFP-Zustandsanzeige bietet Ihnen die Möglichkeit, die aktuelle Bestü- ckung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigen- schaften zählen: Modultyp, Unterstützung im Medienmodul gewährt, Temperatur in º C, Sendeleistung in mW, Empfangsleistung in mW. Wählen Sie den Dialog Diagnose:Ports:SFP-Module.
Seite 220: Tp-Kabeldiagnose
Funktionsdiagnose 9.7 TP-Kabeldiagnose 9.7 TP-Kabeldiagnose Die TP-Kabeldiagnose ermöglicht Ihnen, das angeschlossene Kabel auf Kurzschluss oder Unterbrechung zu prüfen. Hinweis: Während der Überprüfung ruht der Datenverkehr an diesem Port. Die Prüfung dauert wenige Sekunden. Nach der Prüfung finden sie in der Zeile „Ergebnis“...
Seite 221 Funktionsdiagnose 9.7 TP-Kabeldiagnose Voraussetzungen für eine korrekte TP-Kabeldiagnose: 1000BASE-T-Port, über 8-adriges Kabel mit 1000BASE-T-Port verbun- den oder 10BASE-T/100BASE-TX-Port, mit 10BASE-T/100BASE-TX-Port verbunden. Wählen Sie den Dialog Diagnose:Ports:TP-Kabeldiagnose. Wählen Sie den TP-Port aus, an dem Sie die Prüfung durchführen wollen. Klicken Sie auf „Schreiben“, um die Prüfung zu starten. Basiskonfiguration Release 6.0 07/2010...
Seite 222: Topologie-Erkennung
Funktionsdiagnose 9.8 Topologie-Erkennung 9.8 Topologie-Erkennung 9.8.1 Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs. Diese können dort aus- gewertet werden, sofern diese Geräte auch das LLDP aktiviert haben.
Seite 223 01:80:63:2F:FF:0B. Hirschmann-Geräte mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Gerätes hält die LLDP-Informationen in der lldp-MIB und in der privaten hm- LLDP vor.
Seite 224: Anzeige Der Topologie-Erkennung
Funktionsdiagnose 9.8 Topologie-Erkennung 9.8.2 Anzeige der Topologie-Erkennung Wählen Sie den Dialog Diagnose:Topologie-Erkennung. Basiskonfiguration Release 6.0 07/2010...
Seite 225 Funktionsdiagnose 9.8 Topologie-Erkennung Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ih- nen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagement-Station in der Lage, die Struk- tur Ihres Netzes darzustellen. Die Auswahl „Ausschließlich LLDP-Einträge anzeigen“...
Seite 226 Funktionsdiagnose 9.8 Topologie-Erkennung Sind an einem Port, z.B. über einen Hub, mehrere Geräte angeschlos- sen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn Geräte mit aktiver Topologie-Erkennungs-Funktion und Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie-Ta- belle die Geräte ohne aktive Topologie-Erkennung aus.
Seite 227: Ip-Adresskonflikte Erkennen
Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9 IP-Adresskonflikte erkennen 9.9.1 Beschreibung von IP-Adresskonflikten Per Definition darf jede IP-Adresse innerhalb eines Subnetzes nur einmal vergeben sein. Existieren innerhalb eines Subnetzes irrtümlicherweise 2 oder mehr Geräte mit der gleichen IP-Adresse, dann kommt es unweiger- lich zur Unterbrechung der Kommunikation mit Geräten dieser IP-Adresse.
Seite 228: Acd Konfigurieren
Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9.2 ACD konfigurieren Wählen Sie den Dialog Diagnose:IP-Adressen Konflikterkennung. Mit „Status“ schalten Sie die IP-Adressen Konflikterkennung ein/aus bzw. wählen Sie die Betriebsart (siehe Tab. 30). Basiskonfiguration Release 6.0 07/2010...
Seite 229: Acd Anzeigen
Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9.3 ACD anzeigen Wählen Sie den Dialog Diagnose:IP-Adressen Konflikterkennung. In der Tabelle protokolliert das Gerät IP-Adresskonflikte mit seiner IP-Adresse. Zu jedem Konflikt protokolliert das Gerät: die Uhrzeit, die IP-Adresse, mit der der Konflikt bestand, die MAC-Adresse des Gerätes, mit dem der IP-Adresskonflikt bestand.
Seite 230: Erkennen Von Loops (Schleifen)
Funktionsdiagnose 9.10 Erkennen von Loops (Schleifen) 9.10 Erkennen von Loops (Schleifen) Loops (Schleifen) im Netz, auch vorübergehende, können Verbindungsun- terbrechungen oder Datenverlust verursachen. Die automatische Detektion und Meldung dieser Situation bietet Ihnen die Möglichkeit, diese rascher zu entdecken und leichter zu diagnostizieren. Eine Fehlkonfiguration kann einen Loop verursachen, z.B., wenn Sie Spanning Tree abschalten.
Seite 231 Funktionsdiagnose 9.10 Erkennen von Loops (Schleifen) Wählen Sie den Dialog Switching:Global. Markieren Sie „Address Relearn Detection aktivieren“.Geben Sie im Feld „Address Relearn Threshold“ den gewünschten Schwellwert ein. Bei aktivierter Address Relearn Detection prüft das Gerät, ob es wieder- holt die selben MAC-Quell-Adressen an verschiedenen Ports gelernt hat.
Seite 232: Berichte
Funktionsdiagnose 9.11 Berichte 9.11 Berichte Folgende Berichte und Bedientasten stehen zur Diagnose zur Verfügung: Logdatei. Die Logdatei ist eine HTML-Datei, in die das Gerät alle wichtigen geräteinternen Ereignisse schreibt. Systeminformation. Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. Download Switch-Dump.
Seite 233 Wählen Sie das Verzeichnis aus, in dem Sie das Applet speichern möchten. Klicken Sie auf „Speichern“. Das Gerät erzeugt den Dateinamen des Applets automatisch nach dem Muster <Gerätetyp><Software-Variante><Software-Version)>_<Soft- ware-Revision des Applets>.jar, für ein Gerät von Typ PowerMICE mit der Software-Variante L3P z.B. „pmL3P06000_00.jar“. Basiskonfiguration Release 6.0 07/2010...
Seite 234: Datenverkehr Von Ports Beobachten (Port-Mirroring)
Funktionsdiagnose 9.12 Datenverkehr von Ports beob- achten (Port-Mirroring) 9.12 Datenverkehr von Ports beob- achten (Port-Mirroring) Die Funktion Port-Mirroring bietet Ihnen die Möglichkeit, den Datenverkehr von bis zu 8 Ports des Geräts zu Diagnosezwecken zu untersuchen. Dabei leitet das Gerät die Daten dieser Ports zusätzlich an einen anderen Port wei- ter (spiegelt sie).
Seite 235 Funktionsdiagnose 9.12 Datenverkehr von Ports beob- achten (Port-Mirroring) Wählen Sie den Dialog Diagnose:Portmirroring. Dieser Dialog bietet Ihnen die Möglichkeit, die Port-Mirroring-Funktion des Gerätes zu konfigurieren und zu aktivieren. Wählen Sie die Quellports, deren Datenverkehr sie beobachten möchten, aus der Liste der physikalischen Ports aus, indem Sie die entsprechenden Kästchen markieren.
Seite 236 Funktionsdiagnose 9.12 Datenverkehr von Ports beob- achten (Port-Mirroring) Die Bedientaste „Konfiguration zurücksetzen“ im Dialog bietet Ihnen die Möglichkeit, alle Port-Mirroring-Einstellungen des Gerätes in den Liefer- zustand zurückzuversetzen. Hinweis: Bei aktivem Port-Mirroring dient der festgelegte Zielport aus- chließlich zur Beobachtung, er nimmt nicht am normalen Datenverkehr teil.
Seite 237: Syslog
Funktionsdiagnose 9.13 Syslog 9.13 Syslog Das Gerät bietet Ihnen die Möglichkeit, Meldungen über wichtige Geräte-in- terne Ereignisse an bis zu 8 Syslog-Server zu schicken. Außerdem können Sie SNMP-Anfragen an das Gerät ebenfalls als Ereignisse in den Syslog auf- nehmen. Hinweis: Die Ereignisse selbst, die das Gerät geloggt hat, finden Sie im Dialog „Ereignis-Log“...
Seite 238 Funktionsdiagnose 9.13 Syslog Rahmen „SNMP-Logging“: Aktivieren Sie „Log SNMP-Get-Request“, wenn Sie lesende SNMP- Anfragen an das Gerät als Ereignisse an den Syslog-Server senden möchten. Wählen Sie den Schweregrad aus, mit dem das Gerät die Ereig- nisse aus lesenden SNMP-Abfragen erzeugt. Aktivieren Sie „Log SNMP-Set-Request“, wenn Sie schreibende SNMP-Anfragen an das Gerät als Ereignisse an den Syslog-Server senden möchten.
Seite 239 Funktionsdiagnose 9.13 Syslog Wechsel in den Privileged-EXEC-Modus. exit Zeigt die SNMP-Logging-Einstellungen an. show logging snmp-requests Log SNMP SET requests : enabled Log SNMP SET severity : notice Log SNMP GET requests : enabled Log SNMP GET severity : notice Basiskonfiguration Release 6.0 07/2010...
Seite 240: Ereignis-Log
Funktionsdiagnose 9.14 Ereignis-Log 9.14 Ereignis-Log Das Gerät bietet Ihnen die Möglichkeit, einen Log der Systemereignisse abzurufen. Die Tabelle des Dialogs „Ereignis-Log“ listet die geloggten Ereig- nisse mit Zeitstempel auf. Klicken Sie auf „Laden“, um den Inhalt des Ereignis-Logs zu aktualisieren. Klicken Sie auf „Löschen“, um den Inhalt des Ereignis-Logs zu löschen.
Seite 241: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A Konfigurationsumgebung einrichten Basiskonfiguration Release 6.0 07/2010...
Seite 242 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten A.1 DHCP/BOOTP-Server einrichten Auf der CD-ROM, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT- Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 243 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Nehmen Sie die im Bild dargestellten Einstellungen vor und klicken Sie auf OK. Abb. 61: DHCP-Einstellung Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten. Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf Hinzufügen.
Seite 244 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Geben Sie die Netzmaske ein und klicken Sie auf Übernehmen. Abb. 63: Netzmaske im Konfigurationsprofil Wählen Sie die Karteikarte Boot. Geben Sie die IP-Adresse Ihres tftp-Servers. Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. Klicken Sie auf Übernehmen und danach auf OK.
Seite 245 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 64: Konfigurationsdatei auf dem tftp-Server Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf Abb.
Seite 246 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 66: Statische Adresseingabe Klicken Sie auf Hinzufügen. Abb. 67: Statische Adressen hinzufügen Geben Sie die MAC-Adresse des Gerätes ein. Geben Sie die IP-Adresse des Gerätes ein. Wählen Sie das Konfigurationsprofil des Gerätes. Klicken Sie auf Übernehmen und danach auf OK. Basiskonfiguration Release 6.0 07/2010...
Seite 247 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten Abb. 68: Einträge für statische Adressen Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu. Abb. 69: DHCP-Server mit Einträgen Basiskonfiguration Release 6.0 07/2010...
Seite 248: Dhcp-Server Option 82 Einrichten
Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten A.2 DHCP-Server Option 82 einrichten Auf der CD-ROM, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT- Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 249 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten Abb. 71: DHCP-Einstellung Zur Eingabe der statischen Adressen klicken Sie auf Hinzufügen. Abb. 72: Statische Adressen hinzufügen Wählen Sie Circuit Identifier und Remote Identifier. Basiskonfiguration Release 6.0 07/2010...
Seite 250 Subidentifier für Typ des Circuit-ID cl: Länge des Circuit-ID hh: Hirschmann-Identifier: 01, wenn an dem Port ein Hirschmann- Gerät angeschlossen wird, sonst 00. vvvv: VLAN ID der DHCP-Anfrage (Voreinstellung: 0001 = VLAN 1) ss: Steckplatz im Gerät, auf dem sich das Modul mit dem Port befindet, an dem das Gerät angeschlossen wird.
Seite 251 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten Abb. 74: Eintragen der Adressen Switch (Option 82) MAC = IP = 00:80:63:10:9a:d7 149.218.112.100 DHCP Server IP = 149.218.112.1 IP = 149.218.112.100 Abb. 75: Anwendungsbeispiel für den Einsatz von Option 82 Basiskonfiguration Release 6.0 07/2010...
Seite 252: Tftp-Server Für Sw-Updates
Konfigurationsumgebung einrichten A.3 TFTP-Server für SW-Updates A.3 TFTP-Server für SW-Updates Im Lieferzustand steht die Geräte-Software im lokalen Flash-Speicher. Das Gerät bootet die Software vom Flash-Speicher. Über einen tftp-Server können Software-Updates durchgeführt werden. Dies setzt voraus, daß im angeschlossenen Netz ein tftp-Server installiert und aktiv ist.
Seite 253: Tftp-Prozess Einrichten
Konfigurationsumgebung einrichten A.3 TFTP-Server für SW-Updates A.3.1 tftp-Prozess einrichten Allgemeine Voraussetzungen: Die lokale IP-Adresse des Gerätes und die IP-Adresse des tftp-Servers bzw. des Gateways sind dem Gerät bekannt. Der TCP/IP-Stack mit tftp ist auf dem tftp-Server installiert. Die folgenden Abschnitte enthalten Hinweise zum Einrichten des tftp- Prozesses gegliedert nach Betriebssystemen und Anwendungen.
Seite 254 Konfigurationsumgebung einrichten A.3 TFTP-Server für SW-Updates Eine zusätzliche Information zum tftp-Dämon tftpd können Sie mit dem UNIX-Kommando „man tftpd“ abrufen. Hinweis: Der tftp-Dämon wird nicht immer mit dem Befehl „ps“ ange- zeigt, obwohl er läuft. Besonderheit bei HP-Workstations: Tragen Sie bei der Installation auf einer HP-Workstation in die Datei /etc/passwd den Benutzer tftp ein.
Seite 255: Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.3 TFTP-Server für SW-Updates Überprüfen des tftp-Prozesses Editieren der Datei e t c i n e t d . c o n f Ist tftp* als nein Kommentarzeile eingetragen? In dieser Zeile das Kommentarzeichen »#« entfernen Neuinitialisieren von inetd. conf durch Eingabe von k i l l - 1 P I D nein...
Seite 256: Software-Zugriffsrechte
Konfigurationsumgebung einrichten A.3 TFTP-Server für SW-Updates A.3.2 Software-Zugriffsrechte Der Agent benötigt Leserecht auf dem tftp-Verzeichnis, in das die Geräte- Software abgelegt ist. Beispiel für einen tftp-Server unter UNIX Nach der Installation der Geräte-Software sollte sich folgende Verzeich- nis-Struktur mit den angegebenen Zugriffsrechten auf dem tftp-Server befinden:.
Seite 257: Ssh-Zugriff Vorbereiten
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten A.4 SSH-Zugriff vorbereiten Um über SSH auf das Gerät zugreifen zu können, benötigen Sie: einen Schlüssel. installieren Sie den Schlüssel auf das Gerät. geben Sie auf dem Gerät den Zugriff über SSH frei. ein Programm zum Ausführen des SSH-Protokolls auf Ihrem Rechner. A.4.1 Schlüssel erzeugen Eine Möglichkeit den Schlüssel zu erzeugen, bietet das Programm PuTTYgen.
Seite 258: Schlüssel Hochladen
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Abb. 77: PuTTY Schlüsselgenerator Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, den Schlüssel zu erzeugen. Zur Erzeugung des Schlüssels geben Sie folgenden Befehl ein: ssh-keygen(.exe) -q -t rsa1 -f rsa1.key -C '' -N '' A.4.2 Schlüssel hochladen Das Command Line Interface ermöglicht Ihnen das Hochladen des SSH- Schlüssels auf das Gerät.
Seite 259: Zugriff Mittels Ssh
Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Lädt die Schlüsseldatei in den nicht-flüchtigen copy tftp://10.0.10.1/ Speicher des Gerätes. device/rsa1.key 10.0.10.1 stellt die IP-Adresse des tftp-Servers nvram:sshkey-rsa1 dar. device stellt das Verzeichnis auf dem tftp- Server dar. rsa1.key stellt den Dateinamen des Schlüssels dar.
Seite 260 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Abb. 78: Sicherheitsabfrage für den Fingerabdruck Überprüfen Sie den Fingerabdruck, um sich vor unliebsamen Gästen zu schützen. Ihren Fingerabdruck finden Sie im Rahmen „Key“ des PuTTY Schlüsselgenerators (siehe Abb. 77) Stimmt der Fingerabdruck mit dem Ihres Schlüssels überein, dann klicken Sie „Ja“.
Seite 261 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Aufbau der Verbin- dung geben Sie folgenden Befehl ein: ssh admin@10.0.112.53 -cdes admin stellt den Benutzernamen dar. 10.0.112.53 stellt die IP-Adresse Ihres Gerätes dar. -cdes legt die Verschlüsselung für SSHv1 fest.
Seite 262 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Basiskonfiguration Release 6.0 07/2010...
Seite 263: B Allgemeine Informationen
Allgemeine Informationen B Allgemeine Informationen Basiskonfiguration Release 6.0 07/2010...
Seite 264: Management Information
Allgemeine Informationen B.1 Management Information BASE (MIB) B.1 Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt z.B.
Seite 265 Identifizierer unterer (z. B. Grenzwert) Spannungsversorgung Stromversorgung System Benutzer-Schnittstelle (User Interface) oberer (z. B. Grenzwert) vendor = Hersteller (Hirschmann) Definition der verwendeten Syntaxbegriffe: Integer Ganze Zahl im Bereich von -2 IP-Adresse xxx.xxx.xxx.xxx (xxx = ganze Zahl im Bereich von 0-255)
Seite 266: Allgemeine Informationen
15 usm 6 tcp 16 vacm 7 udp 11 snmp 16 rmon 17 dot1dBridge 26 snmpDot3MauMGT Abb. 80: Baumstruktur der Hirschmann-MIB Die vollständige Beschreibung der MIB finden Sie auf der CD-ROM, die zum Lieferumfang des Geräts gehört. Basiskonfiguration Release 6.0 07/2010...
Seite 267: Verwendete Abkürzungen
Allgemeine Informationen B.2 Verwendete Abkürzungen B.2 Verwendete Abkürzungen AutoConfiguration Adapter Access Control List BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Forwarding Database GARP General Attribute Registration Protocol GMRP GARP Multicast Registration Protocol HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IGMP...
Seite 268: Technische Daten
Allgemeine Informationen B.3 Technische Daten B.3 Technische Daten Die technischen Daten finden Sie in dem Dokument „Referenz-Handbuch Web-based Interface“. Basiskonfiguration Release 6.0 07/2010...
Seite 269 Allgemeine Informationen B.4 Leserkritik B.4 Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, damit der Einsatz dieses Produkts problemlos erfolgen kann. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 270 Datum / Unterschrift: Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder per Post an Hirschmann Automation and Control GmbH Abteilung AED Stuttgarter Str. 45-51 72654 Neckartenzlingen Basiskonfiguration Release 6.0 07/2010...
Seite 271: Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis Differenzierter Management-Zugriff 39, 54, 65, 67, 204, 204, 204 DiffServ Access-Control-Listen DiffServ-Codepoint Double-VLAN-Tagging 157, 158 DSCP 158, 162, 165, 169, 169, 170 Address Conflict Detection DVLAN-Tagging Adresskonflikt Dynamisch Adreßtabelle Aging Time 137, 137, 143, 143 Alarm Echtzeit 111, 157 Alarmmeldungen Anforderungsintervall (SNTP)
Seite 272 Stichwortverzeichnis Hostadresse Multicast 117, 138, 141, 143 Multicast-Adresse iana in-band Netzadresse Netzmanagement Netzmaske 28, 34 IEEE 1588-Zeit Netztopologie IEEE 802.1 Q Neustart IEEE-MAC-Adress 114, 116 IGMP IGMP Querier IGMP-Snooping 141, 143, 143 Object Description Industrieprotokolle Object-ID Instanzierung Objektklassen Internet Assigned Numbers Authority Option 82 26, 49, 248 Internet-Service-Provider...
Seite 273 Stichwortverzeichnis Reboot TCP/IP-Stack Redundanz Technische Fragen Redundanz Manager Telnet Referenzuhr 112, 115, 120, 126 Time Stamp Unit Relaiskontakt Topologie 49, 225 Release 157, 158, 161, 162 Report TP-Kabeldiagnose Reset Tracking Ring-/Netzkopplung (Quelle für Alarme) 204 Traffic Class Ring-Kopplung Traffic Classes Traffic Shaping 167, 170, 171 RIPE NCC...
Seite 274 Stichwortverzeichnis Web-based Interface 21, 21 Web-based Management Weighted Fair Queuing 165, 166, 167, 170 Weighted Round Robin Winterzeit Zeitmanagement Zeitstempeleinheit 122, 125 Zeitverschiebung Zeitzone Zieladreßfeld Zieladresse 138, 139, 151 Zieltabelle Zugangsschutz Zugriff Zugriff mit Web-based Interface, Passwort 82 Zugriffsrecht 60, 81 Basiskonfiguration Release 6.0 07/2010...
Seite 275: D Weitere Unterstützung
Weitere Unterstützung D Weitere Unterstützung Technische Fragen und Schulungsangebote Bei technischen Fragen wenden Sie sich bitte an den Hirschmann Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann-ac.com. Darüber hinaus steht Ihnen unsere Hotline zur Verfügung:...

Diese Anleitung auch für:

Mach 4000 Mach 1040

Hirschmann PowerMICE Anwenderhandbuch

1 Zugang zu den Bedienoberflächen

2 IP-Parameter Eingeben

3 Einstellungen Laden/Speichern

4 Neueste Software Laden

5 Ports Konfigurieren

6 Schutz vor Unberechtigtem Zugriff

7 Die Systemzeit IM Netz Synchronisieren

8 Netzlaststeuerung

9 Funktionsdiagnose

Quicklinks

Verwandte Anleitungen für Hirschmann PowerMICE

Inhaltszusammenfassung für Hirschmann PowerMICE