Seite 2
Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Inhalt Inhalt Inhalt Über dieses Handbuch Legende Einleitung Sicherheitskonzept Typische Anwendungen Anwendung konfigurieren 1.3.1 Konfigurationsschritte im Transparent-Modus 1.3.2 Konfigurationsschritte im Router-Modus 1.3.3 Konfigurationsschritte im PPPoE-Modus Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web-based Interface IP-Parameter eingeben Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) 3.1.2 Private IP-Adressen 3.1.3 Netzmaske 3.1.4 Classless Inter Domain Routing...
Seite 4
Inhalt IP-Konfiguration via Web-based Interface 3.6.1 IP-Konfiguration im Transparent-Modus 3.6.2 IP-Konfiguration im Router-Modus 3.6.3 IP-Konfiguration im PPPoE-Modus Defekte Geräte ersetzen NAT - Network Address Translation 3.8.1 IP-Masquerading 3.8.2 1:1 NAT 3.8.3 Portweiterleitung 3.8.4 NAT-Anwendungsbeispiele Grundeinstellungen Konfigurationen bearbeiten und verwalten 4.1.1 Aktivieren einer Konfiguration 4.1.2 Konfiguration speichern 4.1.3 Zurücksetzen der Konfiguration in den Lieferzustand 4.1.4 Laden der aktiven Konfiguration...
Seite 5
Inhalt CLI-Zugriff 5.2.1 Beschreibung CLI-Zugriff 5.2.2 CLI-Zugriff konfigurieren Netzmanagment-Zugriff HiDiscovery-Funktion aus-/einschalten 5.4.1 Beschreibung HiDiscovery-Protokoll 5.4.2 HiDiscovery-Funktion aus-/einschalten Externe Authentifizierung 5.5.1 Beschreibung der externen Authentifizierung 5.5.2 Anwendungsbeispiel für die externe Authentifizierung Datenverkehr kontrollieren Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion 6.1.2 Anwendungsbeispiel für Paketfilter Benutzer-Firewall 6.2.1 Beschreibung der Benutzer-Firewall-Funktion 6.2.2 Anwendungsbeispiel für die Benutzer-Firewall-Funktion...
Seite 6
Inhalt Funktionsdiagnose Alarmmeldungen versenden 8.1.1 Auflistung der SNMP-Traps 8.1.2 SNMP-Traps beim Booten 8.1.3 Trapeinstellung Gerätestatus überwachen 8.2.1 Gerätestatus konfigurieren 8.2.2 Gerätestatus anzeigen Out-of-band-Signalisierung 8.3.1 Meldekontakt steuern 8.3.2 Funktionsüberwachung mit Meldekontakt 8.3.3 Gerätestatus mit Meldekontakt überwachen Port-Zustandsanzeige Topologie-Erkennung 8.5.1 Beschreibung Topologie-Erkennung 8.5.2 Anzeige der Topologie-Erkennung Konfigurations-Check Berichte...
Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält alle Informationen, die Sie zur Inbetriebnahme der Industrial ETHERNET Firewall EAGLE 20 benöti- gen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb.
Seite 8
Über dieses Handbuch Gleichzeitige Konfiguration mehrerer Geräte. Konfiguration der Portanzeigefarbe Rot für einen Verbindungsfehler. EAGLE Config Release 4.3 09/08...
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Zwischenüberschrift Link Querverweis mit Verknüpfung Hinweis: Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: Router mit Firewall...
Seite 10
Legende Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter EAGLE Config Release 4.3 09/08...
Office-Ebene heraus unerlässlich und setzt die Produktionsanlage der Gefahr einer bewussten oder unbewussten Manipulation aus. Mit der Hirschmann Industrial ETHERNET Firewall EAGLE 20 gehen Sie überall dort auf Nummer „sicher”, wo Prozess- und Fertigungsdaten in bereichsübergreifende Datenerfassungssysteme einfließen oder Systeme abgeglichen werden.
Einleitung 1.1 Sicherheitskonzept 1.1 Sicherheitskonzept Eine Firewall dient in erster Linie der Sicherheit eines abgeschlossenen lokalen Netzes. Auf die Sicherheit haben mehrere Faktoren Einfluss: Zugänge innerhalb des lokalen Netzes Ofmals wird die Gefahr innerhalb eines lokalen Netzes unterschätzt. Meist unbeabsichtigt gelangen bösartige Programme in das interne lokale Netz durch eigene Mitarbeiter oder Dienstleister, die sich mit eigenen Rechnern mit dem Netz verbinden.
Einleitung 1.2 Typische Anwendungen 1.2 Typische Anwendungen Die Industrial ETHERNET Firewall findet Ihren Einsatz überall dort, wo sicherheitssensible Netzzellen in rauher Umgebung eine Verbindung aus der Zelle hinaus benötigen. Die Industrial ETHERNET Firewall stellt das Verbin- dungsglied zwischen der „sicheren” Netzzelle und der „unsichern Außenwelt” dar.
Seite 14
Einleitung 1.2 Typische Anwendungen Einzelne Produktionszellen in einem gerouteten Firmen- netz schützen. Einzelne Produktionszellen tauschen mit Geräten im Firmennetz Informa- tionen aus. Firmennetz und Produktionszellen befinden sich in unter- schiedlichen Subnetzen. Der EAGLE arbeitet wie ein Router mit integrierter Firewall. 10.1.0.0/16 10.2.0.0/16 10.4.0.0/16...
Einleitung 1.2 Typische Anwendungen Identische Produktionszellen an ein Firmennetz koppeln Einzelne identisch aufgebaute Produktionszellen tauschen mit Geräten im Firmennetz Informationen aus. Firmennetz und Produktionszellen be- finden sich in unterschiedlichen Subnetzen. Der EAGLE arbeitet wie ein Router mit integrierter Firewall. Die NAT-Funktion ermöglicht den identisch aufgebauten Produktions- zellen mit dem Firmennetz zu kommunizieren, obwohl die Geräte in den unterschiedlichen Produktionszellen die gleichen IP-Adressen haben.
Einleitung 1.2 Typische Anwendungen Einen geschützten Service-Zugang bereitstellen Ein Service-Techniker tauscht mit Geräten in der Produktionszelle Infor- mationen aus über das öffentliche Internet. Ein virtueller Informations- tunnel (virtual private network,VPN) durch das öffentliche Internet schützt die Kommunikation. Modem 10.0.0.0/8 EAGLE Config Release 4.3 09/08...
Einleitung 1.3 Anwendung konfigurieren 1.3 Anwendung konfigurieren Die Industrial ETHERNET Firewall kennt 3 Betriebsmodi: Transparent-Modus Router-Modus PPPoE-Modus Ihre Wahl des Betriebsmodus hängt von Ihrem Anwendungsfall ab. Die Tabelle unten hilft Ihnen bei der Auswahl des Betriebsmodus. Anwendung Charakteristik Betriebsmodus Einzelne Produktions- Vermittlung auf Ebene 2 des ISO/OSI- Transparent zellen in einem flachen...
Einleitung 1.3 Anwendung konfigurieren 1.3.1 Konfigurationsschritte im Transparent- Modus Im Lieferzustand befindet sich die Industrial ETHERNET Firewall im Trans- parent-Modus. Die Voreinstellungen bieten Ihnen die Möglichkeit, die Industrial ETHERNET Firewall sofort in Betrieb zu nehmen. Im Lieferzustand verhindert die Industrial ETHERNET Firewall den Aufbau einer Komminikationsverbin- dung, die von außen initiiert wird.
Einleitung 1.3 Anwendung konfigurieren Den Router-Betriebsmodus wählen (siehe auf Seite 31 „IP-Parameter eingeben“) IP-Parameter für den externen Port eingeben (siehe auf Seite 31 „IP-Pa- rameter eingeben“) Industrial ETHERNET Firewall vor unberechtigtem Zugriff schützen (sie- he auf Seite 97 „Schutz vor unberechtigtem Zugriff“) Regeln für erlaubten und verbotenen Datenverkehr erstellen (siehe auf Seite 121 „Datenverkehr kontrollieren“)
Seite 20
Einleitung 1.3 Anwendung konfigurieren NAT-Einstellungen vornehmen (siehe auf Seite 64 „NAT - Network Address Translation“) VPN-Verbindung einrichten (siehe auf Seite 134 „VPN - Virtuelles priva- tes Netz“) EAGLE Config Release 4.3 09/08...
Zugang zu den Bedienoberflächen 2 Zugang zu den Bedienoberflächen Das Gerät hat drei Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen: System-Monitor über die V.24-Schnittstelle (out-of-band), Command Line Interface (CLI) – über den V.24-Anschluss (out-of-band), – über SSH (in-band) Web-based Interface über Ethernet (in-band). EAGLE Config Release 4.3 09/08...
Zugang zu den Bedienoberflächen 2.1 System-Monitor 2.1 System-Monitor Der System-Monitor ermöglicht die Auswahl der zu ladenden Software, die Durchführung eines Update der Software, Starten der ausgewählten Software, Beenden des System-Monitors, Löschen der gespeicherten Konfiguration und Anzeige der Bootcode-Information. Öffnen des System-Monitors Verbinden Sie mit Hilfe des Terminalkabels (siehe Zubehör) –...
Seite 23
Zugang zu den Bedienoberflächen 2.1 System-Monitor < Eagle (Boot) Release: 04.3.00 Build: 2008-03-28 16:05 HW: 1.00 > Press <1> to enter System Monitor 1 ... Abb. 1: Bildschirmansicht beim Bootvorgang Drücken Sie innerhalb von einer Sekunde die <1>-Taste, um den System-Monitor 1 zu starten.
Zugang zu den Bedienoberflächen 2.2 Command Line Interface 2.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, alle Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten.
Seite 25
Auf dem Bildschirm erscheint ein Fenster für die Eingabe des Benutzernamens. Bis zu fünf Benutzer können auf das Command Line Interface zugreifen. Copyright (c) 2007-2008 Hirschmann Automation and Control GmbH All rights reserved Eagle NG Release SDV-04.3.00-A07 (Build date 2008-03-07 18:06)
Seite 26
NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > Abb. 4: CLI-Bildschirm nach dem Einloggen EAGLE Config Release 4.3 09/08...
Zugang zu den Bedienoberflächen 2.3 Web-based Interface 2.3 Web-based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, das Gerät von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Gerät über das Simple Network Management Protokoll (SNMP) Daten austauscht.
Seite 28
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 5: Java installieren Starten Sie Ihren Web Browser. Stellen Sie sicher, daß in den Sicherheitseinstellungen Ihres Browsers Javascript und Java eingeschaltet ist. Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Gerätes, das Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: https://xxx.xxx.xxx.xxx...
Seite 29
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Abb. 6: Login-Fenster Wählen Sie die gewünschte Sprache aus. Wählen Sie im Ausklappmenü Login – user, um mit Leserecht oder – admin, um mit Schreib- und Leserecht auf das Gerät zuzugreifen. Im Kennwort-Feld ist das Passwort "public", mit dem Sie über Lese- rechte verfügen, vorgegeben.
Zugang zu den Bedienoberflächen 2.3 Web-based Interface Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt das Gerät, wenn Sie auf „Schreiben“ klicken. Klicken Sie auf „Laden“, um die Anzeige zu aktualisieren. Öffnen des Web-based Interfaces über den externen Port Im Lieferzustand verhindert aus Sicherheitsgründen die Firewall-Einstel- lung den Web-Zugang über den externen Port.
IP-Parameter eingeben 3 IP-Parameter eingeben Wahl des Betriebsmodus Die Einträge zu den IP-Parametern hängen vom gewählten Betriebs- modus ab. – Im Transparent-Modus ist die lokale IP-Adresse auch die IP-Adresse des Managements der Industrial ETHERNET Firewall. – Im Router-/PPPoE-Modus ist die IP-Adresse des internen Interfaces auch die IP-Adresse des Managements der Industrial ETHERNET Firewall.
Seite 32
IP-Parameter eingeben Konfiguration mit Hilfe des AutoConfiguration Adapters (ACA). Diese Methode wählen Sie, wenn Sie ein Gerät durch ein Gerät des gleichen Typs austauschen und zuvor die Konfiguration auf einem ACA gespeichert haben (siehe Seite 50 „System-Konfiguration vom laden“). Konfiguration über DHCP. Diese sogenannte „in-band“-Methode wählen Sie, wenn Sie das be- reits installierte Gerät mittels DHCP konfigurieren wollen.
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter 3.1 Grundlagen IP-Parameter 3.1.1 IP-Adresse (Version 4) Die IP-Adressen bestehen aus vier Bytes. Die vier Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Class Netzadresse Hostadresse Adressbereich...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B Net ID - 21 bits Host ID - 8 bit s Klasse C Multicast Group ID - 28 bits Klasse D...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Internet-Router blockieren Datenpakete mit privaten IP-Adressen. Somit sind die privaten Adressen ausschließlich zur Verwendung in internen Netzen gedacht. Das Network Address Translation Protocol (siehe auf Seite 64 „NAT - Network Address Translation“) bietet Ihnen die Möglichkeit, Geräte mit privater IP-Adresse eines internen Netzes mit Geräten anderer Netze kommunizieren zu lassen.
Seite 36
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: dezimale Darstellung 255.255.192.0 binäre Darstellung 11111111.11111111.11000000.00000000 Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: dezimale Darstellung 129.218.65.17 128 < 129 ≤ 191 Klasse B binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1...
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske In einem großen Netz ist es möglich, dass Gateways oder Router den Ma- nagement-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb.
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine ei- gene MAC-Adresse als Quelladresse.
Seite 39
IP-Parameter eingeben 3.1 Grundlagen IP-Parameter Seit 1993 bietet die RFC 1519 mit Classless Inter Domain Routing (CIDR) eine Lösung, diese Probleme zu umgehen. Das CIDR überwindet diese Klassenschranken und unterstützt klassenlose IP-Adressbereiche. Mit CIDR geben Sie die Anzahl der Bits an, die den IP-Adressbereich kenn- zeichnen.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2 IP-Parameter via CLI eingeben Sollten Sie weder über DHCP, HiDiscovery Protokoll noch über den Auto- Configuration Adapter ACA das System konfigurieren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor. Eintragen der IP-Adressen PC mit gestartetem Terminalprogramm an die RJ11-Buchse anschliessen...
Seite 41
Der Start-Bildschirm erscheint. NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the particular mode. For the syntax of a particular command form, please consult the documentation. (Hirschmann Eagle) > EAGLE Config Release 4.3 09/08...
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2.1 IP-Parameter im Transparent-Modus Geben Sie die IP-Parameter ein. Lokale IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 192.168.1.1. Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie diese mit einer Netzmaske, dann geben Sie an dieser Stelle die Netzmaske ein.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2.2 IP-Parameter im Router-Modus Internes Interface Geben Sie die IP-Parameter ein. Interne IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 192.168.1.1. Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie die- se mit einer Netzmaske, dann geben Sie an dieser Stelle die Netz- maske ein.
Seite 44
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Externes Interface Geben Sie die IP-Parameter ein. Externe IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 10.0.0.10. Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie die- se mit einer Netzmaske, dann geben Sie an dieser Stelle die Netz- maske ein.
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben 3.2.3 Verbindungsparameter im PPPoE-Modus Internes Interface Geben Sie die IP-Parameter ein. Interne IP-Adresse Im Lieferzustand besitzt das Gerät die lokale IP-Adresse 192.168.1.1. Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie die- se mit einer Netzmaske, dann geben Sie an dieser Stelle die Netz- maske ein.
Seite 46
IP-Parameter eingeben 3.2 IP-Parameter via CLI eingeben Externes Interface Geben Sie die Verbindungsparameter ein, die Sie von Ihrem Anbieter für die Verbindung (Provider) erhalten haben. Benutzernamen Kennwort MTU (Maximum Transmission Unit). Die MTU gibt die maximale Paketgröße an, die diese Verbindung übertragen kann.
IP-Parameter eingeben 3.3 IP-Parameter via HiDiscovery eingeben 3.3 IP-Parameter via HiDiscovery eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch „Web-based Interface“) komfortabel konfigurieren. Im Lieferzustand ist die HiDiscovery-Funktion des Gerätes am internen Port eingeschaltet, am externen Port ausgeschaltet.
Seite 48
IP-Parameter eingeben 3.3 IP-Parameter via HiDiscovery eingeben Abb. 10: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt die erste gefundene Netzwerkkarte des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie diese in HiDis- covery in der Werkzeugleiste auswählen.
Seite 49
IP-Parameter eingeben 3.3 IP-Parameter via HiDiscovery eingeben Abb. 11: HiDiscovery - IP-Parameter-Zuweisung Hinweis: Mit dem Eintragen der IP-Adresse übernimmt das Gerät die lokalen Konfiguartionseinstellungen (siehe auf Seite 74 „Konfigurationen be- arbeiten und verwalten“). Hinweis: Schalten Sie aus Sicherheitsgründen im Web-based Interface die HiDiscovery-Funktion des Gerätes aus, nachdem Sie dem Gerät die IP-Pa- rameter zugewiesen haben (siehe auf Seite 57 „IP-Konfiguration via Web-...
IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden 3.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät zum Speichern der Konfigurationsdaten eines Gerätes und zum Speichern der Geräte-Software. Der ACA ermöglicht beim Ausfall eines Gerätes eine denkbar einfache Kon- figurationsdatenübernahme durch ein Ersatzgerät des gleichen Typs.
Seite 51
IP-Parameter eingeben 3.4 System-Konfiguration vom ACA laden Gerät starten Nein vorhanden? Passwort im Voreingestelltes Nein Nein Gerät und ACA Passwort im identisch? Gerät? Konfiguration vom Konfiguration aus ACA laden lokalem Speicher laden ACA-LEDs blinken ACA-LEDs blinken synchron alternierend Konfigurationsdaten geladen Abb.
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP 3.5 System-Konfiguration via DHCP Bei der Inbetriebnahme mit Hilfe von DHCP (dynamic host configuration protocol) erhält ein Gerät gemäß dem Ablaufdiagramm seine Konfigurations- daten. DHCP bietet die Konfiguration des Gerätes (DHCP-Client) über einen Namen an. Dieser Name heißt bei DHCP nach rfc 2131 "client identifier".
Seite 53
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Inbetriebnahme Lade Default Konfiguration Gerät wird initialisiert Gerät arbeitet mit Einstellungen aus lokalem Flash Sende DHCP DHCP? Requests Nein IP-Parameter und Nein Antwort vom config file URL DHCP-Server? lokal speichern IP-Stack mit IP-Parametern initialisieren Gerät ist managebar Abb.
Seite 54
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Lade Remote- Starte tftp-Prozeß Konfiguration von mit config file URL aus DHCP? URL aus DHCP Nein tftp erfolgreich ? Nein Lade übertragenes config file Speichere übertragenes config file lokal, setze Boot-Konfiguration auf lokal schalte DHCP aus Laden der Konfigurationsdaten abgeschlossen...
Seite 55
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Option Bedeutung Subnet Mask Time Offset Router Time server Host Name Client Identifier TFTP Server Name Bootfile name Tab. 5: DHCP-Optionen, die das Gerät anfordert Der DHCP-Server stellt die Konfigurationsparameter (“lease”) für eine bestimmte Zeitspanne zur Verfügung. Nach Ablauf dieser Zeitspanne (“lease duration”), muss der DHCP-Client versuchen dieses lease entweder zu erneuern oder ein neues lease aushan- deln.
Seite 56
IP-Parameter eingeben 3.5 System-Konfiguration via DHCP Beispiel für eine DHCP-Konfigurationsdatei: # /etc/dhcpd.conf for DHCP Daemon subnet 149.218.112.0 netmask 255.255.240.0 { option subnet-mask 255.255.240.0; option routers 149.218.112.96; # Host berta requests IP configuration # with her MAC address host berta { hardware ethernet 00:80:63:08:65:42;...
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6 IP-Konfiguration via Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält, weisen IP- Parameter zu, definieren die Handhabung von VLANs und konfigurieren den HiDiscovery-Zugriff.
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein. Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gate- ways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface 3.6.2 IP-Konfiguration im Router-Modus Im Router-Modus benötigt das Gerät die Eingabe der IP-Parameter am internen und am externen Interface. Geben Sie im Rahmen „Protokoll“ ein, woher das Gerät seine IP-Parame- ter bezieht: Kreuzen Sie „DHCP“ an, wenn die Konfiguration durch einen DHCP- Server auf der Basis der MAC-Adresse oder des Namens des Gerätes (siehe Seite 52 „System-Konfiguration via DHCP“) erfolgen soll.
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface HiDiscovery-Protocol konfigurieren Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät an Hand seiner MAC-Adresse eine IP-Adresse zuzuweisen. Aktivieren Sie das HiDiscovery-Protokoll, wenn Sie von Ihrem PC aus mit der mitgeliefer- ten HiDiscovery-Software dem Gerät eine IP-Adresse übertragen wollen (Lieferzustand: aktiv).
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface Lokale IP-Parameter eingeben Geben Sie im Feld „IP-Adresse“ die IP-Adresse des Gerätes ein. Geben Sie im Feld „Netzmaske“ die Netzmaske ein. Geben Sie im Feld „Gateway IP-Adresse“ die IP-Adresse des Gate- ways ein, an welches das Gerät Datenpakete weiterleiten soll, deren Zieladresse außerhalb des eigenen Subnetzes liegen.
Seite 62
IP-Parameter eingeben 3.6 IP-Konfiguration via Web-based Interface MTU (Maximum Transmission Unit). Die MTU gibt die maximale Paketgröße an, die diese Verbindung übertragen kann. Stehen größere Datenpakete zur Übertragung an, dann fragmentiert die Firewall das größere Datenpaket in mehrere kleine Datenpakete. IP-Konfiguration speichern Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben...
IP-Parameter eingeben 3.7 Defekte Geräte ersetzen 3.7 Defekte Geräte ersetzen Das Gerät bietet eine Plug-and-Play-Lösung zum Austauschen eines defekten Gerätes durch einen Gerät des gleichen Typs (Faulty Device Replacement): Konfiguration des neuen Gerätes mit Hilfe eines AutoConfiguration Adapters (siehe auf Seite 50 „System-Konfiguration vom ACA laden“).
IP-Parameter eingeben 3.8 NAT - Network Address Translation 3.8 NAT - Network Address Translation Das Network Address Translation Protocol (NAT) beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. NAT kommt zum Einsatz, wenn IP-Adressen eines internen Netzes nicht nach außen sichtbar sein sollen.
IP-Parameter eingeben 3.8 NAT - Network Address Translation 3.8.1 IP-Masquerading IP-Masquerading verwenden Sie, um die interne Netzstruktur nach außen hin zu verstecken, sozusagen hinter einer Maske zu verbergen. Beim IP-Masquerading ersetzt die Firewall die Quell-IP-Adresse eines Datenpaketes aus dem internen Netz durch die externe IP-Adresse der Firewall.
IP-Parameter eingeben 3.8 NAT - Network Address Translation 3.8.2 1:1 NAT 1:1-NAT verwenden Sie, wenn Sie identische Produktionszellen mit gleichen IP-Adressen aufbauen und diese mit dem externen Netz verbinden wollen. Beim 1:1-NAT ersetzt die Firewall die Quell-IP-Adresse eines Datenpaketes aus dem internen Netz durch eine IP-Adresse des externen Netzes. Durch die 1:1-Umsetzung der IP-Adressen können Geräte aus dem internen Netz heraus Kommunikations-Verbindungen nach außen aufbauen und Geräte im externen Netz Kommunikations-Verbindungen zu einem Gerät im...
IP-Parameter eingeben 3.8 NAT - Network Address Translation 3.8.3 Portweiterleitung Portweiterleitung verwenden Sie, wenn Sie die interne Netzstruktur nach außen hin verstecken wollen, aber den Aufbau einer Kommunikationsverbin- dung von außen nach innen zulassen wollen. Bei der Portweiterleitung baut ein oder mehrere externe Geräte eine Kom- munikationsverbindung in das interne Netz auf.
IP-Parameter eingeben 3.8 NAT - Network Address Translation 3.8.4 NAT-Anwendungsbeispiele Eine Produktionszelle über 1:1-NAT mit dem Firmennetz verbinden Sie haben mehrere identische Produktionszellen und möchten diese mit Ihrem Firmennetz verbinden. Da selbst die verwendeten IP-Adressen in den Produktionszellen identisch sind, übersetzen Sie die IP-Adressen mit Hilfe der 1:1-NAT-Funktion.
Seite 69
IP-Parameter eingeben 3.8 NAT - Network Address Translation Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein. Wählen Sie den Dialog Netzsicherheit:NAT:1:1-NAT. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag.
Seite 70
IP-Parameter eingeben 3.8 NAT - Network Address Translation Einen Switch in einer Produktionszelle von einem PC außer- halb der Produktionszelle verwalten (Portweiterleitung) Sie haben eine Produktionszelle mit eigenen IP-Adressen, die im Firmen- netz nicht sichtbar sein sollen über eine Firewall mit Ihrem Firmennetz verbunden.
Seite 71
IP-Parameter eingeben 3.8 NAT - Network Address Translation Konfigurieren Sie die Firewall. Geben Sie die Parameter für die Übersetzung der IP-Adressen ein. Wählen Sie den Dialog Netzsicherheit:NAT:Portweiterleitung. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag.
Seite 72
IP-Parameter eingeben 3.8 NAT - Network Address Translation Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Config Release 4.3 09/08...
Grundeinstellungen 4 Grundeinstellungen Zu den Grundeinstellungen des Gerätes gehören: das Bearbeiten und Verwalten von Konfigurationen (Geräteein- stellungen). das Laden der neuesten Software des Gerätes die Konfiguration der Ports des Gerätes die Synchronsisation der Systemzeit im Netz EAGLE Config Release 4.3 09/08...
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart lädt das Gerät seine Konfigurationen (Einstellungen) von seinem nicht-flüchtigen Speicher, sofern Sie nicht DHCP aktiviert haben und kein ACA am Gerät angeschlossen ist. Während des Betriebs bietet Ihnen das Gerät die Möglichkeit, Konfiguratio- nen (Einstellungen) aus folgenden Quellen zu laden: von seinem nicht-flüchtigen Speicher (NVM), vom AutoConfiguration Adapter.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Abb. 20: Dialog Laden/Speichern 4.1.1 Aktivieren einer Konfiguration Das Gerät bietet Ihnen die Möglichkeit, eine gespeicherte Konfiguration aus der Tabelle „Konfiguration im nicht-flüchtigen Speicher (NVM)“ zu aktivieren. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie in der NVM-Konfigurationstabelle eine nicht-aktive Konfigurationsdatei aus.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable Das Gerät lädt die Konfigurationsdaten „Name“ copy config nv profile <name> aus dem lokalen nicht-flüchtigen Speicher. running-config Hinweis: Wenn Sie eine Konfiguration laden (aktivieren), dann warten Sie mit einem Zugriff auf das Gerät, bis dieses die Konfigurationsdatei geladen und die neuen Konfigurationseinstellungen vorgenommen hat.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Konfiguration in der aktiven Konfigurationsdatei speichern Das Gerät bietet Ihnen die Möglichkeit, die aktive Konfiguration durch die aktuelle Konfiguration zu ersetzen. Beachten Sie, dass Sie beim Speichern der aktuellen Konfiguration in die aktive Konfigurationsdatei diese überschreiben. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable Den Lieferzustand im NVM und ACA herstellen. clear factory Löschen der aktuellen Konfiguration inklusive der clear config IP-Parameter. Einstellung im System-Monitor: Wählen Sie 5 „Erase main configuration file“ Dieser Menüpunkt bietet Ihnen die Möglichkeit, die Konfiguration des Gerätes in seinen Lieferzustand zu versetzen.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.5 Kopieren von Konfigurationsdateien Kopieren von einem PC auf das Gerät Das Gerät bietet Ihnen die Möglichkeit, eine Konfigurationsdatei von einem PC auf das Gerät zu kopieren. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie neben der NVM-Konfigurationstabelle auf „Kopieren vom PC“.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Bei einem Neustart übernimmt das Gerät die Konfigurationsdaten des ACA und speichert sie nicht-flüchtig im Flash-Speicher. Enthält der ange- schlossene ACA keine gültigen Daten, z.B. wenn er im Lieferzustand ist, dann lädt das Gerät die Daten aus dem Flash-Speicher. Vor dem Laden der Konfigurationsdaten vom ACA vergleicht das Gerät das Passwort im Gerät mit dem Passwort in den Konfigurationsdaten des ACA .
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten Wechsel in den Privileged-EXEC-Modus. enable Konfiguration „name“ auf das Gerät laden. copy config aca profile <name> nv 4.1.6 Anzeigen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine Konfigurationsdatei anzuzeigen.
Grundeinstellungen 4.1 Konfigurationen bearbeiten und verwalten 4.1.7 Löschen einer Konfigurationsdatei Das Gerät bietet Ihnen die Möglichkeit, auf dem Gerät und auf dem ACA eine nicht-aktive Konfigurationsdatei zu löschen. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Wählen Sie einen nicht aktiven Tabelleneintrag – des Gerätes (Konfiguration im nicht-flüchtigen Speicher (NVM)) oder –...
Grundeinstellungen 4.2 Neueste Software laden 4.2 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann (www.hirschmann-ac.de) eine neuere Release der Geräte-Soft- ware finden, als die Release, die auf Ihrem Gerät gespeichert ist.
System Description....Hirschmann EAGLE Security Device System Name.......EAGLE-574C67 System Location....Hirschmann EAGLE System Contact....Hirschmann Automation and Control GmbH System Uptime....0 days 6 hours 31 minutes 59 seconds System Date and Time (local time zone)..TUE JAN 01 07:31:59 2008 OS Software Release....SDV-04.3.00-K08 2008-08-26 11:46 OS Software Release (ROM)..SDV-04.3.00-K08 2008-08-26 11:46...
Grundeinstellungen 4.2 Neueste Software laden 4.2.3 Software vom ACA laden Den ACA 21-USB können Sie wie einen gewöhnlichen USB-Stick an einen USB-Port Ihres PCs anschließen und die Geräte-Software in das Hauptver- zeichnis des ACA 21-USB kopieren. Verbinden Sie den ACA 21-USB, auf den Sie die Geräte-Software kopiert haben, mit dem USB-Port des Gerätes.
Grundeinstellungen 4.2 Neueste Software laden Kaltstart durchführen Wechsel in den Privileged-EXEC-Modus. enable Kaltstart durchführen. reboot Im Sysem-Monitor: Dieser Menüpunkt (End (reset and reboot)) des System-Monitors bietet Ihnen die Möglichkeit, die Hardware des Gerätes zurückzusetzen und ei- nen Neustart durchzuführen. 4.2.4 Software über Datei-Auswahl laden Für ein HTTPS-Update über ein Datei-Auswahl-Fenster benötigen Sie die Geräte-Software auf einem Datenträger, den Sie über Ihren PC erreichen.
Grundeinstellungen 4.3 Ports konfigurieren 4.3 Ports konfigurieren Die Portkonfiguration umfasst: Portnamen eingeben, Port ein-/ausschalten, Betriebsart wählen, Meldung von Verbindungsfehlern aktivieren, Portnamen eingeben Die Tabellenspalte „Name“ bietet Ihnen die Möglichkeit, dem Port einen beliebigen Namen zu geben. Port ein-/ausschalten Im Lieferzustand sind alle Ports eingeschaltet. Wählen Sie den Dialog Grundeinstellungen:Portkonfiguration.
Seite 88
Grundeinstellungen 4.3 Ports konfigurieren Falls das an diesem Port angeschlossene Gerät eine feste Einstellung voraussetzt – wählen Sie in der Spalte „Manuelle Konfiguration“ die Betriebsart (Übertragungsgeschwindigkeit, Duplexbetrieb), und – deaktivieren Sie in der Spalte „Automatische Konfiguration“ den Port. Verbindungsfehler melden Im Lieferzustand zeigt das Gerät über den Meldekontakt und die LED- Anzeige einen Verbindungsfehler an.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren 4.4 Die Systemzeit im Netz synchronisieren Das Gerät bietet Ihnen die Möglichkeit, die Zeit in Ihrem Netz zu synchroni- sieren. Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Das Simple Network Time Protocol (SNTP) hat eine Genauigkeit bis in den Millisekunden-Bereich.
Seite 90
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Wählen Sie den Dialog Zeit. Dieser Dialog bietet Ihnen die Möglichkeit, zeitbezogene Einstellungen vorzunehmen. Die „SNTP-Zeit" zeigt die Uhrzeit bezogen auf die koordinierte Welt- zeitmessung UTC an. Die Anzeige ist weltweit gleich. Lokale Zeitverschiebungen bleiben unberücksichtigt.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren 4.4.2 SNTP Beschreibung SNTP Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die SNTP-Server- und die SNTP-Client-Funktion. Der SNTP-Server stellt die UTC (Universal Time Coordinated) zur Verfü- gung.
Seite 92
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Client NTP- Server Switch Switch Switch 192.168.1.0 Client Client Server Client Server Client Server 192.168.1.1 192.168.1.2 192.168.1.3 Abb. 22: Beispiel SNTP-Kaskade Schalten Sie die SNTP-Funktion auf allen Geräten ein, deren Zeit Sie mittels SNTP einstellen wollen. Der Server antwortet auf Unicast-Anfragen, sobald er eingeschaltet ist.
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Konfiguration SNTP Wählen Sie den Dialog Zeit:SNTP. Konfiguration SNTP-Client und -Server In diesem Rahmen schalten Sie die SNTP-Funktion ein/aus. Im ausgeschalteten Zustand sendet der SNTP-Server keine SNTP-Pakete und beantwortet keine SNTP-Anfragen. Der SNTP-Client sendet keine SNTP-Anforderungen und wertet keine SNTP-Broadcast-/Multicast-Pakete aus.
Seite 94
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Konfiguration SNTP-Client In „Externe Server Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert. In „Redundante Server Adresse“ geben Sie die IP-Adresse des SNTP-Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert, wenn er 0,5 Sekunden nach einer Anforderung keine Antwort vom „Externen Server Adresse“...
Seite 95
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren Gerät 192.168.1.1 192.168.1.2 192.168.1.3 Funktion Server Zieladresse 0.0.0.0 0.0.0.0 0.0.0.0 Server VLAN ID Sendeintervall Client Externe Server Adresse 192.168.1.0 192.168.1.1 192.168.1.2 Anforderungsinterval Broadcasts akzeptieren nein nein nein Tab. 8: Einstellungen für das Beispiel (siehe Abb.
Seite 96
Grundeinstellungen 4.4 Die Systemzeit im Netz synchronisieren EAGLE Config Release 4.3 09/08...
Schutz vor unberechtigtem Zugriff 5 Schutz vor unberechtigtem Zugriff Schützen Sie Ihr Gerät vor unberechtigten Zugriffen. Das Gerät bietet Ihnen folgende Funktionen zum Schutz gegen unberechtigte Zugriffe. Passwort-geschützter Web-Zugriff abschaltbar Passwort-geschützter CLI-Zugriff abschaltbar Passwort-geschützter Netzmanagement-Zugriff abschaltbar HiDiscovery-Funktion abschaltbar Benutzer-Authentifizierung Hinweis: Ändern Sie aus Sicherheitsgründen das Passwort des Lieferzu- standes, um einen Zugriff auf das Gerät mit diesem Passwort zu verhindern.
Seite 98
Schutz vor unberechtigtem Zugriff Hinweis: Im Lieferzustand ist der SNMPv1- und der SNMPv2-Zugriff ausge- schaltet. Da SNMPv1 und SNMPv2 die Daten unverschlüsselt übertragen, stellt die Verwendung von SNMPv1 und SNMPv2 ein Sicherheitsrisiko dar. Lassen Sie den SNMPv1- oder SNMPv2-Zugriff ausschließlich dann zu, wenn Sie eine Anwendung, die dies erfordert, einsetzen wollen.
HTTPS beinhaltet eine Authentifizierung und eine Verschlüsselung der zu übertragenden Daten. Basis für beides ist ein Zertifikat. Im Lieferzustand bietet das Gerät ein Hirschmann-Zertifikat. Beim Starten des Web-based Interfaces über den Browser wird Sie Ihr Browser, abhängig von dessen Voreinstellungen, fragen, ob Sie dem Zertifikat vertrauen.
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.1 Beschreibung Web-based Interface-Zugriff Das Gerät bietet Ihnen die Möglichkeit, den Zugriff auf das Web-based Inter- face auf mehrere Arten zu schützen: Passwort Wahl des SNMP-Ports Für den Zugriff auf das Web-based Interface benutzt Ihr Browser eine Java-Anwendung, die er vom Gerät herunterlädt.
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff 5.1.2 Web-based Interface-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 102
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Geben Sie neue Passwörter ein. Wählen Sie den Dialog Sicherheit:Passwort. Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben. Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 103
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Abb. 25: Dialog Passwort Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Config Release 4.3 09/08...
Seite 104
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie den SNMP-Zugriff. Wählen Sie den Dialog Sicherheit:SNMP-Zugriff. Ändern Sie den SNMP-Port auf z.B. 9223. Einschränken der IP-Adressen, die über SNMP zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. Wählen Sie in der Zelle „Port“ des neuen Eintrags in der Tabelle int.
Seite 105
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie den Web-Zugriff. Wählen Sie den Dialog Sicherheit:Web-Zugriff. Ändern Sie den HTTPS-Port auf z.B. 9027. Einschränken der IP-Adressen, die über HTTPS zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. Wählen Sie in der Zelle „Port“ des neuen Eintrags in der Tabelle int.
Seite 106
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Konfigurieren Sie das automatische Abmelden. Wählen Sie den Dialog Abmelden. Klicken Sie im Rahmen „Web-based Interface“ in der Zeile „Automatisch“ auf „An“. Geben Sie in der Zeile „Nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die HTTPS-Verbindung automatisch bei Inaktivität beendet.
Seite 107
Schutz vor unberechtigtem Zugriff 5.1 Web-based Interface-Zugriff Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Config Release 4.3 09/08...
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2 CLI-Zugriff Für den Zugriff auf das Command Line Interface (CLI) benötigen Sie eine direkte Verbindung von Ihrem PC zum Seriellen Port oder eine Secure Shell (SSH)-Verbindung zu Ihrem Gerät (siehe auf Seite 198 „Zugriff mittels SSH“).
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff 5.2.2 CLI-Zugriff konfigurieren Für einen optimalen Zugriffsschutz nutzen Sie alle Möglichkeiten, die Ihnen das Gerät bietet. Die Abbildung zeigt ein typisches Beispiel für den Zugriff auf den internen Port der Firewall. Die folgende Tabelle enthält beispielhaft alle Parameter für das anschließen- de Konfigurationsbeispiel.
Seite 110
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Geben Sie neue Passwörter ein. Wählen Sie den Dialog Sicherheit:Passwort. Wählen Sie „Lesepasswort ändern (user)“, um das Lesepasswort einzugeben. Geben Sie das neue Lesepasswort in der Zeile „Neues Passwort“ ein und wiederholen Sie die Eingabe in der Zeile „Bitte nochmals eingeben“.
Seite 111
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Abb. 30: Dialog Passwort Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. EAGLE Config Release 4.3 09/08...
Seite 112
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Konfigurieren Sie den SSH-Zugriff. Wählen Sie den Dialog Sicherheit:SSH-Zugriff. Ändern Sie den SSH-Port auf z.B. 9243. Einschränken der IP-Adressen, die über SSH zugreifen dürfen: Klicken Sie auf „Eintrag erzeugen“. Wählen Sie in der Zelle „Port“ des neuen Eintrags in der Tabelle int.
Seite 113
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Konfigurieren Sie das automatische Abmelden. Wählen Sie den Dialog Abmelden. Geben Sie im Rahmen „SSH-Verbindung“ in der Zeile „Automatisch nach [min]“ die Anzahl von Minuten ein, nach welcher das Gerät die SSH-Verbindung automatisch bei Inaktivität beendet. Klicken Sie im Rahmen „Command Line Interface“...
Seite 114
Schutz vor unberechtigtem Zugriff 5.2 CLI-Zugriff Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Config Release 4.3 09/08...
Schutz vor unberechtigtem Zugriff 5.3 Netzmanagment-Zugriff 5.3 Netzmanagment-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Gerät. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Gerätes zugreifen will.
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Funktion aus-/einschalten 5.4 HiDiscovery-Funktion aus-/ einschalten 5.4.1 Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät im Transparent-Mo- dus anhand seiner MAC-Adresse eine IP-Adresse zuzuweisen (siehe auf Seite 47 „IP-Parameter via HiDiscovery eingeben“). HiDiscovery ist ein Lay- er-2-Protokoll.
Seite 117
Schutz vor unberechtigtem Zugriff 5.4 HiDiscovery-Funktion aus-/einschalten HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen“ einschalten read-only HiDiscovery-Funktion mit dem Zugriffsrecht network protocol hidiscovery „lesen und schreiben“ einschalten read-write EAGLE Config Release 4.3 09/08...
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung 5.5 Externe Authentifizierung 5.5.1 Beschreibung der externen Authentifizierung „Externe Authentifizierung“ des Gerätes bietet Ihnen die Möglichkeit, zur Authentifizierung eines Benutzers Benutzer-Firewall-Konten mit zugehöri- gen Passwörtern anzulegen. Für jedes Konto können Sie durch die Wahl einer Authentifizierungsliste drei Authentifizierungsmethoden festlegen, die das Gerät bei einem Zugriff über diesen Kontonamen nacheinander anwen- det.
Seite 119
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung Parameter Wert Kontoname Service Authentifizierungsliste userFirewallLoginDefaultList Server Service RADIUS-Server Abb. 33: Externe Authentifizierung Anwendungsbeispiel Ablauf der Authentifizierung: Der Benutzer meldet sich auf dem Gerät im Anmeldefenster des Web- based Interface unter dem Login-Typ „Benutzerfirewall“ mit Benutzer- name und Passwort an.
Seite 120
Schutz vor unberechtigtem Zugriff 5.5 Externe Authentifizierung Konfigurieren Sie das Benutzer-Firewall-Konto. Wählen Sie den Dialog Sicherheit:Externe Authentifi zierung:Benutzer-Firewall Konten. Klicken Sie auf „Eintrag erzeugen“. Hierdurch öffnen Sie einen Dialog zur Eingabe des Namens für dieses Benutzer-Firewall-Konto. Geben Sie den Namen für dieses Konto ein, z.B. Service. Klicken Sie auf „OK“.
Regeln. Daten, die den Regeln entsprechen, leitet eine Firewall weiter oder blockiert sie. Für Daten, auf die keine Regel zutrifft, ist die Firewall ein un- überwindbares Hindernis. Zur Kontrolle des Datenverkehrs bietet der EAGLE 20 folgende Funktionen: Paketinhaltsbezogene Daten-Verkehrskontrolle (Paketfilter) Benutzerbezogene Daten-Verkehrskontrolle (Benutzer-Firewall)
Datenverkehr kontrollieren 6.1 Paketfilter 6.1 Paketfilter 6.1.1 Beschreibung der Paketfilter-Funktion Bei der paketinhaltsbezognen Datenverkehrskontrolle überprüft die Firewall den Inhalt der zu vermittelnden Datenpakete. Hierbei bietet die Firewall ver- schiedene Paket-Gruppen zur Definition der Überprüfungskriterien an: Eingehende IP-Pakete Diese Gruppe bietet Ihnen die Möglichkeit, am externen Port eingehende IP-Pakete nach ihren IP-Adressierungsinformationen und Protokollinfor- mation zu filtern.
Seite 123
Datenverkehr kontrollieren 6.1 Paketfilter Aktion Bedeutung verwerfen (drop) Datenpaket löschen zurückweisen (reject) Datenpaket löschen und den Absender informieren vermitteln (accept) Datenpaket entsprechend der Adressinformationen weiter- leiten. Tab. 9: Behandlung gefilterter Datenpakete Die Firewall überprüft jedes Datenpaket beginnend mit der ersten Regel. Die erste Regel, die zutrifft, bestimmt, wie die Firewall das Datenpaket behandelt.
Datenverkehr kontrollieren 6.1 Paketfilter 6.1.2 Anwendungsbeispiel für Paketfilter Die Abbildung zeigt einen typischen Anwendungsfall: Ein Fertigungssteuerer möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist. Die Firewall soll jeglichen Daten- verkehr zwischen der Fertigungszelle und dem restlichen Firmennetz unter- binden.
Seite 125
6.1 Paketfilter Geben Sie die Filterdaten für eingehende IP-Pakete ein. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Eingehende IP-Pakete. Im Lieferzustand besitzt der EAGLE 20 bereits einen unsichtbaren Eintrag, der jeglichen Datenverkehr vom externen in das interne Netz unterbindet. Klicken Sie auf „Eintrag erzeugen“.
Seite 126
Geben Sie die Filterdaten für ausgehende IP-Pakete ein. Wählen Sie den Dialog Netzsicherheit:Paketfilter:Ausgehende IP-Pakete. Im Lieferzustand besitzt der EAGLE 20 bereits einen Eintrag, der jeglichen Datenverkehr vom internen in das externe Netz erlaubt. Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“.
Seite 127
Datenverkehr kontrollieren 6.1 Paketfilter Klicken Sie auf „Schreiben“, um den Eintrag in der Konfiguration flüchtig zu speichern. Klicken Sie auf „Zurück“. Hierdurch gelangen Sie zurück in die Tabellenansicht. Markieren Sie den Eintrag. Klicken Sie auf „ “. Wiederholen Sie den Vorgang, bis der Eintrag die erste Zeile der Tabelle darstellt.
Datenverkehr kontrollieren 6.2 Benutzer-Firewall 6.2 Benutzer-Firewall 6.2.1 Beschreibung der Benutzer-Firewall- Funktion Bei der benutzerbezogenen Datenverkehrskontrolle überprüft die Firewall die Daten eines von Ihnen zuvor definierten Benutzers (siehe auf Seite 118 „Beschreibung der externen Authentifizierung“). Die Firewall bietet Ihnen die Möglichkeit, mehrere Benutzer zu definieren. Für jeden definierten Benutzer können Sie unterschiedliche Regeln erstellen, nach denen die Firewall Da- tenpakete des definierten Benutzers behandelt.
Datenverkehr kontrollieren 6.2 Benutzer-Firewall 6.2.2 Anwendungsbeispiel für die Benutzer- Firewall-Funktion Die Abbildung zeigt einen typischen Anwendungsfall: Ein Service-Techniker möchte ein Software-Update für die Wartung eines Roboters von einem Server herunterladen. Bekannt sind: Parameter Firewall Service-PC Server IP-Adresse interner Port 10.0.1.201 Externer Port PPPoE IP-Adresse...
Seite 130
Datenverkehr kontrollieren 6.2 Benutzer-Firewall Erstellen Sie einen Benutzer-Firewall-Eintrag. Wählen Sie den Dialog Netzsicherheit:Benutzer-Firewall-Einträge. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“. Wählen Sie die Karteikarte Grundeinstellungen. Geben Sie die Daten ein: „Name“, Service-Benutzer Das ist der Name für diesen Benutzer-Firewall-Eintrag.
Seite 131
Datenverkehr kontrollieren 6.2 Benutzer-Firewall Wählen Sie die Karteikarte Regeln. Klicken Sie auf „Eintrag erzeugen“. Hierdurch fügen Sie der Tabelle einen neuen Eintrag hinzu. Markieren Sie den Eintrag. Klicken Sie auf „Bearbeiten“. Geben Sie die Daten ein: „Quellport“, any Da der Port, über den der Browser des Notbooks kommuniziert, theoretisch vom Standardport abweichen kann, schließt die Einstellung any auch einen abweichenden Port mit ein.
Seite 132
Datenverkehr kontrollieren 6.2 Benutzer-Firewall Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. EAGLE Config Release 4.3 09/08...
6.3 Denial of Service 6.3.1 Beschreibung Denial of Service Mit der Denial-of-Service-Funktion schützen Sie Ihr Netz vor einer Über- flutung mit Dienstanforderungen an Teilnehmer im geschützten Netz. Der EAGLE 20 unterstützt die Überwachung folgender Dienstanfor- derungen: Eingehende TCP-Verbindungen Ausgehende TCP-Verbindungen...
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz 6.4 VPN - Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Das besondere an einem VPN ist, wie der Name „privat“ schon ausdrückt, die Abgeschlossenheit gegenüber dem öffentlichen Netz.
Seite 135
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Verschlüsselung Die Verschlüsselung gewährleistet, dass kein Unbefugter Einsicht in die Daten erlangt. Verschlüsselungsverfahren kodieren die zu übertragenden Daten mit einem Code (Schlüssel) der ausschließlich den befugten Kommunikati- onsteilnehmern zur Verfügung steht. Verkehrsflussvertaulichkeit Die Verkehrsflussvertraulichkeit gewährleistet, dass kein Unbefugter Kenntnis über den wahren Empfänger und Absender eines Datenpaketes erhält.
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz 6.4.2 IKE - Internet Key Exchange IPsec benutzt das Internet Key Exchange Protokoll zur Authentisierung, zum Schlüsselaustausch und zur Vereinbarung weiterer Parameter für die Sicher- heitsbeziehung einer VPN-Verbindung. Authentisierung Ein wesentlicher Bestandteil der Sicherheitsbeziehung ist die Authentisie- rung.
Seite 137
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz In einem ersten Schritt zum Aufbau der IKE-Sicherheitsbeziehung zwi- schen den Endpunkten der VPN-Verbindung einigen sich diese auf einen kryptografischen Algorithmus, der später die Schlüssel für die Codierung und Decodierung der IKE-Protokoll- Nachrichten verwendet.
6.4.3 Anwendungsbeipiele Die folgenden Beispiele berücksichtigen die Besonderheiten von häufig vor- kommenden Anwendungsfällen, darunter auch die Verbindung eines EAGLE 20 mit einem EAGLE einer früherer Version. Zwei Subnetze miteinanderverbinden In einem großen Firmennetz seien alle Subnetze über ein Transfernetz miteinander verbunden. Zwei dieser Subnetze, z.B. die Fertigungssteue- rung und die Produktionshalle, sind über ein VPN zu verbinden.
Seite 139
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Legen Sie eine neue VPN-Verbindung an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung einen beliebigen Namen zu geben.
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus. „Starten als“, initiator Hiermit initiiert diese Firewall die VPN-Verbindung zur Gegen- stelle.
Seite 141
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IPsec - Daten-Austausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket in- klusive der IP-Adressen der Kommunikationsparnter. „NAT-T erzwingen“...
Seite 142
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. Führen Sie exakt die gleichen Einstellungen auf beiden Firewalls aus. Tauschen Sie lediglich an der zweiten Firewall in den Einstellungen für die Authentisierung, den IKE-Schlüssel-Austausch und die IP-Netze die IP-Adressen für die Endpunkte bzw.
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Zwei Subnetze mit einem weiteren Subnetz verbinden Steigende Umsätze erfordern im vorhergehenden Beispiel eine Verdop- pelung der Produktionskapazität. Zu diesem Zweck entschließt sich die Firmenleitung zur Errichtung einer zweiten Produktionshalle. Da der Administrator noch einen EAGLE Version 4.2 in seinem Bestand gefunden hat, möchte er diesen jetzt einsetzen.
Seite 144
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Legen Sie auf dem EAGLE 20 Nr. 1 eine neue VPN-Verbindung zum EAGLE Nr.3 der Version 4.2 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung...
Seite 145
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus. „Starten als“, initiator Hiermit initiiert diese Firewall die VPN-Verbindung zur Gegen- stelle.
Seite 146
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IKE-Schlüsselaustausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket in- klusive der IP-Adressen der Kommunikationsparnter. „NAT-T erzwingen“...
Seite 147
Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. Legen Sie auf dem EAGLE Nr. 3 der Version 4.2 eine neue VPN-Ver- bindung zum EAGLE 20 Nr.1 an. Wählen Sie den Dialog IPsec VPN:Verbindungen.
Seite 148
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die Authentisierungsparameter ein. Wählen Sie die Karteikarte Authentifizierung. Geben Sie im Rahmen Authentisierung ein: „Authentisierungsverfahren“ PSK „Pre-Shared Secret Key“, z.B. 456789defghi Geben Sie im Rahmen VPN Identifier ein: „Gegenstelle“ 10.0.2.1 Hiermit legen Sie fest, dass die IP-Adresse der Gegenstelle ein Teil der Identifikation ist.
Seite 149
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die Parameter für die Firewall-Regeln für die Daten, die über die VPN-Verbindung übertragen werden sollen, ein. In der Voreinstellung besitzt der EAGLE Rel. 4.2 Regeln, die das Ver- mitteln aller Daten zuläßt. Aktivieren Sie die Verbindung.
10.0.3.0/24 10.0.5.25/32 Abb. 39: Einen PC über ein öffentliches Netz mit einem Subnetz verbinden Konfigurieren Sie den DynDNS-Client auf dem EAGLE 20 Nr. 6. Zur Konfiguration des DynDNS benötigen Sie: – den Namen des DynDNS-Servers. Bei DynDNS.org lautet der Hostname des HTTP-Servers für den DynDNS-Dienst „members.dyndns.org“.
Seite 151
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Wählen Sie den Dialog Erweitert:DNS:DynDNS. Aktivieren Sie „Registrieren“, damit der EAGLE 20 Nr. 6 dem DynDNS-Server seine aktuelle IP-Adresse mitteilt, sobald sich diese verändert. Geben Sie den Name des DynDNS-Server ein: member.dyndns.org.
Seite 152
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Legen Sie auf dem EAGLE 20 Nr. 5 eine neue VPN-Verbindung zum EAGLE 20 Nr.6 an. Wählen Sie den Dialog Virtuelles privates Netz:Verbindungen. Klicken Sie auf „Eintrag erzeugen“. Der Dialog zum Bearbeiten der Einträge bietet Ihnen in der Kartei- karte Grundeinstellungen die Möglichkeit, dieser Verbindung...
Seite 153
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus. „Starten als“, initiator Hiermit initiiert diese Firewall die VPN-Verbindung zur Gegen- stelle.
Seite 154
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die Parameter für die IP-Netze, deren Daten über die VPN- Verbindung übertragen werden sollen, ein. Wählen Sie die Karteikarte IP-Netze. Klicken Sie auf Eintrag erzeugen. Nach einem Doppelklick in eine Zelle des Eintrags können Sie die Zelle bearbeiten: „Quelladresse (CIDR)“...
In diesem Fall möchte ein Produktionsleiter von einem beliebigen Stand- ort innerhalb der Firma über eine VPN-Verbindung auf seine Produktions- daten zugreifen. Hierzu benutzt er ein Notebook mit installierter LANCOM-Client-Software. So kann er die VPN-Verbindung direkt zwischen seinem Notebook und dem EAGLE 20 aufbauen. Parameter Firewall LANCOM-Client IP-Adresse interner Port 10.0.1.201...
Seite 156
Geben Sie im Rahmen Schlüsselinformation ein: „Methode“ psk „Pre-Shared-Key“, z.B. 123456abcdef Geben Sie im Rahmen Identitäten ein: „Lokaler Typ“ default „Entfernter Typ“ fqdn Hiermit legen Sie fest, dass die entfernte Schlüssel-Identifikation ein Teil der Identikation ist. „Entfernte ID“, z.B. www.hirschmann-ac.com EAGLE Config Release 4.3 09/08...
Seite 157
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IKE-Schlüsselaustauschparameter ein. Wählen Sie die Karteikarte IKE - Schlüssel-Austausch. Geben Sie im Rahmen Modus ein: „Protokoll“ auto Hiermit wählt die Firewall die Protokollversion in Abhängigkeit der VPN-Gegenstelle automatisch aus. „Starten als“, responder Hiermit antwortet diese Firewall auf die Anfrage zum VPN-Ver- bindungsaufbau der Gegenstelle.
Seite 158
Datenverkehr kontrollieren 6.4 VPN - Virtuelles privates Netz Geben Sie die IPsec-Datenaustauschparameter ein. Wählen Sie die Karteikarte IPsec - Daten-Austausch. Geben Sie im Rahmen Modus ein. „Betriebsart (Encapsulation)“ tunnel Hiermit verschlüsselt die Firewall das gesamte Datenpaket in- klusive der IP-Adressen der Kommunikationsparnter. „NAT-T erzwingen“...
Seite 159
Geben Sie unter „Shared Secret“ den Pre-Shared-Key 123456abcdef ein. Wiederholen Sie die Eingabe des Pre-Shared-Key. Wählen Sie den lokalen Identitästyp „Fully Qualified Domain Name“. Geben Sie die lokale Identitäts-ID www.hirschmann-ac.com ein. Klicken Sie auf „Weiter“. Wählen Sie für die IP-Adressen-Zuweisung die manuelle Vergabe „Lokale IP-Adresse verwenden“.
Seite 160
6.4 VPN - Virtuelles privates Netz Tragen Sie im Rahmen „IPsec-Richtlinie“ unter „Dauer“ 000:01:00:00 ein. Dieser Wert ist gleich der „Lebenszeit“ bei den EAGLE 20-Einstellun- gen unter „IPsec - Daten-Austausch“. Klicken Sie auf „OK“, um das Eingabe-Fenster zu schließen. Klicken Sie auf „OK“, um die Profil-Einstellung zu beenden.
Redundanz einrichten 7 Redundanz einrichten Die Redundanzfunktion der Firewall bietet Ihnen die Möglichkeit, die Firewall und ihre Zuleitungen redundant auszuführen. Fällt eine Firewall oder eine Zuleitung zur Firewall aus, dann übernimmt die andere Firewall mit ihren Zuleitungen die Funktion der ersten Firewall. Hierzu synchronisieren die beiden Firewalls laufend den Zustand der Statefull Firewall.
Funktion Im Netz-Transparent-Modus bietet Ihnen die Firewall die Möglichkeit, in die Pfade zweier redundant gekoppelter Netze jeweils eine Firewall zu schalten (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall vollstän- dig die Aufgaben der Haupt-Firewall.
Redundanz einrichten 7.1 Transparent-Redundanz 7.1.2 Anwendungsbeispiel für die Transparent-Redundanz Die Transparent-Redundanz setzen Sie in einem flachen Netz ein. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine redundante Kopplung an das Firmennetz angebunden. Um die Produktionszelle zu sichern, installieren Sie die in jedem Pfad zum Firmennetz eine Firewall.
Seite 164
Redundanz einrichten 7.1 Transparent-Redundanz Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an. Wählen Sie den Dialog Redundanz:Transparent. Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Seite 165
Redundanz einrichten 7.1 Transparent-Redundanz Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Transparent-Redundanz ein und schalten Sie die Funktion an. Wählen Sie den Dialog Redundanz:Transparent. Klicken Sie im Rahmen „Konfiguration“ in der Zeile „Funktion“ auf An, um die Funktion einzuschalten.
Redundanz einrichten 7.2 Router-Redundanz 7.2 Router-Redundanz 7.2.1 Beschreibung der Router-Redundanz- Funktion Im Router-Modus bietet Ihnen die Firewall die Möglichkeit, zu einer bestehenden Verbindung zweier Netze über eine Firewall eine Ersatz- Leitung und eine Ersatz-Firewall zu installieren. Endgeräte bieten in der Regel die Möglichkeit, ein Default-Gateway für die Vermittlung von Datenpaketen in fremde Subnetze einzutragen.
Seite 167
Redundanz einrichten 7.2 Router-Redundanz Beim Ausfall der Haupt-Verbindung übernimmt die Ersatz-Firewall voll- ständig die Aufgaben der Haupt-Firewall. 10.0.2.0/24 10.0.1.0/24 Abb. 44: Router-Redundanz EAGLE Config Release 4.3 09/08...
Redundanz einrichten 7.2 Router-Redundanz 7.2.2 Anwendungsbeispiel für die Router-Redundanz Die Router-Redundanz setzen Sie ein, wenn Sie die Firewall im Router- Modus betreiben. Eine Fertigungszelle, die ständig aktuelle Produktionsdaten benötigt, haben Sie aus Gründen der Verfügbarkeit über eine Ersatz-Leitung mit einer Ersatz-Firewall an das Firmennetz angebunden.
Seite 169
Redundanz einrichten 7.2 Router-Redundanz Firmennetz 10.0.2.0/24 VRIP (extern) = 10.0.2.200 Virtueller Router VRIP (intern) = 10.0.1.200 Hauptleitung Redundante Leitung 10.0.1.0/24 Produktionszelle IP = 10.0.1.121 IP = 10.0.1.124 GW = 10.0.1.200 GW = 10.0.1.200 Abb. 45: Router-Redundanz Anwendungsbeispiel Konfigurieren Sie zunächst die Firewall Nummer 1. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Seite 170
Redundanz einrichten 7.2 Router-Redundanz Speichern Sie die Einstellungen in den nicht-flüchtigen Speicher. Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. Klicken Sie auf „Speichern in NVM+ACA“, um die Konfiguration nicht-flüchtig in der aktiven Konfiguration zu speichern. Konfigurieren Sie anschließend die Firewall Nummer 2. Geben Sie die Parameter für die Router-Redundanz ein und schalten Sie die Funktion an.
Funktionsdiagnose 8.1 Alarmmeldungen versenden 8.1 Alarmmeldungen versenden Treten im Normalbetrieb des Gerätes außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter „Polling“ versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände.
Funktionsdiagnose 8.1 Alarmmeldungen versenden 8.1.1 Auflistung der SNMP-Traps Eine Liste aller Traps, die das Gerät verschicken kann, finden Sie im „Referenz-Handbuch Web-based Interface“. 8.1.2 SNMP-Traps beim Booten Das Gerät sendet bei jedem Booten die Alarmmeldung „ColdStart“. EAGLE Config Release 4.3 09/08...
Funktionsdiagnose 8.1 Alarmmeldungen versenden 8.1.3 Trapeinstellung Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit festzulegen, welche Ereignis- se einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen. Klicken Sie auf „Eintrag erzeugen“, um einen neuen Tabelleneintrag zu erzeugen In der Spalte „Name“...
Funktionsdiagnose 8.2 Gerätestatus überwachen 8.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Gerätes. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Das Gerät bietet Ihnen die Möglichkeit, den Gerätezustand über einen Meldekontakt out-of-band zu signalisieren (siehe auf Seite 181 „Gerätestatus mit Meldekontakt überwachen“) durch das Versenden eines Traps bei einer Änderung des Gerätezustan- des zu signalisieren.
Funktionsdiagnose 8.2 Gerätestatus überwachen 8.2.1 Gerätestatus konfigurieren Wählen Sie den Dialog Diagnose:Gerätestatus. Wählen Sie im Feld „Überwachung“ die Ereignisse, die Sie über- wachen möchten. Zur Temperaturüberwachung stellen Sie im Dialog Grundeinstellungen: System am Ende der Systemdaten die Temperaturschwellen ein. Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus.
Seite 177
Funktionsdiagnose 8.2 Gerätestatus überwachen Zeigt den Gerätestatus und die Einstellung zur show device-status Gerätestatusermittlung an. EAGLE Config Release 4.3 09/08...
Funktionsdiagnose 8.3 Out-of-band-Signalisierung 8.3 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktions- überwachung des Gerätes und ermöglichen damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestromschaltung) meldet das Gerät durch Kontaktunterbrechung: Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Gerät (interne Versorgungsspannung).
Funktionsdiagnose 8.3 Out-of-band-Signalisierung 8.3.1 Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fern- zubedienen. Anwendungsmöglichkeiten: Simulation eines Fehlers bei einer SPS-Fehlerüberwachung. Fernbedienung eines Gerätes über SNMP, wie z.B. das Einschalten einer Kamera. Wählen Sie den Dialog Diagnose:Meldekontakt. Wählen Sie „Manuelle Einstellung“...
Funktionsdiagnose 8.3 Out-of-band-Signalisierung 8.3.2 Funktionsüberwachung mit Meldekontakt Funktionsüberwachung konfigurieren Wählen Sie den Dialog Diagnose:Meldekontakt. Wählen Sie „Funktionsüberwachung“ im Feld „Modus Meldekon- takt“, um den Kontakt zur Funktionsüberwachung zu nutzen. Wählen Sie im Feld „Funktionsüberwachung“ die Ereignisse, die Sie überwachen möchten. Zur Temperaturüberwachung stellen Sie im Dialog Grund einstellungen:System am Ende der Systemdaten die Temperaturschwellen ein.
Funktionsdiagnose 8.3 Out-of-band-Signalisierung Abb. 48: Dialog Meldekontakt Zeigt den Zustand der Funktionsüberwachung show signal-contact und die Einstellung zur Statusermittlung an. 8.3.3 Gerätestatus mit Meldekontakt überwachen Die Auswahl „Gerätestatus“ bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe auf Seite 175 „Gerätestatus überwachen“) über den Meldekontakt zu überwachen.
Funktionsdiagnose 8.4 Port-Zustandsanzeige 8.4 Port-Zustandsanzeige Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt das Gerät. Symbole auf den Ports stellen den Status der einzelnen Ports dar. Abb. 49: Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100 MBit/s) ist freigegeben und die Verbindung ist in Ordnung. Der Port ist vom Management gesperrt und hat eine Verbindung.
Funktionsdiagnose 8.5 Topologie-Erkennung 8.5 Topologie-Erkennung 8.5.1 Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs, sofern diese auch das LLDP aktiviert haben.
Seite 184
Hirschmann-Multicast-MAC-Adresse 01:80:63:2F:FF:0B. Hirschmann- Geräte mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Gerätes hält die LLDP-Informationen in der lldp-MIB und in der privaten hmLLDP vor.
Funktionsdiagnose 8.5 Topologie-Erkennung 8.5.2 Anzeige der Topologie-Erkennung Wählen Sie den Dialog Diagnose:Topologie Erkennung. Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ih- nen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagementstation in der Lage, die Struktur Ihres Netzes darzustellen.
Seite 186
Funktionsdiagnose 8.5 Topologie-Erkennung Sind an einem Port, z.B. über einen Hub, mehrere Geräte angeschlos- sen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn Geräte mit aktiver Topologie-Erkennungs-Funktion und Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie-Ta- belle die Geräte ohne aktive Topologie-Erkennung aus.
Funktionsdiagnose 8.6 Konfigurations-Check 8.6 Konfigurations-Check Diese Funktion bietet Ihnen die Möglichkeit, nach der Installation und Konfiguration Ihre Konfiguration zu überprüfen. Zur Überprüfung bezieht der Konfigurations-Check die Konfiguration der Nachbargeräte mit ein. Mit einem Klick auf eine Zeile finden Sie im unteren Teil des Dialogs Details zum Ergebnis der Prüfung eines Ports.
Funktionsdiagnose 8.7 Berichte 8.7 Berichte Folgende Berichte stehen zur Diagnose zur Verfügung: Logdatei. Die Logdatei ist eine HTML-Datei, in die das Gerät alle wichtigen geräte- internen Ereignisse schreibt. Systeminformation. Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. Systeminformation. Das Security Data Sheet IAONA ist ein von der IAONA (Industrial Auto- mation Open Networking Alliance) standardisiertes Datenblatt im XML- Format.
Seite 189
Funktionsdiagnose 8.7 Berichte Logging host settings --------------------- IP address: 10.0.1.7 UDP port: EAGLE Config Release 4.3 09/08...
Seite 190
Funktionsdiagnose 8.7 Berichte EAGLE Config Release 4.3 09/08...
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten A.1 DHCP-Server einrichten Auf der CDROM, die dem Gerät bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT-Consul- ting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen.
Seite 193
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 52: DHCP-Einstellung Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten. Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf Hinzufügen. Abb. 53: Konfigurationsprofile hinzufügen Geben Sie die Netzmaske ein und klicken Sie auf Übernehmen. EAGLE Config Release 4.3 09/08...
Seite 194
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 54: Netzmaske im Konfigurationsprofil Wählen Sie die Karteikarte Boot. Geben Sie die IP-Adresse Ihres tftp-Servers. Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. Klicken Sie auf Übernehmen und danach auf OK. Abb.
Seite 195
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf Abb. 56: Konfigurationsprofile verwalten Zur Eingabe der statischen Adressen klicken Sie im Hauptfenster auf Statisch.
Seite 196
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 58: Statische Adressen hinzufügen Geben Sie die MAC-Adresse des Gerätes ein. Geben Sie die IP-Adresse des Gerätes ein. Wählen Sie das Konfigurationsprofil des Gerätes. Klicken Sie auf Übernehmen und danach auf OK. Abb. 59: Einträge für statische Adressen Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu.
Seite 197
Konfigurationsumgebung einrichten A.1 DHCP-Server einrichten Abb. 60: DHCP-Server mit Einträgen EAGLE Config Release 4.3 09/08...
Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH A.2 Zugriff mittels SSH Eine Möglichkeit mittels SSH auf Ihr Gerät zuzugreifen, bietet das Programm PuTTY. Dieses Programm finden Sie auf der Produkt-CD. Starten Sie das Programm mit einem Doppelklick. Geben Sie die IP-Adresse Ihres Gerätes ein. Wählen Sie „SSH“.
Seite 199
Konfigurationsumgebung einrichten A.2 Zugriff mittels SSH Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Aufbau der Verbin- dung geben Sie folgenden Befehl ein: ssh admin@149.218.112.53 admin stellt den Benutzernamen dar. 149.218.112.53 stellt die IP-Adresse Ihres Gerätes dar. EAGLE Config Release 4.3 09/08...
Allgemeine Informationen B.1 Verwendete Abkürzungen B.1 Verwendete Abkürzungen AutoConfiguration Adapter Access Control List Advanced Encryption Standard BOOTP Bootstrap Protocol CIDR Classless Inter-Domain Routing Command Line Interface DHCP Dynamic Host Configuration Protocol) Data Encryption Standard Distinguished Name GARP General Attribute Registration Protocol Forwarding Database FQDN Fully Qualified Domain Name...
Seite 203
Allgemeine Informationen B.1 Verwendete Abkürzungen Transfer Control Protocol tftp Trivial File Transfer Protocol Twisted Pair User Datagramm Protocol Uniform Resourve Locator Coordinated Universal Time VLAN Virtual Local Area Network EAGLE Config Release 4.3 09/08...
Allgemeine Informationen B.2 Management Information BASE MIB B.2 Management Information BASE MIB Die Management Information Base MIB ist als abstrakte Baumstruktur ange- legt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tra- gen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt die abstrakte Struktur auf die Realität abbilden, erfolgt z.
Seite 205
Identifizierer unterer (z. B. Grenzwert) Spannungsversorgung Stromversorgung System Benutzer-Schnittstelle (User Interface) oberer (z. B. Grenzwert) vendor = Hersteller (Hirschmann) Definition der verwendeten Syntaxbegriffe: Integer Ganze Zahl im Bereich von 0-2 IP-Adresse xxx.xxx.xxx.xxx (xxx = ganze Zahl im Bereich von 0-255)
Seite 206
6 tcp 16 vacm 7 udp 11 snmp 16 rmon 17 dot1dBridge 26 snmpDot3MauMGT Abb. 62: Baumstruktur der Hirschmann-MIB Die vollständige Beschreibung der MIB finden Sie auf der CDROM, die zum Lieferungfang des Gerätes gehört. EAGLE Config Release 4.3 09/08...
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, damit der Einsatz dieses Produkts problemlos erfolgen kann. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 208
PLZ / Ort: Datum / Unterschrift: Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer 07127/14-1798 oder Hirschmann Automation and Control GmbH Abteilung AMM Stuttgarter Str. 45-51 72654 Neckartenzlingen EAGLE Config Release 4.3 09/08...
Weitere Unterstützung E Weitere Unterstützung Technische Fragen und Schulungsangebote Bei technischen Fragen wenden Sie sich bitte an den Hirschmann Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann-ac.com. Darüber hinaus steht Ihnen unsere Hotline zur Verfügung: Tel.