Seite 1
Bedienungsanleitung 19"- RY-Switche der L-Serie RY Industrie-Switche der L-Serie - RY-LGS23-26 RY-LPIGE-602GBTME - RY-LGSO25-24 - RY-LPIGE-804GBTME - RY-LGSO25-28 - RY-LPITE-802GBTME - RY-LGSP16-10 - RY-LPITE-804GBTME - RY-LGSP23-10G - RY-804GBTME, ohne PoE - RY-LGSP23-26/xxx - RY-LGSP23-28/xxx - RY-LGSP23-52/xxx RY-LGSPTR23-26...
Seite 2
Herstellern. Haftung Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. barox Kommunikation behält sich das Recht vor, Änderungen an den Geräten und/oder am Handbuch ohne Vorankündigung zu tätigen. Unser Produkt kann unbeabsichtigte technische und/oder typografische Fehler beinhalten.
5.1.4. Port Security mit Limit Control Einstellungen Einsatz und Absicherung von IP Funktionen (Layer 3) 5.2.1. DHCP Server 5.2.2. Absicherung des DHCP durch ARP Inspection 5.2.3. IP Source Guard Absicherung des Switch- Managements und Netzwerkadministration (Layer 3–7) 5.3.1. Nutzerverwaltung und Konfiguration barox Kommunikation...
Seite 4
5.5.3. Ergänzende Hinweise zum Senden von SNMP Traps SNMP Traps auslesen Verwendung von MIB Files zum Auslesen und Steuerung der Switche Switch Funktionen steuern über SNMP und MIB unter Verwendung der „SET“ Operation Firmware Upgrade Werkeinstellung Server Report GARANTIE barox Kommunikation...
1.2 Über uns Überall dort, wo Netzwerke für die Videoübermittlung in höchster Qualität prompt und sicher transportiert werden müssen, sorgt barox Kommunikation mit seinen POWERHAUS Switchen für wegweisende Verbindungen. barox plant, koordiniert und liefert einfache Punkt-zu-Punkt-Verbindungen genauso wie ausgedehnte Netzwerke mit Multicast-Anwendungen.
Durch Eingabe der IP-Adresse des Switches (192.168.1.1) direkt im Webbrowser, wird die Verbindung zum Switch hergestellt. Die Anmeldung erfolgt mittels Eingabe des Usernames und Passwortes. Nach erfolgreichem Login wird automatisch die Seite "System Information" angezeigt, in der die wichtigsten Angaben zum Switch ersichtlich sind. barox Kommunikation...
Auf dieser Seite sind die wichtigsten Angaben zum Switch ersichtlich. Legende: Model Name des Switches Firmware Version Hardware Version MAC-Adresse 3.3 Fixe IP-Adresse vergeben oder DHCP Als erster Schritt ist dem Switch eine IP-Adresse zu vergeben. Hierfür wird in der Baumstruktur der Menüpunkt "Configuration/System/IP" gewählt. barox Kommunikation...
Seite 8
Mit nachfolgendem Befehl kann die IP-Adresse erfragt werden: RY-LGSP23-26# show ip interface brief ➔ Wichtig: die Änderung muss nun definitiv gespeichert werden. Hierfür via Web-Browser mit der neuen IP-Adresse auf den Switch zugreifen und oben rechts auf das Diskettensymbol klicken. barox Kommunikation...
Nur die Gateway Adresse ist entsprechend dem Netzwerk neu zu schreiben. 3.5 Uhrzeit einstellen Die Systemuhrzeit der barox Switche kann manuell oder mittels NTP-Server konfiguriert werden. Sinn und Zweck der Uhrzeitdefinition ist das Log-File. Bei einer Fehlermeldung wird der Eintrag im Log-File mit einem Zeitstempel ergänzt, so dass Störungs- und Fehlerzeiten genau hinterlegt...
Falls im eigenen Netzwerk keine Zeitquelle zur Verfügung steht und eine Quelle von ausserhalb via Internet bezogen werden soll, kann auch ein externer NTP-Server direkt eingetragen werden, wie zum Beispiel 213.209.109.45 von http://www.pool.ntp.org/de/ 3.5.2.2. Time Settings Im Menüpunkt "Configuration/System/Time" muss nun als "Clock Source" "Use NTP Server" gewählt werden. barox Kommunikation...
Kameras mit 100Mbit/s Interface vor. In diesen Fällen muss der Port manuell auf 100Mbit/s eingestellt werden. Soll ein Port aus Sicherheitsgründen nicht nutzbar sein, kann es auch ganz ausgeschaltet werden. Hierfür ist der Konfigurationsmodus auf "Disabled" zu setzen. barox Kommunikation...
Die SFP-Ports der Switche sind nicht codiert. Das heißt, es können auch SFPs anderer Hersteller eingesetzt werden, jedoch ohne Funktionsgarantie. Das barox Sortiment umfasst SFPs für Multi- und Singlemode Fasern mit 100Mbit/s, 1Gbit/s oder 10Gbit/s Übertragungsgeschwindigkeiten. Die möglichen Distanzen variieren je nach Fasertyp und Übertragungsgeschwindigkeit zwischen 550m und 120km.
Die "Shutdown Time" sagt aus, wie lange ein Port deaktiviert bleiben soll, falls eine Loop detektiert wird. Mögliche Zeiteingabe: 0 – 604800s (7 Tage). Mit der Eingabe "0" bleibt der Port deaktiviert bis der Switch neu gestartet wird. barox Kommunikation...
Ring, so dass die alternative Verbindung aktiv geschaltet wird. Der Switch mit der Priority 0 ist der Ring Master. Das RSTP-Protokoll ist so konzipiert, dass ohne definiertem Ring Master der Switch mit der kleinsten MAC-Adresse automatisch Ring Master wird. barox Kommunikation...
Zeit als Mietleitungen für die Verbindung von A nach B gemietet wurden und somit teuer waren. Beispiel: Bei einem größeren Ring mit mehreren Endgeräten und größeren Datenmengen, macht es durchaus Sinn, den Datenfluss im Ring zu lenken, damit die Switche gleich mäßig belastet werden (Lastverteilung). Hierfür sind die Pfadkosten zu definieren. barox Kommunikation...
Seite 16
Die Pfadkosten sind nach IEEE-Vorgaben genormt, können aber manuell abweichend festgelegt werden, beispielsweise, um bei gleicher Geschwindigkeit einen bevorzugten Uplink auszuwählen, um so die reellen Kosten von Standleitungen widerzuspiegeln. ➔ Wenn immer möglich sollte die Konfiguration wie im Bild dargestellt angestrebt werden. barox Kommunikation...
Strom kann zeitlich oder Event gesteuert aus- bzw. eingeschaltet werden. Darüber hinaus lassen sich Powered Devices (z. B. PoE Kameras) überwachen und bei Bedarf neu starten und der PoE-Chip in der Kamera lässt sich resetten. Dies ist dann sinnvoll, wenn die Kamera zwar anpingbar ist, aber kein Bild zeigt. barox Kommunikation...
= dito Class-Mode, bezieht die Information mittels LLDP (wenn möglich) Überschreitet das Endgerät die vordefinierte Leistung, schaltet der Port das PoE ab. Power Management Mode Hier wird definiert wie sich der Switch verhalten soll, falls die max. möglic he Leistung überschritten wird. Actual Consumption barox Kommunikation...
Das Ein- und Ausschalten des Stromes kann auch mit einem Wochenplan gesteuert werden. Es können bis zu 16 unterschiedliche Profile erstellt werden. Jeder Port kann einem Profil zugeteilt werden. Im nachfolgendem Beispiel wird im Profil 1 PoE täglich von 06:00 bis 18:00 Uhr eingeschaltet. barox Kommunikation...
Möglichkeit, dass die CPU auf einen Ping Antwort gibt, der Videostream jedoch nicht übertragen wird. Prophylaktisch kann der PoE Chip Reset Befehl täglich oder einmal wöchentlich, zum Beispiel um 03:00 Uhr gesendet werden. Mit diesem Befehl wird der PoE-Chip der Kamera neu gestartet. barox Kommunikation...
Wir empfehlen ausschliesslich das "startup-config File" zu speichern. 3.12.2. Konfiguration einspielen (upload) Die umgekehrte Variante ist ein Konfigurationsfile in den Switch einzuspielen. Hierfür wird der Pfad des hinterlegten Files angegeben und um welchen Filetyp es sich handelt. In der Regel das "startup-config File". barox Kommunikation...
Zur möglichen Nutzung des DMS, muss im Netzwerk ein Switch als Master definiert sein. Dieser Switch sammelt alle Informationen und gibt sie allen im Netzwerk befindlichen, DMS-fähigen Switches weiter. Das Feld Controller IP zeigt, welcher Switch (IP-Adresse) die Master-Funktion innehat. barox Kommunikation...
Seite 23
Bzw. kann bei sehr hoher Netzwerklast bei den am niedrigsten frequentierten Switch das DMS eingeschaltet und bei den anderen Switchen deaktiviert werden. Dabei ist zu beachten, dass einige Funktionen eingeschränkt sind und diese Methode bei einer homogenen Struktur mit barox Switchen empfohlen wird. In der Zeile "Controller IP" wird mittels IP-Adresse angezeigt, welcher Switch der Master ist.
In der Topology View wird das Netzwerk inkl. aller angehängten IP Endgeräte automatisch grafisch dargestellt. Wird das Endgerät richtig erkannt, wird das entsprechende Symbol (Kamera, Switch, Accesspoint etc.) dargestellt. Sämtliche Informationen, wie Gerätename, IP-Adresse, Datenrate etc. erscheinen parallel zum Symbol. Alle Einstellungen lassen sich auch manuell konfigurieren. barox Kommunikation...
Seite 25
IP Adresse angehängt worden usw. erscheint neben dem Symbol eine rote Ziffer. Die rote Ziffer besagt , wie viele Meldungen zu diesem Gerät vorhanden sind. Im Menu "Notification" können die Meldungen gelesen und editiert werden. barox Kommunikation...
Seite 26
Hier wird der Datenfluss (z. B. von einer Kamera) in Echtzeit angezeigt. Mit Min(Mb) und Max(Mb) können Schwellwerte gesetzt werden, in denen sich der Datenfluss bewegen sollte. So ist auf einem Blick optisch erkennbar, ob da alles in Ordnung ist. barox Kommunikation...
Seite 27
In der Floor-View können hochgeladene bzw. importierte Gebäude-, Stockwerk- und/oder Umgebungspläne angesehen werden. Diese dienen als Grundlage bzw. Hintergrundbild , um das Netzwerk abzubilden. Diese Funktion bietet eine gute Orientierungshilfe bei Vor-Ort-Einsätzen und kann auch als Dokumentation ausgedruckt werden, so wie oben beschrieben. barox Kommunikation...
Um einen Plan als Hintergrundbild zu nutzen muss im Menu "Maintenance" gewechselt werden. Im Menu "Floor Image" ist der Pfad sowie der Dateiname anzugeben und mit "Add" hochzuladen. Im unteren Bereich der Webseite werden die eingelesenen Pläne aufgeführt. Es können bis zu 50 Files gespeichert werden. barox Kommunikation...
Seite 29
Uhr dargestellt, um welche Uhrzeit wie viele Daten übermittelt wurden. Dies kann bei der Fehlersuche sehr nützlich sein, wenn man zum Beispiel erkennt, dass um 12 Uhr Mittag ein hoher Datenverkehr am Port 2 generiert wurde und Probleme bei der Aufzeichnung stattfanden. barox Kommunikation...
Einstellungen 10/100/1000/10000 FDX/HDX (ETH Standard Modelabhängig), selektiv je Port, über das Web GUI angepasst werden. Einige Applikationen benötigen die Anpassungen der Ethernet Frame Größen. Diese können auch im Menüabschnitt der „Ports Configuration“ im Feld „Maximum Frame Size“, wie im folgendem Bildmittschnitt, erfolgen. barox Kommunikation...
5.1.2. Hinweise zur generellen Betrachtung des Bandbreitenbedarfs Bei der Planung des Bedarfs an Bandbreiten und damit verbundenem Einsatz der passenden barox Switche empfiehlt es sich folgende Punkte zu berücksichtigen: Einsatz der benötigten Ethernet Standards (10/100/1000/ 10000) unter Berücksichtigung eventueller Endgeräte Upgrades Einplanung von Reserven, skaliert an der Backplane- Switch Leistung des Models ->...
Netzwerkkommunikation gesperrt wird. Zur Planung muss die gesamte Anzahl der Netzwerkgeräte, inklusive des nicht- gemanagten Switches, welche an dem jeweiligen Port des barox Switches angeschlossen werden, ermittelt werden. Bsp.: Wird an Port 2 des barox Switches ein nicht gemanagter Switch mit weiteren 3 Netzwerkendgeräten angeschlossen, so liegt die Gesamtzahl des Limits bei 4.
Folgend werden die Einstellungen des IP Adress- Pools, welche die Verteilung von 50 Adressen im Beispiel, d.h. Adressen im Bereich von 192.168.10.100 – 192.168.10.150 durch die Angabe der umliegenden Adressen, bzw. IP Reichweiten (Exklusionsverfahren) an die IP Clients im jeweiligen VLAN ermöglichen soll. barox Kommunikation...
Seite 34
Anschließend wird ein Name des DHCP Dienstes festgelegt und bestätigt. Nach der Festlegung des Namens werden die Einstellungen durch die Auswahl des Namens, wie weiter abgebildet aufgerufen. barox Kommunikation...
Nachdem die Funktionen aktiviert sind können die DHCP Clients statisch als Rezipienten in einer Tabelle verwaltet werden. Grundvoraussetzung für die höchste Siche rheit ist, dass die Größe des DHCP Address Pools mit der Anzahl von Clients eingestellt wird. barox Kommunikation...
Seite 36
ARP Inspection für den Port 3 aktiviert, die Überprüfung des VLANs aktiviert und der Log Typ auf „verweigern“ eingestellt. Im Anschluss werden die VLANs festgelegt welche in der Überprüfung eingeschlossen werden sollen und der Log Typ (Vertrauensstellung) wie weiter aufgezeigt, festgelegt. barox Kommunikation...
Seite 37
DHCP Dienst IP Adressen verteilt werden die Clients mit den Layer2 und 3 Eigenschaften in der dynamischen ARP Inspection Tabelle sichtbar und können anschließend in die statische ARP Inspection Tabelle übersetzt werden Nachfolgend abgebildet ist ein statischer Eintrag. Für den Client wird entsprechend der Tabelle die IP Adresse reserviert. barox Kommunikation...
Adresse zudem auch die vorgegebene statische IP Adresse der angeschlossenen Ge räte. Wie nachfolgend aufgezeigt wird diese Funktion generell aktiviert und kann weiter, je Port granuliert, eingestellt werden. Nach einschalten der Funktion kann die Konfiguration, mit statischen Einträgen, wie weiterführend abgebildet, erfolgen. barox Kommunikation...
Dies Bedeutet, der Angreifer muss die MAC Adresse und die IP Adresse vom Gerät kennen, um sich Zugang zum Netzwerk zu verschaffen. 5.3 Absicherung des Switch- Managements und Netzwerkadministration (Layer 3–7) 5.3.1. Nutzerverwaltung und Konfiguration Nutzer Anlegen Nachfolgend ist ein Beispiel für einen weiteren Nutzer anzulegen aufgeführt. barox Kommunikation...
Absicherung des CLI Zugriffs ssh vs. telnet Wie nachfolgend abgebildet, kann die Zugriffsmethodik eingestellt bzw. nicht benötigte Funktionen abgestellt werden. Es ist zu empfehlen, sofern das Netzwerkdesign es zulässt, die Telnet Zugangsfunktion generell abzuschalten. Wie nachfolgend abgebildet, können die Konfigurationsmethoden eingestellt werden. barox Kommunikation...
Seite 41
Der HTTPs Zugriff bietet den höchsten Schutz, da die Verbindung verschlüsselt wird Nachfolgend ist die Eingabe der Verwaltungsadresse mit verändertem Port, beispielhaft, abgebildet Die Einschränkung des Managementzugriffs und dessen Methoden kann auf bestimmte IP Adressbereiche und VLANs eingeschränkt werden. Dies kann im Access Management, wie weiter beispielhaft dargestellt erfolgen. barox Kommunikation...
Eine zertifikatsbasierte Anbindung ermöglicht einen der h öchsten Zugangsabsicherungen für Netzbasierte Konfigurationsdienste. Dennoch sollte der Einsatz geprüft werden, da die Verbindung zum Management nur noch über die Medien, welche das Zertifikat eingepflegt haben, erfolgen kann. Nachfolgend sind die Einstellmöglichkeiten, bzw. der Methoden aufgezeigt. barox Kommunikation...
Schritte sollen die Verwendung einer SNMP Community aufzeigen. Aktivierung der SNMP v2 Funktion Grundlegend ist der Modus zu aktivieren und die Version SNMP v2 in der SNMP Konfiguration auszuwählen. Weiter werden die Namen für die Read- und Write Communities festgelegt. barox Kommunikation...
5.4.2. Konfiguration der SNMP Trap Vor der Konfiguration der neuen Trap Einstellungen ist darauf zu achten, dass die globale Einstellung des Trap- Modus deaktiviert ist. barox Kommunikation...
Seite 45
Trap Inform Timeout (seconds) -> 3 eingetragen (Standard) Trap Inform Retry Times -> 5 (Standard) Anschließend werden die Einstellungen mit „Apply“ bestätigt Schritt 2: Nach dem Anlegen der neuen Konfiguration wird die Konfiguration durch auswählen des Name geöffnet. barox Kommunikation...
Seite 46
Aktivierung der SNMP Trap Funktion Nach Abschluss der Trap Konfiguration ist der generelle Modus zu aktivieren. barox Kommunikation...
Endgerät Konfiguriert werden. Einige Ereignisse wie z.B. Port Events müssen auch entsprechend in der Portkonfiguration eingestellt werden. ACHTUNG: Bei den Industrie-Switchen ist diese Einstellung unter Configuration/System/Alarm Notification zu finden. Weiterführende Informationen zum Auslesen und testen der Konfiguration sind unter „5.6 SNMP Traps auslesen“ zu finden. barox Kommunikation...
Grundlegend ist der Modus zu aktivieren und die Version SNMP v3 in der SNMP Konfiguration auszuwählen. Erstellen einer dedizierten Community Bei der Generierung der Community kann die Quell- IP und Maske jeweils auf 0.0.0.0 gesetzt bleiben. Dies bewerkstelligt, dass auch über mehrere Teilnetze das Versenden und Empfangen von SNMP Nachrichten möglich ist. barox Kommunikation...
Seite 49
Neben dem festlegen des Nutzernamens soll der Sicherheitsgr ad, hier im Beispiel „Auth, Priv“ eingestellt werden. In der Auswahl der Authentifizierungs - „MD5“ und dem Privacy Protokoll DES ist zu beachten, dass beide Passwörter mindestens 8 Zeichen (Ziffern und Buchstabenkombinationen) lang sein müssen. barox Kommunikation...
Seite 50
Nachrichten einzusehen sind, den OID auf den Wert „.1“ zu setzen. Dies ermöglicht die gesamte Sicht auf alle verzweigten OIDs. Konfiguration der Zugriffsmethode Hierzu soll ein neuer Eintrag mit der Authentifizierungs- und Privatisierungsmethode generiert werden. Zunächst ist die zuvor erstellte Gruppe unter „Group Name“ auszuwählen. Weiter wird der barox Kommunikation...
Views, unter „Read View Name“ und „Write View Name“ ausgewählt. 5.5.2. Konfiguration der SNMP Trap Vor der Konfiguration der neuen Trap Einstellungen ist darauf zu achten, dass die globale Einstellung des Trap- Modus deaktiviert ist. barox Kommunikation...
Seite 52
Nach bestätigen der Konfiguration erfolgt noch ein Hinweis, dass ein entsprechender Security Name noch eingestellt werden sollte. Dies wird im 2. Schritt konfiguriert. Schritt 2: Nach dem Anlegen der neuen Konfiguration wird die Konfiguration durch auswählen des Name ns geöffnet. barox Kommunikation...
Seite 53
Nun kann der Eintrag „Trap Security Name“ auf den SNMP User eingestellt werden. barox Kommunikation...
Vergewissern Sie sich, dass die Ereignisse, welche eine Trap auslösen entsprechend konfiguriert sind. Diese Einstellungen können im Konfigurationsmenu an anderer Stelle, wie weiter dargestellt, je nach Endgerät, konfiguriert werden. Einige Ereignisse wie z.B. Port Events müssen auch entsprechend in der Portkonfiguration eingestellt werden. barox Kommunikation...
Traps auslesen“ zu finden. 5.6 SNMP Traps auslesen Über das SNMP Protokoll lassen sich verschiedenste Parameter der barox Switch - Konfigurationen auslesen, bzw. einstellen. Grundlegend werden dafür sogenannte „SNMP/ MIB Browser“ benötigt. Aber auch Netzwerk- Mitschnitt/ Sniffer Software können für das lesen von SNMP Übertragungen verwendet werden.
Seite 56
PoE Kamera wird getrennt/ PD Gerät offline: Mitschnitt der Informationen welche vom Switch gesendet werden: * Bitte beachten Sie bei Verwendung der Software die jeweiligen Lizenzbestimmungen der Softwareanbieter. Ansicht der Information im SNMP Browser: barox Kommunikation...
Seite 57
Ansicht der Information im SNMP Browser: Zumeist werden neben zugehörigen OIDs (Objekt Kennzeichnungen für Informationseinheiten) der Traps auch ein Wert zum Ablesen, bzw. Deuten des Status/ Nachricht der SNMP Nachricht hinzugefügt. In diesem Beispiel ist die letzte Zeile zur Veranschaulichung gekennzeichnet. barox Kommunikation...
Beim Import ist darauf zu achten, dass die passende MIB Datei für den entsprechenden Switch ausgewählt wird. Die erforderlichen MIB Dateien sind am „.mib“ Präfix zu erkennen. * Bitte beachten Sie bei Verwendung der Software die jeweiligen Lizenzbestimmungen der Softwareanbieter! Nach erfolgreichem Import sind die MIB Strukturen wie folgend abgebildet ersichtlich. barox Kommunikation...
Seite 59
Um eine Abfrage zu generieren wird zunächst der gewünschte Status ausgewählt und mit „Get Next“ Operation und dem Klick auf „Go“ die Abfrage generiert. Nach erfolgreicher Abfrage erscheinen die Informationen zum Status in der Resultatstabelle wie im Beisp iel, folgend, abgebildet. barox Kommunikation...
5.8 Switch Funktionen steuern über SNMP und MIB unter Verwendung der „SET“ Operation Als weitere Methode zur Steuerung der barox Switche kann die Operation „SET“ über das SNMP Protokoll erfolgen. Voraussetzungen sind die grundlegende SNMP Konfigurationen am Switch und des MIB Browsers. Nachfolgend ist ein Beispiel mit dem Einsatz der SET Operation aufgeführt, welches eine Portabschaltung und Wiederanschaltung am Switch auslöst.
Leistungsmerkmale empfiehlt es sich, die Firmware sporadisch zu aktualisieren. Nach dem Upgrade steht die neue Firmware gleich zur Verfügung. Sollte aus irgendeinem Grund wieder die alte Firmware aufgespielt werden, kann dies ganz einfach im Menupunkt "Firmware Selection" reaktiviert werden. barox Kommunikation...
Werkeinstellung zurückgesetzt. 8 S e r v e r R e p o r t Bei Supportanfragen sollte der Server Report mitgesendet werden. Er enthält die Darstellung der gesamten Konfiguration sowie weitere nützliche Informationen für den Support-Techniker. barox Kommunikation...
Seite 63
Auszug eines Server Reports barox Kommunikation...
Kommunikation Garantie ist unabhängig von der Gewährleistungs verpflichtung des Verkäufers aus dem Kaufvertrag mit dem Endkunden und lässt diese unberührt. barox Kommunikation behebt unentgeltlich Mängel am Produkt, die auf einem Material- und / oder Verarbeitungsfehler beruhen und der barox Kommunikation innerhalb der Garantiedauer angezeigt werden.