Seite 1 Referenz-Handbuch Web-based Interface Industrial ETHERNET Firewall EAGLE 20 EAGLE Web Technische Unterstützung Release 5.2 02/2012 HAC.Support@Belden.com...
Seite 2 Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Seite 3: Inhaltsverzeichnis
Inhalt Inhalt Über dieses Handbuch Legende Öffnen des Web-based Interface Grundeinstellungen System Netz 1.2.1 Global 1.2.2 Transparent-Modus 1.2.3 Router-Modus 1.2.4 PPPoE-Modus 1.2.5 Routen Software Portkonfiguration Serieller Port 1.5.1 Konfiguration als Terminal/CLI-Schnittstelle 1.5.2 Konfiguration als Modem-Schnittstelle Konfiguration laden/speichern 1.6.1 Statusanzeigen 1.6.2 Konfiguration im nicht-flüchtigen Speicher (NVM) 1.6.3 Konfiguration auf dem AutoConfiguration Adapter (ACA) 1.6.4 Konfiguration speichern und laden...
Seite 4 Inhalt Externe Authentifizierung 2.6.1 Benutzer-Firewall-Konten 2.6.2 Authentifizierungslisten 2.6.3 RADIUS-Server Login-Banner Zeit Grundeinstellungen SNTP-Konfiguration NTP-Konfiguration Netzsicherheit Paketfilter 4.1.1 Adressvorlagen 4.1.2 Firewall-Lern-Modus (FLM) 4.1.3 Ein- und ausgehende IP-Pakete 4.1.4 Ein- und ausgehende MAC-Pakete 4.1.5 Eingehende PPP-Pakete NAT – Network Address Translation 4.2.1 Allgemeine NAT-Einstellungen 4.2.2 IP-Masquerading 4.2.3 1:1-NAT 4.2.4 Portweiterleitung...
Seite 5 Inhalt 7.1.4 Erweiterte Einstellungen Ports 7.2.1 Netzlast 7.2.2 Statistiktabelle 7.2.3 ARP Topologie-Erkennung Gerätestatus Meldekontakt 7.5.1 Funktionsüberwachung 7.5.2 Manuelle Einstellung 7.5.3 Gerätestatus 7.5.4 Trapeinstellung Alarme (Traps) Bericht 7.7.1 System-Information MAC-Firewall-Liste IP-Firewall-Liste 7.10 Konfigurations-Check 7.11 Erreichbarkeits-Test (Ping) Erweitert 8.1.1 DNS-Server 8.1.2 DynDNS Paketweiterleitung DHCP-Relay-Agent DHCP-Server...
Seite 6 Inhalt Copyright integrierter Software A.4.1 Bouncy Castle Crypto APIs (Java) A.4.2 Network Time Protocol Version 4 Distribution Leserkritik Stichwortverzeichnis Weitere Unterstützung EAGLE Web Release 5.2 02/2012...
Seite 7: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Dokument „Referenz-Handbuch Web-based Interface“ enthält detail- lierte Information zur Bedienung der einzelnen Funktionen des Gerätes über das Web-Interface. Das Dokument „Referenz-Handbuch Command Line Interface“ enthält detaillierte Information zur Bedienung der einzelnen Funktionen des Gerätes über das Command Line Interface.
Seite 8 Über dieses Handbuch EAGLE Web Release 5.2 02/2012...
Seite 9: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen:  Aufzählung Arbeitsschritt   Zwischenüberschrift Link Querverweis mit Verknüpfung Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf Hinweis: eine Abhängigkeit. ASCII-Darstellung in Bedienoberfläche Courier Verwendete Symbole: WLAN-Access-Point Router mit Firewall Switch mit Firewall...
Seite 10 Legende Beliebiger Computer Konfigurations-Computer Server SPS - Speicherprogrammier- bare Steuerung I/O - Roboter EAGLE Web Release 5.2 02/2012...
Seite 11: Öffnen Des Web-Based Interface
Öffnen des Web-based Interface Öffnen des Web-based Interface Zum Öffnen des Web-based Interface benötigen Sie einen Web Browser (Programm, das das Lesen von Hypertext ermöglicht), zum Beispiel den Mozilla Firefox ab der Version 2 oder den Microsoft Internet Explorer ab der Version 6.
Seite 12 Öffnen des Web-based Interface  Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Brow- sers die IP-Adresse des Gerätes, das Sie mit dem Web-based Manage- ment administrieren möchten, in der folgenden Form ein: https://xxx.xxx.xxx.xxx Auf dem Bildschirm erscheint das Login-Fenster. Das EAGLE-Gerät ist ein Security Device mit VPN-Funktion (SDV).
Seite 13 Öffnen des Web-based Interface  Im Kennwort-Feld ist das Passwort "public", mit dem Sie über Leserechte verfügen, vorgegeben. Wollen Sie mit Schreibrechten auf das Gerät zugreifen, dann markieren Sie den Inhalt des Passwortfeldes und über- schreiben ihn mit dem Passwort "private" (Lieferzustand). ...
Seite 14 Öffnen des Web-based Interface Abb. 3: Benutzeroberfläche (Web-based Interface) des Gerätes mit Sprechbla- senhilfe Menüleiste  Der Menüteil zeigt die Menüpunkte. Durch Plazieren des Mauszeigers im Menüteil und Drücken der rechten Maustaste können Sie mit „Zurück“ auf einen beliebigen, bereits schon vorher ausgewählten Menüpunkt zurück- spingen und mit „Vor“...
Seite 15: Grundeinstellungen
Grundeinstellungen 1 Grundeinstellungen Das Grundeinstellungen-Menü enthält die Dialoge, Anzeigen und Tabellen zur Grundkonfiguration:  System  Netz  Software  Portkonfiguration  Serieller Port  Laden/Speichern  Neustart EAGLE Web Release 5.2 02/2012...
Seite 16: System
Grundeinstellungen 1.1 System 1.1 System Das Untermenü „System“ im Grundeinstellungsmenü ist untergliedert in:  Gerätestatus  Systemdaten  Gerätedarstellung  Aktualisierung Abb. 4: Untermenü „System“ Gerätestatus  Dieser Bereich der Benutzeroberfläche (Web-based Interface) gibt Auskunft über den Gerätestatus und Alarmzustand des Gerätes. EAGLE Web Release 5.2 02/2012...
Seite 17: Systemdaten
Grundeinstellungen 1.1 System Abb. 5: Gerätestatus- und Alarm-Anzeige 1 - Das Symbol zeigt den Gerätestatus an 2 - Ursache des ältesten, bestehenden Alarms 3 - Beginn des ältesten, bestehenden Alarms Systemdaten  Dieser Bereich des Web-based Interface zeigt die Systemparameter des Gerätes an.
Seite 18: Aktualisierung
Grundeinstellungen 1.1 System Abb. 6: Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100 MBit/s) ist freigegeben und die Verbindung ist in Ordnung. Der Port ist vom Management gesperrt und hat eine Verbindung. Der Port ist vom Management gesperrt und hat keine Verbindung. Der Port ist im Autonegotiation-Modus.
Seite 19 Grundeinstellungen 1.1 System Abb. 7: Zeit bis zur Aktualisierung EAGLE Web Release 5.2 02/2012...
Seite 20: Netz
Grundeinstellungen 1.2 Netz 1.2 Netz Das Untermenü „Netz“ im Grundeinstellungsmenü bietet Ihnen die Möglich- keit, den Netzmodus zu konfigurieren und auszuwählen sowie statische Routen anzulegen:  Global  Transparent-Modus  Router-Modus  PPoE-Modus  Routen EAGLE Web Release 5.2 02/2012...
Seite 21: Global
Grundeinstellungen 1.2 Netz 1.2.1 Global Dieser Dialog bietet Ihnen die Möglichkeit, den Netzmodus auszuwählen und Einstellungen für die Weiterleitung von Paketen vorzunehmen. Bezeichnung Bedeutung Modus Wählen Sie den Modus, in dem Sie das Gerät betreiben möchten:  transparent, um den Transparent-Modus, ...
Seite 22: Transparent-Modus
MAC-Adresse oder des Namens des Gerätes beziehen soll. Hinweis: Da ein EAGLE-Gerät ein Sicherheitsgerät ist, unterstützt es ausschließlich Standard-DHCP. Wenn Sie einen Hirschmann-DHCP-Server verwenden, deaktivieren Sie daher in dessen Pool-Eintrag für das EAGLE-Gerät die Einstellung „Hirschmann-Gerät“. Tab. 3: Netz: Protokoll im Transparent-Modus EAGLE Web Release 5.2 02/2012...
Seite 23 Grundeinstellungen 1.2 Netz Bezeichnung Bedeutung IP-Adresse Eingeben der IP-Adresse, über die Sie das Gerät erreichen können. MAC-Adresse Anzeige der MAC-Adresse. Gateway-Adresse Eingeben der Gateway-Adresse. Netzmaske Eingeben der Netzmaske. VLAN-Tag verwenden Durch Ankreuzen legen Sie fest, dass das Gerät das VLAN- Tag der Datenpakete auswertet, die an das Gerät (Manage- ment) adressiert sind.
Seite 24: Router-Modus
MAC-Adresse oder des Namens des Gerätes beziehen soll. Hinweis: Da ein EAGLE-Gerät ein Sicherheitsgerät ist, unterstützt es ausschließlich Standard-DHCP. Wenn Sie einen Hirschmann-DHCP-Server verwenden, deaktivieren Sie daher in dessen Pool-Eintrag für das EAGLE-Gerät die Einstellung „Hirschmann-Gerät“. Tab. 7: Netz: Protokoll im Router-Modus am internen Interface EAGLE Web Release 5.2 02/2012...
Seite 25 MAC-Adresse oder des Namens des Gerätes beziehen soll. Hinweis: Da ein EAGLE-Gerät ein Sicherheitsgerät ist, unterstützt es ausschließlich Standard-DHCP. Wenn Sie einen Hirschmann-DHCP-Server verwenden, deaktivieren Sie daher in dessen Pool-Eintrag für das EAGLE-Gerät die Einstellung „Hirschmann-Gerät“. Tab. 9: Netz: Protokoll im Router-Modus am exernen Interface EAGLE Web Release 5.2 02/2012...
Seite 26 Grundeinstellungen 1.2 Netz Bezeichnung Bedeutung IP-Adresse Eingeben der IP-Adresse, über die Sie das Gerät erreichen können. Netzmaske Eingeben der Netzmaske. VLAN-Tag verwenden Durch Ankreuzen legen Sie fest, dass das Gerät das VLAN- Tag der Datenpakete auswertet, die an das Gerät (Manage- ment) adressiert sind.
Seite 27: Pppoe-Modus
Grundeinstellungen 1.2 Netz Sie können die Einträge direkt in der Tabelle ändern. Um eine Zeile zu löschen, wählen Sie die Zeile aus und klicken Sie auf „Eintrag löschen". Bezeichnung Bedeutung IP-Adresse Eingeben der IP-Adresse Netzmaske Eingeben der Netzmaske VLAN-Tag verwenden Durch Ankreuzen legen Sie fest, dass das Gerät das VLAN- Tag auswertet.
Seite 28 MAC-Adresse oder des Namens des Gerätes beziehen soll. Hinweis: Da ein EAGLE-Gerät ein Sicherheitsgerät ist, unterstützt es ausschließlich Standard-DHCP. Wenn Sie einen Hirschmann-DHCP-Server verwenden, deaktivieren Sie daher in dessen Pool-Eintrag für das EAGLE-Gerät die Einstellung „Hirschmann-Gerät“. Tab. 12: Netz: Protokoll im PPPoE-Modus am internen Interface...
Seite 29 Grundeinstellungen 1.2 Netz Bezeichnung Bedeutung Automatisches Trennen Durch Ankreuzen legen Sie fest, dass das Gerät die PPPoE- einschalten Verbindung täglich um die angegebene Uhrzeit automatisch trennt. Bevor Sie diese Funktion aktivieren, prüfen Sie, ob die Systemzeit Ihres EAGLE-Gerätes korrekt eingestellt ist. Uhrzeit (Stunde) zum Trennen Eingeben der Uhrzeit (Stunde), zu der das Gerät die PPPoE- Verbindung täglich automatisch trennt.
Seite 30 Grundeinstellungen 1.2 Netz Weitere IP-Adressen anlegen  Einträge für weitere IP-Adressen bietet Ihnen die Möglichkeit, mehrere Subnetze an ein Routerinterface anzuschließen (Multinetting).  Klicken Sie auf „Erzeugen...“, um ein Fenster für die Eingabe einer neuen Zeile in der Tabelle zu öffnen. Geben Sie ein: –...
Seite 31: Routen
Grundeinstellungen 1.2 Netz 1.2.5 Routen Die Routen-Tabelle bietet Ihnen die Möglichkeit, statische Routen einzutragen. Routen-Eintrag in Tabelle erzeugen   Klicken Sie auf „Erzeugen...“, um ein Fenster für die Eingabe einer neuen Zeile in der Tabelle zu öffnen. Wählen Sie „Internes Interface“ oder „Externes Interface“. Nach der Eingabe –...
Seite 32: Software
Grundeinstellungen 1.3 Software 1.3 Software Der Dialog Software bietet Ihnen die Möglichkeit, die im Gerät vorhandenen Software-Versionen anzuzeigen und ein Software-Update des Gerätes via Datei-Auswahl durchzuführen. Abb. 8: Dialog Software Hinweis: Die EAGLE-Firmware ab der Software-Release 05.0.00 können Sie auf EAGLE-Geräten mit 64 MB-Hardware installieren. Frühere EAGLE-Geräte mit 32 MB-Hardware unterstützen Firmware bis zur Release 04.4.00 vollständig.
Seite 33 Grundeinstellungen 1.3 Software  Mit Hilfe des System-Monitor 1 (siehe Anwender-Handbuch Konfiguration Industrial ETHERNET Firewall EAGLE) können Sie das Backup Image Ihrer Firmware auf dem Gerät wieder aktivieren.  Mit Hilfe des Web-based Interface (siehe auf Seite „Software“) können Sie die bisher von Ihnen verwendete Version Ihrer Firmware wieder auf das Gerät herunterladen.
Seite 34: Portkonfiguration
Grundeinstellungen 1.4 Portkonfiguration 1.4 Portkonfiguration Diese Konfigurationstabelle bietet Ihnen die Möglichkeit, jeden Port des Gerätes zu konfigurieren. Variable Bedeutung Mögliche Werte Lieferzustand Port Bezeichnung des Ports (int: 1, ext: 2) – Name Für jeden Port einen beliebigen Namen ASCII-Zeichen, – eintragen.
Seite 35 Grundeinstellungen 1.4 Portkonfiguration Abb. 9: Dialog Port-Konfigurationstabelle EAGLE Web Release 5.2 02/2012...
Seite 36: Serieller Port
Grundeinstellungen 1.5 Serieller Port 1.5 Serieller Port Dieser Dialog bietet Ihnen die Möglichkeit, den seriellen Port des Gerätes  als Terminal- /CLI-Schnittstelle (Voreinstellung) oder  als Modem-Schnittstelle zu konfigurieren. Abb. 10: Dialog Serieller Port EAGLE Web Release 5.2 02/2012...
Seite 37: Konfiguration Als Terminal/Cli-Schnittstelle
Grundeinstellungen 1.5 Serieller Port 1.5.1 Konfiguration als Terminal/CLI-Schnittstelle  Wählen Sie im Rahmen „Schnittstelle" Terminal-/CLI-Schnitt- stelle. Im Modus Terminal-/CLI-Schnittstelle ist die Schnittstelle fest auf die folgenden Parameter eingestellt:  9.600 Bits/s,  8 Datenbits,  keine Parität,  1 Stoppbit, ...
Seite 38: Konfiguration Als Modem-Schnittstelle
Grundeinstellungen 1.5 Serieller Port 1.5.2 Konfiguration als Modem-Schnittstelle  Wählen Sie im Rahmen „Schnittstelle" Modem-Schnittstelle. Das Gerät zeigt den Rahmen „Einstellungen“ an. RJ11 Pin 5 Pin 6 Pin 8 Pin 1 Pin 1 n.c. Abb. 12: Pin-Belegung des Modemkabels EAGLE Web Release 5.2 02/2012...
Seite 39: Eingehende Ppp
Grundeinstellungen 1.5 Serieller Port Bezeichnung Bedeutung Benutzername Eingeben des PPP-Benutzernamen für den Zugriff eines entfernten Geräts auf das EAGLE-Gerät (PAP, CHAP). Passwort Eingeben des PPP-Kennworts für den Zugriff eines entfernten Geräts auf das EAGLE-Gerät (PAP, CHAP). Interface-MTU Eingabe der maximalen Paketgröße für die PPP-Verbindung (Maximum Transmission Unit).
Seite 40: Konfiguration Laden/Speichern
Grundeinstellungen 1.6 Konfiguration laden/speichern 1.6 Konfiguration laden/ speichern Dieser Dialog bietet Ihnen die Möglichkeit,  eine Konfiguration zu laden,  eine Konfiguration zu speichern,  eine Konfiguration anzuzeigen,  eine Konfiguration zu löschen,  eine Konfiguration zu aktivieren,  eine Konfiguration zu erzeugen, ...
Seite 41: Statusanzeigen
Grundeinstellungen 1.6 Konfiguration laden/speichern 1.6.1 Statusanzeigen Bezeichnung Bedeutung Konfigurationsdaten von NVM und Gerät stimmen überein. Nicht synchronisiert Konfigurationsdaten von NVM und Gerät stimmen nicht überein. Tab. 22: Status des nicht-flüchtigen Speichers (NVM) Bezeichnung Bedeutung AutoConfiguration Adapter angeschlossen. Konfigurations- daten von ACA und Gerät stimmen überein. Nicht synchronisiert Die Konfigurationsdaten der aktiven Konfiguration stimmen auf ACA und NVM nicht überein.
Seite 42: Konfiguration Im Nicht-Flüchtigen Speicher (Nvm)
Grundeinstellungen 1.6 Konfiguration laden/speichern 1.6.2 Konfiguration im nicht-flüchtigen Speicher (NVM) In der Tabelle sind die einzelnen Konfigurationsdateien des nicht-flüchtigen Speichers aufgelistet. Bezeichnung Bedeutung Name Name der Konfigurationsdatei Datum der letzten Änderung Speicherdatum DD.MM.JJJJ HH:MM:SS Aktiv Anzeige der aktiven Konfiguration Tab. 24: Konfiguration im nicht-flüchtigen Speicher (NVM) Hinweis: Der Name einer Konfigurationsdatei darf bis zu 32 Zeichen lang sein.
Seite 43: Konfiguration Auf Dem Autoconfiguration Adapter (Aca)
Grundeinstellungen 1.6 Konfiguration laden/speichern Wenn Sie die laufende Konfiguration verändern (z. B. einen Port ausschalten), ändert das Web-based Interface das „Laden/Speichern“- Symbol im Navigationsbaum von einem Diskettensymbol in ein gelbes Dreieck. Nach dem Speichern der Konfiguration zeigt das Web-based Interface das „Laden/Speichern“-Symbol wieder als Diskette an. Hinweis: Den Lieferzustand erhalten Sie mit Neustart: Lieferzustand (siehe Seite 47).
Seite 44 Grundeinstellungen 1.6 Konfiguration laden/speichern Bezeichnung Bedeutung Kopieren vom PC Laden einer Konfigurationsdatei von einem PC auf den ACA. Die Konfigurationsdatei erscheint in einem neuen Tabellen- eintrag. Kopieren zum PC Speichern einer Konfigurationsdatei vom ACA auf einen PC. Anzeigen Anzeigen einer Konfigurationsdatei. Löschen Löschen einer Konfigurationsdatei.
Seite 45: Konfiguration Speichern Und Laden
Grundeinstellungen 1.6 Konfiguration laden/speichern 1.6.4 Konfiguration speichern und laden Bezeichnung Bedeutung Schreiben Schreiben der Einstellung, welche Konfiguration als aktiv markiert ist, in den nicht-flüchtigen Speicher und auf den ACA. Laden Aktualisieren der Tabellenanzeige, falls sie durch einen anderen SNMP-Zugriff verändert wurde. Speichern in NVM und ACA Ersetzen der aktiven Konfiguration durch die laufende Konfi- guration im nicht-flüchtigen Speicher und auf dem ACA...
Seite 46 Grundeinstellungen 1.6 Konfiguration laden/speichern Hinweis: Schalten Sie die Funktion nach erfolgreicher Abspeicherung der Konfiguration aus. Das hilft Ihnen zu vermeiden, dass das Gerät die Konfiguration erneut lädt, nachdem Sie das Web-Interface schließen. Hinweis: Beachten Sie beim Zugriff auf das Gerät über ssh zusätzlich die TCP-Verbindungstimeouts für den Konfigurationswiderruf.
Seite 47: Neustart
Grundeinstellungen 1.7 Neustart 1.7 Neustart Dieser Dialog bietet Ihnen die Möglichkeit,  einen Kaltstart des Gerätes auszulösen,  die MAC-Adresstabelle zurückzusetzen,  die ARP-Tabelle zurückzusetzen,  die Firewall- und NAT-Verbindungen zurückzusetzen,  die Portzähler zurückzusetzen,  die Logdatei zu löschen, ...
Seite 48 Grundeinstellungen 1.7 Neustart Abb. 14: Dialog Neustart EAGLE Web Release 5.2 02/2012...
Seite 49: Sicherheit
Sicherheit 2 Sicherheit Das Sicherheit-Menü enthält die Dialoge, Anzeigen und Tabellen zur Konfi- guration der Sicherheitseinstellungen:  Passwort  SNMP-Zugriff  Web-Zugriff  SSH-Zugriff  Externe Authentifizierung  Login-Banner EAGLE Web Release 5.2 02/2012...
Seite 50: Passwort
Sicherheit 2.1 Passwort 2.1 Passwort Dieser Dialog bietet Ihnen die Möglichkeit, das Lese- und das Schreib/Lese- Passwort für den Zugriff mit dem Web-based Interface, über das CLI und per SNMPv3 (SNMP-Version 3) auf dem Gerät zu ändern. Stellen Sie für das Lesepasswort und das Schreib-/Lesepasswort unter- schiedliche Passwörter ein, damit ein Benutzer, der nur Lesezugriff hat (Benutzername „user“), das Passwort für den Schreib-/Lesezugriff (Benut- zername „admin“) nicht kennen oder erraten kann.
Seite 51 Sicherheit 2.1 Passwort Abb. 15: Dialog Passwort Hinweis: Wenn Sie kein Passwort mit der Berechtigung „schreiben/lesen“ kennen, haben Sie keine Möglichkeit, auf das Gerät schreibend zuzugreifen. Hinweis: Aus Sicherheitsgründen zeigt der Dialog die Passwörter in Form von Sternen an. Notieren Sie sich jede Änderung. Ohne gültiges Passwort können Sie nicht auf das Gerät zugreifen.
Seite 52: Snmp-Zugriff
Sicherheit 2.2 SNMP-Zugriff 2.2 SNMP-Zugriff Dieser Dialog bietet Ihnen die Möglichkeit,  einen SNMP-Port einzugeben. Im Lieferzustand ist der Port 161 einge- tragen. Tragen Sie eine andere UDP-Portnummer ein, wenn Sie zur Administra- tion des Gerätes oder aus Sicherheitsgründen eine andere Portnummer verwenden möchten.
Seite 53 Sicherheit 2.2 SNMP-Zugriff Abb. 16: Dialog SNMP-Zugriff EAGLE Web Release 5.2 02/2012...
Seite 54 Sicherheit 2.2 SNMP-Zugriff Parameter Bedeutung Mögliche Werte Index Laufende Nummer, auf die sich die Zugriffs- (Automatisch erzeugt, ab 1) beschränkung bezieht Port Port auswählen. int - Einstellungen beziehen sich auf den internen Port ext - Einstellungen beziehen sich auf den externen Port ppp - Einstellungen beziehen sich auf den als Modem konfi- gurierten V.24-Port.
Seite 55 Sicherheit 2.2 SNMP-Zugriff Hinweis: Ist keine Zeile angekreuzt, dann gibt es – am internen Port keine Zugriffsbeschränkungen – am externen Port keine Zugriffsmöglichkeit über SNMP.  Mit „Erzeugen“ erzeugen Sie eine neue Zeile in der Tabelle  Mit „Löschen“ löschen Sie ausgewählte Zeilen aus der Tabelle. Hinweis: Die Firewall unterstützt bis zu 1024 IP-Regeln.
Seite 56: Snmpv1/V2
Sicherheit 2.3 SNMPv1/v2 2.3 SNMPv1/v2 Dieser Dialog bietet Ihnen die Möglichkeit,  den Zugriff über SNMPv1 oder SNMPv2 auszuwählen. Im Lieferzustand sind beide Protokolle deaktiviert, der SNMP-Zugriff ist aus Sicherheits- gründen damit ausschließlich über SNMPv3 möglich.  das Lese- und das Schreib/Lese-Passwort für den Zugriff mit SNMPv1/v2 auf dem Gerät zu ändern.
Seite 57 Sicherheit 2.3 SNMPv1/v2 Abb. 17: Dialog SNMPv1/v2 Hinweis: Aus Sicherheitsgründen zeigt der Dialog die Passwörter in Form von Sternen an. Notieren Sie sich jede Änderung. Ohne gültiges Passwort können Sie nicht auf das Gerät zugreifen. Die Sperre des Zugriffs über einen Web-Browser erfolgt in einem eigenen Dialog (siehe auf Seite 58 „Web-Zugriff“).
Seite 58: Web-Zugriff
Sicherheit 2.4 Web-Zugriff 2.4 Web-Zugriff Dieser Dialog bietet Ihnen die Möglichkeit,  den Web-Server auf dem Gerät ein-/auszuschalten. Im Lieferzustand ist der Web-Server auf dem internen Port eingeschaltet. Der Web-Server des Gerätes bietet Ihnen die Möglichkeit, das Gerät mit Hilfe des Web-based Interfaces zu konfigurieren. Das Deaktivieren des Web-Servers hilft Ihnen, einen Web-Zugriff auf das Gerät zu verhindern.
Seite 59 Sicherheit 2.4 Web-Zugriff Abb. 18: Dialog Web-Zugriff EAGLE Web Release 5.2 02/2012...
Seite 60 Sicherheit 2.4 Web-Zugriff Parameter Bedeutung Mögliche Werte Index Laufende Nummer, auf die sich die Zugriffs- (Automatisch erzeugt, ab 1) beschränkung bezieht Port Port auswählen. int - Einstellungen beziehen sich auf den internen Port ext - Einstellungen beziehen sich auf den externen Port ppp - Einstellungen beziehen sich auf den als Modem konfi- gurierten V.24-Port.
Seite 61 Sicherheit 2.4 Web-Zugriff  Mit „Eintrag erzeugen“ erzeugen Sie eine neue Zeile in der Tabelle. Das Gerät zeigt einen Dialog an, um Sie zu erinnern, gegebenenfalls eine zusätzliche SNMP-Regel anzulegen, wenn Sie das Web-based Interface verwenden möchten.  Mit „Eintrag löschen“ löschen Sie die ausgewählten Zeilen aus der Tabelle.
Seite 62: Ssh-Zugriff
Sicherheit 2.5 SSH-Zugriff 2.5 SSH-Zugriff Dieser Dialog bietet Ihnen die Möglichkeit,  den SSH-Server auf dem Gerät ein-/auszuschalten. Im Lieferzustand ist der SSH-Server auf dem internen Port eingeschaltet. Der SSH-Server des Gerätes bietet Ihnen die Möglichkeit, das Gerät mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren. Das Deak- tivieren des SSH-Servers hilft Ihnen, einen SSH-Zugriff auf das Gerät zu verhindern.
Seite 63 Sicherheit 2.5 SSH-Zugriff Abb. 19: Dialog SSH-Zugriff EAGLE Web Release 5.2 02/2012...
Seite 64 Sicherheit 2.5 SSH-Zugriff Parameter Bedeutung Mögliche Werte Index Laufende Nummer, auf die sich die Zugriffs- (Automatisch erzeugt, ab 1) beschränkung bezieht Port Port auswählen. int - Einstellungen beziehen sich auf den internen Port ext - Einstellungen beziehen sich auf den externen Port ppp - Einstellungen beziehen sich auf den als Modem konfi- gurierten V.24-Port.
Seite 65 Sicherheit 2.5 SSH-Zugriff Hinweis: Das Deaktivieren eines Eintrags hilft Ihnen, das erneute Anmelden über SSH zu verhindern. Eine bereits bestehende SSH-Verbindung, auf die die Kriterien der Deaktivierung zutreffen, bleibt jedoch bis zur Abmeldung bestehen.  Mit „Erzeugen“ erzeugen Sie eine neue Zeile in der Tabelle. ...
Seite 66: Externe Authentifizierung
Sicherheit 2.6 Externe Authentifizierung 2.6 Externe Authentifizierung Dieser Dialog bietet Ihnen die Möglichkeit, bis zu 5 Benutzer-Firewall- Konten anzulegen. Mit dem Kontonamen und dem zugehörigen Passwort kann sich ein Benutzer im Anmeldefenster unter dem Login-Typ „Benutzer-Firewall“ auf dem Gerät anmelden (siehe auf Seite 11 „Öffnen des Web-based Interface“).
Seite 67 Sicherheit 2.6 Externe Authentifizierung Abb. 20: Dialog Benutzer-Firewall-Konten EAGLE Web Release 5.2 02/2012...
Seite 68: Authentifizierungslisten
Sicherheit 2.6 Externe Authentifizierung Parameter Bedeutung Mögliche Werte Kontoname Eingeben des Namens eines Benutzers 1-128 ASCII-Zeichen (Kontoname), der sich im Anmeldefenster unter dem Login-Typ „Benutzer-Firewall“ anmelden kann. Passwort für Eingeben des Passworts dieses Benutzers . Maximal 5-32 Zeichen lokale Authenti- fizierung Authentifizie- Auswählen einer Authentifizierungsliste...
Seite 69 Sicherheit 2.6 Externe Authentifizierung Im Lieferzustand bietet Ihnen dieser Dialog bereits die Authentifzierungs- listen „userFirewallLoginDefaultList“ und „systemLoginDefaultList“ zur Erleichterung der Konfiguration. Abb. 21: Authentifizierungslisten Bei „Authentifizierungsliste für unbekannte System-Login-Benutzer“ wählen Sie bei Bedarf eine der Authentifizierungslisten aus, die das Gerät beim Administrations-Zugriff eines unbekannten Benutzers anwenden soll.
Seite 70 Sicherheit 2.6 Externe Authentifizierung Parameter Bedeutung Mögliche Werte Name Name der Authentifzierungsliste. Beliebige ASCII-Zeichen „userFirewallLoginDefaultList“ und „systemLoginDefaultList“ sind im Liefer- zustand bereits angelegt. Erste Methode Festlegen der Authentifizierungsmethode, none - Zugriff auf das Gerät die das Gerät zuerst anwendet. ohne Authentifizierung local - Authentifizierung von Benutzer und Password durch das Gerät...
Seite 71: Radius-Server
Sicherheit 2.6 Externe Authentifizierung 2.6.3 RADIUS-Server RADIUS (Remote Authentication Dial-In User Service) ist ein Client-Server- Protokoll für die zentrale Authentifizierung von Benutzern und Endgeräten (AAA-System). Dieser Dialog bietet Ihnen die Möglichkeit, die Daten für 1 bis 3 RADIUS- Server einzugeben. Ist in Externe Authentifizierung:Authentifizierungslisten „radius“...
Seite 72 Sicherheit 2.6 Externe Authentifizierung Parameter Bedeutung Mögliche Werte Wiederholungs- Eingeben, wie oft das Gerät eine unbeant- 1 bis 15 versuche wortete Anforderung an den RADIUS-Server wiederholt, bevor das Gerät die Anforderung an einen anderen RADIUS-Server schickt. Zeitüberschrei- Eingeben, wie lange (in Sekunden) das Gerät 1-30 tung nach einer Anforderung an den RADIUS-...
Seite 73: Login-Banner
Sicherheit 2.7 Login-Banner 2.7 Login-Banner Dieser Dialog bietet Ihnen die Möglichkeit, ein Login-Banner einzugeben. Das Gerät gibt das Login-Banner aus, wenn sich ein Benutzer in die Benutzerschnittstelle (Web-based Interface oder CLI) einloggen möchte. Das Login-Banner kann bis zu 255 Zeichen lang sein. Erlaubt sind die Zeichen im Bereich ASCII-Code 0x20 (Leerzeichen, „...
Seite 74 Sicherheit 2.7 Login-Banner EAGLE Web Release 5.2 02/2012...
Seite 75: Zeit
Zeit 3 Zeit EAGLE Web Release 5.2 02/2012...
Seite 76: Zeit 3.1 Grundeinstellungen
Zeit 3.1 Grundeinstellungen 3.1 Grundeinstellungen Dieser Dialog bietet Ihnen die Möglichkeit, allgemeine zeitbezogene Einstellungen vorzunehmen. Abb. 23: Dialog Zeit:Grundeinstellungen  Die „Systemzeit (UTC)" zeigt die Uhrzeit bezogen auf die koordinierte Weltzeitskala UTC (Universal Time Coordinated) an. Die Anzeige ist weltweit gleich. Lokale Zeitverschiebungen bleiben unberücksichtigt.
Seite 77 Zeit 3.1 Grundeinstellungen  „Quelle der Zeit“ zeigt den Ursprung der Systemzeit (UTC) an. Das Gerät wählt automatisch die verfügbare Quelle mit der höchsten Genauigkeit. Mögliche Quellen sind: local, sntp und ntp. – Die Quelle ist zunächst local. Dies ist die Systemuhr des Gerätes. –...
Seite 78: Sntp-Konfiguration
Zeit 3.2 SNTP-Konfiguration 3.2 SNTP-Konfiguration Das Simple Network Time Protocol (SNTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die SNTP-Client- und die SNTP-Server-Funktion. Der SNTP-Server stellt die UTC (Universal Time Coordinated) zur Verfügung. Die UTC ist die auf die koordinierte Weltzeitmessung bezogene Uhrzeit.
Seite 79 Zeit 3.2 SNTP-Konfiguration  Konfiguration SNTP-Client  In „Externe Server-Adresse“ geben Sie die IP-Adresse des SNTP- Servers ein, von dem das Gerät zyklisch die Systemzeit anfordert.  In „Redundante Server-Adresse“ geben Sie die IP-Adresse eines weiteren SNTP-Servers ein. Von diesem fordert das Gerät die Systemzeit an, wenn es 1 Sekunde nach einer Anforderung an die „Externe Server-Adresse“...
Seite 80 Zeit 3.2 SNTP-Konfiguration IP-Zieladresse SNTP-Paket versenden an 0.0.0.0 Niemand Unicast-Adresse (0.0.0.1 - 223.255.255.254) Unicast-Adresse Tab. 36: Zieladressklassen für SNTP- und NTP-Pakete Multicast-Adresse (224.0.0.0 - 239.255.255.254), Multicast-Adresse insbesondere 224.0.1.1 (NTP-Adresse) 255.255.255.255 Broadcast-Adresse Abb. 24: Dialog SNTP EAGLE Web Release 5.2 02/2012...
Seite 81: Ntp-Konfiguration
Zeit 3.3 NTP-Konfiguration 3.3 NTP-Konfiguration Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die NTP- Client- und die NTP-Server-Funktion. Das Gerät kann mit Hilfe von NTP die Zeit genauer bestimmen als mit SNTP. Somit kann es als NTP-Server auch eine genauere Uhrzeit anbieten.
Seite 82 Zeit 3.3 NTP-Konfiguration „Symmetric Passive“ (Modus 2) - client: ausschließlich der NTP-Client ist aktiv, der Assoziations-Modus ist „Client“ (Modus 3) - server: ausschließlich der NTP-Server ist aktiv, der Assoziations-Modus ist „Server“ (Modus 4). - client-server: NTP-Client und NTP-Server sind aktiv. Der Assoziations-Modus des Clients ist „Client“...
Seite 83 Zeit 3.3 NTP-Konfiguration  Konfiguration NTP-Server  In „Anycast-Zieladresse“ geben Sie die IP-Adresse an, an die der NTP-Server des Gerätes seine NTP-Pakete schickt (siehe Tab. 36).  In „Anycast-Sendeintervall“ geben Sie den Zeitabstand an, in dem das Gerät NTP-Pakete verschickt (gültige Werte: 1 s bis 3.600 s, Lieferzu- stand: 128 s).
Seite 84 Zeit 3.3 NTP-Konfiguration EAGLE Web Release 5.2 02/2012...
Seite 85: Netzsicherheit
Netzsicherheit 4 Netzsicherheit Um Sie bei der Herstellung der Netzsicherheit zu unterstützen, bietet Ihnen die Firewall:  Paketfilter mit Adressvorlagen und Firewall-Lern-Modus  NAT - Network Address Translation  DoS - Unterstützung beim Schutz vor Denial of Service (DoS)  Benutzer-Firewall Die Firewall beobachtet und überwacht den Datenverkehr.
Seite 86: Paketfilter
Netzsicherheit 4.1 Paketfilter 4.1 Paketfilter Im Untermenü Paketfilter haben Sie die Möglichkeit, Regeln zu erstellen, nach denen die Firewall empfangene Datenpakete behandelt. Die Firewall kann Datenpakete akzeptieren, d. h. weiterleiten, verwerfen oder zurück- weisen. Sie haben die Möglichkeit:  Regeln selbst zu erstellen, ...
Seite 87 Netzsicherheit 4.1 Paketfilter Einstellungen im Lieferzustand:  Im Lieferzustand sind keine Adressvorlagen definiert.  Der Assistent für den Firewall-Lern-Modus ist ausgeschaltet.  Die Firewall ist asymmetrisch. Das bedeutet: – Sie vermittelt die Datenpakete vom internen Netz in das externe Netz. Die Tabelle für das interne Interface enthält dazu eine sichtbare Regel „alles akzeptieren“.
Seite 88: Adressvorlagen
Netzsicherheit 4.1 Paketfilter 4.1.1 Adressvorlagen Dieser Dialog bietet Ihnen die Möglichkeit, Adressvorlagen zu erzeugen, mit deren Hilfe Sie IP-Paketfilter-Einträge einfacher und schneller erstellen und anpassen können. Eine Adressvorlage besteht aus 1 oder mehreren Adress- Einträgen mit dem selben Namen. Das Gerät erzeugt aus einem Paketfilter-Eintrag mit Variablen automatisch die passenden Paketfilter-Einträge.
Seite 89 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstellung Listen-Name Name eines Eintrags einer Adress- 1-19 ASCII- vorlage. Zeichen, empfohlen: im Bereich 0x21 („!“) bis 0x7e („~“) Hinweis: Die aktiven Einträge mit dem selben Namen bilden zusammen eine Adressvorlage. Index Fortlaufender Zeilenindex. IP-Adresse IP-Adressbereich des Eintrags in CIDR- Gültiger IPv4-...
Seite 90: Firewall-Lern-Modus (Flm)
Netzsicherheit 4.1 Paketfilter Hinweis: Die maximale Anzahl aktiver Einträge in den Adressvorlagen ist durch die maximale Anzahl der IP-Paketfilter-Einträge beschränkt (siehe auf Seite 110 „Ein- und ausgehende IP-Pakete“). 4.1.2 Firewall-Lern-Modus (FLM) Der Firewall-Lern-Modus ist ein innovativer Einrichtungsassistent. Er unterstützt sie bei der Analyse des Verkehrs und der Erstellung passender Regeln zum Erlauben von erwünschtem Verkehr.
Seite 91 Netzsicherheit 4.1 Paketfilter Führen Sie zur FLM-unterstützten Regel-Erstellung folgende Schritte aus:  Setzen Sie die Firewall an der vorgesehenen Stelle in Ihr Netz ein.  Aktivieren Sie den FLM-Assistenten an den gewünschten Interfaces der Firewall (typischerweise an beiden Interface).  Starten Sie den eigentlichen Lern-Modus. ...
Seite 92 Netzsicherheit 4.1 Paketfilter Akzeptieren Sie nach dem Abschluss der Lern- und Test-Phase die aus den gelernten Daten abgeleiteten, temporären Regeln, verhält sich die Firewall in der Regel nicht mehr asymmetrisch. Hinweis:  Wenn Sie das Gerät während des Lernens zwischen dem Router- und Transparent-Modus umschalten, kann dies zu unvorhersehbaren Ergeb- nissen führen.
Seite 93 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Schaltet den Assistenten für den Firewall-Lern- Rahmen An, Aus Modus an oder aus. „Funktion“ Rahmen „Konfiguration“ Lernen an Wählt die Interfaces der Firewall aus, auf denen Beide, Beide Interfaces die Firewall Verkehr lernen soll. Internes, Externes ...
Seite 94 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Tasten  Taste „Starte Starte Lernmodus: Starte Starte startet das Lernen von Verkehrsdaten, Lernmodus“/ Lernmodus, Lernmodus wenn noch keine Daten vorhanden sind. „Stoppe Lern- (deaktiviert) Stoppe  modus“/ „Setze Stoppe Lernmodus: Lernmodus, Lernmodus fort“...
Seite 95 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Werte- Vorein- bereich stellung Rahmen „Information“  Status Aus: Das Lernen ist nicht aktiv.  Keine Daten. Modus wählen und Lernen starten: Das Lernen ist inaktiv und die Firewall hat noch keine Daten gelernt.  Angehalten.
Seite 96 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Werte- Vorein- bereich stellung IP-Einträge Anzahl der bisher gelernten Layer 3-Verbindungen, die an den gewählten Interfaces eingegangen sind. Bei TCP-Paketen zählt die Firewall nur den Verbin- dungsaufbau. Bei anderen Layer 4-Protokollen zählt sie nur das 1. Paket einer Verbindung. Eine Verbindung ist eine eindeutige Kombination aus Quell- und Ziel-Adressen, Quell- und Ziel-Ports und der Layer 4-Protokoll-Nr.
Seite 97 Netzsicherheit 4.1 Paketfilter Abb. 26: Dialog Firewall-Lern-Modus, Karteikarte „FLM-Steuerung“ EAGLE Web Release 5.2 02/2012...
Seite 98 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Rahmen „Erfasste Daten“ Index Fortlaufender Zeilenindex. Quelladresse Gelernte IP-Quelladresse IPv4-Adresse Quellport Gelernter UDP- oder TCP-Quellport 0-65.535 Zieladresse Gelernte IP-Zieladresse IPv4-Adresse Zielport Gelernter UDP- oder TCP-Zielport (ICMP 0). 0-65.535 Protokoll Gelernte Layer 4-Protokoll-Nr. aus dem IP- 0-255, icmp, Header.
Seite 99 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Ausblenden von Aktivieren Sie diese Funktion, dann blendet Verbindungen, die das Gerät die gelernten Einträge aus, die von vom gelernten einer der Regel abgedeckt sind, statt diese Regelsatz abge- grün zu markieren. deckt sind Aktivieren Sie diese Funktion, wenn Sie ausschließlich die noch nicht von Regeln...
Seite 100 Netzsicherheit 4.1 Paketfilter Protokoll Port-Nr. Foundation Fieldbus LAN Redundancy Port 3622 LonWorks 2540 LonWorks2 2541 Modbus/TCP Profinet RT Unicast 34962 Profinet RT Multicast 34963 Profinet Context Manager 34964 IEC 60870-5-104 2404 20000 Ethercat 34980 Tab. 42: Beispiele für registrierte Portnummern Hinweis: Unter http://www.iana.org/assignments/port-numbers finden Sie...
Seite 101 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Hinweis: Die meisten Spalten in dieser Rahmen Tabelle sind mit denen in den Dialogen „Regeln“ Eingehende IP-Pakete und Ausgehende IP-Pakete identisch. Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses Eintrags. 0-128 ASCII- Hat die Firewall den Eintrag aus den gelernten Zeichen Daten des Firewall-Lern-Modus (FLM) erstellt, trägt das Gerät den Text „learned by FLM“...
Seite 102 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Quellport Logischer Quellport des Datenpaketes any = alle Zur Auswahl mehrerer Ports können Sie auch Operatoren (op) verwenden: op port gleich != ungleich port 1 op kleiner < port 2 <= kleiner gleich größer >...
Seite 103 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Quellport Um eingehende IP-Pakete selektiv auf type <t> (Fortsetzung) bestimmte ICMP-Traffic-Kriterien zu prüfen, [code <c>] verwenden Sie: - für den Parameter „Protokoll” die Angabe icmp - für den Parameter „Quellport” die folgende Definition für ICMP-Typ und -Code: type <t>...
Seite 104 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Protokoll Folgende Protokolle können Sie als ASCII- any = alle, Zeichen eingeben: tcp, udp,  any Beliebiges Layer 4-Protokoll icmp,  tcp Transmission Control Protocol (außerdem: (RFC 793) igmp, ipip,  udp User Datagram Protocol (RFC 768) esp, ah, ...
Seite 105 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Aktion Aktion, die die Firewall durchführt, wenn die accept accept Regel zutrifft. Hinweis: Haben Sie die Regel im Firewall- Lern-Modus erstellt, ist die Aktion accept. Diese Einstellung ist innerhalb des FLM- Dialogs unveränderlich. Sie können die Regel später im Dialog Eingehende IP-Pakete oder Ausgehende IP-Pakete modifizieren.
Seite 106 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Werte- Vorein- bereich stellung  Taste „Zum Test Zum Test freigeben: Fügt die Regeln des temporären Regel-Satzes zum Test in die freigeben“/ „Frei- gabe aufheben“ vorläufig Produktiv-Regelbasis ein. Das Gerät sperrt dabei die freigegebenen Regeln gegen Veränderungen in der Produktiv-Regel- basis.
Seite 107 Netzsicherheit 4.1 Paketfilter Abb. 27: Dialog Firewall-Lern-Modus, Karteikarte „Externes Interface“ Details des Beispiel-Screen-Shots Abb. 27 zeigt die Dialog-Karteikarte „Externes Interface“ nach den folgenden Schritten: Der Benutzer hat:  den Lern-Modus gestartet,  von einer Workstation aus auf das Web-based Interface eines Switch im internen Netz zugegriffen (das Web-based Interface geladen und Dialoge geöffnet), ...
Seite 108 Netzsicherheit 4.1 Paketfilter Abb. 27 zeigt folgende Details:  Die weißen Zeilen der erfassten Daten zeigen, dass die Firewall am externen Interface NetBIOS-Verkehr von verschiedenen Hosts an die Netzwerk-Broadcast-Adresse 10.115.63.255 gelernt hat. Dieser Verkehr ist unerwünscht, deshalb hat der Benutzer dafür keine Regeln angelegt. ...
Seite 109 Netzsicherheit 4.1 Paketfilter Die Firewall wird nun:  Den SNMP- und HTTP-Verkehr von der Workstation zum Switch erlauben. Diesen Verkehr übergeht die Firewall nun beim Lernen.  Nur den noch nicht erlaubten Verkehr lernen. So hilft sie dem Benutzer, ggf. weiteren erwünschten Verkehr zu entdecken und zu analysieren. Somit unterstützt Sie den Benutzer, seine Regeln zu verfeinern.
Seite 110: Ein- Und Ausgehende Ip-Pakete
Netzsicherheit 4.1 Paketfilter 4.1.3 Ein- und ausgehende IP-Pakete Die Firewall bietet Ihnen die Möglichkeit, am externen und internen Port eingehende IP-Pakete zu prüfen auf:  den logischen Port  die Quell-IP-Adresse  den logischen Zielport  die Ziel-IP-Adresse  das Übertragungsprotokoll Sie haben die Möglichkeit, bei jedem Paket, das mit keiner der Regeln der Tabelle übereinstimmt, sondern nur mit der unsichtbaren Default-Regel „alles verwerfen“, einen Log-Eintrag zu erzeugen.
Seite 111 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses Eintrags. 0-128 ASCII- Hat die Firewall den Eintrag aus den gelernten Zeichen Daten des Firewall-Lern-Modus (FLM) erstellt, trägt das Gerät den Text „learned by FLM“ ein. Aktiv Aktivieren/Deaktivieren der Regel ein/aus...
Seite 112 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Quellport Logischer Quellport des Datenpaketes any = alle Zur Auswahl mehrerer Ports können Sie auch Operatoren (op) verwenden: op port gleich != ungleich port 1 op kleiner < port 2 <= kleiner gleich größer >...
Seite 113 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Quellport Um eingehende IP-Pakete selektiv auf type <t> (Fortsetzung) bestimmte ICMP-Traffic-Kriterien zu prüfen, [code <c>] verwenden Sie: - für den Parameter „Protokoll” die Angabe icmp - für den Parameter „Quellport” die folgende Definition für ICMP-Typ und -Code: type <t>...
Seite 114 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Protokoll Folgende Protokolle können Sie als ASCII- any = alle, Zeichen eingeben: tcp, udp, icmp,  any Beliebiges Layer 4-Protokoll (außerdem:  tcp Transmission Control Protocol igmp, ipip, (RFC 793) esp, ah, ...
Seite 115 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstel- lung Eintrag in die Ereignis-Liste, wenn die Firewall enable, disable die Regel anwendet. Ggf. sendet das Gerät disable, zusätzlich einen Trap. logAndTrap Hinweis: Die Einstellung logAndTrap kann große Mengen an Trap-Datenverkehr erzeugen. Dies gilt besonders dann, wenn das Senden des Traps wieder einen Match der Firewall-Regel auslöst (z.B.
Seite 116 Netzsicherheit 4.1 Paketfilter ICMP Name ICMP Name Referenz Code Echo Reply RFC792 No Code RFC792 Destination Unreachable RFC792 Net Unreachable RFC792 Host Unreachable RFC792 Protocol Unreachable RFC792 Port Unreachable RFC792 Fragmentation Needed and Don't RFC792 Fragment was Set Source Route Failed RFC792 Destination Network Unknown RFC1122...
Seite 117: Ein- Und Ausgehende Mac-Pakete
Netzsicherheit 4.1 Paketfilter 4.1.4 Ein- und ausgehende MAC-Pakete Die Firewall bietet Ihnen die Möglichkeit, am externen und internen Port eingehende MAC-Pakete zu prüfen auf:  die Quell-MAC-Adresse  die Ziel-MAC-Adresse  das Typ-Feld des MAC-Datenpaketes Transparent-Modus Im Transparent-Modus haben folgende Einstellungen Vorrang vor den Einträgen in den MAC-Paketfiltern.
Seite 118 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Voreinstellung Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses 0-127 ASCII- Eintrags Zeichen Aktiv Aktivieren/Deaktivieren der Regel ein/aus Quelladresse MAC-Adresse der eigentlichen Quelle des Datenpaketes. Eingabeformat: 11:22:33:44:55:66 Die Eingabe von „?“ ermöglicht den Einsatz von Wildcards. Beispiel: 1?:22:??:44:55:6?.
Seite 119 Netzsicherheit 4.1 Paketfilter Hinweis: Die Firewall unterstützt bis zu 256 MAC-Regeln. Im Dialog Diagnose:MAC-Firewall-Liste finden Sie die Zusammenfassung der aktiven Regeln. EAGLE Web Release 5.2 02/2012...
Seite 120: Eingehende Ppp-Pakete
Netzsicherheit 4.1 Paketfilter 4.1.5 Eingehende PPP-Pakete Die Firewall bietet Ihnen die Möglichkeit, am externen Port eingehende PPP- Pakete zu prüfen auf:  den logischen Port  die Quell-IP-Adresse  den logischen Zielport  die Ziel-IP-Adresse  das Übertragungsprotokoll Sie haben die Möglichkeit, bei jedem Paket, das mit keiner der Regeln der Tabelle übereinstimmt, sondern nur mit der unsichtbaren Default-Regel „alles verwerfen“, einen Log-Eintrag zu erzeugen.
Seite 121 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses 0-127 ASCII-Zeichen Eintrags Aktiv Aktivieren/Deaktivieren der Regel ein/aus Quelladresse IP-Adresse mit Netzmaske (CIDR) der IP-Adresse mit Netz- (CIDR) eigentlichen Quelle des Datenpaketes maske, any = alle, me = eigene IP- Adresse Quellport...
Seite 122 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Zieladresse (CIDR) IP-Adresse mit Netzmaske (CIDR) des IP-Adresse mit Netz- eigentlichen Ziels des Datenpaketes maske, any = alle, me = eigene IP- Adresse Zielport Logischer Zielport des Datenpaketes any = alle Zur Auswahl mehrerer Ports können op port Sie die gleichen Operatoren wie beim port 1 op port 2...
Seite 123 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Protokoll Folgende Protokolle können Sie als any = alle, ASCII-Zeichen eingeben: tcp, udp, icmp,  any Beliebiges Layer 4-Protokoll (außerdem: igmp,  tcp Transmission Control ipip, esp, ah, Protocol (RFC 793) ipv6-icmp, ...
Seite 124 Netzsicherheit 4.1 Paketfilter Parameter Bedeutung Wertebereich Vorein- stellung Eintrag in die Ereignis-Liste, wenn die enable, disable, disable Firewall die Regel anwendet. Ggf. logAndTrap sendet das Gerät zusätzlich einen Trap. Hinweis: Die Einstellung logAndTrap kann große Mengen an Trap-Datenverkehr erzeugen. Dies gilt besonders dann, wenn das Senden des Traps wieder einen Match der Firewall-Regel auslöst (z.B.
Seite 125: Nat - Network Address Translation
Netzsicherheit 4.2 NAT – Network Address Translation 4.2 NAT – Network Address Translation Die Firewall bietet Ihnen folgende Funktionen des Network Address Translation Protokolls:  IP-Masquerading  1:1-NAT  Portweiterleitung Das 1:1-NAT bietet Ihnen die Möglichkeit, Kommunikations-Verbindungen in beide Richtungen aufzubauen. 4.2.1 Allgemeine NAT-Einstellungen Die Einstellungen in diesem Dialog gelten für alle NAT-Verfahren...
Seite 126: Ip-Masquerading
Netzsicherheit 4.2 NAT – Network Address Translation 4.2.2 IP-Masquerading Dieser Dialog bietet Ihnen die Möglichkeit, bis zu 128 interne Netze in die Network-Address-Translation mit einzubeziehen. Parameter Bedeutung Wertebereich Voreinstellung Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses 0-127 ASCII- Eintrags Zeichen Aktiv Aktivieren/Deaktivieren der Regel ein/aus...
Seite 127 Netzsicherheit 4.2 NAT – Network Address Translation Bei 1:1-NAT arbeitet das Gerät als Router und ordnet für ein Endgerät im internen Netz eine weitere IP-Adresse im externen Netz zu. Dazu beant- wortet das Gerät als Proxy die ARP-Anfragen für die zusätzliche IP-Adresse im externen Netz.
Seite 128 Netzsicherheit 4.2 NAT – Network Address Translation Parameter Bedeutung Wertebereich Voreinstellung Index Fortlaufender Zeilenindex. Beschreibung Beliebige Beschreibung dieses Eintrags 0-127 ASCII- Zeichen Aktiv Aktivieren/Deaktivieren der Regel ein/aus Internes Netz IP-Adresse des internen Netzes bzw. IP-Adresse 192.168.1.1 die kleinste IP-Adresse des Netzbereiches des inneren Netzes Externes Netz IP-Adresse des externen Netzes bzw.
Seite 129 Netzsicherheit 4.2 NAT – Network Address Translation Das Gerät bietet Ihnen die Möglichkeit, 1:1-NAT mit der Router-Redundanz zu kombinieren (siehe auf Seite 163 „Router-Redundanz“). EAGLE Web Release 5.2 02/2012...
Seite 130: Portweiterleitung
Netzsicherheit 4.2 NAT – Network Address Translation 4.2.4 Portweiterleitung Ein Gerät kann aus dem externen Netz eine Kommunikation zu einem Gerät im internen Netz aufbauen, wenn Sie zuvor in der Tabelle die Weiterleitungs- bedingungen eingetragen haben. Parameter Bedeutung Wertebereich Voreinstellung Index Fortlaufender Zeilenindex.
Seite 131: Nat - Network Address Translation
Netzsicherheit 4.2 NAT – Network Address Translation Parameter Bedeutung Wertebereich Voreinstellung Eingangsport Logischer Ziel-Port des Datenpakets, 0..65.535 das am externen physischen Port zur Weiterleitung ankommt. Verwenden Sie für die Portbezeich- nung Dezimalzahlen. Folgende bekannte Ports können Sie auch als ASCII-Zeichen eingeben: tcp/udp: echo tcp/udp: discard :ftp-data...
Seite 132 Netzsicherheit 4.2 NAT – Network Address Translation Parameter Bedeutung Wertebereich Voreinstellung Aktiv Aktivieren/Deaktivieren der Regel ein/aus Fehler Zeigt die letzte Meldung bei einem erfolglosen Versuch, den Tabelleneintrag zu aktivieren (typischerweise ein erkannter Syntax- fehler). Tab. 52: Portweiterleitung Hinweis: Die Firewall unterstützt bis zu 1024 IP-Regeln. Im Dialog Diagnose:IP-Firewall-Liste finden Sie die Zusammenfassung der aktiven Regeln.
Seite 133: Unterstützung Beim Schutz Vor Denial Of Service (Dos)
Netzsicherheit 4.3 Unterstützung beim Schutz vor Denial of Service (DoS) 4.3 Unterstützung beim Schutz vor Denial of Service (DoS) Diese Funktion unterstützt Sie beim Schutz Ihres Netzes und Ihres Servers vor einem unerlaubten Zugriff durch eine Überflutung mit TCP-Verbin- dungen, Ping-Paketen und ARP-Paketen. Die voreingestellten Werte unter- stützen diese Schutzmaßnahmen bei einem typischen Datenverkehr, ohne den Datenverkehr zu behindern.
Seite 134: Benutzer-Firewall
Netzsicherheit 4.4 Benutzer-Firewall 4.4 Benutzer-Firewall Die Benutzer-Firewall bietet Ihnen die Möglichkeit, bis zu 32 Firewall- Benutzer-Einträge zu erzeugen. Jeder Benutzer-Firewall-Eintrag enthält:  einen Regelsatz, der definiert, welche Datenpakete die Firewall vermitteln darf und welche nicht.  eine Liste der Benutzer, auf die die Firewall diese Regeln anwenden soll. ...
Seite 135: Bearbeiten Eines Benutzer-Firewall-Eintrags
Netzsicherheit 4.4 Benutzer-Firewall Parameter Bedeutung Wertebereich Voreinstellung Name Eindeutiger Name zur Identifikation 0-32 ASCII- dieses Eintrags Zeichen Zeitgrenzentyp Bestimmt den Start für das Dekremen- static static, tieren der Zeitgrenze: dynamic static: Mit der Anmeldung des Benutzers beginnt das Dekremen- tieren der Zeitgrenze. dynamic: Nach der Abmeldung beginnt das Dekrementieren der Zeitgrenze.
Seite 136 Netzsicherheit 4.4 Benutzer-Firewall Die Karteikarte Konten bietet Ihnen die Möglichkeit, den oder die Benutzer zu benennen, für den oder die dieser Benutzer-Firewall-Eintrag gilt. Die Benutzer definieren Sie zuvor im Dialog Sicherheit:Externe Authentifizierung:User-Firewall Konten. Parameter Bedeutung Wertebereich Voreinstellung Kontoname Name eines Benutzers aus der Tabelle Sicherheit:Externe Authenti- fizierung:Benutzer-Firewall Konten...
Seite 137 Netzsicherheit 4.4 Benutzer-Firewall Die Karteikarte Regeln bietet Ihnen die Möglichkeit, Regeln für diesen Benutzer-Firewall-Eintrag zu erstellen. Parameter Bedeutung Wertebereich Vorein- stellung Quellport Logischer Quellport des Datenpa- any = alle ketes Zur Auswahl mehrerer Ports können op port Sie auch Operatoren (op) verwenden: port 1 op port 2 gleich...
Seite 138 Netzsicherheit 4.4 Benutzer-Firewall Parameter Bedeutung Wertebereich Vorein- stellung Zielport Logischer Zielport des Datenpa- any = alle ketes op port Zur Auswahl mehrerer Ports können port 1 op port 2 Sie die gleichen Operatoren wie beim Quellport verwenden: Verwenden Sie für die Portbezeich- nung Dezimalzahlen.
Seite 139: Vpn - Virtuelles Privates Netz
VPN – Virtuelles privates Netz 5 VPN – Virtuelles privates Netz Zum Einrichten einer VPN-Verbindungen bietet Ihnen das Gerät einen Assis- tenten. Dieser Assistent führt Sie schrittweise durch die Konfiguration einer VPN- Verbindung. Der Assistent wählt für Sie den nächsten Schritt in Abhängigkeit Ihrer Einstellungen, die Sie bisher getätigt haben.
Seite 140: Verbindungen
VPN – Virtuelles privates Netz 5.1 Verbindungen 5.1 Verbindungen Dieser Dialog bietet Ihnen die Möglichkeit,  bis zu 256 aktive VPN-Verbindungen am externen Port anzulegen und sie mit Namen zu bezeichnen. Jede Zeile (Eintrag) in der Liste stellt eine VPN-Verbindung dar. Bis zu 64 der konfigurierten Verbindungen können gleichzeitig in Betrieb („up“) sein.
Seite 141 VPN – Virtuelles privates Netz 5.1 Verbindungen https://vpn:two@fw2.local/nph-vpn.cgi?name=two&cmd=down Das Feld „Status LED Indication” bietet Ihnen die Möglichkeit, die LED „STATUS” des EAGLE-Gerätes zur Anzeige von aktiven VPN-Verbindungen zu verwenden. Die einstellbaren Werte haben folgende Bedeutung: Einstel- Bedeutung lung STATUS LED „STATUS” des EAGLE-Gerätes ausschließlich zur Anzeige von Zugriffen des Flash Memory oder eines ACA (AutoConfiguration Adapter) auf dem EAGLE-Gerät verwenden (Voreinstellung).
Seite 142 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Client-IP-Adress- IPv4-Adressbereich in CIDR-Notation. Gültiger IPv4- vergabe Adressbereich in CIDR-Notation. Tab. 59: IP-Adressbereich für VPN-Clients (CIDR) Hinweis: Achten Sie bei der Definition des Adressbereichs darauf, dass die Adressen mit den Verkehrs-Selektoren derjenigen VPNs kompatibel sind, aus denen Clients Adressen anfordern.
Seite 143 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Index Zeilenindex zur eindeutigen Identifika- tion einer Verbindung. Name Beliebiger Name für diese Verbindung. 0-128 ASCII- Diesen Namen verwenden Sie auch im Zeichen URL für das ferngesteuerte Aktivieren/ Deaktivieren der Verbindung. Starten als Ausgangsrolle zur Aushandlung des responder...
Seite 144 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Service Mode Aktivieren/Deaktivieren des Service- Ein/Aus Modus. Im Service-Modus aktiviert das Gerät automatisch eine oder mehrere vorkonfigurierte VPN-Verbindungen - wenn die redundante Stromversor- gung des Gerätes außer Funktion ist - wenn Sie die redundante Stromver- sorgung des Gerätes zu diesem Zweck ausschalten.
Seite 145: Bearbeiten Einer Verbindung
VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Aktiv Aktivieren/Deaktivieren der Ein/Aus Verbindung Status Zustand der Verbindung up/ down/ negotiation/ constructing/ dormant/ servicemode-up Exchange Mode mainaggressive: das Gerät mainaggres- mainaggressive verwendet beim Verbindungsaufbau sive/ main/ als Initiator den main-Modus, als aggressive Responder akzeptiert es sowohl den main-, als auch den aggressive-...
Seite 146 VPN – Virtuelles privates Netz 5.1 Verbindungen Die Karteikarte Authentisierung bietet Ihnen die Möglichkeit, die Parameter einzustellen, die das Gerät benötigt, um sich am anderen Ende der VPN-Verbindung zu authentisieren. Parameter Bedeutung Wertebereich Voreinstellung Parameter zum anzuwendenden Rahmen Schlüssel Schlüssel-Infor- mationen Methode Methode zur Schlüsselauswahl und -...
Seite 147 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Entfernter Typ Auswahl des entfernten Identifikations- typs ipaddr keyid fqdn email asn1dn Entfernte ID Akzeptierte Identifikation für den Schlüsselaustausch von der Gegenstelle entsprechend des oben ausgewählten entfernten Typs. Tab. 62: Authentisierung Die in den Feldern „Lokaler Typ“...
Seite 148 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung PKCS#12-Datei Eine PKCS#12-Datei ist ein Datencontainer, der einzelne Zertifikatsanteile vom PC laden enthält. Alternativ zur PKCS#12-Datei können sie unten die einzelnen Zertifikatsanteile in Form von PEM-Dateien laden. Einträge für das lokale Zertifikat Lokal Zertifikat Das lokale Zertifikat zur Authentisierung am anderen Ende der VPN-...
Seite 149 Lebenszeit der IKE-Sicherheitsbeziehung (IKE- SA) selbst. Wählen Sie die Lebenszeit des Initiators kleiner oder gleich der Lebenszeit des Responders. Kompatibilitäts- Für LANCOM Client und Hirschmann modus EAGLE mGuard. Auswahl der zur verwendenden Algorithmen Verschlüsselungs- und Hash-Algo- rithmen für den Schlüsselaustausch.
Seite 150 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Integrität Authentisierungsalgorithmus für IKE- hmacsha1 Protokollnachrichten. hmacmd5 Die Firewall bietet die Einstellung „any“ hmacsha1 an, wenn sie die Ausgangsrolle „responder“ hat. Verschlüsselung Algorithmus zur Verschlüsselung von aes128 IKE-Protokollnachrichten. Die Firewall bietet die Einstellung „any“ des3 an, wenn sie die Ausgangsrolle aes128...
Seite 151 VPN – Virtuelles privates Netz 5.1 Verbindungen Die in den Feldern „Protokoll“, „Starten als“, „Schlüsselvereinbarung“, „Hash“, „Integrität“ und „Verschlüsselung“ auswählbaren Werte haben folgende Bedeutung: Wert Bedeutung Automatische Auswahl auto IKE-Protokoll Version 1 IKE-Protokoll Version 2 IKE-Antwortender responder IKE-Initiator initiator Angabe der Modular Exponentiation Group, verwendetes Modul beim modp...
Seite 152 VPN – Virtuelles privates Netz 5.1 Verbindungen Die Karteikarte IPsec - Daten-Austausch bietet Ihnen die Möglich- keit, die Parameter für den Daten-Austausch einzustellen. Parameter Bedeutung Wertebereich Voreinstellung Modus Betriebsart Wahl der VPN-Betriebsart transport transport (Encapsulation) tunnel NAT-T erzwingen Network Address Translation - ein/aus Traversal: Befinden sich im Übertra- gungsweg NAT-Router, trifft IPsec...
Seite 153 VPN – Virtuelles privates Netz 5.1 Verbindungen Die in den Feldern „Betriebsart Encapsulation“, „Schlüsselvereinbarung“, „Integrität“ und „Verschlüsselung“ auswählbaren Werte haben folgende Bedeutung: Wertebereich Bedeutung Angabe der Modular Exponentiation Group, verwendetes Modul beim modp... Diffie-Hellman-Schlüsselaustausch. Hash Message Authentication Code, basierend auf MD5 hmacmd5 Hash Message Authentication Code, basierend auf SHA1 hmacsha1...
Seite 154 VPN – Virtuelles privates Netz 5.1 Verbindungen Die Karteikarte IP-Netze bietet Ihnen die Möglichkeit, die Parameter für die IP-Netze am internen Port, deren Daten über die VPN-Verbindung übertragen werden sollen, einzustellen. Die Firewall vermittelt und verschlüsselt ausschließlich die Daten durch den Tunnel, die einem Eintrag in dieser Tabelle entsprechen.
Seite 155 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Quellport Logischer Quellport des Daten- any = alle paketes. op port Verwenden Sie für die Portbezeich- op port 1 op nung Dezimalzahlen. Folgende port 2 bekannte Ports können Sie auch als ASCII-Zeichen eingeben: tcp/udp: echo tcp/udp: discard, sink,...
Seite 156 VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Policy Das EAGLE-Gerät wendet diese require require, use Sicherheitsvorgaben für den Verkehr durch eine VPN-Verbindung. Das EAGLE-Gerät unterstützt folgende Sicherheitsvorgaben: – require: Zum Aufbau einer VPN- Verbindung benötigt das EAGLE- Gerät die Verschlüsselung der Daten.
Seite 157: Löschen Einer Verbindung
VPN – Virtuelles privates Netz 5.1 Verbindungen Parameter Bedeutung Wertebereich Voreinstellung Gemappte Zielad- Das EAGLE-Gerät ersetzt die IP-Ziel- ress (CIDR) adresse der aus der VPN-Verbindung empfangenen Daten durch eine IP- Adresse aus diesem Adressbereich. Voraussetzung: Protokoll = any Aktiv Aktivieren/Deaktivieren der Regel ein/aus Tab.
Seite 158 VPN – Virtuelles privates Netz 5.1 Verbindungen EAGLE Web Release 5.2 02/2012...
Seite 159: Redundanz
Redundanz 6 Redundanz Die Redundanzfunktionen bieten Ihnen die Möglichkeit, redundante Wege über eine redundante Firewall bereitzustellen. Stellt die Firewall, die momentan vermittelt, eine Kommunikationsunterbre- chung fest (z. B. einen unterbrochenen Link), sendet sie die Information an ihre Partner-Firewall, die darauf die Vermittlung übernimmt. Abhängig von der Netz-Betriebsart-Einstellung bietet Ihnen die Firewall: ...
Seite 160: Transparent-Redundanz
6.1 Transparent-Redundanz Die Transparent-Redundanz-Funktion bietet Ihnen die Möglichkeit, die Firewall in den Pfad der redundanten Ring-/Netzkopplung einzubinden (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann- Gerätes, das die redundante Kopplung unterstützt). Die Transparent-Redundanz-Funktion können Sie einsetzen, wenn Sie die Firewall im Transparent-Modus betreiben.
Seite 161 Redundanz 6.1 Transparent-Redundanz Parameter Bedeutung Wertebereich Voreinstellung Funktion Die Transparent-Redundanz ein-/ An, Aus ausschalten. Voraussetzung: Im Dialog Grundeinstellungen:Netz: Global ist der Modus transparent ausgewählt. Transparent- Modus Master- oder Slave- Der Port des EAGLE, der mit dem internal, external Port Master (über die Hauptleitung) oder external mit dem Slave (über die redundante Leitung) der Ringkopplung verbunden...
Seite 162 Ring-/Netzkopplung, in den Sie die Firewall eingebunden haben (siehe Anwender-Handbuch Redundanz-Konfiguration Ihres Hirschmann-Gerätes, das die redun- dante Kopplung unterstützt). Tab. 70: Transparent-Redundanz Hinweis: Die redundante Kopplung schaltet unmittelbar nach der Wieder- herstellung der Hauptverbindung die Vermittlung von der redundanten Leitung zur Hauptleitung um.
Seite 163: Router-Redundanz
Redundanz 6.2 Router-Redundanz 6.2 Router-Redundanz Die Router-Redundanz-Funktion bietet Ihnen die Möglichkeit, für die Firewall selbst eine redundante Firewall im Netz bereitzustellen. In diesem Fall fasst die Firewall-Router-Redundanz-Funktion zwei Firewalls zu einer virtuellen Firewall zusammen. Beide Firewalls besitzen ein gemeinsames virtuelles Interface, welches die jeweils aktive Firewall verwendet.
Seite 164 Redundanz 6.2 Router-Redundanz Parameter Bedeutung Wertebereich Voreinstellung Konfiguration Funktion An/Aus Die Router-Redundanz ein-/ An, Aus ausschalten. Voraussetzung: Im Dialog Grundeinstellungen:Netz: Grundeinstellungen ist der Modus router ausgewählt. Priorität Die Priorität dient der Bestimmung, 1-255 welches Gerät die Redundanzfunktion übernimmt. Das Gerät mit der niedri- geren Priorität (kleinere Zahl) über- nimmt die Redundanzfunktion.
Seite 165 Redundanz 6.2 Router-Redundanz Das Gerät bietet Ihnen die Möglichkeit, die Router-Redundanz mit 1:1-NAT zu kombinieren (siehe auf Seite 126 „1:1-NAT“). Die ICMP-Host-Check-Funktion bietet Ihnen die Möglichkeit, die Erreichbar- keit von Geräten bei einzelnen Verbindungsunterbrechungen im Netz von der Firewall prüfen zu lassen. Die Firewalls entscheiden an Hand dieser Prüfung, welche Firewall die aktive Vermittlungsfunktion übernimmt.
Seite 166 Redundanz 6.2 Router-Redundanz Parameter Bedeutung Wertebereich Vorein- stellung Funktion An/Aus Den ICMP-Host-Check ein-/ An, Aus ausschalten. Status Zustandsanzeige der Überprüfung out of service, der Erreichbarkeit der in der Tabelle service enabled, eingetragenen Ping-Geräte. host check running Index Fortlaufender Zeilenindex. Port Port, an dem die Firewall die Ping- internal internal, external...
Seite 167: Diagnose
Diagnose 7 Diagnose Das Diagnose-Menü enthält folgende Tabellen und Dialoge:  Ereignisse  Ereignis-Log  Syslog-Server  Ereignis-Einstellungen  Erweiterte Einstellungen  Ports  Netzlast  Statistiktabelle  ARP-Einträge  Topologie-Erkennung  Gerätestatus  Meldekontakt  Alarme (Traps)  Bericht ...
Seite 168: Ereignisse
Diagnose 7.1 Ereignisse 7.1 Ereignisse Die Dialoge bieten Ihnen folgende Möglichkeiten:  Ereignis-Log: Auswählen der zu loggenden Ereignisse, Anzeigen und Speichern der Ereignis-Log-Datei.  Syslog-Server: Konfiguration der Syslog-Server-Einstellungen, um Ereignismeldungen auf einen Syslog-Server zu übertragen.  Ereignis-Einstellungen: Auswählen, ab welchem Mindest-Schweregrad das Gerät Ereignisse in die Ereignis-Log-Datei übernimmt und welche davon es auf einen ange- schlossenen ACA schreibt.
Seite 169 Diagnose 7.1 Ereignisse Abb. 28: Dialog Ereignis-Log  Wählen Sie die Ereignis-Kategorien aus, die das Gerät in der Anzeige auflisten soll. Die Bedeutung der Kategorien entnehmen Sie dem Dialog Ereignis-Einstellungen (siehe Abb. 30).  Klicken Sie auf „Schreiben“, um die ausgewählten Kategorien auf Ihrer Workstation (nicht auf dem Gerät selbst!) zu speichern.
Seite 170: Syslog-Server
Diagnose 7.1 Ereignisse Hinweis: Die Log-Datei hat folgende Eigenschaften: – Die maximale Anzahl der Einträge in der Log-Datei ist 4.143. – Ist die maximale Anzahl der Einträge erreicht, werden die ältesten Einträge durch die neuen überschrieben. – Gleiche Einträge, die sich zusammenhängend wiederholen, werden zusammengefasst.
Seite 171: Ereignis-Einstellungen
Diagnose 7.1 Ereignisse Abb. 29: Dialog Syslog-Server  In „IP-Adresse“ geben Sie die IP-Adresse des Syslog-Servers ein.  In „Port“ geben Sie die Portnummer ein. Voreinstellung: 514 (Syslog- Protokoll). Geben Sie auf dem Gerät und dem Syslog-Server die gleiche Portnummer ein. 7.1.3 Ereignis-Einstellungen Dieser Dialog bietet Ihnen die Möglichkeit, für jede Ereignis-Kategorie einen...
Seite 172 Diagnose 7.1 Ereignisse Abb. 30: Dialog Ereignis-Einstellungen  Wählen Sie für jede Kategorie unter „Schweregrad“ das gewünschte Ereignisattribut (siehe Tab. 73), ab der das Gerät die Ereignisse protokolliert. Sie haben durch Mehrfachselektion die Möglichkeit, mehreren Kategorien in einem Schritt den selben Schweregrad zuzuweisen. ...
Seite 173 Diagnose 7.1 Ereignisse Name Bedeutung emergency Die Funktion steht nicht mehr zur Verfügung. Dies hat Einfluss auf andere Funktionen. Das Gerät führt in der Regel einen Neustart durch. alert Die Funktion steht nicht mehr zur Verfügung. Dies kann Einfluss auf andere Funktionen haben.
Seite 174: Erweiterte Einstellungen
Diagnose 7.1 Ereignisse 7.1.4 Erweiterte Einstellungen SNMP-Logging  Das Gerät bietet Ihnen im Rahmen „SNMP-Logging“ die Möglichkeit, die SNMP-Anfragen an das Gerät als Ereignisse zu behandeln. Dabei haben Sie die Möglichkeit, GET- und SET-Anfragen getrennt zu behandeln und den erzeugten Ereignis-Log-Einträgen einen Schweregrad zuzuweisen. Parameter Bedeutung Wertebereich...
Seite 175 Diagnose 7.1 Ereignisse Das Gerät schreibt die persistenten Log-Dateien in das Verzeichnis „/log“ des ACA. Die aktuelle Log-Datei hat den Dateinamen „messages“, ältere Log-Dateien im Archiv haben die Namen „messages.0“ bis „messages.97“. Erreicht die aktuelle Log-Datei ihre Maximalgröße, benennt das Gerät sie in die Archiv-Datei „messages.0“ um und öffnet eine neue aktuelle Log-Datei.
Seite 176 Diagnose 7.1 Ereignisse Hinweis: Um persistente Log-Dateien zu aktivieren, setzen Sie sowohl die maximale Größe als auch die maximale Anzahl der der Log-Dateien auf Werte > 0. Hinweis: Wählen Sie nur die für Sie notwendigen Ereignisse zum Schreiben in die persistente Log-Datei aus, da die Daten-Schreibrate des ACA begrenzt ist.
Seite 177: Ports
Diagnose 7.2 Ports 7.2 Ports Das Port-Menü enthält Anzeigen und Tabellen zu den einzelnen Ports:  Netzlast  Statistiktabelle  ARP-Einträge 7.2.1 Netzlast Diese Tabelle zeigt Ihnen die Netzlast an den einzelnen Ports an. Abb. 31: Dialog Netzlast EAGLE Web Release 5.2 02/2012...
Seite 178: Statistiktabelle
Diagnose 7.2 Ports 7.2.2 Statistiktabelle Diese Tabelle zeigt Ihnen die Inhalte verschiedener Port-Ereigniszähler an. Im Menüpunkt Grundeinstellungen:Neustart bietet das Gerät Ihnen die Möglichkeit, mit „Kaltstart“ oder „Port-Zähler zurücksetzen“ die Ereigniszähler auf 0 zurücksetzen. Parameter MIB-Variable Port ifIndex Empfangene Pakete Summe aus ifInUcastPkts, ifInMulticastPkts und ifInBroadcastPkts Empfangene Unicast-Pakete ifInUcastPkts...
Seite 179: Arp
Diagnose 7.2 Ports Abb. 32: Beispiel für Portstatistiktabelle 7.2.3 Diese Tabelle zeigt Ihnen die ARP-Einträge je Port an. Das Gerät ermittelt mit Hilfe des Address Resolution Protocols (ARP) zur IPAdresse eines Gerätes die zugehörige MAC-Adresse und speichert diese Zuordnung in der ARP-Tabelle ab. EAGLE Web Release 5.2 02/2012...
Seite 180 Diagnose 7.2 Ports Parameter Bedeutung Port Anzeige des Ports, für den dieser Eintrag gilt. IP-Adresse Anzeige der IP-Adresse eines Gerätes, das auf eine ARP-Anfrage an diesem Port geantwortet hat. MAC-Adresse Anzeige der MAC-Adresse eines Gerätes, das auf eine ARP-Anfrage an diesem Port geantwortet hat.
Seite 181: Topologie-Erkennung
Diagnose 7.3 Topologie-Erkennung 7.3 Topologie-Erkennung Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (Link Layer Discovery Protocol, LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ihnen die gesammelten Informationen zu Nachbargeräten an. Mit diesen Informationen ist eine Netzmanagement- station in der Lage, die Struktur Ihres Netzes darzustellen. Abb.
Seite 182 Diagnose 7.3 Topologie-Erkennung Wenn an einem Port sowohl Geräte mit als auch ohne aktive Topologie- Erkennungs-Funktion angeschlossen sind, dann blendet die Topologie- Tabelle die Geräte ohne aktive Topologie-Erkennung aus. Wenn nur Geräte ohne aktive Topologie-Erkennung an einem Port ange- schlossen sind, dann enthält die Tabelle stellvertretend für alle Geräte eine Zeile für diesen Port.
Seite 183: Gerätestatus
Diagnose 7.4 Gerätestatus 7.4 Gerätestatus Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Gerätes. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Das Gerät zeigt seinen aktuellen Status als „Fehler“ oder „Ok“ im Rahmen „Gerätestatus“ an. Das Gerät bestimmt diesen Status aus den einzelnen Überwachungsergebnissen.
Seite 184: Die Auswählbaren Ereignisse Haben Folgende Bedeutung
Diagnose 7.4 Gerätestatus Die auswählbaren Ereignisse haben folgende Bedeutung: Name Bedeutung Netzteil ... Versorgungsspannung(en) überwachen/ignorieren Temperatur Eingestellte Temperaturschwelle (siehe auf Seite 16 „System“) auf Über- und Unterschreiten überwachen/ignorieren ACA entfernen Entfernen des ACA überwachen/ignorieren. ACA nicht synchron Nichtübereinstimmung der Konfiguration im Gerät und auf dem ACA überwachen/ignorieren.
Seite 185: Meldekontakt
Diagnose 7.5 Meldekontakt 7.5 Meldekontakt Die Meldekontakte dienen  der Funktionsüberwachung des Geräts,  der Steuerung externer Geräte durch die manuelle Einstellung der Meldekontakte,  der Signalisierung des Gerätestatus des Geräts (Lieferzustand). 7.5.1 Funktionsüberwachung  Wählen Sie im Feld „Modus Meldekontakt“ den Modus „Funktionsüber- wachung“.
Seite 186: Manuelle Einstellung
Diagnose 7.5 Meldekontakt  das Nichtübereinstimmen der aktuellen Konfiguration auf dem Gerät und dem ACA. Wählen Sie ACA nicht synchron „überwachen“, wenn der Meldekontakt diese Nichtübereinstimmung melden soll.  die unterbrochene Verbindung zu mindestens einem Port. Im Lieferzu- stand ignoriert das das Gerät den Linkstatus. Zur Überwachung erkannter Verbindungsfehler markieren Sie außerdem im Dialog Grundeinstellungen:Portkonfiguration in der Tabellen- spalte Verbindungsfehler weitermelden das Kästchen für...
Seite 187: Gerätestatus
Diagnose 7.5 Meldekontakt 7.5.3 Gerätestatus  Wählen Sie im Feld „Modus Meldekontakt“ den Modus „Gerätestatus“. Der Meldekontakt dient in diesem Modus der Überwachung des Geräte- status des Gerätes (siehe auf Seite 183 „Gerätestatus“) und ermöglicht damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestrom- schaltung) meldet das Gerät durch Kontaktunterbrechung den Gerätestatus „Fehler“...
Seite 188 Diagnose 7.5 Meldekontakt Abb. 36: Dialog Meldekontakt EAGLE Web Release 5.2 02/2012...
Seite 189: Alarme (Traps)
Diagnose 7.6 Alarme (Traps) 7.6 Alarme (Traps) Dieser Dialog bietet Ihnen die Möglichkeit festzulegen, welche Ereignisse einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen.  Klicken Sie auf „Eintrag erzeugen“, um das Dialogfenster zur Eingabe eines Namens und der IP-Adresse des Empfängers anzugeben, an den die Traps geschickt werden sollen.
Seite 190 Diagnose 7.6 Alarme (Traps) Die auswählbaren Ereignisse haben folgende Bedeutung: Name Bedeutung Login Ein Zugriff oder Zugriffsversuch auf das Gerät über die serielle Schnittstelle oder über das Netzwerk (SSH) ist erfolgt. Authentifizierung Das Gerät hat einen unerlaubten Zugriff zurückgewiesen, siehe Dialog „SNMP-Zugriff“...
Seite 191 Diagnose 7.6 Alarme (Traps) Abb. 37: Dialog Alarme (Traps) EAGLE Web Release 5.2 02/2012...
Seite 192: Bericht
Diagnose 7.7 Bericht 7.7 Bericht Folgende Berichte stehen zur Diagnose zur Verfügung:  System-Information 7.7.1 System-Information Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. Abb. 38: Dialog System-Information EAGLE Web Release 5.2 02/2012...
Seite 193 Diagnose 7.7 Bericht  Klicken Sie auf „System-Informationen anzeigen“. Das Gerät zeigt die System-Informationen in einer HTML-Datei an.  Klicken Sie auf  „Zurück“, um zum Systeminformations-Fenster zurückzukehren.  „Laden“, um die Anzeige zu aktualisieren.  „Suchen...“, um die Systeminformations-Datei nach einem Schlüsselwort oder einem regulären Ausdruck zu durchsuchen.
Seite 194: Mac-Firewall-Liste
Diagnose 7.8 MAC-Firewall-Liste 7.8 MAC-Firewall-Liste Die MAC-Firewall-Liste zeigt die vom Benutzer angelegten Regeln zuzüglich die durch das System eingetragenen impliziten Regeln der Layer 2- (MAC-) Firewall. Diese Liste kann Ihnen helfen, Ereignis-Log-Einträge zu verstehen und trägt zur Übersicht der Firewall-Konfiguration bei. Parameter Bedeutung Mögliche Werte...
Seite 195 Diagnose 7.8 MAC-Firewall-Liste Parameter Bedeutung Mögliche Werte Eintrag in die Ereignis-Liste, wenn die Regel ja, nein zutrifft. Übereinstim- Zähler, der festhält, wie oft die Regel bereits 0 - 4.294.967.295 (2 - 1) mungen zugetroffen hat Tab. 80: MAC-Firewall-Liste EAGLE Web Release 5.2 02/2012...
Seite 196: Ip-Firewall-Liste
Diagnose 7.9 IP-Firewall-Liste 7.9 IP-Firewall-Liste Die IP-Firewall-Liste zeigt die vom Benutzer angelegten Regeln zuzüglich die durch das System eingetragenen impliziten Regeln der Layer 3- (IP-) Firewall. Diese Liste kann Ihnen helfen, Ereignis-Log-Einträge zu verstehen und trägt zur Übersicht der Firewall-Konfiguration bei. Parameter Bedeutung Mögliche Werte...
Seite 197 Diagnose 7.9 IP-Firewall-Liste Parameter Bedeutung Mögliche Werte Zielport Logischer Zielport des Datenpaketes any = alle op port port 1 op port 2 Protokoll IP-Protokoll any = alle, tcp, udp, icmp Aktion Aktion, die die Firewall durchführt, wenn die accept, drop, reject Regel zutrifft.
Seite 198: Konfigurations-Check
Diagnose 7.10 Konfigurations-Check 7.10 Konfigurations-Check Das Gerät bietet Ihnen die Möglichkeit, seine Konfiguration mit denen seiner Nachbar-Geräte zu vergleichen. Dazu verwendet es die Daten, die es mittels Topologie-Erkennung (LLDP) von seinen Nachbargeräten empfangen hat. Der Dialog listet die erkannten Abweichungen auf, die die Leistungsfähigkeit der Kommunikation zwischen dem Gerät und den erkannten Nachbarge- räten beeinflussen.
Seite 199 Diagnose 7.10 Konfigurations-Check Abb. 39: Konfigurations-Check EAGLE Web Release 5.2 02/2012...
Seite 200 Diagnose 7.10 Konfigurations-Check Parameter Bedeutung Port Port, für den dieser Eintrag gilt. Nachbar- Systemname des Nachbargerätes (siehe auf Seite 17 „Systemdaten“) Systemname Nachbar-IP-Adresse IP-Adresse des Nachbargerätes mit LLDP-Funktion (siehe auf Seite 20 „Netz“) Nachbar-Port Zeigt Informationen zu dem Nachbargerät an. Nachbar-Typ Zeigt den Typ des Nachbargerätes an.
Seite 201: Erreichbarkeits-Test (Ping)
Diagnose 7.11 Erreichbarkeits-Test (Ping) 7.11 Erreichbarkeits-Test (Ping) Dieser Dialog bietet Ihnen die Möglichkeit, einen Erreichbarkeits-Test (Ping) für eine beliebige IP-Adresse direkt vom Gerät aus durchzuführen. Für spezielle Fälle wie z.B. einem Erreichbarkeits-Test durch einen VPN- Tunnel, haben Sie die Möglichkeit, die Quelladresse der Pings manuell vorzugeben.
Seite 202 Diagnose 7.11 Erreichbarkeits-Test (Ping) Parameter Bedeutung Mögliche Werte Quelladresse Absendeadresse für die ICMP-Echo-Anforderungen IPv4-Adresse, (Pings), im Normalfall 0.0.0.0. normalerweise 0.0.0.0 Bei 0.0.0.0 als Quelladresse verwendet die Firewall die IP-Adresse des Interface, an dem die Pings ausgesandt werden. Die Firewall bestimmt das Interface aus der Zieladresse und der Routing-Tabelle.
Seite 203: Erweitert
Erweitert 8 Erweitert Das Erweitert-Menü enthält die Dialoge:   Paketweiterleitung  DHCP-Relay-Agent  DHCP-Server EAGLE Web Release 5.2 02/2012...
Seite 204: Dns
Erweitert 8.1 DNS 8.1 DNS Das Domain-Name-System (DNS) ermöglicht die Verwendung von Namen (z.B. www.example.com) statt IP-Adressen im Internet. Bei der Eingabe von Host-Namen, z.B. zur Herstellung einer Verbindung mit einer Gegenstelle, startet ein Gerät (z.B. ein PC) eine DNS-Anfrage auf einem oder mehreren DNS-Servern nach der zugehörigen IP-Adresse (Namensauflösung).
Seite 205 Erweitert 8.1 DNS Wählen Sie im Feld „DNS-Client-Konfiguration“ die DNS-Server, auf die das Gerät für eine Namensauflösung zugreift.  Provider: Der DNS-Client des Gerätes richtet DNS-Anfragen an die DNS- Server, die dem Gerät von dem Internet-Service-Providers zugewiesen wurden (z.B. über DHCP-Client oder PPPoE). ...
Seite 206: Dyndns
Erweitert 8.1 DNS 8.1.2 DynDNS Melden Sie sich bei einem DynDNS-Dienst an, bevor Sie die DynDNS-Funk- tion nutzen. Das Gerät bietet Ihnen die Möglichkeit, diese Anmeldung auf der Web-Site „www.DynDNS.org” oder auf einer anderen von Ihnen wählbaren Website durchzuführen: Dieser Dialog bietet Ihnen die Möglichkeit, die Registrierungsdaten aus Ihrer Anmeldung bei dem DynDNS-Dienst einzugeben.
Seite 207 Erweitert 8.1 DNS Parameter Bedeutung Aktualisieren Aktualisierungsabstand in Minuten. Mögliche Werte: 1-6.000, Voreinstellung 10. Status Anzeige des Status des DynDNS-Client, (siehe auf Seite 207 „DynDNS - Status DynDNS-Client“) Tab. 84: DynDNS Mögliche Werte Bedeutung Inactive DynDNS ist nicht aktiv (z.B.“Registrieren“ist abgewählt, DNS-Server (siehe auf Seite 204 „DNS-Server“) ist nicht konfiguriert ).
Seite 208 Erweitert 8.1 DNS Abb. 42: DynDNS EAGLE Web Release 5.2 02/2012...
Seite 209: Paketweiterleitung
Erweitert 8.2 Paketweiterleitung 8.2 Paketweiterleitung Dieser Dialog bietet Ihnen die Möglichkeit, die Weiterleitung von RSTP-, GMRP- und DHCP-Datenpaketen im Transparent-Modus (siehe auf Seite 22 „Transparent-Modus“) ein- und auszuschalten. Ist Paketweiterleitung eingeschaltet, dann ist das Gerät für diese Pakete transparent. Im Router-Modus haben diese Einstellung keine Auswirkung, da das Gerät im Router-Modus keine Pakete auf Layer 2 weiterleitet.
Seite 210 Erweitert 8.2 Paketweiterleitung Abb. 43: Paketweiterleitung EAGLE Web Release 5.2 02/2012...
Seite 211: Dhcp-Relay-Agent
Erweitert 8.3 DHCP-Relay-Agent 8.3 DHCP-Relay-Agent Dieser Dialog ermöglicht Ihnen, den DHCP-Relay-Agenten zu konfigurieren. Hinweis: Der DHCP-Relay-Agent funktioniert nur im Router-Modus. Wenn Sie das Gerät im Transparent-Modus betreiben, können Sie den DHCP- Verkehr über die Einstellung „Paketweiterleitung“ zulassen (siehe auf Seite 209 „Paketweiterleitung“).
Seite 212 (siehe auf Seite 214 „Pool“) auf keinem der beiden Interfaces aktiv ist. Hirschmann-Gerät Kreuzen Sie die Interfaces an, an denen ein Gerät von Hirschmann angeschlossen ist. Das hilft Ihnen sicherzustellen, dass der DHCP-Server an ein Hirsch- mann-Austauschgerät wieder die gleiche IP-Adresse vergibt.
Seite 213 Erweitert 8.3 DHCP-Relay-Agent Hinweis: Schalten Sie im Dialog Erweitert:Paketweiterleitung (siehe Seite 209) die Weiterleitung von DHCP-Paketen aus. EAGLE Web Release 5.2 02/2012...
Seite 214: Dhcp-Server
Erweitert 8.4 DHCP-Server 8.4 DHCP-Server Die DHCP-Server-Dialoge bieten Ihnen die Möglichkeit, einfach Geräte (Clients) neu in Ihr Netz einzubinden oder in Ihrem Netz auszutauschen: Durch die Wahl von DHCP als Konfigurationsmodus beim Client holt sich dieser die Konfigurationsdaten von dem DHCP-Server. Der DHCP-Server vergibt an den Client: –...
Seite 215 Erweitert 8.4 DHCP-Server Für eine dynamische Zuteilung erstellen Sie einen Pool-Eintrag für einen Port und tragen die 1. und die letzte IP-Adresse des IP-Adressbereichs ein. Lassen Sie die Felder MAC-Adresse, Client-ID, Remote-ID und Circuit-ID frei. Sie haben die Möglichkeit, 1 Pool-Eintrag pro Port zu erzeugen. ...
Seite 216 Erweitert 8.4 DHCP-Server Parameter Bedeutung Wertebereich Voreinstellung IP-Adresse  Für einen dynamischen Adress- Gültige IPv4-Adresse - Eintrag: Die 1. Adresse des IP-Adress-Pools, die der DHCP- Server an einen Client vergibt.  Für einen statischen Adress-Eintrag: Die IP-Adresse, die der Server stets an den selben Client vergibt.
Seite 217 IP- Adresse erhält Hirschmann-Gerät Kreuzen Sie die Zeilen an, in denen ein An, Aus Gerät von Hirschmann als Client eingetragen ist. Das hilft Ihnen sicherzustellen, dass der DHCP-Server an ein Hirschmann- Austauschgerät wieder die gleiche IP- Adresse vergibt.
Seite 218: Lease-Tabelle
Erweitert 8.4 DHCP-Server Parameter Bedeutung Wertebereich Voreinstellung DNS-Server DNS-Server-Eintrag für den Client. Gültige IPv4- Adresse Hostname Hostname für den Client. Ist dieser Max. 64 ASCII- - (Kein Host- Name angegeben, überschreibt er den Zeichen im name) Systemnamen des Clients (siehe auf Bereich 0x21 (!) Seite 17 „Systemdaten“).
Seite 219 Erweitert 8.4 DHCP-Server Das Gerät bietet Ihnen die Möglichkeit, bis zu 1.024 Adressen zu vergeben. Parameter Bedeutung Wertebereich Port Port, für die dieser Eintrag gilt. intern (Port 1), extern (Port 2) IP-Adresse IP-Adresse, die der DHCP-Server an das Eine IPv4-Adresse aus Gerät mit der angegebenen MAC- dem Pool.
Seite 220 Erweitert 8.4 DHCP-Server Abb. 46: Dialog DHCP-Server-Lease-Tabelle EAGLE Web Release 5.2 02/2012...
Seite 221: Abmelden
Abmelden 9 Abmelden Dieser Dialog bietet Ihnen die Möglichkeit, die automatische Abmeldung für die verschiedenen Benutzeroberflächen zu konfigurieren. Außerdem können Sie sich sofort vom Web-based Interface abmelden.  Web-based Interface: automatisches Abmelden aktivieren / deaktivieren und Zeitspanne für automatisches Abmelden einstellen. Außerdem sofor- tiges Abmelden vom Web-based Interface.
Seite 222 Abmelden Hinweis: Um nach einem Abmelden wieder Zugriff auf das Gerät per Web- based Interface zu erhalten, starten Sie das Web-based Interface erneut und melden Sie sich an. Abb. 47: Abmelden EAGLE Web Release 5.2 02/2012...
Seite 223: A Allgemeine Informationen
Allgemeine Informationen A Allgemeine Informationen EAGLE Web Release 5.2 02/2012...
Seite 224: Liste Der Rfcs
Allgemeine Informationen A.1 Liste der RFCs A.1 Liste der RFCs RFC 768 (UDP) RFC 791 (IP) RFC 792 (ICMP) RFC 793 (TCP) RFC 826 (ARP) RFC 951 (BOOTP) RFC 1157 (SNMPv1) RFC 1155 (SMIv1) RFC 1212 (Concise MIB Definitions) RFC 1213 (MIB2) RFC 1542 (BOOTP-Extensions)
Seite 225 Allgemeine Informationen A.1 Liste der RFCs RFC 2663 (IP Network Address Translator (NAT) Terminology and Considerations) RFC 2818 (HTTP over TLS) RFC 2851 (Internet Addresses MIB) RFC 2865 (RADIUS Client) RFC 2868 (RADIUS Attributes for Tunnel Protocol Support) RFC 2869 (RADIUS Extensions) RFC 3022 (Traditional IP Network Address Translator)
Seite 226: Zugrundeliegende Ieee-Normen
Allgemeine Informationen A.2 Zugrundeliegende IEEE-Normen A.2 Zugrundeliegende IEEE- Normen IEEE 802.1AB Topology Discovery (LLDP) IEEE 802.1D Switching, GARP, GMRP, Spanning Tree (the device supports packet forwarding only) IEEE 802.1D-1998, Media access control (MAC) bridges (includes IEEE 802.1p Priority IEEE 802.1D-2004 and Dynamic Multicast Filtering, GARP, GMRP) IEEE 802.3-2002 Ethernet...
Seite 227: Technische Daten
Allgemeine Informationen A.3 Technische Daten A.3 Technische Daten VLAN VLAN ID 1 bis 4.094 Routing/Switching Anzahl zusätzlicher IP-Adressen Maximale Anzahl statischer Routing-Einträge 64 Firewall Maximale Anzahl IP-Regeln (zusammen) 1024 Maximale Anzahl MAC-Regeln (zusammen) Maximale Anzahl SPI-Einträge (Stateful 4.096 Packet Inspection) Maximale Anzahl NAT-Regeln bis zu 512, je nach NAT-Typ Maximale Anzahl 1:1-NAT-Adressen-...
Seite 228: Copyright Integrierter Software
Allgemeine Informationen A.4 Copyright integrierter Software A.4 Copyright integrierter Software A.4.1 Bouncy Castle Crypto APIs (Java) The Legion Of The Bouncy Castle Copyright (c) 2000 - 2004 The Legion Of The Bouncy Castle (http://www.bouncycastle.org) Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies...
Seite 229: Network Time Protocol Version 4 Distribution
Allgemeine Informationen A.4 Copyright integrierter Software A.4.2 Network Time Protocol Version 4 Distribution Copyright © David L. Mills 1992-2007 Permission to use, copy, modify, and distribute this software and its documentation for any purpose with or without fee is hereby granted, provided that the above copyright notice appears in all copies and that both the copyright notice and this permission notice appear in supporting documentation, and that the name University of Delaware not be used in...
Seite 230 Allgemeine Informationen A.4 Copyright integrierter Software – Mike Iglesias <iglesias@uci.edu> DEC Alpha port – Jim Jagielski <jim@jagubox.gsfc.nasa.gov> A/UX port – Jeff Johnson <jbj@chatham.usdesign.com> massive prototyping over- haul – Hans Lambermont <Hans.Lambermont@nl.origin-it.com> or <H.Lambermont@chello.nl> ntpsweep – Poul-Henning Kamp <phk@FreeBSD.ORG> Oncore driver (Original author) –...
Seite 231 Allgemeine Informationen A.4 Copyright integrierter Software – Harlan Stenn <harlan@pfcs.com> GNU automake/autoconfigure makeover, various other bits (see the ChangeLog) – Kenneth Stone <ken@sdd.hp.com> HP-UX port – Ajit Thyagarajan <ajit@ee.udel.edu>IP multicast/anycast support – Tomoaki TSURUOKA <tsuruoka@nc.fukuoka-u.ac.jp>TRAK clock driver – Paul A Vixie <vixie@vix.com> TrueTime GPS driver, generic TrueTime clock driver –...
Seite 232 Allgemeine Informationen A.4 Copyright integrierter Software EAGLE Web Release 5.2 02/2012...
Seite 233: B Leserkritik
Leserkritik B Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wich- tiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen helfen uns dabei, die Qualität und den Informationsgrad dieser Dokumentation weiter zu steigern.
Seite 234 Sehr geehrter Anwender, Bitte schicken Sie dieses Blatt ausgefüllt zurück  als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an Hirschmann Automation and Control GmbH Abteilung 01RD-NT Stuttgarter Str. 45-51 72654 Neckartenzlingen EAGLE Web Release 5.2 02/2012...
Seite 235: C Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis Funktionsüberwachung 185, 185 1 zu 1-NAT 126, 127 GMRP-Datenpaket 41, 43, 190 Gerätestatus 16, 183, 187 Abmelden Gruppen-Authentifizierung Administration (Login-Typ) Adressvorlagen Alarm HDX-Modus Anforderungsintervall (SNTP) 79, 82 HIPER-Ring Asymmetrische Firewall HTTPS-Port Authentifizierung HiVision Authentifizierungsliste 66, 68 Authentisierung AutoConfiguration Adapter 41, 43, 190 ICMP Host Check...
Seite 236 Stichwortverzeichnis NTP-Client Templates (IP-Adressen) NTP-Funktionsmodus Terminal/CLI-Schnittstelle NTP-Server Topologie Topologie-Erkennung Network Address Translation 125, 125 Transparent-Modus 22, 209 Netzlast Transparent-Redundanz 159, 160 Netzsicherheit Trap Nicht-flüchtiger Speicher Trapeinstellung PPPoE-Modus Paketfilter Universal Time Coordinated Paketweiterleitung Passwort 13, 50 Port-Statistiken Ports Verbindungen Portweiterleitung Versorgungsspannung Vorlagen (IP-Adressen) RADIUS-Server Web Site...
Seite 237: D Weitere Unterstützung
Weitere Unterstützung D Weitere Unterstützung Technische Fragen  Bei technischen Fragen wenden Sie sich bitte an den Hirschmann- Vertragspartner in Ihrer Nähe oder direkt an Hirschmann. Die Adressen unserer Vertragspartner finden Sie im Internet unter http://www.beldensolutions.com Unser Support steht Ihnen zur Verfügung unter https://hirschmann-support.belden.eu.com...
Seite 238 Weitere Unterstützung Mit dem Hirschmann Competence Center entscheiden Sie sich in jedem Fall gegen jeglichen Kompromiss. Das kundenindividuelle Angebot lässt Ihnen die Wahl, welche Komponenten Sie in Anspruch nehmen. Internet: http://www.hicomcenter.com EAGLE Web Release 5.2 02/2012...
Seite 239: Weitere Unterstützung
Weitere Unterstützung EAGLE Web Release 5.2 02/2012...

Hirschmann EAGLE 20 Referenzhandbuch

1 Grundeinstellungen

2 Sicherheit

3 Zeit

4 Netzsicherheit

5 VPN - Virtuelles Privates Netz

6 Redundanz

7 Diagnose

8 Erweitert

9 Abmelden

Quicklinks

Verwandte Anleitungen für Hirschmann EAGLE 20

Inhaltszusammenfassung für Hirschmann EAGLE 20

Inhaltsverzeichnis