Inhaltszusammenfassung für Belden Hirschmann EAGLE40
Seite 1
Hirschmann Automation and Control GmbH EAGLE40 HiSecOS Rel. 03400 Referenz-Handbücher Grafische Benutzeroberfläche Command Line Interface Anwender-Handbuch Konfiguration...
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Hinweise zur grafischen Benutzeroberfläche Hinweise zur grafischen Benutzeroberfläche Die grafische Benutzeroberfläche des Geräts ist wie folgt unterteilt: Navigationsbereich Dialogbereich Schaltflächen Navigationsbereich Der Navigationsbereich befindet sich auf der linken Seite der grafischen Benutzeroberfläche. Der Navigationsbereich enthält die folgenden Elemente: ...
Seite 12
Hinweise zur grafischen Benutzeroberfläche Klicken Sie die Schaltfläche, um den gegenwärtig angemeldeten Benutzer abzumelden und die Login-Seite anzuzeigen. Zeigt die verbleibende Zeit in Sekunden, bis das Gerät einen inaktiven Benutzer automatisch abmeldet. Klicken Sie die Schaltfläche, um den Dialog Gerätesicherheit > Management-Zugriff > Web zu öffnen.
Seite 13
Hinweise zur grafischen Benutzeroberfläche Menü Das Menü zeigt die Menüpunkte. Sie haben die Möglichkeit, die Menüpunkte zu filtern. Siehe Abschnitt „Filter”. Um den zugehörigen Dialog im Dialogbereich anzuzeigen, klicken Sie den gewünschten Menü- punkt. Wenn der ausgewählte Menüpunkt ein Knoten ist, der untergeordnete Menüpunkte enthält, dann klappt der Knoten beim Klicken auf oder zu.
Seite 14
Hinweise zur grafischen Benutzeroberfläche Arbeiten mit Tabellen Die Dialoge zeigen zahlreiche Einstellungen in tabellarischer Form. Wenn Sie eine Tabellenzelle ändern, zeigt die Tabellenzelle eine rote Markierung in der linken oberen Ecke. Die rote Markierung weist darauf hin, dass Ihre Änderungen noch nicht in den flüch- tigen Speicher (RAM) des Geräts übertragen sind.
Seite 15
Hinweise zur grafischen Benutzeroberfläche Ist das Kontrollkästchen in Spalte Ausgewählt noch unmarkiert, klicken Sie die Schaltfläche und dann den Eintrag Auswählen. Klicken Sie die Schaltfläche , um die gegenwärtigen Änderungen zu speichern. Aktualisiert die Felder mit den Werten, die im flüchtigen Speicher (RAM) des Geräts gespeichert sind.
Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System Netz Software Laden/Speichern Externer Speicher Port Neustart System [ Grundeinstellungen > System ] In diesem Dialog überwachen Sie einzelne Betriebszustände. Geräte-Status Die Felder in diesem Rahmen zeigen den Gerätestatus und informieren über aufgetretene Alarme.
Seite 17
Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Die Felder in diesem Rahmen zeigen den Sicherheitsstatus und informieren über aufgetretene Alarme. Der Rahmen ist hervorgehoben, wenn gegenwärtig ein Alarm vorhanden ist. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 18
Grundeinstellungen [ Grundeinstellungen > System ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen Die folgenden Zeichen sind zulässig: – 0..9 – a..z – A..Z – !#$%&'()*+,-./:;<=>?@[\\]^_`{}~ – (Voreinstellung) <Gerätename>-<MAC-Adresse> Beim Erzeugen von HTTPS-X.509-Zertifikaten verwendet die Applikation, die das Zertifikat gene- riert, den festgelegten Wert als Domain-Namen und als gemeinsamen Namen.
Seite 19
Grundeinstellungen [ Grundeinstellungen > System ] Temperatur [°C] Zeigt die gegenwärtige Temperatur im Gerät in °C. Das Überwachen der Temperaturgrenzen schalten Sie ein im Dialog Diagnose > Statuskonfiguration > Gerätestatus. Obere Temp.-Grenze [°C] Legt die obere Temperaturgrenze in °C fest. Das Anwender-Handbuch „Installation“...
Seite 20
Grundeinstellungen [ Grundeinstellungen > System ] Status Port Dieser Rahmen zeigt eine vereinfachte Ansicht der Ports des Geräts zum Zeitpunkt der letzten Aktualisierung. Die Symbole stellen den Zustand der einzelnen Ports dar. In manchen Situationen überlagern sich die folgenden Symbole. Wenn Sie den Mauszeiger über dem entsprechenden Port-Symbol positi- onieren, zeigt ein Tooltip detaillierte Informationen zum Port-Status.
Grundeinstellungen [ Grundeinstellungen > Netz ] Netz [ Grundeinstellungen > Netz ] Dieser Dialog ermöglicht Ihnen, die für den Zugriff über das Netz auf das Management des Geräts erforderlichen IP-, VLAN- und HiDiscovery-Einstellungen festzulegen. Management-Schnittstelle Dieser Rahmen ermöglicht Ihnen, die folgenden Einstellungen festzulegen: ...
Seite 22
Grundeinstellungen [ Grundeinstellungen > Netz ] HiDiscovery Protokoll v1/v2 Dieser Rahmen ermöglicht Ihnen, Einstellungen für den Zugriff auf das Gerät per HiDiscovery- Protokoll festzulegen. Auf einem PC zeigt die HiDiscovery-Software im Netz erreichbare Hirschmann-Geräte, auf denen die HiDiscovery-Funktion eingeschaltet ist. Sie erreichen die Geräte sogar dann, wenn ihnen ungültige oder keine IP-Parameter zugewiesen sind.
Seite 23
Grundeinstellungen [ Grundeinstellungen > Netz ] IP-Parameter Dieser Rahmen ermöglicht Ihnen, die IP-Parameter manuell zuzuweisen. Wenn Sie im Rahmen Management-Schnittstelle, Optionsliste Zuweisung IP-Adresse das Optionsfeld auswählen, dann Lokal sind die Felder editierbar. IP-Adresse Legt die IP-Adresse fest, unter der das Management des Geräts über das Netz erreichbar ist. Mögliche Werte: ...
Grundeinstellungen [ Grundeinstellungen > Software ] Software [ Grundeinstellungen > Software ] Dieser Dialog ermöglicht Ihnen, die Geräte-Software zu aktualisieren und Informationen über die Geräte-Software anzuzeigen. Außerdem haben Sie die Möglichkeit, ein im Gerät gespeichertes Backup der Geräte-Software wiederherzustellen. Anmerkung: Beachten Sie vor dem Aktualisieren der Geräte-Software die versionsspezifischen Hinweise in der Liesmich-Textdatei.
Seite 25
Grundeinstellungen [ Grundeinstellungen > Software ] Das Gerät bietet Ihnen folgende Möglichkeiten, die Geräte-Software zu aktualisieren: Software-Update vom PC Befindet sich die Datei auf Ihrem PC oder auf einem Netzlaufwerk, ziehen Sie die Datei in den -Bereich. Alternativ klicken Sie in den Bereich, um die Datei auszuwählen. Außerdem haben Sie die Möglichkeit, die Datei von Ihrem PC per SFTP oder SCP auf das Gerät zu übertragen: ...
Seite 26
Grundeinstellungen [ Grundeinstellungen > Software ] Dateiname Zeigt den geräteinternen Dateinamen der Geräte-Software. Firmware Zeigt Versionsnummer und Erstellungsdatum der Geräte-Software. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 3.4 03/2020...
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts permanent in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 28
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurations-Verschlüsselung Aktiv Zeigt, ob die Konfigurations-Verschlüsselung im Gerät aktiv/inaktiv ist. Mögliche Werte: markiert Die Konfigurations-Verschlüsselung ist aktiv. Das Gerät lädt ein Konfigurationsprofil aus dem permanenten Speicher (NVM) ausschließlich dann, wenn dieses verschlüsselt ist und das Passwort mit dem im Gerät gespeicherten Pass- wort übereinstimmt.
Seite 29
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Installieren Sie im neuen Gerät den externen Speicher aus dem defekten Gerät. Starten Sie das neue Gerät neu. Beim Neustart lädt das Gerät das Konfigurationsprofil mit den Einstellungen des defekten Geräts vom externen Speicher. Das Gerät kopiert die Einstellungen in den flüchtigen Speicher (RAM) und in den permanenten Speicher (NVM).
Seite 30
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Sichere Konfiguration auf Remote-Server beim Speichern Funktion Schaltet die Sichere Konfiguration auf Remote-Server beim Speichern-Funktion ein/aus. Mögliche Werte: Eingeschaltet Sichere Konfiguration auf Remote-Server beim Speichern-Funktion ist eingeschaltet. Wenn Sie das Konfigurationsprofil im permanenten Speicher ( ) speichern, sichert das Gerät das Konfigurationsprofil automatisch auf dem im Feld festgelegten Remote-Server.
Seite 31
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurationsänderungen rückgängig machen Funktion Schaltet die Konfigurationsänderungen rückgängig machen-Funktion ein/aus. Mit der Funktion prüft das Gerät kontinuierlich, ob es von der IP-Adresse dieses Benutzers erreichbar bleibt. Bricht die Verbindung ab, lädt das Gerät nach einer festgelegten Zeitspanne das „ausgewählte“ Konfigurati- onsprofil aus dem permanenten Speicher (NVM).
Seite 32
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Mögliche Werte: (flüchtiger Speicher des Geräts) Im flüchtigen Speicher speichert das Gerät die Einstellungen für den laufenden Betrieb. (permanenter Speicher des Geräts) Aus dem permanenten Speicher lädt das Gerät das „ausgewählte“ Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion Konfigurationsänderungen rückgängig machen.
Seite 33
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Mögliche Werte: markiert Das Konfigurationsprofil ist als „ausgewählt“ gekennzeichnet. – Das Gerät lädt die das Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion Konfigurationsänderungen rückgängig machen in den flüchtigen Speicher (RAM). – Wenn Sie die Schaltfläche klicken, speichert das Gerät die zwischengespeicherten Einstellungen in diesem Konfigurationsprofil.
Seite 34
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Das Gerät berechnet die Prüfsumme des als „ausgewählt“ gekennzeichneten Konfigurationsprofils und vergleicht diese mit der Prüfsumme, die in diesem Konfigurationsprofil gespeichert ist. Mögliche Werte: markiert Berechnete und gespeicherte Prüfsumme stimmen überein. Die gespeicherten Einstellungen sind konsistent. ...
Seite 35
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Aktivieren Lädt die Einstellungen des in der Tabelle markierten Konfigurationsprofils in den flüchtigen Spei- cher (RAM). Das Gerät trennt die Verbindung zur grafischen Benutzeroberfläche. Laden Sie die grafische Benutzeroberfläche neu. Melden Sie sich erneut an. ...
Seite 36
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Voraussetzung ist, dass Sie das Konfigurationsprofil zuvor mit der Schaltfläche Exportieren... oder mit dem Link in Spalte Profilname exportiert haben. Wählen Sie in der Dropdown-Liste Select source aus, woher das Gerät das Konfigurationsprofil importiert.
Seite 37
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Exportieren... Exportiert das in der Tabelle markierte Konfigurationsprofil und speichert es als XML-Datei auf einem Remote-Server. Um die Datei auf Ihrem PC zu speichern, klicken Sie den Link in Spalte Profilname, um den Spei- cherort zu wählen und den Dateinamen festzulegen.
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 39
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Mögliche Werte: (Voreinstellung) markiert Die automatische Aktualisierung der Geräte-Software während des Neustarts ist aktiviert. Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: – die Image-Datei der Geräte-Software –...
Seite 40
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Verbindungszustand, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: ...
Seite 42
Grundeinstellungen [ Grundeinstellungen > Port ] Power-State (Port aus) Legt fest, ob der Port physikalisch eingeschaltet oder ausgeschaltet ist, wenn Sie den Port mit der Funktion Port an deaktivieren. Mögliche Werte: markiert Der Port bleibt physikalisch eingeschaltet. Ein angeschlossenes Gerät empfängt einen aktiven Link.
Seite 43
Grundeinstellungen [ Grundeinstellungen > Port ] 100 Mbit/s FDX Vollduplex-Verbindung 1000 Mbit/s FDX Vollduplex-Verbindung Anmerkung: Die tatsächlich zur Verfügung stehenden Betriebsmodi des Ports sind abhängig von der Ausstattung des Geräts. Link/ Aktuelle Betriebsart Zeigt, welchen Betriebsmodus der Port gegenwärtig verwendet. Mögliche Werte: ...
Seite 44
Grundeinstellungen [ Grundeinstellungen > Port ] Mögliche Werte: (Voreinstellung) markiert Die Flusskontrolle auf dem Port ist aktiv. Auf dem Port ist das Senden und Auswerten von Pause-Paketen (Vollduplex-Betrieb) oder Kolli- sionen (Halbduplex-Betrieb) aktiviert. Um die Flusskontrolle im Gerät einzuschalten, aktivieren Sie zusätzlich die Funktion Fluss- kontrolle im Dialog...
Seite 45
Grundeinstellungen [ Grundeinstellungen > Port ] – Gesendete Unicast-Pakete – Gesendete Multicast-Pakete – Gesendete Broadcast-Pakete Anzahl der vom Gerät erkannten Fehler – Empfangene Fragmente – Erkannte CRC-Fehler – Erkannte Kollisionen Anzahl der vom Gerät empfangenen Datenpakete pro Größenkategorie –...
Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Portzähler und Adresstabellen zurück- zusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet den Dialog Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 47
Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei löschen Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. Persistente Log-Datei löschen Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikations-Verbindungen aus der State-Tabelle der Firewall.
Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen Grundeinstellungen [ Zeit > Grundeinstellungen ] Nach einem Neustart initialisiert das Gerät seine Uhr auf den 1. Januar, 0.00 Uhr. Stellen Sie die Uhrzeit neu ein, wenn Sie das Gerät von der Stromversorgung trennen oder es neu starten.
Zeit [ Zeit > NTP ] Mögliche Werte: (Voreinstellung: 60) -780..840 Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [ Zeit > NTP ] Das Gerät ermöglicht Ihnen, die Systemzeit im Gerät und im Netz mit dem Network Time Protocol (NTP) zu synchronisieren.
Seite 50
Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren NTP-Servern im Netz.
Seite 51
Zeit [ Zeit > NTP > Global ] Client and server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Gerätemanagement-VLAN sowie in Schicht 3 auf den eingerichteten IP-Schnittstellen. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 52
Zeit [ Zeit > NTP > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 3.4 03/2020...
Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest- gelegten Server. ...
Seite 54
Zeit [ Zeit > NTP > Server ] Mögliche Werte: markiert Initial burst-Modus ist aktiv. – Das Gerät sendet einmalig mehrere Datenpakete (Burst), wenn der NTP-Server uner- reichbar ist. – Verwenden Sie diese Einstellung ausschließlich dann, wenn Sie als Referenzzeitquelle einen eigenen, nicht-öffentlichen NTP-Server nutzen.
Seite 55
Zeit [ Zeit > NTP > Server ] Mögliche Werte: disabled Kein Server verfügbar. protocolError notSynchronized Der Server ist verfügbar. Der Server selbst ist nicht synchronisiert. notResponding Der Server ist verfügbar. Das Gerät erhält keine Zeitinformation. ...
Zeit [ Zeit > NTP > Multicast-Gruppen ] 2.2.3 NTP Multicast-Gruppen [ Zeit > NTP > Multicast-Gruppen ] In diesem Dialog legen Sie Broadcast- und Multicast-Adressen fest. Der NTP-Client des Geräts bezieht im Broadcast-Modus die Zeitinformation aus Broadcast- oder Multicast-Nachrichten von den hier festgelegten Adressen. Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht.
Seite 57
Zeit [ Zeit > NTP > Multicast-Gruppen ] Aktiv Aktiviert/deaktiviert die Verbindung zwischen dem Gerät und dem Broadcast- oder Multicast- Server. Mögliche Werte: markiert Die Verbindung zum Broadcast oder Multicast ist aktiviert. Der NTP-Client des Geräts bezieht die Zeitinformation aus den Broadcast- oder Multicast-Nach- richten von dieser IP-Adresse.
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung Authentifizierungs-Liste LDAP Management-Zugriff Pre-Login-Banner Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 59
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier angegeben. Das Gerät prüft das Passwort gemäß dieser Richtlinie, unabhängig von der Einstellung des Kont- rollkästchens Richtlinien überprüfen.
Seite 60
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Mögliche Werte: (Voreinstellung: 1) 0..16 Der Wert deaktiviert diese Richtlinie. Tabelle Jeder Benutzer benötigt ein aktives Benutzerkonto, um Zugriff auf das Management des Geräts zu erhalten. Die Tabelle ermöglicht Ihnen, Benutzerkonten einzurichten und zu verwalten. Um Einstellungen zu ändern, klicken Sie in der Tabelle den gewünschten Parameter und modifi- zieren den Wert.
Seite 61
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Rolle Legt die Benutzer-Rolle fest, die den Zugriff des Benutzers auf die einzelnen Funktionen des Geräts regelt. Mögliche Werte: unauthorized Der Benutzer ist gesperrt, das Gerät verweigert die Anmeldung des Benutzers. Weisen Sie diesen Wert zu, um das Benutzerkonto vorübergehend zu sperren. Wenn beim Zuweisen einer anderen Rolle ein Fehler auftritt, dann weist das Gerät dem Benutzerkonto diese Rolle zu.
Seite 62
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] SNMP-Authentifizierung Legt das Authentifizierungsprotokoll fest, welches das Gerät beim Zugriff des Benutzers per SNMPv3 anwendet. Mögliche Werte: (Voreinstellung) hmacmd5 Das Gerät verwendet für dieses Benutzerkonto das Protokoll HMAC-MD5. hmacsha Das Gerät verwendet für dieses Benutzerkonto das Protokoll HMAC-SHA. SNMP-Verschlüsselung Legt das Verschlüsselungsprotokoll fest, welches das Gerät beim Zugriff des Benutzers per SNMPv3 anwendet.
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Mögliche Werte: (Voreinstellung) lokal Das Gerät authentifiziert die Benutzer mittels der lokalen Benutzerverwaltung. Siehe Dialog Gerätesicherheit > Benutzerverwaltung. Der Authentifizierungliste können Sie diesen Wert nicht defaultDot1x8021AuthList zuweisen. radius Das Gerät authentifiziert die Benutzer mit einen RADIUS-Server im Netz. Den RADIUS-Server legen Sie im Dialog Netzsicherheit >...
Gerätesicherheit [ Gerätesicherheit > LDAP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das linke Feld zeigt die Anwendungen, die sich der ausgewählten Liste zuordnen lassen. Das rechte Feld zeigt die Anwendungen, die der ausgewählten Liste zugeordnet sind.
Seite 66
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen Bind-Benutzer Passwort Legt das Passwort fest, das das Gerät bei der Anmeldung am LDAP-Server zusammen mit der in Feld Bind-Benutzer festgelegten Benutzerkennung verwendet. Mögliche Werte: ...
Seite 68
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Zulässig sind Zertifikate mit folgenden Eigenschaften: • X.509-Format • Dateinamenserweiterung .PEM • Base64-kodiert, umschlossen von -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Aus Sicherheitsgründen empfehlen wir, stets ein Zertifikat zu verwenden, das von einer Zertifizie- rungsstelle signiert ist.
Seite 69
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: IPv4-Adresse (Voreinstellung: 0.0.0.0) DNS-Name im Format oder <domain>.<tld> <host>.<domain>.<tld> _ldap._tcp.<domain>.<tld> Mit diesem DNS-Namen erfragt das Gerät die LDAP-Server-Liste (SRV Resource Record) beim DNS-Server. Verwenden Sie einen DNS-Namen, wenn in Spalte Verbindungssicherheit ein anderer Wert als kein...
Seite 70
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Server-Status Zeigt den Verbindungsstatus und die Authentifizierung mit dem Authentication-Server. Mögliche Werte: Der Server ist erreichbar. Wenn in Spalte Verbindungssicherheit ein anderer Wert als kein festgelegt ist, dann hat das Gerät das Zertifikat des Servers verifiziert. ...
Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings zu erstellen, um Benutzern eine Rolle zuzu- weisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenitgliedschaft dem Benutzer eine Rolle zuweist.
Seite 72
Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Mögliche Werte: unauthorized Der Benutzer ist gesperrt, das Gerät verweigert die Anmeldung des Benutzers. Weisen Sie diesen Wert zu, um das Benutzerkonto vorübergehend zu sperren. Wenn beim Zuweisen einer anderen Rolle ein Fehler auftritt, dann weist das Gerät dem Benutzerkonto diese Rolle zu.
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Index-Nummer fest. Mögliche Werte: –...
Seite 74
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: ...
Seite 75
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Mögliche Werte: markiert Server-Dienst ist aktiv. unmarkiert Server-Dienst ist inaktiv. Telnet server Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit Telnet ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte Telnet. Mögliche Werte: ...
Seite 76
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [SNMP] Diese Registerkarte ermöglicht Ihnen, Einstellungen für den SNMP-Agenten des Geräts festzu- legen und den Zugriff auf das Gerät mit unterschiedlichen SNMP-Versionen ein-/auszuschalten. Der SNMP-Agent ermöglicht den Zugriff auf das Management des Geräts mit SNMP-basierten Anwendungen.
Seite 77
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der SNMP-Agent Anfragen von Clients entgegen- nimmt. Mögliche Werte: (Voreinstellung: 161) 1..65535 Ausnahme: Port 2222 ist für interne Funktionen reserviert. Damit der SNMP-Agent nach einer Änderung den neuen Port verwendet, gehen Sie wie folgt vor: ...
Seite 78
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion Funktion Schaltet den SSH-Server ein/aus. Mögliche Werte: (Voreinstellung) Der SSH-Server ist eingeschaltet. Der Zugriff auf das Management des Geräts ist möglich mit dem Command Line Interface über eine verschlüsselte SSH-Verbindung. Der Server lässt sich ausschließlich dann starten, wenn eine RSA-Signatur im Gerät vorhanden ist.
Seite 79
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität des angemeldeten Benutzers trennt das Gerät nach dieser Zeit die Verbindung. Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Mögliche Werte: ...
Seite 80
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Erzeugen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des erzeugten Schlüssels: 2048 Bit (RSA) Damit der SSH-Server den generierten Host-Key verwendet, starten Sie den SSH-Server neu. Alternativ haben Sie die Möglichkeit, einen eigenen Host-Key im PEM-Format auf das Gerät zu kopieren.
Seite 81
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Start Kopiert den im Feld festgelegten Key in das Gerät. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [HTTP] Diese Registerkarte ermöglicht Ihnen, für den Webserver das Protokoll HTTP ein-/auszuschalten und die für HTTP erforderlichen Einstellungen festzulegen.
Seite 82
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration TCP-Port Legt die Nummer des TCP-Ports fest, auf dem der Webserver HTTP-Anfragen von den Clients entgegennimmt. Mögliche Werte: (Voreinstellung: 80) 1..65535 Ausnahme: Port ist für interne Funktionen reserviert. 2222 Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 83
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Mögliche Werte: (Voreinstellung) Das Protokoll HTTPS ist eingeschaltet. Der Zugriff auf das Management des Geräts ist möglich über eine verschlüsselte HTTPS-Verbin- dung. Wenn kein digitales Zertifikat vorhanden ist, erzeugt das Gerät ein digitales Zertifikat, bevor es das HTTPS-Protokoll einschaltet.
Seite 84
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerprint Zeichenfolge des digitalen Zertifikats, das der Server verwendet. Wenn Sie die Einstellung im Feld Fingerprint-Typ ändern, klicken Sie anschließend die Schaltflächen , um die Anzeige zu aktualisieren. Zertifikat Anmerkung: Beim Laden der grafischen Benutzeroberfläche zeigt der Web-Browser eine Meldung, wenn das Gerät ein Zertifikat verwendet, das nicht von einer Zertifizierungsstelle signiert wurde.
Seite 85
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Zertifikat-Import Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: • X.509-Format • Dateinamenserweiterung .PEM • Base64-kodiert, umschlossen von • -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- sowie • -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- •...
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog bietet Ihnen die Möglichkeit, den Zugriff auf das Management des Geräts auf gewisse IP-Adressbereiche und ausgewählte IP-basierte Anwendungen zu beschränken. Bei ausgeschalteter Funktion ist der Zugriff auf das Management des Geräts von jeder belie- bigen IP-Adresse und mit jeder Anwendung möglich.
Seite 87
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) Netzmaske Legt den Bereich des in Spalte Adresse festgelegten Netzes fest. Mögliche Werte: Gültige Netzmaske (Voreinstellung: 0.0.0.0) HTTP Aktiviert/deaktiviert den HTTP-Zugriff. Mögliche Werte: (Voreinstellung) markiert Zugriff ist aktiviert für nebenstehenden IP-Adressbereich.
Seite 88
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Mögliche Werte: (Voreinstellung) markiert Tabelleneintrag ist aktiviert. Das Gerät beschränkt den Zugriff auf das Management des Geräts auf den nebenstehenden IP-Adressbereich und die ausgewählten IP-basierten Anwendungen. unmarkiert Tabelleneintrag ist deaktiviert. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Web-Interface Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des angemeldeten Benutzers.
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Detaillierte Infor- mationen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Inter- face“.
Seite 91
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Für Telnet und SSH legen Sie das Timeout fest im Dialog Gerätesicherheit > Management-Zugriff > Server. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 92
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..1024 Zeichen (0x20..0x7E) inklusive Leerzeichen <Tabulator> <Zeilenumbruch> Verbleibende Zeichen Zeigt, wie viele Zeichen im Feld Banner-Text noch für die Textinformation zur Verfügung stehen. Mögliche Werte: ...
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie die Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen per SNMPv1/v2 mit einem Community-Namen im SNMP-Daten- paket-Header.
Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich auf dem Gerät anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface.
Seite 95
Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 3.4 03/2020...
Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht RADIUS Paketfilter Deep Packet Inspection Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt die im Gerät verwendeten Netzsicherheits-Regeln. Parameter Port/VLAN Legt fest, ob das Gerät VLAN- und/oder portbasierte Regeln anzeigt.
Seite 97
Netzsicherheit [ Netzsicherheit > Übersicht ] Masquerading NAT Zeigt die Masquerading NAT-Regeln in der Übersicht. Masquerading NAT-Regeln bearbeiten Sie im Dialog Routing > NAT > Masquerading NAT. 1:1-NAT Zeigt die 1:1-NAT-Regeln in der Übersicht. Die 1:1-NAT-Regeln bearbeiten Sie im Dialog Routing >...
Netzsicherheit [ Netzsicherheit > RADIUS ] RADIUS [ Netzsicherheit > RADIUS ] Das Gerät ist ab Werk so eingestellt, dass es Benutzer anhand der lokalen Benutzerverwaltung authentifiziert. Mit zunehmender Größe eines Netzes jedoch steigt der Aufwand, die Zugangsdaten der Benutzer über Geräte hinweg konsistent zu halten. RADIUS (Remote Authentication Dial-In User Service) ermöglicht Ihnen, die Benutzer an zentraler Stelle im Netz zu authentifizieren und zu autorisieren.
Seite 99
Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 100
Netzsicherheit [ Netzsicherheit > RADIUS > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zurücksetzen Löscht die Statistik im Dialog Netzsicherheit > RADIUS > Authentication-Statistiken. RM GUI EAGLE Release 3.4 03/2020...
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 102
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] Primary server Kennzeichnet den Authentication-Server als primär oder sekundär. Mögliche Werte: markiert Der Server ist als primärer Authentication-Server gekennzeichnet. Das Gerät sendet die Zugangsdaten zum Authentifizieren der Benutzer an diesen Authentication-Server. Wenn Sie mehrere Server markieren, kennzeichnet das Gerät den zuletzt markierten Server als primären Authentication-Server.
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Zeile. Um die Statistik zu löschen, klicken Sie im Dialog Netzsicherheit >...
Netzsicherheit [ Netzsicherheit > Paketfilter ] Fehlerhafter Authentifikator Zeigt, wie viele Access-Response-Datenpakete mit ungültigem Authentifikator das Gerät vom Server empfangen hat. Offene Anfragen Zeigt, wie viele Access-Request-Datenpakete das Gerät an den Server gesendet hat, auf die es noch keine Antwort vom Server empfangen hat. Timeouts Zeigt, wie viele Male die Antwort des Servers vor Ablauf der voreingestellten Wartezeit ausge- blieben ist.
Netzsicherheit [ Netzsicherheit > Paketfilter ] Das Gerät bietet Ihnen ein mehrstufiges Konzept für das Einrichten und Anwenden der Paketfilter- Regeln: Regel erzeugen. Regel einem Router-Interface zuweisen. Bis zu diesem Schritt haben Änderungen keine Auswirkung auf das Verhalten des Geräts und auf den Datenstrom.
Seite 106
Netzsicherheit [ Netzsicherheit > Paketfilter > Global ] 4.3.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Paketfilter fest. Konfiguration Erlaubte L3-Firewall-Regeln (max.) Zeigt die maximale Anzahl erlaubter Firewall-Regeln für Datenpakete. Default-Policy Legt fest, wie die Firewall Datenpakete verarbeitet, wenn keine Regel zutrifft.
Seite 107
Netzsicherheit [ Netzsicherheit > Paketfilter > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Commit Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen des Enforcers.
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] 4.3.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > FLM ] Die FLM-Funktion hilft Ihnen festzulegen, für welche Verbindungen Sie den Zugriff auf Ihr Netz zulassen. Die maximale Anzahl von Regeln, die Sie mithilfe der FLM-Funktion konfigurieren können, ist abhängig von der Anzahl der bereits konfigurierten Regeln im Dialog Paketfilter Regel.
Seite 109
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Information Status Zeigt den Zustand der aktiven Firewall-Lern-Modus-Anwendung. Mögliche Werte: Die Funktion ist inaktiv. stopped-data-notpresent stopped-data-present Das Gerät hat den Lernmodus angehalten. In der Registerkarte Regel finden Sie Informationen zu den gelernten Daten.
Seite 110
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Verschiebt die im Feld Available Interfaces markierten Einträge in das Feld Selected Interfaces. Für die FLM-Funktion können Sie ausschließlich aktive Router-Interfaces auswählen. Verschiebt die im Feld Selected Interfaces markierten Einträge in das Feld...
Seite 111
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Ziel-Port Zeigt den Ziel-Port des Paketes. Eingangs-Interface Zeigt das Interface, welches das Paket empfangen hat. Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Protokoll Zeigt das IP-Protokoll auf der Basis von RFC 791 für die Protokollfilterung. First Occurence Zeigt den Zeitpunkt, zu dem das Gerät das Paket zum ersten Mal ermittelt hat.
Seite 112
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die Paketfilter-Regel anwendet. Mögliche Werte: (Voreinstellung) Das Gerät wendet die Paketfilter-Regel auf Datenpakete mit beliebiger Zieladresse an. Gültige IPv4-Adresse Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Zieladresse an.
Seite 113
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Mögliche Werte: (Voreinstellung) Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu berücksichtigen. 1..65535 Das Gerät wendet die Paketfilter-Regel ausschließlich auf Datenpakete an, die den festgelegten Ziel-Port enthalten.
Seite 114
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Aktiv Aktiviert/deaktiviert die Regel. Mögliche Werte: (Voreinstellung) markiert Die Regel ist aktiv. unmarkiert Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Create Erstellt eine neue Regel, sofern der Rahmen Gelernte Einträge mindestens einen Eintrag zeigt.
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] 4.3.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter zu konfigurieren. Die hier definierten Regeln können Sie im Dialog Netzsicherheit > Paketfilter > Zuweisung den gewünschten Ports zuweisen.
Seite 116
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Protokoll Legt den Protokolltyp der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung) Das Gerät wendet die Regel auf sämtliche Datenpakete an, ohne das Protokoll zu berücksich- tigen.
Seite 117
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Mögliche Werte: (Voreinstellung) Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu berücksichtigen. 1..65535 Das Gerät wendet die Paketfilter-Regel ausschließlich auf Datenpakete an, die den festgelegten Ziel-Port enthalten.
Seite 118
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Aktion Legt fest, wie das Gerät die Datenpakete verarbeitet, wenn es die Regel anwendet. Mögliche Werte: (Voreinstellung) accept Das Gerät akzeptiert die Datenpakete gemäß den Ingress-Regeln. Anschließend wendet das Gerät die Egress-Regeln an, bevor es die Datenpakete sendet. ...
Seite 119
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Die Spalte ist ausschließlich in der Gerätevariante MB, oder verfügbar. Siehe Merkmalswert Software level im Produktcode. Voraussetzung für das Ändern des Werts ist, dass Sie in Spalte Aktion den Wert enforce-modbus oder festlegen und die Schaltfläche klicken.
Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] 4.3.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing > Interfaces > Konfiguration.
Seite 121
Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] Mögliche Werte: kommend Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt. gehend Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface sendet.
Seite 122
Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen des Enforcers. Das Gerät unterbricht dabei offene Kommunikations-Verbindungen. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikations-Verbindung möglich.
Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] 4.3.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Beschreibung Zeigt den Namen oder die Beschreibung der Regel. Die Beschreibung legen Sie fest im Dialog Netzsicherheit >...
Seite 124
Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] Gültige IPv4-Adresse und Netzmaske in CIDR-Notation Das Gerät wendet die Paketfilter-Regel ausschließlich auf Datenpakete an, die eine Quellad- resse im hier festgelegten Subnetz enthalten. Ein der IP-Adresse vorangestelltes Ausrufezeichen verkehrt den Ausdruck ins Gegenteil. Das Gerät wendet die Regel auf Datenpakete an, welche die hier festgelegte Quelladresse NICHT enthalten.
Seite 125
Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] Mögliche Werte: icmp Internet Control Message Protocol (RFC 792) igmp Internet Group Management Protocol ipip IP in IP tunneling (RFC 1853) Transmission Control Protocol (RFC 793) User Datagram Protocol (RFC 768) ...
Seite 126
Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] Mögliche Werte: accept Das Gerät akzeptiert die Datenpakete. drop Das Gerät verwirft die Datenpakete. reject Das Gerät weist die Datenpakete zurück. Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Regel auf ein Datenpaket anwendet. Mögliche Werte: ...
Netzsicherheit [ Netzsicherheit > DPI ] Deep Packet Inspection [ Netzsicherheit > DPI ] Die DPI-Funktion ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unter- stützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die DPI-Funktion untersucht Datenpakete auf unerwünschte Merkmale und Protokollverletzungen.
Seite 128
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.4.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Regeln zu definieren. Die Regeln spezifizieren Modbus TCP-Funktionscodes und Register- oder Coil-Adressen.
Seite 129
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: (Voreinstellung) readOnly Das Gerät trägt ausschließlich Funktionscodes von Lese-Funktionen des Modbus TCP-Proto- kolls in die Spalte Funktionscode ein: 1,2,3,4,7,11,12,17,20,24. readWrite Das Gerät trägt ausschließlich Funktionscodes von Lese-/Schreib-Funktionen des Modbus TCP- Protokolls in die Spalte...
Seite 130
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: <1,2,..,255>|<0..65535>|<0..65535> Das Gerät lässt Datenpakete mit folgenden Eigenschaften zu: Funktionscodes <1,2,..,255>, Read-Adressbereich <0..65535> und Write-Adressbereich <0..65535>. – Mehrere Funktionscodes trennen Sie durch Komma. Beispiel: 1,2,3 Das Gerät lässt Datenpakete mit folgenden Funktions-Codes zu: 1 (Read Coils), 2 (Read...
Seite 131
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: markiert Das Senden einer Exception-Antwort ist aktiv. Wenn das Gerät eine Protokollverletzung oder Fehler bei der Plausibilitätsprüfung ermittelt, sendet es eine Exception-Antwort an die Endpunkte und beendet die Modbus TCP-Verbindung.
Seite 132
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Ist das Kontrollkästchen in Spalte Ausgewählt unmarkiert, klicken Sie die Schaltfläche dann den Eintrag Auswählen. Klicken Sie die Schaltfläche Speichern. Wenn für die Regel das Kontrollkästchen Profil aktiv markiert ist, hindert das Gerät Sie daran, die Regel zu entfernen.
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Das Gerät trägt jeden Funktionscode des Modbus TCP-Protokolls in die Spalte Funktionscode ein: 1,2,..,255: advanced Ermöglicht Ihnen, in Spalte Funktionscode manuell Werte einzufügen oder zu löschen. – Verwenden Sie die Schaltflächen, um einen Funktionscode hinzuzufügen oder zu entfernen. –...
Seite 134
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Bedeutung der Funktionscode-Werte Bedeutung Adressbe- Adressbe- reich reich Read Coils <0..65535> Read Discrete Inputs <0..65535> Read Holding Registers <0..65535> Read Input Registers <0..65535> Write Single Coil <0..65535> Write Single Register <0..65535> Read Exception Status Diagnostic Get Comm Event Counter...
Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.4.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für den OPC Content Inspector festzulegen. OPC ist ein Integrationsprotokoll für industrielle Umgebungen. OPC Enforcer ist eine Funktion zur Unterstützung der Netzsicherheit.
Seite 136
Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung auf Datenpakete. Mögliche Werte: (Voreinstellung) markiert Die Plausibilitätsprüfung ist aktiviert. Das Gerät prüft die Datenpakete auf Plausibilität bezüglich Format und Spezifikation. unmarkiert Die Plausibilitätsprüfung ist deaktiviert. Fragmentenprüfung Aktiviert/deaktiviert die Fragmentprüfung auf Datenpakete.
Netzsicherheit [ Netzsicherheit > DoS ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Nummer der Regel fest. Mögliche Werte: –...
Seite 138
Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.5.1 DoS-Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. TCP/UDP Scanner nutzen Port-Scans, um Angriffe auf das Netz vorzubreiten. Der Scanner verwendet unter- schiedliche Techniken, um aktive Geräte und offene Ports zu ermitteln.
Seite 139
Netzsicherheit [ Netzsicherheit > DoS > Global ] Mögliche Werte: markiert Der Filter ist aktiv. (Voreinstellung) unmarkiert Der Filter ist inaktiv. TCP-Offset-Protection Aktiviert/deaktiviert den TCP-Offset-Schutz. Der TCP-Offset-Schutz erkennt eingehende TCP-Datenpakete, deren Fragment-Offset-Feld des IP-Headers gleich 1 ist und verwirft diese. Der TCP-Offset-Schutz akzeptiert UDP- und ICMP-Pakete mit Fragment-Offset-Feld des IP- Headers gleich 1.
Seite 140
Netzsicherheit [ Netzsicherheit > DoS > Global ] Mögliche Werte: markiert Der Filter ist aktiv. (Voreinstellung) unmarkiert Der Filter ist inaktiv. Min. TCP header size Zeigt die minimale Größe eines gültigen TCP-Headers. Dieser Rahmen ermöglicht Ihnen, den Land-Attack-Filter zu aktivieren und zu deaktivieren. Bei der Land-Attack-Methode sendet die angreifende Station Datenpakete, deren Quell- und Zieladresse identisch mit denen des Empfängers ist.
Seite 141
Netzsicherheit [ Netzsicherheit > DoS > Global ] Der Filter erkennt ICMP-Pakete, deren Payload-Größe die im Feld Erlaubte Payload-Größe [Byte] festgelegte Größe überschreitet und verwirft diese. Mögliche Werte: markiert Der Filter ist aktiv. (Voreinstellung) unmarkiert Der Filter ist inaktiv. Erlaubte Payload-Größe [Byte] Legt die maximal erlaubte Payload-Größe von ICMP-Paketen in Byte fest.
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] 5 Virtuelles Privates Netz Das Menü enthält die folgenden Dialoge: VPN Übersicht VPN Zertifikate VPN Verbindungen VPN Übersicht [ Virtuelles Privates Netz > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 143
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter Max. Aktive Verbindungen festgelegte Menge ein. Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 144
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Mögliche Werte: initiator Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung. responder Wenn Sie das Gerät als Responder für den VPN-Tunnel festlegen, dann wartet das Gerät darauf, dass der Initiator einen Schlüsselaustausch (IKE) und die Aushandlung der Verbin- dungsparameter beginnt.
Seite 145
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] IKE proposal Zeigt die Algorithmen, die IKE für den Schlüsselaustausch verwendet. Das Gerät zeigt eine Kombination der Parameter IKE key agreement, IKE integrity (MAC) encryption. Wenn Sie in dem Dialog VPN Verbindungen einen IKE-Algorithmus für das Gerät konfigurieren und für den entfernten Endpunkt ein Algorithmus mit höherer Sicherheit konfiguriert ist, ist es möglich,...
Seite 146
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert. Das Gerät beschränkt außerdem die maximale Anzahl von aktiven VPN-Tunneln auf den im Feld Max.
Seite 147
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Nächstes IKE Re-Keying [s] Zeigt die verbleibende Zeit bis zur nächsten IKE-Schlüssel-Erzeugung in Sekunden. Der Wert 0 gibt an, dass die Schlüssel-Erzeugung nicht konfiguriert ist. IKE initiator SPI Zeigt den „Security Parameter Index“ (SPI) des IKE-Initiators in Abhängigkeit vom Gerät, das Sie als Initiator festlegen.
Seite 148
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] re-trying Der Schlüsselaustausch für diesen IPsec-SA ist fehlgeschlagen. Das Gerät versucht automa- tisch, einen neuen Schlüsselaustausch zu initiieren. deleting Das Gerät ersetzt den IPsec-Tunnel während der erneuten Schlüsselerzeugung. Das Gerät lässt den Tunnel bis zur Verarbeitung verzögerter Pakete geöffnet, was auf 5 Sekunden vorein- gestellt ist.
Seite 149
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] [Verbindungsfehler] Tabelle VPN index Zeigt den Zeilenindex für die eindeutige Kennung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. VPN active Zeigt, ob der VPN-Tunnel aktiv/inaktiv ist. Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert.
Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] VPN Zertifikate [ Virtuelles Privates Netz > Zertifikate ] Eine Zertifizierungsstelle (CA) stellt Zertifikate zur Authentifizierung der Identität von Geräten aus, die einen VPN-Tunnel anfordern. Sie konfigurieren die Geräte, die einen VPN-Tunnel bilden, dahingehend, dass sie die CA, welche das Zertifikat signiert hat, als vertrauenswürdig einstufen.
Seite 151
Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen Gültig ab Zeigt Beginndatum und -uhrzeit für das Zertifikat. Mögliche Werte: Datums- und Zeitstempel Gültig bis Zeigt Ablaufdatum und -uhrzeit für das Zertifikat. Mögliche Werte: ...
Seite 152
Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] Private Key Datei Zeigt den Namen der privaten Schlüsseldatei. Das Gerät ermöglicht Ihnen, alphanumerische Zeichen mit Bindestrichen, Unterstrichen und Punkten einzugeben. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen Aktive Verbindungen Zeigt die Anzahl der aktiven Verbindungen, die dieses Zertifikat verwenden.
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] VPN Verbindungen [ Virtuelles Privates Netz > Verbindungen ] Dieser Dialog ermöglicht Ihnen das Anlegen, Löschen und Bearbeiten von VPN-Tunneln. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM).
Seite 154
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: markiert Der Tabelleneintrag ist aktiv. Das Gerät filtert ausschließlich bei aktiviertem Tabelleneintrag den Datenstrom auf der Grund- lage der im Traffic-Selektor festgelegten Parameter. (Voreinstellung) unmarkiert Der Tabelleneintrag ist inaktiv. Das Gerät ermöglicht Ihnen ausschließlich bei inaktivem Tabelleneintrag, die Parameter zu bearbeiten.
Seite 155
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: Gültige IPv4-Adresse und Netzmaske in CIDR-Notation (Voreinstellung) Das Gerät wendet die Einstellungen in dieser Zeile auf jedes durch das Gerät weitergeleitete Datenpaket an. Ziel-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich des Ziels auf der Grundlage von Namen oder Zahlen fest, die für festgelegt sind.
Seite 156
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] DPD-Timeout [s] Legt die Zeitüberschreitung in Sekunden fest, nach welcher der lokale Peer den entfernten Peer als inaktiv erklärt, wenn der inaktive Peer nicht antwortet. Mögliche Werte: (Voreinstellung: 120) 0..86400 Der Wert 0 deaktiviert diese Funktion.
Seite 157
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Das Gerät ermöglicht Ihnen außerdem, vorinstallierte geheime Schlüssel als Hexadezimal- oder Base64-kodierte Binärwerte anzulegen. Das Gerät interpretiert eine Zeichenfolge, die mit beginnt, als Folge aus Hexadezimalziffern. Analog hierzu interpretiert das Gerät eine mit mehreren beginnende Zeichenfolge als Base64-kodierte Binärdaten.
Seite 158
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Encrypted private key Legt den Dateinamen für den privaten Schlüssel fest. Dieser Wert ist ausschließlich der Dateiname für den privaten Schlüssel. Geben Sie unter Verschlüsselter Key/PKCS12 Passphrase die Passphrase ein. Voraussetzung für das Verwenden dieses Parameters ist, dass Sie in Spalte Authentifizierungs-Typ den Wert...
Seite 159
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Die Formate für diesen Parameter sind abhängig vom Wert, der in Spalte IKE Local-Identifier-Typ festgelegt ist. Mögliche Werte: (Voreinstellung) <leer> Wenn Sie in Spalte IKE Local-Identifier-Typ den Wert festlegen, sind die folgenden Werte möglich: –...
Seite 160
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] – eine E-Mail-Adresse – Typischer X.500 Distinguished Name IKE key agreement Legt den Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung fest, den das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet. Mögliche Werte: Das Gerät akzeptiert jeden Algorithmus, wenn das Gerät als Responder festgelegt wurde. ...
Seite 161
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen. Das Gerät verwendet die DES-Blockchiffre (DES: Data Encryption Standard = Datenverschlüs- selungsstandard) für die Verschlüsselung von Nachrichtendaten mit einem 56-Bit-Schlüssel.
Seite 162
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Wenn Sie in Spalte Version den Wert festlegen, dann nimmt das Gerät stets die erneute IKEv1 Authentifizierung des VPN-Tunnels vor, selbst wenn Sie die Markierung des Kontrollkästchens aufheben. Mögliche Werte: ...
Seite 163
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] (Voreinstellung) hmacsha1 Das Gerät verwendet den Secure Hash Algorithm Version 1 (SHA-1) zur Berechnung der Hash- Funktion. hmacsha256 Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet.
Seite 164
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] aes256gcm96 AES-GCM mit einem 96-Bit-ICV und 256 Schlüssel-Bits. aes256gcm128 AES-GCM mit einem 128-Bit-ICV und 256 Schlüssel-Bits. IPsec lifetime [s] Legt die Lebensdauer der IPsec Security Association zwischen 2 Netzwerkgeräten in Sekunden zur Sicherung der Kommunikation fest.
Seite 165
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Eintrag erzeugen Öffnet das Fenster Eintrag erzeugen zum Hinzufügen eines Eintrags für VPN-Beschreibung und Traffic-Selector-Index. Im Feld VPN Beschreibung legen Sie die benutzerdefinierte Beschreibung fest.
Seite 166
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Betriebszustand Zeigt den gegenwärtigen Status des VPN-Tunnels. Mögliche Werte: Die „Internet Key Exchange Security Association“ (IKE-SA) und jede „Internet Protocol Security- Security Association“ (IPsec-SA) ist aktiv. down Die IKE-SA und IPsec-SAs sind inaktiv. ...
Seite 167
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] VPN active Zeigt, ob der VPN-Tunnel aktiv/inaktiv ist. Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert. Das Gerät beschränkt außerdem die maximale Anzahl von aktiven VPN-Tunneln auf den im Feld Max.
Seite 168
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Pre-shared key (PSK) Pre-shared key (PSK) Legt den vorinstallierten Schlüssel („Pre-shared Key“) fest. Das Gerät ermöglicht Ihnen außerdem, vorinstallierte geheime Schlüssel als Hexadezimal- oder Base64-kodierte Binärwerte anzulegen. Das Gerät interpretiert eine Zeichenfolge, die mit beginnt, als Folge aus Hexadezimalziffern.
Seite 169
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Voraussetzung für das Aktivieren der Schaltfläche Choose... ist, dass Sie in der Dropdown-Liste Authentifizierungs-Typ den Wert individualx509 oder pkcs12 auswählen. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen Encrypted Private Key Legt den Dateinamen für den privaten Schlüssel fest.
Seite 170
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Voraussetzung für das Verwenden dieses Parameters ist, dass Sie in der Dropdown-Liste Authen- tifizierungs-Typ den Wert individualx509 oder pkcs12 auswählen und das Kontrollkästchen Ändern markieren. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen Ändern Aktiviert/deaktiviert die Felder Pass Phrase (Private Key)
Seite 171
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: (Voreinstellung) Das Gerät verwendet die IP-Adresse des Interfaces, das das Gerät zur Weiterleitung von Daten zum entfernten Endpunkt verwendet. Gültige IPv4-Adresse und Netzmaske Hostname Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen Wenn Sie einen Hostnamen eingeben, ermöglicht Ihnen das Gerät, oder in der...
Seite 172
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] entspricht any/53 Mögliche Werte: <leer> (Voreinstellung) Das Gerät verwendet als Einschränkung. any/any Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen Ziel-Adresse (CIDR) Zeigt IP-Adresse und Netzmaske des Ziels. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, die diese IP-Zieladresse enthalten, wendet das Gerät die in dieser Zeile festgelegten Einstellungen an.
Seite 173
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Im Feld Quell-Adresse (CIDR) legen Sie die IP-Adresse des Quell-Rechners fest. Mögliche Werte: – Gültige IPv4-Adresse und Netzmaske in CIDR-Notation Im Feld Quell-Einschränkungen legen Sie optionale Einschränkungen für die Quelle fest. Mögliche Werte: –...
Seite 174
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Wenn Sie den lokalen Peer als Responder festlegen und der entfernte Peer Datenverkehr an einen bestimmten Selektor sendet, versucht das Gerät, als Responder die Verbindung herzustellen. Der Verbindungsaufbau als Responder ist abhängig von weiteren Einstellungen für diese Verbindung. Wenn Sie beispielsweise für den Ferner Endpunktany festlegen, ist die Initiierung der Verbindung...
Seite 175
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: (Voreinstellung) <leer> Wenn Sie in Spalte IKE Local-Identifier-Typ den Wert festlegen, sind die folgenden Werte möglich: – eine IPv4-Adresse oder DNS-Host-Name – Ein zuvor definierter Schlüsselbezeichner, der Daten festlegt, die das Gerät zur Weitergabe von herstellerspezifischen Informationen verwendet.
Seite 176
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] IKE Exchange-Modus Legt die Verwendung des Exchange Mode Phase 1 für IKEv1 fest. Die IKE-Phase 1 dient dem Aufbau eines sicheren authentifizierten Kommunikationskanals. Um einen geheimen gemeinsamen Schlüssel (Shared Key) zu generieren, verwendet das Gerät den Diffie-Hellman-Algorithmus für den Schlüsselaustausch.
Seite 177
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] hmacsha256 Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet. hmacsha384 Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet.
Seite 178
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] IPSec/Data-exchange IPsec key agreement Legt den Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung fest, den das Gerät zur Ermittlung des IPsec-SA-Sitzungsschlüssels verwendet. Mögliche Werte: Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 179
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] (Voreinstellung) hmacsha1 Das Gerät verwendet den Secure Hash Algorithm Version 1 (SHA-1) zur Berechnung der Hash- Funktion. hmacsha256 Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet.
Seite 180
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] aes256gcm96 AES-GCM mit einem 96-Bit-ICV und 256 Schlüssel-Bits. aes256gcm128 AES-GCM mit einem 128-Bit-ICV und 256 Schlüssel-Bits. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zurück Zeigt die vorherige Seite an.
Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global Lastbegrenzer Filter für MAC-Adressen Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: Aging-Time der Adresstabelle ändern ...
Seite 182
Switching [ Switching > Global ] Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert Die Flusskontrolle ist im Gerät aktiviert. Aktivieren Sie die Flusskontrolle zusätzlich auf den erforderlichen Ports. Siehe Dialog Grundeinstellungen > Port, Registerkarte Konfiguration, Kontrollkästchen in Spalte Flusskontrolle. ...
Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, den Datenverkehr an den Ports zu begrenzen, um auch bei hohem Datenverkehr einen stabilen Betrieb zu ermöglichen. Wenn der Verkehr an einem Port den einge- gebenen Grenzwert überschreitet, dann verwirft das Gerät die Überlast auf diesem Port.
Seite 184
Switching [ Switching > Lastbegrenzer ] Mögliche Werte: markiert (Voreinstellung) unmarkiert Bei Überschreiten des Grenzwerts verwirft das Gerät auf diesem Port die Überlast an Multicast- Datenpaketen. Aktiviert/deaktiviert die Lastbegrenzerfunktion für empfangene Unicast-Datenpakete mit unbe- kannter Zieladresse. Mögliche Werte: ...
Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die Adresstabelle anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 186
Switching [ Switching > Filter für MAC-Adressen ] Mögliche Werte: – Der Port vermittelt keine Datenpakete an die Zieladresse. learned Der Port vermittelt Datenpakete an die Zieladresse. Das Gerät hat den Filter anhand empfan- gener Datenpakete automatisch eingerichtet. ...
Routing [ Routing > Global ] 7 Routing Das Menü enthält die folgenden Dialoge: Routing Global Routing-Interfaces Open Shortest Path First Routing-Tabelle Tracking L3-Relay Loopback-Interface L3-Redundanz Routing Global [ Routing > Global ] Das Menü...
Seite 188
Routing [ Routing > Global ] ICMP-Filter Im Rahmen ICMP-Filter haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von „ICMP error message“-Nachrichten belastet die Leistung des Routers und reduziert die verfügbare Bandbreite im Netz.
Routing [ Routing > Interfaces ] Mögliche Werte: Information Default TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet. TTL (Time To Live, auch bekannt als „Hop-Count“ ) kennzeichnet die maximale Anzahl an Schritten, die ein IP-Paket auf dem Weg vom Absender zum Adressaten zurücklegen darf.
Seite 190
Routing [ Routing > Interfaces > Konfiguration ] 7.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein portbasiertes Router-Interface einzurichten, bearbeiten Sie die Einträge in der Tabelle. Um ein VLAN-basiertes Router-Interfaces einzurichten, verwenden Sie das Wizard-Fenster.
Seite 191
Routing [ Routing > Interfaces > Konfiguration ] Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: • Management-Port •...
Seite 192
Routing [ Routing > Interfaces > Konfiguration ] Mögliche Werte: Stellt den voreingestellten Wert (1500) wieder her. (Voreinstellung: 1500) 68..1500 Voraussetzung ist, dass Sie auf den Ports, die zum Router-Interface gehören, die zulässige Größe der Ethernet-Pakete um mindestens 18 Byte größer als hier festlegen. Siehe Dialog Grundeinstellungen >...
Seite 193
Routing [ Routing > Interfaces > Konfiguration ] [VLAN-Router-Interface einrichten (Wizard) – VLAN erstellen oder auswählen] Tabelle VLAN-ID Zeigt die ID der im Gerät eingerichteten VLANs. Name Zeigt den Namen der im Gerät eingerichteten VLANs. Bereich unter der Tabelle VLAN-ID Legt die ID eines VLANs fest, das das Wizard-Fenster für Sie festlegt.
Seite 194
Routing [ Routing > Interfaces > Konfiguration ] Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog Switching > VLAN > Konfiguration für den Port festgelegte Einstellung. Mögliche Werte: ...
Seite 195
Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) Sekundäre Adressen Adresse Legt eine weitere IP-Adresse für das Router-Interface fest (Multinetting).
Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 7.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Routing [ Routing > ARP ] Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: • Management-Port • Router-Interface • Loopback-Interface [ Routing > ARP ] Das Address Resolution Protocol(ARP) lernt zu einer IP-Adresse die zugehörige MAC-Adresse.
Seite 198
Routing [ Routing > ARP > Global ] 7.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 199
Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Wenn Sie die ARP-Tabelle zurücksetzen, wird der Zähler auf den Wert zurückgesetzt.
Routing [ Routing > ARP > Aktuell ] 7.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Port Zeigt das Router-Interface, an dem das Gerät die IP/MAC-Adresszuweisung gelernt hat. IP-Adresse Zeigt die IP-Adresse des Geräts, das auf eine ARP-Anfrage auf diesem Router-Interface geant- wortet hat.
Seite 201
Routing [ Routing > ARP > Aktuell ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite ARP-Tabelle zurücksetzen Entfernt aus der ARP-Tabelle die dynamisch eingerichteten Adressen. RM GUI EAGLE Release 3.4 03/2020...
Routing [ Routing > ARP > Statisch ] 7.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle IP-Adresse Zeigt die IP-Adresse, die das Gerät der nebenstehenden MAC-Adresse zuweist. MAC-Adresse Zeigt die MAC-Adresse, die das Gerät der nebenstehenden IP-Adresse zuweist.
Routing [ Routing > OSPF ] [ARP (Wizard)] Das Wizard-Fenster ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP- Tabelle einzufügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. [ARP (Wizard) – ARP-Tabelle bearbeiten] Legen Sie in den Feldern unter der Tabelle die IP-Adresse und die zugehörige MAC-Adresse fest.
Seite 204
Routing [ Routing > OSPF ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des gesamten Netzes (OSPF-Domäne). Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Routing [ Routing > OSPF > Global ] 7.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein] [Konfiguration] [Redistribution] [Allgemein] Diese Registerkarte ermöglicht Ihnen, OSPF im Gerät einzuschalten und die Netzparameter fest- zulegen.
Seite 206
Routing [ Routing > OSPF > Global ] Mögliche Werte: (Voreinstellung) Der Router speichert weiter Einträge, bis der Speicher voll ist. 0..2147483647 Das Gerät speichert bis zur festgelegten Anzahl von Einträgen. Legen Sie denselben Wert in den Routern des OSPF-Backbones und jeder anderen regulären OSPF-Area fest.
Seite 207
Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es Änderungen an den OSPF-Parametern erkennt. unmarkiert (Voreinstellung) Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 208
Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert Der Router ist ein ASBR. unmarkiert Der Router funktioniert in einer anderen Rolle als in der Rolle eines ASBR. ABR status Zeigt, ob das Gerät als Area Border Router (ABR) arbeitet. Mögliche Werte: ...
Seite 209
Routing [ Routing > OSPF > Global ] RFC 1583 Kompatibilität Die Network Working Group entwickelt und verbessert die OSPF-Funktion stetig weiter und fügt Parameter hinzu. Dieser Router stellt Parameter gemäß RFC 2328 bereit. Über die Parameter in diesem Dialog stellen Sie die Kompatibilität des Routers mit gemäß RFC 1583 entwickelten Routern her.
Seite 210
Routing [ Routing > OSPF > Global ] Präferenz (extern) Legt die „Administrative Distanz“ zwischen Routern außerhalb der Areas (externe OSPF-Routen) fest. Mögliche Werte: (Voreinstellung: 110) 1..255 Default route Advertise Aktiviert/deaktiviert OSPF-Meldungen auf Default-Routen, die von anderen Protokollen gelernt wurden.
Seite 211
Routing [ Routing > OSPF > Global ] Mögliche Werte: externalType1 Umfasst sowohl die externen Pfadkosten vom ABR zum ASBR, der die Route erzeugt hat, als auch die internen Pfadkosten zum ABR, der die Route in der lokalen Area gemeldet hat. ...
Seite 212
Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert Die Neuverteilung von Routen, die vom Quellprotokoll gelernt wurden, ist aktiv. (Voreinstellung) unmarkiert Die OSPF-Routen-Neuverteilung ist inaktiv. Metrik Legt den Metrikwert fest für Routen, die durch dieses Protokoll neu verteilt werden. Mögliche Werte: ...
Seite 213
Routing [ Routing > OSPF > Global ] ACL-Gruppenname Legt die Bezeichnung der Access-Control-List fest, welche die vom festgelegten Quellprotokoll empfangenen Routen filtert. Um die doppelte Neuverteilung und mögliche Loops zu vermeiden, erzeugen Sie eine Access List, die die Neuverteilung von Routen anderer Protokolle ablehnt. Legen Sie die Access-List-ID fest, aktivieren Sie dann die Funktion in Spalte aktiv.
Routing [ Routing > OSPF > Areas ] 7.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 215
Routing [ Routing > OSPF > Areas ] Area-LSA Checksumme Zeigt die Gesamtzahl der LS-Prüfsummen, die in der LS-Datenbank dieser Area enthalten sind. Diese Summe schließt Type-5-External-LSAs aus. Sie verwenden die Summe, um zu bestimmen, ob eine Änderung in einer LS-Datenbank eines Routers stattgefunden hat, und um die LS-Daten- bank mit anderen Routern abzugleichen.
Routing [ Routing > OSPF > Stub Areas ] 7.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 217
Routing [ Routing > OSPF > Stub Areas ] Totally stub Aktiviert/deaktiviert den Import von Summary-LSAs in die Stub-Areas. Mögliche Werte: markiert Der Router importiert keine Area-Summarys. Die Stub-Area basiert vollständig auf der Default- Route. Dadurch wird die Default-Route zu einer Totally-Stubby-Area. ...
Routing [ Routing > OSPF > NSSA ] 7.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type-7-AS-External-LSAs in Type-5-AS-External-LSAs umwandelt.
Seite 219
Routing [ Routing > OSPF > NSSA ] Mögliche Werte: (Voreinstellung: 10) 1..16777214 Standard-Metrik-Typ Legt den im Type-7-Default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 220
Routing [ Routing > OSPF > NSSA ] Translator-Stability-Intervall [s] Legt die Anzahl von Sekunden fest, in denen der Router die Übersetzung von Type-7-LSAs in Type-5-LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: (Voreinstellung: 40) 0..65535 Translator events Zeigt die Anzahl von Übersetzer-Statusänderungen seit dem letzten Start.
Routing [ Routing > OSPF > Interfaces ] 7.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 222
Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router. Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router- ID.
Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: (Voreinstellung: 40) 1..65535 Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: ...
Seite 224
Routing [ Routing > OSPF > Interfaces ] Netzwerktyp Legt den OSPF-Netztyp des autonomen Systems fest. Mögliche Werte: broadcast Verwenden Sie diesen Wert für Broadcast-Netze wie Ethernet und IEEE 802.5. OSPF führt eine Auswahl von DR und BDR durch, mit denen die nicht-designierten Router eine Adjacency herstellen.
Seite 225
Routing [ Routing > OSPF > Interfaces ] Die Option zur verschlüsselten Authentifizierung unterstützt Sie dabei, Ihr Netz gegen passive Angriffe zu schützen, und bietet einen wesentlichen Schutz gegen aktive Angriffe. Voraussetzung für das Ändern dieses Wertes ist, dass Sie in Spalte Auth Typ den Wert fest-...
Routing [ Routing > OSPF > Virtuelle Links ] 7.4.6 OSPF Virtuelle Links [ Routing > OSPF > Virtuelle Links ] OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone-Area zu verbinden.
Seite 227
Routing [ Routing > OSPF > Virtuelle Links ] Mögliche Werte: (Voreinstellung: 40) 1..65535 Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Hello-Intervall [s] Legt die Anzahl von Sekunden zwischen den Übertragungen von Hello-Paketen auf dem Interface fest.
Seite 228
Routing [ Routing > OSPF > Virtuelle Links ] Auth key Legt den Authentifizierungsschlüssel fest. Nach Eingabe zeigt das Feld ***** (Sternchen) anstelle des Authentifizierungsschlüssels. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 16 Zeichen – mit 8 Zeichen, wenn in der Dropdown-Liste Auth Typ der Wert ausgewählt ist...
Routing [ Routing > OSPF > Bereiche ] 7.4.7 OSPF Ranges [ Routing > OSPF > Bereiche ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 230
Routing [ Routing > OSPF > Bereiche ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. In der Dropdown-Liste Area-ID wählen Sie die Area-ID des Adressbereichs aus. ...
Routing [ Routing > OSPF > Diagnose ] 7.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert OSPF auf 2 grundlegenden Prozessen. Herstellen von Adjacencys Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus und aktualisieren ihre Routing-Tabellen.
Seite 232
Routing [ Routing > OSPF > Diagnose ] Type-2-LSAs sind Netz-LSAs. Der DR erstellt eine Netz-LSA auf der Grundlage von Informati- onen, die über die Type-1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Netz-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 233
Routing [ Routing > OSPF > Diagnose ] LS-Request-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-Link-Status-Request-Pakete, die seit dem Zurücksetzen der Zähler übertragen wurden. LS-Update-Pakete empfangen Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler empfangen wurden. LS-Update-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler über- tragen wurden.
Seite 234
Routing [ Routing > OSPF > Diagnose ] Typ-5 (external) LSAs empfangen Zeigt die Anzahl der externen Type-5-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [Link-State-Datenbank] Ein Router führt eine separate Link-Status-Datenbank für jede Area, zu der er gehört. Der Router fügt der Datenbank in den folgenden Fällen LSAs hinzu: ...
Seite 235
Routing [ Routing > OSPF > Diagnose ] asSummaryLink Der Router hat die Informationen von einem ABR empfangen, der Type-4-LSA zur Beschrei- bung von Routen zu ASBR verwendet. Bevor ABR die Routing-Informationen an andere Areas senden, stellen ABR von Type-1-LSAs und Type-2-LSAs gelernte Informationen zusammen, die von den angeschlossenen Areas empfangen wurden.
Seite 236
Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 237
Routing [ Routing > OSPF > Diagnose ] Status Zeigt den Status der Beziehung zu dem in dieser Instanz aufgeführten Nachbarn. Ein Ereignis bewirkt eine Statusänderung, wie der Empfang eines Hello-Pakets. Dieses Ereignis hat abhängig vom gegenwärtigen Status des Nachbarn verschiedene Auswirkungen. Außerdem lösen die Router abhängig vom Status der Änderung des Nachbarn eine DR-Auswahl aus.
Seite 238
Routing [ Routing > OSPF > Diagnose ] [Virtuelle Nachbarn] OSPF erfordert eine kontinuierliche Verbindung der Autonomous-System-Backbone-Area. Außerdem erfordert OSPF, dass jede Area über eine Verbindung zur Backbone-Area verfügt. Der physische Standort von Routern lässt häufig nicht zu, dass eine Area direkt an die Backbone-Area angeschlossen wird.
Seite 239
Routing [ Routing > OSPF > Diagnose ] Der Router unterstützt 4 Optionen, indem die folgenden Bits im Feld „Optionen“ abhängig von den Funktionsmerkmalen des Routers entweder auf einen hohen oder einen niedrigen Wert gesetzt werden. Das Feld zeigt den Wert, indem die folgenden Options-Bits addiert werden. Sie lesen die Felder vom niedrigstwertigen zum höchstwertigen Bit.
Seite 240
Routing [ Routing > OSPF > Diagnose ] init Der Router hat kürzlich ein Hello-Paket vom Nachbarn erkannt. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das angeschlossene Interface führt beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 241
Routing [ Routing > OSPF > Diagnose ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [Externe Link-State-Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen.
Seite 242
Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Routing [ Routing > Routing-Tabelle ] nssa-type1 Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die Not-So- Stub-Area importiert. Diese Routen verwenden die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). ...
Seite 244
Routing [ Routing > Routing-Tabelle ] Netz-Adresse Zeigt die Adresse des Zielnetzes. Netzmaske Zeigt die Netzmaske. Next-Hop IP-Adresse Zeigt die IP-Adresse des nächsten Routers auf dem Pfad ins Zielnetz. Zeigt den Typ der Route. Mögliche Werte: lokal Das Router-Interface ist mit dem Zielnetz direkt verbunden. ...
Seite 245
Routing [ Routing > Routing-Tabelle ] Mögliche Werte: Reserviert für Routen, die das Gerät beim Einrichten der Router-Interfaces erzeugt. Diese Routen haben in Spalte Protokoll den Wert lokal. 1..254 Bei der Routing-Entscheidung bevorzugt das Gerät die Route mit dem kleinsten Wert. ...
Routing [ Routing > Tracking ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um eine statische Route zu erzeugen. Im Feld Netz-Adresse legen Sie die Adresse des Zielnetzes fest. Mögliche Werte: –...
Routing [ Routing > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Tracking Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. • Virtuelle Router verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 248
Routing [ Routing > Tracking > Konfiguration ] 7.6.1 Tracking Konfiguration [ Routing > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Legt den Typ des Tracking-Objekts fest. Mögliche Werte: interface Das Gerät überwacht den Link-Status seiner physischen Ports, Link-Aggregation-, LRE- oder VLAN-Router-Interfaces.
Seite 249
Routing [ Routing > Tracking > Konfiguration ] Status Zeigt das Überwachungsergebnis des Tracking-Objekts. Mögliche Werte: Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. oder – Das Ergebnis der logischen Verknüpfung ist WAHR. ...
Seite 250
Routing [ Routing > Tracking > Konfiguration ] Link-Up-Verzögerung [s] Legt die Zeit in Sekunden fest, nach der das Gerät das Überwachungsergebnis als positiv erkennt. Wenn der Link auf dem Interface länger als die hier festgelegte Zeit aktiv ist, zeigt Spalte Status Wert up.
Seite 251
Routing [ Routing > Tracking > Konfiguration ] Mögliche Werte: (Voreinstellung: 1000) 100..20000 Wenn Sie einen Wert <1000 festlegen, können Sie maximal 16 Tracking-Objekte des Typs ping einrichten. – Kein Tracking-Objekt des Typs ping. Ausbleibende Ping-Antworten Legt fest, nach wie vielen ausbleibenden Antworten das Gerät das Überwachungsergebnis als negativ erkennt.
Seite 252
Routing [ Routing > Tracking > Konfiguration ] Best route Zeigt die Nummer des Router-Interfaces, über das die beste Route zum zu überwachenden Router oder Endgerät führt. Mögliche Werte: <Port-Nummer> Nummer des Router-Interfaces. no Port Keine Route vorhanden. ...
Seite 253
Routing [ Routing > Tracking > Konfiguration ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld legen Sie den Typ des Tracking-Objekts fest. Mögliche Werte: –...
Routing [ Routing > Tracking > Applikationen ] 7.6.2 Tracking Applikationen [ Routing > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Subnetz senden BOOTP/DHCP-Broadcast-Nachrichten an DHCP-Server, um Konfigurationsinformationen wie IP-Adressen anzufordern. Router grenzen Broadcast-Domänen ein, sodass BOOTP/DHCP-Anfragen innerhalb des lokalen Subnetzes bleiben. Die Schicht-3- Relay(L3-Relay)-Funktion fungiert als Proxy für Clients, die Information von einem BOOTP/DHCP- Server in einem anderen Netz anfordern.
Seite 256
Routing [ Routing > L3-Relay ] Mögliche Werte: markiert Das Gerät fügt die Circuit-ID des DHCP-Relay-Agenten zu den Suboptionen für Client-Anfragen hinzu. unmarkiert (Voreinstellung) Das Gerät entfernt die DHCP-Relay-Agent-Circuit-ID-Suboptionen aus den Client-Anfragen. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit fest, die das Gerät wartet, bevor es BOOTP/DHCP-Anfragen weiterleitet. Die Endgeräte senden Broadcast-Anfragen in das lokale Netz.
Seite 257
Routing [ Routing > L3-Relay ] Empfangene UDP-Nachrichten Zeigt die Anzahl der vom Gerät empfangenen UDP-Requests der Clients. Weitergeleitete UDP-Nachrichten Zeigt die Anzahl der UDP-Requests, die das Gerät an die in der Tabelle festgelegten Server weiter- geleitet hat. Pakete mit abgelaufener TTL Zeigt die Anzahl der vom Gerät empfangenen UDP-Pakete mit abgelaufenem TTL-Wert.
Seite 258
Routing [ Routing > L3-Relay ] Erzeugen Port Legt das Interface fest, für welches der Tabelleneintrag gilt. Konfigurationen von Interfaces haben Vorrang vor globalen Konfigurationen. Wenn der Ziel-UDP- Port für ein Paket mit jedem Eintrag in einem Eingangs-Interface übereinstimmt, behandelt das Gerät das Paket entsprechend der Konfiguration des Interfaces.
Seite 259
Routing [ Routing > L3-Relay ] Entspricht dem UDP-Port 123. Das Gerät leitet Anfragen für Network Time Protocol weiter. Verwenden Sie diesen Wert für die Peer-to-Peer-Synchronisation, bei der sich beide Endpunkte gegenseitig als Zeitquelle betrachten. pim-auto-rp Entspricht dem UDP-Port 496. Das Gerät leitet Anfragen an Protocol-Independent-Multicast-Automatic-Rendezvous-Points weiter.
Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist ein virtuelles Netz-Interface ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 261
Routing [ Routing > Loopback-Interface ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um ein Loopback-Interface zu erzeugen. Im Feld Index legen Sie die Nummer fest, die das Loopback-Interface eindeutig identifiziert. Mögliche Werte: –...
Routing [ Routing > L3-Redundanz ] L3-Redundanz [ Routing > L3-Redundanz ] Das Menü enthält die folgenden Dialoge: VRRP 7.9.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol(VRRP) ist ein Verfahren, das es dem System ermöglicht, auf den Ausfall eines Routers zu reagieren.
Seite 263
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 7.9.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: bis zu 8 virtuelle Router pro Router-Interface bis zu 2 Adressen pro virtuellem Router Funktion Funktion Schaltet die VRRP-Redundanz im Gerät ein/aus.
Seite 264
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt. (Voreinstellung) unmarkiert Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 265
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: initialize VRRP initialisiert sich gerade, die Funktion ist inaktiv, oder der Master-Router ist noch unbe- nannt. backup Der Router beobachtet die Möglichkeit, Master-Router zu werden. master Der Router ist der Master-Router.
Seite 266
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: (Voreinstellung) markiert Wenn Sie den Preempt-Modus einschalten, übernimmt dieser Router die Master-Router-Rolle von einem Router mit einer niedrigeren VRRP-Priorität, ohne eine Auswahl abzuwarten. unmarkiert Wenn Sie den Preempt-Modusausschalten, übernimmt der Router die Rolle eines Backup- Routers und lauscht nach Nachrichten des Master-Routers.
Seite 267
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Führen Sie die folgenden Schritte aus: Öffnen Sie im Dialog Routing > L3-Redundanz > VRRP > Konfiguration das Fenster Wizard. Öffnen Sie im Fenster Wizard die Seite Create or select entry.
Seite 268
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] [VRRP-Konfiguration (Wizard) – Create or select entry] Tabelle Port Zeigt die Router-Interface-Nummer, auf die sich der Tabelleneintrag bezieht. VRID Zeigt den Virtual Router Identifier. IP-Adresse Zeigt die primäre IP-Adresse des Router-Interfaces. Diese Adresse legen Sie fest im Dialog Routing >...
Seite 269
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] [VRRP-Konfiguration (Wizard) – Eintrag bearbeiten – VRRP] Funktion Funktion Schaltet die VRRP-Redundanz im Gerät ein/aus. Mögliche Werte: Die VRRP-Funktion ist eingeschaltet. (Voreinstellung) Die VRRP-Funktion ist ausgeschaltet. Information Port Zeigt die Router-Interface-Nummer, auf die sich der Tabelleneintrag bezieht.
Seite 270
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: (Voreinstellung: 100) 1..255 Das Deaktivieren oder Entfernen eines VRRP-Routers, der die Master-Rolle inne hat, zwingt die Instanz zum Senden einer Nachricht mit Prioritätswert 0. So wird den Backup-Routern mitgeteilt, dass der Master-Router nicht teilnimmt.
Seite 271
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Physische Router innerhalb einer virtuellen Router-Instanz verwenden die VRRP-IP-Adresse, um untereinander zu kommunizieren. Wenn die IP-Adresse des virtuellen Routers mit einer IP-Adresse eines Router-Interfaces übereinstimmt, dann ist der Router der „Inhaber“ der IP-Adresse und der Master-Router.
Seite 272
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: Name des Tracking-Objekts, zusammensetzt aus und Track-ID. Logische Tracker, die mehrere Tracker kombinieren – Kein Tracking-Objekt ausgewählt. Tracking-Objekte richten Sie ein im Dialog Routing > Tracking > Konfiguration.
Seite 273
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Virtuelle IP-Adressen Legt die zuzuweisende virtuelle IP-Adresse fest. Um die IP-Adresse der Tabelle IP-Adresse hinzuzufügen, klicken Sie die Schaltfläche Hinzufügen. RM GUI EAGLE Release 3.4 03/2020...
Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 7.9.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die VRRP-Funktion relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 275
Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] IP-TTL-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 7.9.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Routing [ Routing > NAT ] Mögliche Werte: notReady Das Tracking-Objekt ist nicht aktiv. Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. down Das Überwachungsergebnis ist negativ: –...
Seite 278
Routing [ Routing > NAT > NAT Global ] 7.10.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Angewendet auf dem Gerät ermöglicht die NAT-Funktion Kommunikations-Verbindungen zwischen Endgeräten in unterschiedlichen Netzen.
Seite 279
Routing [ Routing > NAT > NAT Global ] Destination-NAT-Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Destination-NAT-Regeln von den gespei- cherten Destination-NAT-Regeln unterscheiden. Mögliche Werte: markiert Mindestens eine gespeicherte Destination-NAT-Regel enthält geänderte Einstellungen. Um die Änderungen auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche und dann den Eintrag Änderungen...
Routing [ Routing > NAT > 1:1-NAT ] 7.10.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die 1:1-NAT-Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 281
Routing [ Routing > NAT > 1:1-NAT > Regel ] 7.10.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die 1:1-NAT-Regeln und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht.
Seite 282
Routing [ Routing > NAT > 1:1-NAT > Regel ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die 1:1-NAT-Regel anwendet. Das Gerät vermittelt Datenpakete mit dieser Zieladresse an die in Spalte Neue Ziel-Adresse festgelegte Zieladresse. Mögliche Werte: ...
Routing [ Routing > NAT > Destination-NAT ] Mögliche Werte: markiert Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der 1:1-NAT-Regel auf ein Datenpaket in der Log-Datei. unmarkiert (Voreinstellung) Die Protokollierung ist deaktiviert. Aktiv Aktiviert/deaktiviert die 1:1-NAT-Regel. Mögliche Werte: ...
Routing [ Routing > NAT > Destination-NAT ] <any> dest <any> Destination NAT new dest 192.168.2.2 proto dest port 80,20,21 192.168.1.0/24 Zieladresse Destination Address <any> 192.168.1.8 Ingress Interface Quelladresse Source Address 192.168.2.2 Neue Zieladresse New Destination Address (Port Forwarding) 192.168.1.0/24 Ingress Interface 192.168.1.8:80...
Seite 285
Routing [ Routing > NAT > Destination-NAT > Regel ] 7.10.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Destination-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing >...
Seite 286
Routing [ Routing > NAT > Destination-NAT > Regel ] Mögliche Werte: (Voreinstellung) Das Gerät wendet die Destination-NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen. 1..65535 Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, die den festge- legten Quell-Port enthalten.
Seite 287
Routing [ Routing > NAT > Destination-NAT > Regel ] – Mit durch Bindestrich verbundenen Zahlenwerten legen Sie einen Port-Bereich fest, zum Beispiel 2000-3000. – Des Weiteren können Sie Ports und Port-Bereiche kombinieren, zum Beispiel 21,2000- 3000,65535. Die Spalte ermöglicht Ihnen, bis zu 15 Zahlenwerte festzulegen. Wenn Sie zum Beispiel einfügen, verwenden Sie 4 von 15 Zahlenwerten.
Seite 288
Routing [ Routing > NAT > Destination-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. Mögliche Werte: markiert Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der Destination-NAT-Regel auf ein Datenpaket in der Log- Datei.
Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 7.10.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 290
Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Mögliche Werte: markiert Die Regel ist aktiv. (Voreinstellung) unmarkiert Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zuweisen Öffnet den Dialog Zuweisen. In diesem Dialog weisen Sie ein eingerichtetes Router-Interface einer bestehenden Destination-NAT-Regel zu.
Routing [ Routing > NAT > Destination-NAT > Übersicht ] 7.10.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 292
Routing [ Routing > NAT > Destination-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert Das Gerät protokolliert das Anwenden der Destination-NAT-Regel auf ein Datenpaket in der Log- Datei.
Routing [ Routing > NAT > Masquerading NAT ] 7.10.4 Masquerading NAT [ Routing > NAT > Masquerading NAT ] Masquerading NAT-Funktion versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 294
Routing [ Routing > NAT > Masquerading NAT > Regel ] 7.10.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Masquerading NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Masquerading NAT-Regel im Dialog Routing >...
Seite 295
Routing [ Routing > NAT > Masquerading NAT > Regel ] Mögliche Werte: (Voreinstellung) Das Gerät wendet die Masquerading NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen. 1..65535 Das Gerät wendet die Masquerading NAT-Regel ausschließlich auf Datenpakete an, die den fest- gelegten Quell-Port enthalten.
Seite 296
Routing [ Routing > NAT > Masquerading NAT > Regel ] Mögliche Werte: markiert Das Gerät sendet einen SNMP-Trap, wenn es die Masquerading NAT-Regel auf ein Datenpaket anwendet. unmarkiert (Voreinstellung) Das Senden von SNMP-Traps ist deaktiviert. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Routing [ Routing > NAT > Masquerading NAT > Zuweisung ] 7.10.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen.
Seite 298
Routing [ Routing > NAT > Masquerading NAT > Zuweisung ] Mögliche Werte: markiert Die Regel ist aktiv. (Voreinstellung) unmarkiert Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zuweisen Öffnet den Dialog Zuweisen. In diesem Dialog weisen Sie ein eingerichtetes Router-Interface einer bestehenden Masquerading NAT-Regel zu.
Routing [ Routing > NAT > Masquerading NAT > Übersicht ] 7.10.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading NAT-Regel welchem Router-Inter- face zugewiesen ist. Masquerading NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Routing [ Routing > NAT > Double-NAT ] Mögliche Werte: markiert Das Gerät protokolliert das Anwenden der Masquerading NAT-Regel auf ein Datenpaket in der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. unmarkiert Protokollierung ist ausgeschaltet. Richtung Zeigt, ob das Gerät die Masquerading NAT-Regel auf empfangene oder zu sendende Datenpakete...
Routing [ Routing > NAT > Double-NAT ] Lokale interne IP-Adresse Lokale externe IP-Adresse Local Internal IP Address Local External IP Address Double NAT 192.168.1.8 192.168.2.8 Proxy ARP Egress Interface Ingress 192.168.1.0/24 192.168.2.0/24 Interface Proxy ARP 192.168.1.100 192.168.2.100 Entfernte externe IP-Adresse Entfernte interne IP-Adresse Remote External IP Address Remote Internal IP Address...
Seite 302
Routing [ Routing > NAT > Double-NAT > Regel ] 7.10.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Double-NAT-Regeln. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing >...
Seite 303
Routing [ Routing > NAT > Double-NAT > Regel ] Mögliche Werte: Gültige IPv4-Adresse Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten. Ferne externe IP-Adresse Legt für das im zweiten Netz platzierte Endgerät die virtuelle IP-Adresse im ersten Netz fest. Mögliche Werte: ...
Seite 304
Routing [ Routing > NAT > Double-NAT > Regel ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 3.4 03/2020...
Routing [ Routing > NAT > Double-NAT > Zuweisung ] 7.10.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 306
Routing [ Routing > NAT > Double-NAT > Zuweisung ] Mögliche Werte: (Voreinstellung: 1) 1..6500 Aktiv Aktiviert/deaktiviert die Double-NAT-Regel. Mögliche Werte: markiert Die Regel ist aktiv. (Voreinstellung) unmarkiert Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Routing [ Routing > NAT > Double-NAT > Übersicht ] 7.10.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 308
Routing [ Routing > NAT > Double-NAT > Übersicht ] Mögliche Werte: markiert Das Gerät sendet einen SNMP-Trap. unmarkiert Das Gerät sendet keinen SNMP-Trap. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose > Statuskonfiguration >...
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 8.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 311
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Mögliche Werte: markiert Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt. (Voreinstellung) unmarkiert Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 312
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externer Speicher nicht synchron Aktiviert/deaktiviert die Überwachung der Konfigurationsprofile im Gerät und im externen Speicher. Mögliche Werte: markiert Die Überwachung ist aktiv. In folgenden Situationen wechselt der Wert im Rahmen Geräte-Status auf error: –...
Seite 313
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Mögliche Werte: markiert Die Überwachung ist aktiv. Der Wert im Rahmen Geräte-Status wechselt auf error, wenn der Link auf dem ausgewählten Port/Interface abbricht. (Voreinstellung) unmarkiert Die Überwachung ist inaktiv. Die Einstellung ist wirksam, wenn Sie in der Registerkarte Global das Kontrollkästchen Verbindungs-...
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 8.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 315
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Mögliche Werte: markiert Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt. (Voreinstellung) unmarkiert Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 316
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] – Ziffern (min.) – Sonderzeichen (min.) unmarkiert Die Überwachung ist inaktiv. Die Einstellungen für die Richtlinie legen Sie fest im Dialog Gerätesicherheit > Benutzerverwaltung, Rahmen Passwort-Richtlinien. Prüfen der Passwort-Richtlinien im Benutzerkonto deaktiviert Aktiviert/deaktiviert die Überwachung der Richtlinien überprüfen-Funktion.
Seite 317
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Zugriff auf System-Monitor mit serieller Schnittstelle möglich Aktiviert/deaktiviert die Überwachung des System-Monitors. Wenn der System-Monitor aktiviert ist, hat der Benutzer die Möglichkeit, während des Starts des Geräts über eine serielle Verbindung in den System-Monitor zu wechseln. Mögliche Werte: ...
Seite 318
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Mögliche Werte: markiert Die Überwachung ist aktiv. Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn der Link auf einem aktiven Port abbricht. In der Registerkarte Port haben Sie die Möglichkeit, die zu überwachenden Ports einzeln auszuwählen.
Seite 319
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert Die Überwachung ist aktiv. Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn der Port eingeschaltet ist (Dialog Grundeinstellungen >...
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt ] 8.1.3 Signalkontakt [ Diagnose > Statuskonfiguration > Signalkontakt ] Der Signalkontakt ist ein potentialfreier Relaiskontakt. Das Gerät ermöglicht Ihnen damit eine Fern- diagnose. Über den Signalkontakt signalisiert das Gerät das Eintreten von Ereignissen, indem es den Relaiskontakt öffnet und den Ruhestromkreis unterbricht.
Seite 321
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] 8.1.3.1 Signalkontakt 1 / Signalkontakt 2 [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] In diesem Dialog legen Sie die Auslösebedingungen für den Signalkontakt fest. Der Signalkontakt bietet Ihnen folgende Möglichkeiten: ...
Seite 322
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] Mögliche Werte: offen Der Signalkontakt ist geöffnet. geschlossen Der Signalkontakt ist geschlossen. Signalkontakt-Status Signalkontakt-Status Zeigt den gegenwärtigen Zustand des Signalkontakts. Mögliche Werte: Offen (Fehler) Der Signalkontakt ist geöffnet. Der Ruhestromkreis ist unterbrochen. ...
Seite 323
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] Mögliche Werte: (Voreinstellung) markiert Die Überwachung ist aktiv. Der Signalkontakt öffnet, wenn die Temperatur die Temperaturgrenzen überschreitet oder unterschreitet. unmarkiert Die Überwachung ist inaktiv. Die Temperaturgrenzen legen Sie fest im Dialog Grundeinstellungen >...
Seite 324
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] Mögliche Werte: (Voreinstellung) markiert Die Überwachung ist aktiv. Der Signalkontakt öffnet, wenn das Gerät einen Fehler an diesem Netzteil feststellt. unmarkiert Die Überwachung ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] [Status] Tabelle Zeitstempel Zeigt das Datum und die Uhrzeit des Ereignisses im Format Tag.Monat.Jahr hh:mm:ss. Ursache Zeigt das Ereignis, das den SNMP-Trap ausgelöst hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 326
Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Tabelle Name Legt die Bezeichnung des Trap-Ziels fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen Adresse Legt die IP-Adresse und die Port-Nummer des Trap-Ziels fest. Mögliche Werte: <Gültige IPv4-Adresse>:<Port-Nummer> Aktiv Aktiviert/deaktiviert das Senden von SNMP-Traps an dieses Trap-Ziel.
Diagnose [ Diagnose > System > Systeminformationen ] 8.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Diagnose [ Diagnose > System > Konfigurations-Check ] 8.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 330
Diagnose [ Diagnose > System > Konfigurations-Check ] Level Zeigt den Grad der Abweichung zwischen den Einstellungen dieses Geräts und den Einstellungen der erkannten Nachbargeräte. Das Gerät unterscheidet die folgenden Zustände: INFORMATION Die Leistungsfähigkeit der Kommunikation zwischen den beiden Geräten ist nicht beeinträch- tigt.
Diagnose [ Diagnose > System > ARP ] 8.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Port Zeigt die Nummer des Ports. IP-Adresse Zeigt die IP-Adresse eines Geräts, das auf eine ARP-Anfrage an dieses Gerät geantwortet hat.
Diagnose [ Diagnose > System > Selbsttest ] 8.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden. Festlegen, wie sich das Gerät im Fehlerfall verhält. Konfiguration Die folgenden Einstellungen sperren Ihnen dauerhaft den Zugang zum Gerät, wenn das Gerät beim Neustart kein lesbares Konfigurationsprofil findet.
Seite 333
Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät im Fehlerfall verhält. Ursache Fehlerursachen, auf die das Gerät reagiert. Mögliche Werte: task Das Gerät erkennt Fehler in ausgeführten Anwendungen, zum Beispiel wenn eine Task abbricht oder nicht verfügbar ist.
Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 335
Diagnose [ Diagnose > Syslog ] Min. Schweregrad Legt den Mindest-Schweregrad der Ereignisse fest. Das Gerät sendet einen Log-Eintrag für Ereig- nisse mit diesem Schweregrad und mit dringlicheren Schweregraden an den Syslog-Server. Mögliche Werte: emergency alert critical ...
Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge: RM GUI EAGLE Release 3.4 03/2020...
Seite 337
Diagnose [ Diagnose > Ports > SFP ] 8.4.1 [ Diagnose > Ports > SFP ] Dieser Dialog ermöglicht Ihnen, die gegenwärtige Bestückung des Geräts mit SFP-Transceivern und deren Eigenschaften einzusehen. Tabelle Die Tabelle zeigt ausschließlich dann gültige Werte, wenn das Gerät mit SFP-Transceivern bestückt ist.
Diagnose [ Diagnose > LLDP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät Link Layer Discovery Protocol (LLDP). Mit diesen Informationen ist eine Netzmanagement- Station in der Lage, die Struktur Ihres Netzes darzustellen.
Seite 339
Diagnose [ Diagnose > LLDP > Konfiguration ] 8.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port zu konfigurieren. Funktion Funktion Schaltet die LLDP-Funktion ein/aus. Mögliche Werte: (Voreinstellung) Die LLDP-Funktion ist eingeschaltet. Die Topologie-Erkennung mit LLDP ist auf dem Gerät aktiv.
Seite 340
Diagnose [ Diagnose > LLDP > Konfiguration ] Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: (Voreinstellung: 5) 5..3600 Nach Senden eines Benachrichtigungs-Traps wartet das Gerät mindestens die hier festgelegte Zeit, bis es den nächsten Benachrichtigungs-Trap sendet. Tabelle Port Zeigt die Nummer des Ports.
Seite 341
Diagnose [ Diagnose > LLDP > Konfiguration ] Systemname senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit dem Gerätenamen. Mögliche Werte: (Voreinstellung) markiert Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit dem Gerätenamen. unmarkiert Das Senden des TLV ist inaktiv.
Seite 342
Diagnose [ Diagnose > LLDP > Konfiguration ] Mögliche Werte: lldpOnly Das Gerät verwendet ausschließlich LLDP-Datenpakete, um benachbarte Geräte auf diesem Port zu erfassen. macOnly Das Gerät verwendet gelernte MAC-Adressen, um benachbarte Geräte auf diesem Port zu erfassen. Das Gerät verwendet die MAC-Adresse ausschließlich dann, wenn kein weiterer Eintrag in der Adresstabelle (FDB, Forwarding Database) für diesen Port vorhanden ist.
Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 8.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs sendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Diagnose [ Diagnose > Bericht ] Nachbar-Port-Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts. Nachbar-Systemname Zeigt den Gerätenamen des Nachbargeräts. Nachbar-Systembeschreibung Zeigt eine Beschreibung für das Nachbargerät. Port ID Zeigt die ID des Ports, über den das Nachbargerät mit dem Gerät verbunden ist. Autonegotiation-Unterstützung Zeigt, ob der Port des Nachbargeräts Auto-Negotiation unterstützt.
Diagnose [ Diagnose > Bericht > Global ] 8.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: auf der Konsole auf einen oder mehreren Syslog-Servern ...
Seite 346
Diagnose [ Diagnose > Bericht > Global ] Buffered-Logging Das Gerät puffert protokollierte Ereignisse in 2 getrennten Speicherbereichen, damit die Log- Einträge für dringliche Ereignisse erhalten bleiben. Dieser Rahmen ermöglicht Ihnen, den Mindest-Schweregrad für Ereignisse festzulegen, die das Gerät im höher priorisierten Speicherbereich puffert. Schweregrad Legt den Mindest-Schweregrad für die Ereignisse fest.
Seite 347
Diagnose [ Diagnose > Bericht > Global ] Mögliche Werte: Die Protokollierung ist eingeschaltet. Das Gerät protokolliert SNMP Get requests als Ereignis im Syslog. Den Schweregrad für dieses Ereignis wählen Sie in der Dropdown-Liste Schweregrad Get- Request aus. (Voreinstellung) Die Protokollierung ist ausgeschaltet.
Seite 348
Diagnose [ Diagnose > Bericht > Global ] CLI-Logging Funktion Schaltet die CLI-Logging-Funktion ein/aus. Mögliche Werte: Die CLI-Logging-Funktion ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung) Die CLI-Logging-Funktion ist ausgeschaltet. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 349
Diagnose [ Diagnose > Bericht > Global ] Bedeutung der Ereignis-Schweregrade Schweregrad Bedeutung emergency Gerät nicht betriebsbereit Sofortiger Bedienereingriff erforderlich alert Kritischer Zustand critical Fehlerhafter Zustand error warning Warnung Signifikanter, normaler Zustand notice Informelle Nachricht informational Debug-Nachricht debug RM GUI EAGLE Release 3.4 03/2020...
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 8.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher permanent zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 351
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: ...
Seite 352
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Mögliche Werte: messages messages.X Datei-Größe [Byte] Zeigt die Größe der Log-Datei im externen Speicher in Bytes. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Persistente Log-Datei löschen Entfernt die Log-Dateien vom externen Speicher.
Diagnose [ Diagnose > Bericht > System Log ] 8.6.3 System Log [ Diagnose > Bericht > System Log ] Das Gerät protokolliert geräteinterne Ereignisse in einer Log-Datei (System Log). Dieser Dialog zeigt die Log-Datei (System Log). Der Dialog ermöglicht Ihnen, die Log-Datei im HTML-Format auf Ihrem PC zu speichern.
Diagnose [ Diagnose > Bericht > Audit Trail ] 8.6.4 Audit Trail [ Diagnose > Bericht > Audit Trail ] Dieser Dialog zeigt die Log-Datei (Audit Trail). Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Web-Browsers.
Erweitert [ Erweitert > DNS ] 9 Erweitert Das Menü enthält die folgenden Dialoge: Command Line Interface [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client DNS-Cache 9.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Erweitert [ Erweitert > DNS > Client > Global ] 9.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Client-Funktion ein. Funktion Funktion Schaltet die Client-Funktion ein/aus. Mögliche Werte: Die Client-Funktion ist eingeschaltet. Das Gerät sendet Anfragen zur Auflösung von Hostnamen in IP-Adressen an einen DNS- Server.
Erweitert [ Erweitert > DNS > Client > Aktuell ] 9.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Index Zeigt die fortlaufende Nummer des DNS-Servers.
Erweitert [ Erweitert > DNS > Client > Statisch ] 9.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, selbst bis zu 4 IP-Adressen festzulegen oder die IP-Adressen von einem DHCP-Server zu übernehmen.
Seite 359
Erweitert [ Erweitert > DNS > Client > Statisch ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 3.4 03/2020...
Erweitert [ Erweitert > DNS > Client > Statische Hosts ] 9.1.1.4 Statische Hosts [ Erweitert > DNS > Client > Statische Hosts ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Hostnamen festzulegen, die mit jeweils einer IP-Adresse verknüpft sind. Bei Anfragen zur Auflösung von Hostnamen in IP-Adressen sucht das Gerät in dieser Tabelle nach einem passenden Eintrag.
Erweitert [ Erweitert > DNS > Cache ] 9.1.2 DNS-Cache [ Erweitert > DNS > Cache ] Die Cache-Funktion befähigt das Gerät, auf Anfragen zur Auflösung von Hostnamen in IP-Adressen selbst zu antworten. Das Menü enthält die folgenden Dialoge: DNS-Cache Global RM GUI EAGLE Release 3.4 03/2020...
Seite 362
Erweitert [ Erweitert > DNS > Cache > Global ] 9.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Cache-Funktion ein. Ist die Cache-Funktion eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnamens an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 363
Erweitert [ Erweitert > CLI ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite SSH-Verbindung starten Öffnet die SSH-fähige Client-Anwendung. Wenn Sie die Schaltfläche klicken, übergibt die Web-Anwendung den URL des Geräts beginnend und den Benutzernamen des gegenwärtig angemeldeten Benutzers. ssh:// Wenn der Web-Browser eine SSH-fähige Client-Anwendung findet, dann stellt der SSH-fähige Client eine Verbindung mit dem SSH-Protokoll zum Gerät her.
Seite 364
Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............279 Aging-Time .
Seite 365
Stichwortverzeichnis Häufig gestellte Fragen ............366 HiDiscovery .
Seite 366
Stichwortverzeichnis RADIUS ..............62, 97 RAM .
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 368
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 369
Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder per Post an Hirschmann Automation and Control GmbH Abteilung 01RD-NT Stuttgarter Str.
Seite 370
Leserkritik RM GUI EAGLE Release 3.4 03/2020...
Seite 372
Reference Manual Command Line Interface (CLI) Industrial Security Router EAGLE40 RM CLI EAGLE40 Technical Support Release 3.4 03/2020 https://hirschmann-support.belden.eu.com...
Seite 374
Contents Cont e nt s Sa fe t y inst ruc t ions First login (Pa ssw ord c ha nge ) About t his M a nua l Applic a t ion List s appllists 1.1.1 appllists set-authlist 1.1.2 appllists enable 1.1.3 appllists disable show 1.2.1 show appllists...
Seite 376
Contents 7.1.13 security-status trap security-status 7.2.1 security-status no-link show 7.3.1 show security-status monitor 7.3.2 show security-status state 7.3.3 show security-status no-link 7.3.4 show security-status trap 7.3.5 show security-status events 7.3.6 show security-status all Dom a in N a m e Syst e m (DN S) 8.1.1 dns client servers add 8.1.2 dns client servers delete 8.1.3 dns client servers modify...
Seite 377
Contents 12.1 http 12.1.1 http port 12.1.2 http server 12.2 show 12.2.1 show http H T T P Se c ure (H T T PS) 13.1 https 13.1.1 https server 13.1.2 https port 13.1.3 https fingerprint-type 13.1.4 https certificate 13.2 copy 13.2.1 copy httpscert remote 13.2.2 copy httpscert envm 13.3 show...
Seite 378
Contents 16.7 reboot 16.8 ping 16.8.1 ping source 16.9 show 16.9.1 show serviceshell Ope n Short e st Pa t h First (OSPF) 17.1 ip 17.1.1 ip ospf area 17.1.2 ip ospf trapflags all 17.1.3 ip ospf operation 17.1.4 ip ospf 1583compatability 17.1.5 ip ospf default-metric 17.1.6 ip ospf router-id 17.1.7 ip ospf external-lsdb-limit...
Seite 379
Contents 18.2.4 ip vrrp enable 18.2.5 ip vrrp disable 18.2.6 ip vrrp virtual-address add 18.2.7 ip vrrp virtual-address delete 18.2.8 ip vrrp track add 18.2.9 ip vrrp track modify 18.2.10ip vrrp track delete 18.3 show 18.3.1 show ip vrrp interface 18.3.2 show ip vrrp global Addre ss Re solut ion Prot oc ol (I P ARP) 19.1 ip...
Seite 380
Contents Link La ye r Disc ove ry Prot oc ol (LLDP) 22.1 lldp 22.1.1 lldp operation 22.1.2 lldp config chassis admin-state 22.1.3 lldp config chassis notification-interval 22.1.4 lldp config chassis tx-hold-multiplier 22.1.5 lldp config chassis tx-interval 22.2 show 22.2.1 show lldp global 22.2.2 show lldp port 22.2.3 show lldp remote-data 22.3 lldp...
Seite 381
Contents 24.2 show 24.2.1 show network management access global 24.2.2 show network management access rules N e t w ork Addre ss T ra nsla t ion (N AT ) 25.1 nat 25.1.1 nat dnat commit 25.1.2 nat dnat add 25.1.3 nat dnat modify 25.1.4 nat dnat delete 25.1.5 nat dnat logtrap...
Seite 383
Contents 30.1.16ldap mapping delete 30.1.17ldap mapping enable 30.1.18ldap mapping disable 30.2 show 30.2.1 show ldap global 30.2.2 show ldap client server 30.2.3 show ldap mapping 30.3 copy 30.3.1 copy ldapcacert remote 30.3.2 copy ldapcacert envm Re m ot e M onit oring (RM ON ) 1 1 3 31.1 show 31.1.1 show rmon statistics...
Seite 384
Contents 36.1 snmp 36.1.1 snmp access version v1 36.1.2 snmp access version v2 36.1.3 snmp access version v3 36.1.4 snmp access port 36.2 show 36.2.1 show snmp access SN M P Com m unit y 1 2 4 37.1 snmp 37.1.1 snmp community ro 37.1.2 snmp community rw 37.2 show...
Seite 385
Contents 41.1.3 snmp trap delete 41.1.4 snmp trap add 41.2 show 41.2.1 show snmp traps U nic a st Rout ing 1 3 4 42.1 routing 42.1.1 routing add 42.1.2 routing delete 42.2 ip 42.2.1 ip routing 42.2.2 ip proxy-arp max-delay 42.3 show 42.3.1 show ip global 42.4 show...
Seite 386
Contents V irt ua l Priva t e N e t w ork (V PN ) 1 4 3 44.1 ipsec 44.1.1 ipsec certificate delete 44.1.2 ipsec certificate upload passphrase 44.1.3 ipsec connection add 44.1.4 ipsec connection modify 44.1.5 ipsec connection status 44.1.6 ipsec connection delete 44.1.7 ipsec traffic-selector 44.2 show...
Safety instructions Sa fe t y inst ruc t ions WARN I N G UNCONTROLLED MACHINE ACTIONS To avoid uncontrolled machine actions caused by data loss, configure all the data transmission devices individually. Before you start any machine which is controlled via data transmission, be sure to complete the configuration of all data transmission devices.
Seite 388
The device prompts you to confirm your new password. Log on to the device again with your new password. Note: If you lost your password, then use the System Monitor to reset the password. For further information see: hirschmann-support.belden.com. RM CLI EAGLE40 Release 3.4 03/2020...
Seite 389
About t his M a nua l The “Installation” user manual contains a device description, safety instructions, a description of the display, and the other information that you need to install the device. The “Configuration” user manual contains the information you need to start operating the device. It takes you step by step from the first startup operation through to the basic settings for operation in your environment.
Seite 390
Applic at ion List s 1 .1 a ppllist s Configure an application list. 1 .1 .1 a ppllist s se t -a ut hlist Set an authentication list reference that shall be used by given application. Mode: Global Config Mode ...
Seite 391
Aut he nt ic at ion List s 2 .1 a ut hlist s Configure an authentication list. 2 .1 .1 a ut hlist s a dd Create a new login authentication list. Mode: Global Config Mode Privilege Level: Administrator ...
Seite 392
2 .1 .5 a ut hlist s disa ble Deactivate a login authentication list. Mode: Global Config Mode Privilege Level: Administrator Format: authlists disable <P-1> Parameter Value Meaning string <authlist_name> Name of an authentication list. 2 .2 show Display device options and settings.
Com m a nd Line I nt e rfa c e (CLI ) 3 .1 Set the CLI preferences. 3 .1 .1 c li se ria l-t im e out Set login timeout for serial line connection to CLI. Setting to 0 will disable the timeout. The value is active after next login.
Seite 394
3 .2 show Display device options and settings. 3 .2 .1 show c li globa l Display the CLI preferences. Mode: Command is in all modes available. Privilege Level: Guest Format: show cli global 3 .2 .2 show c li c om m a nd-t re e Display a list of every command.
Seite 395
Clock 4 .1 clock Configure local and DST clock settings. 4 .1 .1 c loc k se t Edit current local time. Mode: Global Config Mode Privilege Level: Administrator Format: clock set <P-1> <P-2> Parameter Value Meaning YYYY-MM-DD Local date (range: 2004-01-01 - 2037-12-31).
Configurat ion 5 .1 save Save the configuration to the specified destination. 5 .1 .1 sa ve profile Save the configuration to the specific profile. Mode: All Privileged Modes Privilege Level: Operator Format: save profile <P-1> Parameter Value Meaning string Enter a user-defined text, max.
Seite 397
5 .2 .5 c onfig e nvm a ut o-upda t e Allow automatic firmware updates with this memory device. Mode: Global Config Mode Privilege Level: Administrator Format: config envm auto-update <P-1> Parameter Value Meaning USB Storage Device ...
Seite 398
5 .2 .1 0 c onfig finge rprint ve rify nvm profile Select the name of a profile to be verified. Mode: Global Config Mode Privilege Level: Administrator Format: config fingerprint verify nvm profile <P-1> <P-2> Parameter Value Meaning string Filename.
Seite 399
system: Copy a firmware image to the device from external non-volatile memory. Parameter Value Meaning string Filename. 5 .3 .4 c opy firm w a re re m ot e Copy a firmware image to the device from a server. ...
Seite 400
5 .4 cle a r Clear several items. 5 .4 .1 c le a r c onfig Clear the running configuration. Mode: Privileged Exec Mode Privilege Level: Administrator Format: clear config 5 .4 .2 c le a r fa c t ory Set the device back to the factory settings (use with care).
Seite 401
5 .6 .5 show c onfig profile s Display the configuration profiles. Mode: Command is in all modes available. Privilege Level: Administrator Format: show config profiles <P-1> [<P-2>] Parameter Value Meaning non-volatile memory envm external non-volatile memory device 1..20 Index of the profile entry.
Devic e M onit oring 6 .1 devic e -st at us Configure various device conditions to be monitored. 6 .1 .1 de vic e -st a t us m onit or link -fa ilure Enable or disable monitor state of network connection(s). ...
Seite 403
no de vic e -st a t us m onit or pow e r-supply Disable the option Mode: Global Config Mode Privilege Level: Administrator Format: no device-status monitor power-supply <P-1> 6 .1 .6 de vic e -st a t us t ra p Configure the device to send a trap when the device status changes.
Seite 404
6 .3 .4 show de vic e -st a t us e ve nt s Display occurred device status events. Mode: Command is in all modes available. Privilege Level: Guest Format: show device-status events 6 .3 .5 show de vic e -st a t us link -a la rm Display the monitor configurations of the network ports.
Seite 405
Devic e Se c urit y 7 .1 se c urit y-st at us Configure the security status settings. 7 .1 .1 se c urit y-st a t us m onit or pw d-c ha nge Sets the monitoring of default password change for 'user' and 'admin'. ...
Seite 406
7 .1 .5 se c urit y-st a t us m onit or ht t p-e na ble d Sets the monitoring of the activation of http on the switch. Mode: Global Config Mode Privilege Level: Administrator Format: security-status monitor http-enabled ...
Seite 407
7 .1 .1 0 se c urit y-st a t us m onit or hidisc -e na ble d Sets the monitoring of HiDiscovery. Mode: Global Config Mode Privilege Level: Administrator Format: security-status monitor hidisc-enabled no se c urit y-st a t us m onit or hidisc -e na ble d Disable the option ...
Seite 408
no se c urit y-st a t us no-link Disable the option Mode: Interface Range Mode Privilege Level: Administrator Format: no security-status no-link 7 .3 show Display device options and settings. 7 .3 .1 show se c urit y-st a t us m onit or Display the security status monitoring settings.
Dom a in N a m e Syst e m (DN S) 8 .1 Set DNS parameters. 8 .1 .1 dns c lie nt se rve rs a dd Add a new DNS server. Mode: Global Config Mode Privilege Level: Operator ...
Seite 410
8 .2 show Display device options and settings. 8 .2 .1 show dns c lie nt info Display the DNS Client related information. Mode: Command is in all modes available. Privilege Level: Guest Format: show dns client info 8 .2 .2 show dns c lie nt se rve rs Display the DNS Client servers.
De e p Pa cke t I nspe c t ion (DPI ) 9 .1 Creation and configuration of DPI profiles. 9 .1 .1 dpi m odbus c om m it Writes all changes made in the DPI MODBUS profiles to the enforcer. ...
Parameter Value Meaning Function code encapsulated interface transport Function code advantech co. ltd. - management functions Function code scan data inc. - expanded read holding registers Function code scan data inc. - expanded write holding registers Function code unity programming/ofs Function code scattered register read Function code schneider electric - firmware replacement 0..255...
Parameter Value Meaning 1..32 Profile source index 1 - 32 9 .1 .7 dpi m odbus disa ble profile Enables a profile in the DPI MODBUS profile table. A profile can only be activated when all required parameters are set. After activation modifications no longer possible. ...
Parameter Value Meaning 1..32 Profile destination index 1 - 32 9 .1 .1 2 dpi opc de lprofile Deletes a profile from the DPI OPC profile table. You cannot delete an active profile or if an enforcer mappings to it. ...
1 0 Fire w a ll Le a r ning M ode (FLM ) 1 0 .1 Configure the firewall learning mode. 1 0 .1 .1 flm ope ra t ion Enable/disable the firewall learning mode. Mode: Global Config Mode ...
1 0 .2 .2 show flm int e rfa c e Display the interfaces selected for the firewall learning mode Mode: Command is in all modes available Privilege Level: Guest Format: show flm interface RM CLI EAGLE40 Release 3.4 03/2020...
1 1 H iDisc ove r y 1 1 .1 ne t w ork Configure the inband and outband connectivity. 1 1 .1 .1 ne t w ork hidisc ove ry ope ra t ion Enable/disable the HiDiscovery protocol on this device. ...
1 3 H T T P Se c ure (H T T PS) 1 3 .1 ht t ps Set HTTPS parameters. 1 3 .1 .1 ht t ps se rve r Enable or disable the HTTPS server. Mode: Global Config Mode ...
1 4 I nt e rfa c e 1 4 .1 shut dow n 1 4 .1 .1 shut dow n Enable or disable the interface. Mode: Interface Range Mode Privilege Level: Operator Format: shutdown no shut dow n Disable the option ...
Parameter Value Meaning The port does not use the crossover mode. mdix The port uses the crossover mode. auto-mdix The port uses the auto crossover mode. 1 4 .5 link t ra ps 1 4 .5 .1 link t ra ps Enable/disable link up/down traps on the interface.
no pow e r-st a t e Disable the option Mode: Interface Range Mode Privilege Level: Operator Format: no power-state 1 4 .9 show Display device options and settings. 1 4 .9 .1 show port Display the interface parameters. ...
1 6 I nt e r n 1 6 .1 he lp Display the help text for various special keys. Mode: Command is in all modes available. Privilege Level: Guest Format: help 1 6 .2 logout Exit this session. ...
1 6 .6 .1 t ra c e rout e sourc e Source address for traceroute command. Mode: Privileged Exec Mode. Privilege Level: Operator Format: traceroute <P-1> source <P-2> Parameter Value Meaning string Hostname or IP address. A.B.C.D IP address.
1 7 Ope n Shor t e st Pat h First (OSPF) 1 7 .1 Set IP parameters. 1 7 .1 .1 ip ospf a re a Administer the OSPF areas. An area is a sub-division of an OSPF autonomous system. You identify an area by an area-id.
Seite 429
delete: Delete a NSSA. modify: Modify the parameters of a NSSA. translator: Configure the NSSA translator related parameters. role: Configure the NSSA translator role. stability-interval: Configure the translator stability interval for the NSSA, in seconds. summary: Configure the import summary for the specified NSSA. no-redistribute: Configure route redistribution for the specified NSSA.
no ip ospf a re a Disable the option Mode: Global Config Mode Privilege Level: Operator Format: no ip ospf area <P-1> range add modify delete add delete stub add modify summarylsa default-cost delete virtual-link add delete modify authentication type key key-id hello-interval dead-interval transmit-delay retransmit-interval nssa add delete modify translator role stability-interval summary no- redistribute default-info originate [metric] [metric-type]...
Parameter Value Meaning 1..16777214 Configure the default metric for redistributed routes. 1 7 .1 .6 ip ospf rout e r-id Configure the router ID to uniquely identify this OSPF router in the autonomous system. If a tie occurs during the designated router election, the router with the higher router ID is the designated router.
Parameter Value Meaning 1..4294967 Configure the auto cost for OSPF calculation. 1 7 .1 .1 3 ip ospf dist a nc e int ra Enter the preference type as intra. Use intra-area routing when the device routes packets solely within an area, such as an internal router.
Parameter Value Meaning Configure as out to re-distribute routes with ACL rules connected Select the source protocol as connected. static Select the source protocol as static. no ip ospf dist ribut e -list Disable the option Mode: Global Config Mode ...
Parameter Value Meaning broadcast Configure the link-type as broadcast for the interface. In broadcast networks, routers discover their neighbors dynamically using the OSPF hello protocol. nbma Configure the link-type as Non-Broadcast Multi-Access for the interface. The nbma mode, emulates OSPF operation over a broadcast network. The nbma mode is the most efficient way to run OSPF over non-broadcast networks, both in terms of the LSDB size and the amount of routing protocol traffic.
1 7 .2 .9 ip ospf c ost Configure the OSPF cost for the interface. The cost of a specific interface indicates the overhead required to send packets across the link. If set to 0, OSPF calculates the cost from the reference bandwidth and the interface speed. ...
1 7 .3 .2 show ip ospf a re a Display the OSPF area related information. Mode: Command is in all modes available. Privilege Level: Guest Format: show ip ospf area [<P-1>] Parameter Value Meaning A.B.C.D IP address. 1 7 .3 .3 show ip ospf st ub Display the OSPF stub area related information.
Parameter Value Meaning slot no./port no. 1 7 .3 .1 1 show ip ospf st a t ist ic s Display the OSPF statistics. Mode: Command is in all modes available. Privilege Level: Guest Format: show ip ospf statistics 1 7 .3 .1 2 show ip ospf re -dist ribut e Display the OSPF re-distribute related information ...
1 8 V ir t ua l Rout e r Re dunda ncy Prot oc ol (V RRP) 1 8 .1 Set IP parameters. 1 8 .1 .1 ip vrrp ope ra t ion Enables or disables VRRP globally on the device. ...
1 8 .2 .2 ip vrrp m odify Modify parameters of a VRRP instance. Mode: Interface Range Mode. Privilege Level: Operator Format: ip vrrp modify <P-1> [priority <P-2>] [interval <P-3>] [priority]: Priority of the virtual router [interval]: Advertisement Interval in seconds Parameter Value Meaning 1..255...
Parameter Value Meaning string Track instance. 1..253 Enter the decrement value. The priority will be decremented by the configured value. 1 8 .2 .9 ip vrrp t ra c k m odify Modify a tracking object to the vrrp instance. ...
1 9 Addre ss Re solut ion Prot oc ol (I P ARP) 1 9 .1 Set IP parameters. 1 9 .1 .1 ip a rp a dd Add a static arp entry. Mode: Global Config Mode Privilege Level: Operator ...
Parameter Value Meaning 1..10 Enter the arp max retries. 1 9 .2 show Display device options and settings. 1 9 .2 .1 show ip a rp info Displays ARP summary information. Mode: Command is in all modes available. Privilege Level: Guest ...
2 0 L3 Re la y 2 0 .1 Set IP parameters. 2 0 .1 .1 ip udp-he lpe r ope ra t ion Enable or disable the IP helper and DHCP relay. Mode: Global Config Mode Privilege Level: Operator ...
2 0 .1 .6 ip udp-he lpe r m a x hopc ount Configure the DHCP relay maximum hop count. Mode: Global Config Mode Privilege Level: Operator Format: ip udp-helper maxhopcount <P-1> Parameter Value Meaning 1..16 Enter a number in the given range. 2 0 .1 .7 ip udp-he lpe r m inw a it t im e Configure DHCP relay minimum wait time in seconds.
Parameter Value Meaning A.B.C.D IP address. 2 0 .2 .4 ip udp-he lpe r se rve r disa ble Disable a relay agent from processing DHCP client requests and UDP broadcast packets received on a specific interface. Mode: Interface Range Mode ...
2 1 I nt e r ne t Prot oc ol Ve rsion 4 (I Pv4 ) 2 1 .1 ne t w ork Configure the inband and outband connectivity. 2 1 .1 .1 ne t w ork prot oc ol Select DHCP, BOOTP or none as the network configuration protocol.
2 1 .4 .1 show a rp Display the ARP table. Mode: Command is in all modes available. Privilege Level: Guest Format: show arp RM CLI EAGLE40 Release 3.4 03/2020...
2 2 Link La ye r Disc ove r y Prot oc ol (LLDP) 2 2 .1 lldp Configure of Link Layer Discovery Protocol. 2 2 .1 .1 lldp ope ra t ion Enable or disable the LLDP operational state. ...
2 2 .2 .1 show lldp globa l Display the LLDP global configurations. Mode: Command is in all modes available. Privilege Level: Guest Format: show lldp global 2 2 .2 .2 show lldp port Display the port specific LLDP configurations. ...
2 2 .3 .4 lldp not ific a t ion Enable or disable the LLDP notification operation for interface. Mode: Interface Range Mode Privilege Level: Operator Format: lldp notification no lldp not ific a t ion Disable the option ...
Seite 451
no lldp t lv sys-na m e Disable the option Mode: Interface Range Mode Privilege Level: Operator Format: no lldp tlv sys-name <P-1> RM CLI EAGLE40 Release 3.4 03/2020...
2 3 Logging 2 3 .1 logging Logging configuration. 2 3 .1 .1 logging a udit -t ra il Add a comment for the audit trail. Mode: Global Config Mode Privilege Level: Administrator Format: logging audit-trail <P-1> Parameter Value Meaning string...
Parameter Value Meaning 1..8 Syslog server entry index 2 3 .1 .6 logging host disa ble Disable a logging host. Mode: Global Config Mode Privilege Level: Administrator Format: logging host disable <P-1> Parameter Value Meaning 1..8 Syslog server entry index 2 3 .1 .7 logging host m odify Modify an existing logging host.
Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately. Unrecoverable failure of a component. System failure likely. critical Recoverable failure of a component that may lead to system failure. error Error conditions. Recoverable failure of a component. warning Minor failure, e.g.
2 3 .2 .1 show logging buffe re d Display the buffered (in-memory) log entries. Mode: Command is in all modes available. Privilege Level: Guest Format: show logging buffered [<P-1>] Parameter Value Meaning string <filter> Enter a comma separated list of severity ranges, numbers or enum strings are allowed.
2 3 .3 .3 c opy e ve nt log pe rsist e nt Copy the persistent logs from the device to an envm or a file server. Mode: Privileged Exec Mode Privilege Level: Operator Format: copy eventlog persistent <P-1> envm <P-2> remote <P-3> envm: Copy the persistent log from the device to external non-volatile memory.
2 3 .4 .3 c le a r e ve nt log Clear the event log entries from memory. Mode: Privileged Exec Mode Privilege Level: Administrator Format: clear eventlog RM CLI EAGLE40 Release 3.4 03/2020...
2 4 M a na ge m e nt Ac c e ss 2 4 .1 ne t w ork Configure the inband and outband connectivity. 2 4 .1 .1 ne t w ork m a na ge m e nt a c c e ss w e b t im e out Set the web interface idle timeout.
Parameter Value Meaning enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 2 4 .1 .5 ne t w ork m a na ge m e nt a c c e ss ope ra t ion Enable/Disable operation for RMA.
2 5 N e t w ork Addre ss Tra nslat ion (N AT ) 2 5 .1 Manage NAT rules 2 5 .1 .1 na t dna t c om m it Commit pending changes for DNAT (commits all NAT changes). ...
Parameter Value Meaning a.b.c.d Source IP address a.b.c.d/n CIDR mask !a.b.c.d !<a.b.c.d> Everything BUT this address !a.b.c.d/n !<a.b.c.d/n> Everything BUT this CIDR mask number number UDP/TCP Source Port nu-nu nu-nu Port Range nu,nu-nu nu,nu-nu List of ports (or port ranges) Any port (or protocol without a port) a.b.c.d Destination IP address...
2 5 .1 .7 na t dna t if a dd Add Interface Mode: Global Config Mode Privilege Level: Operator Format: nat dnat if add <P-1> <P-2> <P-3> Parameter Value Meaning slot no./port no. 1..255 DNAT rule number 0..4294967295 Priority 2 5 .1 .8...
Seite 463
2 5 .1 .1 2 na t 1 t o1 na t de le t e Delete the rule from 1:1 NAT Mode: Global Config Mode Privilege Level: Operator Format: nat 1to1nat delete <P-1> Parameter Value Meaning 1..256 1:1 NAT rule number 2 5 .1 .1 3 na t 1 t o1 na t logt ra p...
Seite 464
Parameter Value Meaning 1..128 Masquerading rule number a.b.c.d Source IP address a.b.c.d/n CIDR mask !a.b.c.d !<a.b.c.d> Everything BUT this address !a.b.c.d/n !<a.b.c.d/n> Everything BUT this CIDR mask number number UDP/TCP Source Port nu-nu nu-nu Port Range nu,nu-nu nu,nu-nu List of ports (or port ranges) Any port (or protocol without a port) Transmission Control Protocol User Datagram Protocol...
Parameter Value Meaning 0..4294967295 Priority 2 5 .1 .2 3 na t m a sq if de le t e Delete interface Mode: Global Config Mode Privilege Level: Operator Format: nat masq if delete <P-1> <P-2> Parameter Value Meaning slot no./port no.
Parameter Value Meaning Disable SNMP Trap Enable SNMP Trap 2 5 .1 .2 9 na t double na t st a t e Enable/Disable specific Double NAT rule Mode: Global Config Mode Privilege Level: Operator Format: nat doublenat state <P-1> <P-2> Parameter Value Meaning 1..255...
2 5 .2 .3 show na t dna t logt ra p Show Log/Trap settings for DNAT rules Mode: Command is in all modes available. Privilege Level: Guest Format: show nat dnat logtrap [<P-1>] Parameter Value Meaning 1..255 DNAT rule number 2 5 .2 .4...
2 5 .2 .1 1 show na t double na t if Show Double NAT interface configuration. Mode: Command is in all modes available. Privilege Level: Guest Format: show nat doublenat if RM CLI EAGLE40 Release 3.4 03/2020...
2 6 N e t w ork T im e Prot oc ol (N T P) 2 6 .1 nt p Configure NTP settings. 2 6 .1 .1 nt p c lie nt ope ra t ion Enable or disable the NTP client. ...
Parameter Value Meaning 1..4 NTP servers index. a.b.c.d IP address. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 2 6 .1 .7 nt p pe e rs de le t e Delete a peer.
2 7 Pa cke t Filt e r 2 7 .1 pa cke t -filt e r Creation and configuration of Firewall rules. 2 7 .1 .1 pa c k e t -filt e r l3 c om m it Writes all changes made in the L3 firewall configuration to the device ...
Parameter Value Meaning accept Accept packets drop Drop packets without notification reject Drop packets and notify source enforce-modbus Accept or drop packets by Modbus TCP/IP enforcer, protocol should be tcp or udp enforce-opc Accept or drop packets by opc enforcer, protocol should be tcp enforce-iec104 Accept or drop packets by IEC104 enforcer, protocol should be tcp string...
2 7 .1 .9 pa c k e t -filt e r l3 logm ode Set logmode for a rule from L3 rule table Mode: Global Config Mode Privilege Level: Operator Format: packet-filter l3 logmode <P-1> <P-2> Parameter Value Meaning 1..2048...
2 7 .2 .1 c le a r fw -st a t e -t a ble Clear Firewall connection tracking table. Mode: Privileged Exec Mode Privilege Level: Administrator Format: clear fw-state-table 2 7 .3 show Display device options and settings. 2 7 .3 .1 show pa c k e t -filt e r l3 globa l Display the packet-filter global information and settings.
2 8 Pa ssw ord M a na ge m e nt 2 8 .1 pa ssw ords Manage password policies and options. 2 8 .1 .1 pa ssw ords m in-le ngt h Set minimum password length for user passwords. ...
Parameter Value Meaning Disables the counting. 1..60 Enter a number in the given range. 2 8 .2 show Display device options and settings. 2 8 .2 .1 show pa ssw ords Display the password policies and options. Mode: Command is in all modes available. ...
2 9 Ra dius 2 9 .1 ra dius Configure RADIUS parameters. 2 9 .1 .1 ra dius se rve r a t t ribut e 4 Specifies the RADIUS client to use the NAS-IP Address attribute in the RADIUS requests. ...
Parameter Value Meaning string Enter a user-defined text, max. 128 characters. 2 9 .1 .5 ra dius se rve r re t ra nsm it Configure the retransmit value for the RADIUS server. Mode: Global Config Mode Privilege Level: Administrator ...
3 0 Re m ot e Aut he nt ic at ion 3 0 .1 lda p Configure LDAP settings. 3 0 .1 .1 lda p ope ra t ion Enable or disable the remote authentication operation. Mode: Global Config Mode ...
3 0 .1 .7 lda p bind-use r Bind-account user name for LDAP query at the external AD server. Mode: Global Config Mode Privilege Level: Administrator Format: ldap bind-user <P-1> Parameter Value Meaning string Enter a user-defined text, max. 255 characters. 3 0 .1 .8 lda p bind-pa ssw d Bind-account user password for LDAP query at the external AD server.
Parameter Value Meaning 1..4 Enter a number in the given range. 3 0 .1 .1 4 lda p c lie nt se rve r m odify Modify a LDAP client server connection. Mode: Global Config Mode Privilege Level: Administrator ...
3 0 .2 show Display device options and settings. 3 0 .2 .1 show lda p globa l Display the LDAP configuration parameters and information. Mode: Command is in all modes available. Privilege Level: Administrator Format: show ldap global 3 0 .2 .2 show lda p c lie nt se rve r Display the LDAP client server connections.
3 1 Re m ot e M onit oring (RM ON ) 3 1 .1 show Display device options and settings. 3 1 .1 .1 show rm on st a t ist ic s Show RMON statistics configuration. Mode: Command is in all modes available. ...
3 2 .2 .2 c opy sc ript re m ot e Copy script file from server to specified destination. Mode: Privileged Exec Mode Privilege Level: Administrator Format: copy script remote <P-1> running-config nvm <P-2> running-config: Copy script file from file server to running-config. nvm: Copy script file to non-volatile memory.
3 3 Se lft e st 3 3 .1 se lft e st Configure the selftest settings. 3 3 .1 .1 se lft e st a c t ion Configure the action that a selftest component should take. Mode: Global Config Mode ...
3 3 .2 show Display device options and settings. 3 3 .2 .1 show se lft e st a c t ion Display the actions the device takes if an error occurs. Mode: Command is in all modes available. ...
3 4 Sm a ll For m -fa c t or Plugga ble (SFP) 3 4 .1 show Display device options and settings. 3 4 .1 .1 show sfp Show info about plugged in SFP modules. Mode: Command is in all modes available. ...
3 5 Signa l Cont a c t 3 5 .1 signa l-c ont a c t Configure the signal contact settings. 3 5 .1 .1 signa l-c ont a c t m ode Configure the Signal Contact mode setting. ...
no signa l-c ont a c t m onit or e nvm -re m ova l Disable the option Mode: Global Config Mode Privilege Level: Administrator Format: no signal-contact <P-1> monitor envm-removal 3 5 .1 .5 signa l-c ont a c t m onit or t e m pe ra t ure Sets the monitoring of the device temperature.
3 5 .2 signa l-c ont a c t Configure the signal contact interface settings. 3 5 .2 .1 signa l-c ont a c t link -a la rm Configure the monitoring of the specific network ports. Mode: Interface Range Mode ...
Seite 493
3 6 Sim ple N e t w ork M a na ge m e nt Prot oc ol (SN M P) 3 6 .1 snm p Configure of SNMP versions and traps. 3 6 .1 .1 snm p a c c e ss ve rsion v1 Enable or disable SNMP version V1.
Seite 494
3 6 .2 .1 show snm p a c c e ss Display the SNMP access configuration settings. Mode: Command is in all modes available. Privilege Level: Guest Format: show snmp access RM CLI EAGLE40 Release 3.4 03/2020...
3 7 SN M P Com m unit y 3 7 .1 snm p Configure of SNMP versions and traps. 3 7 .1 .1 snm p c om m unit y ro SNMP v1/v2 read-only community. Mode: Global Config Mode ...
3 8 SN M P Logging 3 8 .1 logging Logging configuration. 3 8 .1 .1 logging snm p-re que st ge t ope ra t ion Enable or disable logging of SNMP GET or SET requests. Mode: Global Config Mode ...
3 8 .1 .4 logging snm p-re que st se t se ve rit y Define severity level. Mode: Global Config Mode Privilege Level: Administrator Format: logging snmp-request set severity <P-1> Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately.
3 9 Se c ure She ll (SSH ) 3 9 .1 Set SSH parameters. 3 9 .1 .1 ssh se rve r Enable or disable the SSH server. Mode: Global Config Mode Privilege Level: Administrator Format: ssh server ...
3 9 .2 c opy Copy different kinds of items. 3 9 .2 .1 c opy sshk e y re m ot e Copy the SSH key from a server to the specified destination. Mode: Privileged Exec Mode Privilege Level: Administrator ...
4 0 Syst e m 4 0 .1 syst e m Set system related values e.g. name of the device, location of the device, contact data for the person responsible for the device, and pre-login banner text. 4 0 .1 .1 syst e m na m e Edit the name of the device.
4 0 .1 .6 syst e m re sourc e s ope ra t ion Enable or disable the measurement operation. Mode: Global Config Mode Privilege Level: Administrator Format: system resources operation no syst e m re sourc e s ope ra t ion Disable the option ...
4 0 .3 .4 show syst e m fla sh-st a t us Display the flash memory statistics of the device. Mode: Command is in all modes available. Privilege Level: Guest Format: show system flash-status 4 0 .3 .5 show syst e m re sourc e s Display the system resources information (CPU utilization, memory and network CPU utilization).
4 1 Tra ps 4 1 .1 snm p Configure of SNMP versions and traps. 4 1 .1 .1 snm p t ra p ope ra t ion Global enable/disable SNMP trap. Mode: Global Config Mode Privilege Level: Administrator ...
4 1 .2 .1 show snm p t ra ps Display the SNMP traps. Mode: Command is in all modes available. Privilege Level: Guest Format: show snmp traps RM CLI EAGLE40 Release 3.4 03/2020...
4 2 U nic a st Rout ing 4 2 .1 rout ing Create routing on VLAN. 4 2 .1 .1 rout ing a dd Enable routing on VLAN. Mode: VLAN Database Mode Privilege Level: Operator Format: routing add <P-1> Parameter Value Meaning 1.4042...
4 2 .3 .1 show ip globa l Displays all the summary information of the IP, including the ICMP rate limit configuration and the global ICMP Redirect configuration. Mode: Command is in all modes available. Privilege Level: Guest ...
4 2 .5 .3 ip a ddre ss prim a ry Designates whether an IP Address is a primary address on this interface. Mode: Interface Range Mode Privilege Level: Operator Format: ip proxy-arp operation Parameter Value Meaning A.B.C.D IP address.
4 2 .6 .3 ip rout e de le t e Delete a static route entry. Mode: Global Config Mode Privilege Level: Operator Format: ip route delete <P-1> <P-2> <P-3> Parameter Value Meaning A.B.C.D IP address. A.B.C.D IP address.
4 2 .6 .9 ip de fa ult -rout e de le t e Delete a static default route entry. Mode: Global Config Mode Privilege Level: Operator Format: ip default-route delete <P-1> Parameter Value Meaning A.B.C.D IP address. 4 2 .6 .1 0 ip loopba c k a dd Enable a loopback interface.
Parameter Value Meaning 1..200 Configure the burst-size. 4 2 .7 show Display device options and settings. 4 2 .7 .1 show ip rout e a ll Display static, dynamic and local routes. Mode: Command is in all modes available. ...
4 3 Tra ck ing 4 3 .1 t ra ck Configure tracking instances on the device. 4 3 .1 .1 t ra c k a dd Create a tracking instance. Mode: Global Config Mode Privilege Level: Operator ...
no t ra c k t ra p Disable the option Mode: Global Config Mode Privilege Level: Operator Format: no track trap <P-1> <P-2> 4 3 .1 .6 t ra c k de sc ript ion Set the description for the corresponding tracking instance.
Parameter Value Meaning slot no./port no. string Track instance. AND operator. OR operator. string Track instance. 4 3 .2 show Display device options and settings. 4 3 .2 .1 show t ra c k ove rvie w Display information and settings for tracking instances. ...
4 4 V ir t ua l Privat e N e t w ork (V PN ) 4 4 .1 ipse c Configure IPsec VPN settings. 4 4 .1 .1 ipse c c e rt ific a t e de le t e Delete a certificate uploaded to the device.
4 4 .1 .4 ipse c c onne c t ion m odify Modify a IPsec VPN connection (index in connection is mandatory). Mode: Global Config Mode Privilege Level: Administrator Format: users ipsec connection modify <P-1> name <P-2> certificate ca add <P-3> clear local <P-4>...
Seite 516
Parameter Value Meaning string Filename. string Enter a user-defined text, max. 128 characters. debug_inform debug informational debug_unhandled debug unhandled P-10 Pre-shared key. x509rsa Individual X.509 RSA certificates. pkcs12 Single PKCS12 file with all certificates (including CA). string Enter a user-defined text, max. 128 characters. P-11 default Local IPv4 address.
Parameter Value Meaning P-31 Accept all algorithms as responder, use default as initiator. des3 Triple-DES aes128 AES with 128 key bits. aes192 AES with 192 key bits. aes256 AES with 256 key bits. aes128ctr AES-COUNTER with 128 key bits. aes192ctr AES-COUNTER with 192 key bits.
4 4 .2 .3 show ipse c c onne c t ions a c c e ss IPsec connection access settings. Mode: Command is in all modes available. Privilege Level: Guest Format: show ipsec connections access <P-1> Parameter Value Meaning 1..256...
4 5 U se rs 4 5 .1 use rs Manage Users and User Accounts. 4 5 .1 .1 use rs a dd Add a new user. Mode: Global Config Mode Privilege Level: Administrator Format: users add <P-1> Parameter Value Meaning string...
4 5 .1 .7 use rs snm pv3 e nc rypt ion Specify encryption settings for a user. Mode: Global Config Mode Privilege Level: Administrator Format: users snmpv3 encryption <P-1> <P-2> Parameter Value Meaning string <user> User name (up to 32 characters). none SNMPv3 encryption method is none.
Seite 522
You find the addresses of our partners on the Internet at www.hirschmann.com. A list of local telephone numbers and email addresses for technical support directly from Hirschmann is available at hirschmann-support.belden.com. This site also includes a free of charge knowledge base and a software download section.
Seite 523
Re a de rs’ Com m e nt s What is your opinion of this manual? We are constantly striving to provide as comprehensive a description of our product as possible, as well as important information to assist you in the operation of this product. Your comments and suggestions help us to further improve the quality of our documentation.
Seite 524
E-mail: Date / Signature: Dear User, Please fill out and return this page as a fax to the number +49 (0)7127/14-1600 or per mail to Hirschmann Automation and Control GmbH Department 01RD-NT Stuttgarter Str. 45-51 72654 Neckartenzlingen RM CLI EAGLE40 Release 3.4 03/2020...
Seite 526
Anwender-Handbuch Konfiguration Industrial Security Router EAGLE40 UM Config EAGLE Technische Unterstützung Release 3.4 03/2020 https://hirschmann-support.belden.com...
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung Arbeitsschritt Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Einleitung Einleitung Das Gerät ist für die Praxis in der rauen Industrieumgebung entwickelt. Dementsprechend einfach ist die Installation. Mit wenigen Einstellungen können Sie dank der gewählten Voreinstellungen das Gerät sofort in Betrieb nehmen. UM Config EAGLE Release 3.4 03/2020...
Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Web-Browser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten.
Benutzeroberflächen 1.2 Command Line Interface 1.2.2 Zugriff auf das Command Line Interface mit SSH (Secure Shell) Im folgenden Beispiel verwenden wir das Programm PuTTY. Eine weitere Möglichkeit, über SSH auf Ihr Gerät zuzugreifen, ist die OpenSSH Suite. Gehen Sie wie folgt vor: ...
Seite 540
Benutzeroberflächen 1.2 Command Line Interface Klicken Sie die Schaltfläche Open, um die Datenverbindung zu Ihrem Gerät aufzubauen. Abhängig vom Gerät und vom Zeitpunkt des Konfigurierens von SSH dauert der Verbindungs- aufbau bis zu eine Minute. Bei der 1. Anmeldung an Ihrem Gerät zeigt das Programm PuTTY gegen Ende des Verbin- dungsaufbaus eine Sicherheitswarnmeldung und ermöglicht Ihnen, den Fingerabdruck des...
Benutzeroberflächen 1.2 Command Line Interface login as: admin admin@192.168.1.5’s password: Copyright (c) 2011-2020 Hirschmann Automation and Control GmbH All rights reserved EAGLE Release 3.4 (Build date 2019-02-05 19:17) System Name EAGLE-FD122E Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 Base MAC EC:E5:55:01:02:03 System Time 2020-01-01 17:39:01...
Seite 542
Benutzeroberflächen 1.2 Command Line Interface Gehen Sie wie folgt vor: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ verbinden Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken Sie eine beliebige Taste. ...
Benutzeroberflächen 1.2 Command Line Interface Copyright (c) 2011-2020 Hirschmann Automation and Control GmbH All rights reserved EAGLE Release 3.4 (Build date 2019-02-05 19:17) System Name EAGLE-FD122E Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 Base MAC EC:E5:55:01:02:03 System Time 2020-01-01 17:39:01 NOTE: Enter '?' for Command Help.
Benutzeroberflächen 1.2 Command Line Interface Berechtigungen Die Benutzeroberfläche bietet Ihnen folgende Berechtigungsstufen: Administrator Operator User Tab. 2: Berechtigungsstufen und Umfang der Benutzerrechte Berechtigungs- Benutzerrechte stufe Mit der Berechtigungsstufe angemeldete Benutzer sind berechtigt, das User User Gerät zu überwachen. Mit der Berechtigungsstufe angemeldete Benutzer sind berechtigt, das Auditor Auditor...
Seite 545
Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT Login Logout Eingeschränkte Die User Exec User Exec Modus Funktionalität Kommandos sind auch im Privileged Exec Modus verfügbar. Enable Exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen Vlan Configure...
Seite 546
Benutzeroberflächen 1.2 Command Line Interface Global Config Modus Der Global Config Modus ermöglicht Ihnen, Modifikationen an der laufenden Konfiguration durchzuführen. In diesem Modus sind allgemeine Setup-Kommandos zusammengefasst. Kommando-Prompt: (EAGLE) (config)# Interface Range Modus Die Befehle Interface Range Modus wirken sich auf einen bestimmten Port, auf eine ausge- wählte Gruppe von mehreren Ports oder auf alle Ports aus.
Seite 547
Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Kommando Modi, die im jeweiligen Modus sichtbaren Kommando- Prompts (Eingabeaufforderungszeichen) und die Möglichkeit, mit der Sie den Modus beenden. Tab. 3: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus User Exec Erste Zugriffsebene.
Benutzeroberflächen 1.2 Command Line Interface Wenn Sie ein Fragezeichen (?) nach dem Prompt eingeben, gibt das Command Line Interface Ihnen die Liste der verfügbaren Kommandos und eine Kurzbeschreibung zu den Kommandos aus. (EAGLE)> Set the CLI preferences. enable Turn on privileged commands. help Display help for various special keys.
Benutzeroberflächen 1.2 Command Line Interface Nachdem Sie den Befehl und die erforderlichen Parameter eingegeben haben, behandelt das CLI die weiteren eingegebenen Parameter wie optionale Parameter. Wenn einer der Parameter unbe- kannt ist, gibt das Command Line Interface eine Syntax-Meldung aus. Der Kommandobaum verzweigt sich bei erforderlichen Parametern weiter, bis die erforderlichen Parameter die letzte Abzweigung der Struktur erreicht haben.
Seite 550
Benutzeroberflächen 1.2 Command Line Interface Parameter Die Reihenfolge der Parameter ist für die korrekte Syntax eines Kommandos relevant. Parameter sind notwendige Werte, optionale Werte, Auswahlen oder eine Kombination davon. Die Darstellung zeigt die Art des Parameters. Tab. 4: Parameter- und Kommando-Syntax Kommandos in spitzen Klammern ( ) sind obligatorisch.
Seite 551
Benutzeroberflächen 1.2 Command Line Interface Tab. 5: Parameterwerte im Command Line Interface Wert Beschreibung number Ganze Zahl im angegebenen Bereich, zum Beispiel 0..999999 date Datum im Format YYYY-MM-DD time Zeit im Format HH:MM:SS Netzadressen Netzadressen sind Voraussetzung beim Aufbau einer Datenverbindung zu einer entfernten Arbeitsstation, einem Server oder einem anderen Netz.
Benutzeroberflächen 1.2 Command Line Interface 1.2.8 Beispiele für Kommandos Beispiel 1: clear arp-table-switch Kommando zum Löschen der ARP-Tabelle des Management-Agenten (Cache). ist die Befehlsbezeichnung. Das Kommando ist ohne weitere Parameter clear arp-table-switch durch Drücken der <Enter>-Taste ausführbar. Beispiel 2: radius server timeout Kommando, um die Zeitüberschreitung des RADIUS Servers zu konfigurieren.
Benutzeroberflächen 1.2 Command Line Interface 1.2.9 Eingabeprompt Kommandomodus Das Command Line Interface zeigt durch das Eingabeprompt, in welchem der Modi Sie sich befinden: (EAGLE) > User Exec Modus (EAGLE) # Privileged Exec Modus (EAGLE) (config)# Global Config Modus ...
Seite 554
Benutzeroberflächen 1.2 Command Line Interface Wildcards Das Gerät ermöglicht Ihnen, den Prompt der Befehlszeile zu ändern. Das Command Line Interface unterstützt die folgenden Platzhalter: Tab. 7: Verwendung von Wildcards am Eingabeprompt des Command Line Interfaces Wildcard Beschreibung Systemdatum Systemzeit IP-Adresse des Geräts MAC-Adresse des Gerätes Produktbezeichnung des Geräts !(EAGLE)>enable...
Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Tastaturkombinationen Die folgenden Tastaturkombinationen erleichtern Ihnen die Arbeit mit dem Command Line Inter- face: Tab. 8: Tastenkombinationen im Command Line Interface Tastaturkombination Beschreibung CTRL + H, Zurück (Back- Letztes Zeichen löschen space) CTRL + A Zum Zeilenanfang gehen CTRL + E Zum Zeilenende gehen...
Seite 556
Benutzeroberflächen 1.2 Command Line Interface (EAGLE) #help HELP: Special keys: Ctrl-H, BkSp delete previous character Ctrl-A ..go to beginning of line Ctrl-E ..go to end of line Ctrl-F ..go forward one character Ctrl-B ..go backward one character Ctrl-D ..
Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein Schlüsselwort (keyword) kennzeichnen und Sie die Tabulator- oder Leertaste betätigen, ergänzt das Command Line Interface das Schlüsselwort.
Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Um Ihre aktuelle Konfiguration zu speichern, gehen Sie wie folgt vor: ...
Benutzeroberflächen 1.2 Command Line Interface 1.2.13 Service Shell Die Service Shell dient ausschließlich zu Service-Zwecken. Die Service Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen.
Seite 560
Benutzeroberflächen 1.2 Command Line Interface Service Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Fügen Sie ein und drücken die <Enter>-Taste. help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 561
Benutzeroberflächen 1.2 Command Line Interface Fügen Sie ein und drücken die <Enter>-Taste. serviceshell deactivate Um den Aufwand beim Tippen zu reduzieren: – Fügen Sie ein und drücken die <Enter>-Taste. – Fügen Sie ein und drücken die <Enter>-Taste. Dieser Schritt ist unumkehrbar! Drücken Sie die <Y>-Taste.
Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen Betriebssystem aktualisieren Betriebssystem starten Konfigurationsprofile löschen, Gerät auf Lieferzustand zurücksetzen ...
Seite 563
Benutzeroberflächen 1.3 System-Monitor System Monitor 1 (Selected OS: ...-3.4 (2019-02-05 19:17)) Manage operating system Update operating system Start selected operating system Manage configurations Show boot code information End (reset and reboot) sysMon1> Abb. 9: Bildschirmansicht System Monitor 1 Wählen Sie durch Eingabe der Zahl den gewünschten Menüpunkt aus. ...
IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts benötigen Sie die IP-Parameter. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface. Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry) Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens) Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 566
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface festlegen Bei der Eingabe der Systemkonfiguration können Sie nach mehreren Methoden vorgehen: entweder über BOOTP/DHCP, das Protokoll HiDiscovery, den externen Speicher. Sie haben die Möglichkeit, die Konfiguration über die serielle Schnittstelle mithilfe des Command Line Interfaces durchzuführen.
Seite 569
IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Anmerkung: Sollten Sie in der Nähe des Installationsortes kein Terminal oder keinen PC mit Terminalemulation zur Verfügung haben, können Sie das Gerät an ihrem Arbeitsplatz konfigurieren und danach an seinen endgültigen Installationsort bringen. ...
IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen IP-Parameter mit HiDiscovery festlegen Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzu- weisen. Die anderen Parameter konfigurieren Sie komfortabel über die grafische Benutzeroberfläche. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Sie finden die Software auf der Produkt- DVD, die Sie mit dem Gerät erhalten haben.
Seite 571
IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen Anmerkung: Schalten Sie die HiDiscovery-Funktion im Geräts aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben. Anmerkung: Speichern Sie die Einstellungen, sodass die Eingaben nach einem Neustart wieder zur Verfügung stehen. UM Config EAGLE Release 3.4 03/2020...
IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche festlegen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Netz. In diesem Dialog legen Sie zum einen fest, aus welcher Quelle das Gerät seine IP-Parameter nach dem Start erhält.
Ihr neues Passwort zu bestätigen. Melden Sie sich mit Ihrem neuen Passwort erneut am Gerät an. Anmerkung: Wenn Sie Ihr Passwort vergessen haben, verwenden Sie den System-Monitor, um das Passwort zurückzusetzen. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE Release 3.4 03/2020...
Zugriff auf das Gerät 3.2 Authentifizierungs-Listen Authentifizierungs-Listen Eine Authentifizierungs-Liste enthält die Richtlinien, die das Gerät für die Authentifizierung anwendet, wenn ein Benutzer über eine bestimmte Verbindung auf das Gerät zugreift. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Zugriff auf das Gerät 3.2 Authentifizierungs-Listen 3.2.3 Authentifizierungs-Listen verwalten Die Authentifizierungs-Listen verwalten Sie in der grafischen Benutzeroberfläche oder im Command Line Interface. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste. Der Dialog zeigt die eingerichteten Authentifizierungs-Listen. Zeigt die eingerichteten Authentifizierungs-Listen.
Zugriff auf das Gerät 3.2 Authentifizierungs-Listen 3.2.4 Einstellungen anpassen Beispiel: Richten Sie eine eigenständige Authentifizierungs-Liste für die Anwendung ein, die WebInterface per Voreinstellung in der Authentifizierungs-Liste enthalten ist. Das Gerät defaultLoginAuthList leitet Authentifizierungsanfragen an einen RADIUS-Server im Netz weiter. Als Fallback-Lösung authentifiziert das Gerät die Benutzer über die lokale Benutzerverwaltung.
Seite 577
Zugriff auf das Gerät 3.2 Authentifizierungs-Listen Klicken Sie die Schaltfläche . Die rechte Spalte zeigt jetzt die Anwendung WebInterface. Klicken Sie die Schaltfläche Ok. Der Dialog zeigt die aktualisierten Einstellungen: – Die Spalte Zugeordnete Anwendungen der Authentifizierungs-Liste zeigt die loginGUI Anwendung WebInterface.
Zugriff auf das Gerät 3.3 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie local siehe Dialog...
Seite 579
Zugriff auf das Gerät 3.3 Benutzerverwaltung Jedes Benutzerkonto ist mit einer Berechtigung verknüpft, das den Zugriff auf die einzelnen Funk- tionen des Geräts reguliert. Abhängig von der vorgesehenen Tätigkeit des jeweiligen Benutzers weisen Sie ihm eine vordefinierte Berechtigung zu. Das Gerät unterscheidet die folgenden Berech- tigungen.
Zugriff auf das Gerät 3.3 Benutzerverwaltung Tab. 10: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten Auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog Diagnose > Bericht > Audit Trail zu speichern.
Zugriff auf das Gerät 3.3 Benutzerverwaltung 3.3.3 Voreinstellung Im Lieferzustand sind die Benutzerkonten admin user im Gerät eingerichtet. Tab. 11: Voreinstellungen der werkseitig eingerichteten Benutzerkonten Parameter Voreinstellung Benutzername admin user Passwort private public Rolle administrator guest Benutzer gesperrt unmarkiert unmarkiert Richtlinien überprüfen unmarkiert unmarkiert...
Seite 582
Zugriff auf das Gerät 3.3 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inac- tive Legt für das Benutzerkonto das Passwort...
Zugriff auf das Gerät 3.3 Benutzerverwaltung 3.3.5 Neues Benutzerkonto einrichten Weisen Sie Benutzern, die auf das Management des Geräts zugreifen, jeweils ein eigenes Benut- zerkonto zu. Auf diese Weise haben Sie die Möglichkeit, die Berechtigungen für die Zugriffe diffe- renziert zu steuern. Im folgenden Beispiel werden wir das Benutzerkonto für einen Benutzer mit der Rolle USER...
Zugriff auf das Gerät 3.3 Benutzerverwaltung Anmerkung: Denken Sie daran, das Passwort zuzuweisen, wenn Sie ein neues Benutzerkonto im Command Line Interface einrichten. 3.3.6 Benutzerkonto deaktivieren Nach Deaktivieren eines Benutzerkontos verweigert das Gerät Zugriffe des zugehörigen Benutzers auf das Management des Geräts. Im Gegensatz zum vollständigen Löschen ermöglicht Ihnen das Deaktivieren, die Einstellungen des Benutzerkontos für eine künftige Wiederverwendung beizube- halten.
Zugriff auf das Gerät 3.3 Benutzerverwaltung 3.3.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen, die Passwörter der Benutzerkonten auf Einhaltung vorgegebener Richtlinien zu prüfen. Durch Einhaltung der Richtlinien erzielen Sie Passwörter mit höherer Komplexität. Die Benutzerverwaltung des Geräts ermöglicht Ihnen, die Prüfung in jedem Benutzerkonto indivi- duell ein- oder auszuschalten.
Zugriff auf das Gerät 3.4 LDAP LDAP Server-Administratoren verwalten Active Directorys, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Zugriff auf das Gerät 3.4 LDAP 3.4.2 Beispiel-Konfiguration Das Gerät ist in der Lage, eine verschlüsselte Verbindung zu einem lokalen Server ausschließlich über den Server-Namen oder zu einem Server in einem anderen Netz über eine IP-Adresse herzu- stellen. Der Server-Administrator verwendet Attribute zur Identifizierung der Anmeldeinformationen eines Benutzers und für die Zuordnung von individuellen Berechtigungsstufen und Gruppenbe- rechtigungsstufen.
Seite 588
Zugriff auf das Gerät 3.4 LDAP Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste. Um das Gerät so zu konfigurieren, dass es bei der Anmeldung über die grafische Benut- zeroberfläche die Benutzeranmeldeinformationen zuerst aus dem Active Directory abruft, legen Sie für die Liste defaultLoginAuthList in Spalte Richtlinie 1...
Seite 589
Zugriff auf das Gerät 3.4 LDAP Öffnen Sie den Dialog Gerätesicherheit > LDAP > Rollen-Zuweisung. Um einen Tabelleneintrag hinzuzufügen, klicken Sie die Schaltfläche Wenn ein Benutzer sich mit konfiguriertem und aktiviertem LDAP am Gerät anmeldet, sucht das Gerät im Active Directory nach den Anmeldeinformationen für den Benutzer. Wenn das Gerät feststellt, dass Benutzername und Passwort korrekt sind, sucht das Gerät nach dem Wert, den Sie in die Spalte festgelegt haben.
Seite 590
Zugriff auf das Gerät 3.4 LDAP Fügen Sie für die Rolle einen Eintrag zur ldap mapping add 1 access-role operator Operator mapping-type attribute mapping- Zuordnung der Remote-Authentifizierungsrolle parameter OPERATOR hinzu. Ordnen Sie die Rolle dem Attribut operator zu, welches das Wort enthält.
Zugriff auf das Gerät 3.5 SNMP-Zugriff SNMP-Zugriff Das Protokoll SNMP ermöglicht Ihnen, mit einem Netzmanagementsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.5.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Zugriff auf das Gerät 3.5 SNMP-Zugriff 3.5.2 SNMPv3-Zugriff Mit SNMPv3 kommunizieren das Netzmanagementsystem und das Gerät verschlüsselt. Das Netz- managementsystem authentifiziert sich gegenüber dem Gerät mit den Zugangsdaten eines Benut- zers. Voraussetzung für den SNMPv3-Zugriff ist, dass im Netzmanagementsystem dieselben Einstellungen wie im Gerät festgelegt sind.
VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 594
VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange IKE – Internet Key Exchange IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange 4.2.3 Zertifikat mit OpenSSL erzeugen Die Verwendung von OpenSSL ermöglicht Ihnen, ein Serverzertifikat zu erzeugen und zu signieren, das für die VPN-Authentifizierung verwendet wird. Um ein Zertifikat zu erzeugen, führen Sie die folgenden Schritte durch. Sie benötigen einen Text- editor, der Unix-Zeilenumbrüche korrekt verarbeitet, zum Beispiel das Programm Notepad++.
Seite 597
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange Die OpenSSL-Anwendung ermöglicht Ihnen außerdem, andere Zertifikatstypen zu erzeugen. Um die möglichen Zertifikatstypen anzuzeigen, öffnen Sie die Anwendung im Verzeichnis openssl.exe , und fügen Sie im Fenster Command Prompt das Zeichen ein.
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Anwendungsbeispiele Die folgenden Beispiele beschreiben die Besonderheiten in häufig verwendeten Anwendungen. 4.3.1 2 Subnetze miteinander verbinden In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, konfigurieren Sie das VPN dahingehend, dass das VPN im Tunnelmodus betrieben wird.
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Transfernetz 10.0.2.0/24 10.0.1.0/24 10.0.3.0/24 intern extern extern intern Abb. 17: 2 Subnetze über ein Transfernetz miteinander verbinden Führen Sie die folgenden Schritte aus: Erzeugen Sie eine VPN-Verbindung. Öffnen Sie den Dialog Virtuelles Privates Netz >...
Seite 600
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Legen Sie im Dialog Add traffic selector die folgenden Einstellungen fest: Den Wert in Spalte Traffic selector index Das Gerät gibt die Indexnummer ein und ermöglicht Ihnen außerdem, die Index- nummer zu ändern. ...
Seite 601
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Geben Sie die IKE-Schlüsselaustauschparameter ein. Das Gerät verwendet die im Dialog Advanced configuration festgelegten Werte. In diesem Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen Allgemein lautet die Voreinstellung für das Feld Margin-Time [s]...
Konfigurationsprofile verwalten 5.1 Geänderte Einstellungen erkennen 5 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen zusätzlich in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 603
Konfigurationsprofile verwalten 5.1 Geänderte Einstellungen erkennen show config status Configuration Storage sync State -------------------------------- NV to ACA........out of sync UM Config EAGLE Release 3.4 03/2020...
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Einstellungen speichern 5.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 605
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Einstellungen in Konfigurationsprofil kopieren Das Gerät ermöglicht Ihnen, die im flüchtigen Speicher (RAM) gespeicherten Einstellungen anstatt im „ausgewählten“ Konfigurationsprofil in ein anderes Konfigurationsprofil zu kopieren. Auf diese Weise erzeugen Sie im permanenten Speicher (NVM) ein neues oder überschreiben ein vorhan- denes Konfigurationsprofil.
Seite 606
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Konfigurationsprofil auswählen Wenn der permanente Speicher (NVM) mehrere Konfigurationsprofile enthält, haben Sie die Möglichkeit, dort ein beliebiges Konfigurationsprofil auszuwählen. Das Gerät speichert die Einstel- lungen im „ausgewählten“ Konfigurationsprofil. Das Gerät lädt die Einstellungen des „ausge- wählten“...
Konfigurationsprofile verwalten 5.2 Einstellungen speichern 5.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Ausgewählter externer Speicher. In der Voreinstellung ist die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: ...
Seite 608
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Um das Konfigurationsprofil auf einen Remote-Server zu exportieren, führen Sie die folgenden Schritte aus: Klicken Sie die Schaltfläche und dann den Eintrag Exportieren..Der Dialog zeigt das Fenster Exportieren.. Legen Sie im Feld die URL der Datei auf dem Remote-Server fest.
Konfigurationsprofile verwalten 5.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 5.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Konfigurationsprofile verwalten 5.3 Einstellungen laden 5.3.2 Konfigurationsprofil aus dem externen Speicher laden Wenn der externe Speicher angeschlossen ist, dann lädt das Gerät beim Neustart automatisch ein Konfigurationsprofil aus dem externen Speicher. Das Gerät ermöglicht Ihnen, diese Einstellungen wieder in einem Konfigurationsprofil im permanenten Speicher zu speichern. Wenn der externe Speicher das Konfigurationsprofil eines baugleichen Geräts enthält, haben Sie die Möglichkeit, auf diese Weise die Einstellungen von einem Gerät in ein anderes zu übertragen.
Konfigurationsprofile verwalten 5.3 Einstellungen laden 5.3.3 Konfigurationsprofil importieren Das Gerät ermöglicht Ihnen, ein als XML-Datei gespeichertes Konfigurationsprofil von einem Server zu importieren. Wenn Sie die grafische Benutzeroberfläche verwenden, dann können Sie die XML-Datei direkt von Ihrem PC importieren. Voraussetzungen: Um die Datei auf einem Server zu speichern, benötigen Sie einen eingerichteten Server im Netz.
Seite 612
Konfigurationsprofile verwalten 5.3 Einstellungen laden Um das Konfigurationsprofil aus dem externen Speicher zu importieren, führen Sie die folgenden Schritte aus: Wählen Sie im Rahmen Import profile from external memory, Dropdown-Liste Profilname Namen des zu importierenden Konfigurationsprofils. Voraussetzung ist, dass der externe Speicher ein exportiertes Konfigurationsprofil enthält. ...
Konfigurationsprofile verwalten 5.4 Gerät auf Lieferzustand zurücksetzen Gerät auf Lieferzustand zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 614
Konfigurationsprofile verwalten 5.4 Gerät auf Lieferzustand zurücksetzen Um das Kommando auszuführen, drücken Sie die Taste <1>. Clear configs and boot params Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste. Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM).
Neueste Software laden 6.1 Software-Update vom PC 6 Neueste Software laden Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com.
Seite 616
Neueste Software laden 6.1 Software-Update vom PC Außerdem haben Sie die Möglichkeit, die Datei von Ihrem PC per SFTP oder SCP auf das Gerät zu übertragen: Öffnen Sie auf Ihrem PC einen SFTP- oder SCP-Client, zum Beispiel WinSCP. Öffnen Sie mit dem SFTP- oder SCP-Client eine Verbindung zum Gerät.
Neueste Software laden 6.2 Software-Update von einem Server Software-Update von einem Server Für ein Software-Update mit SFTP oder SCP benötigen Sie einen Server, auf dem die Image-Datei der Geräte-Software abgelegt ist. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Neueste Software laden 6.3 Software-Update aus dem externen Speicher Software-Update aus dem externen Speicher 6.3.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software mit wenigen Mausklicks zu aktualisieren. Voraus- setzung ist, dass sich die Image-Datei der Geräte-Software im externen Speicher befindet. Führen Sie die folgenden Schritte aus: ...
Seite 619
Neueste Software laden 6.3 Software-Update aus dem externen Speicher Kontrollieren Sie das Ergebnis des Update-Vorgangs. Die Log-Datei im Dialog Diagnose > Bericht > System Log enthält eine der folgenden Meldungen: S_watson_AUTOMATIC_SWUPDATE_SUCCESS Software-Update erfolgreich beendet S_watson_AUTOMATIC_SWUPDATE_ABORTED Software-Update abgebrochen S_watson_AUTOMATIC_SWUPDATE_ABORTED_WRONG_FILE Software-Update aufgrund falscher Image-Datei abgebrochen ...
Neueste Software laden 6.4 Frühere Software-Version laden Frühere Software-Version laden Das Gerät ermöglicht Ihnen, die Geräte-Software durch eine frühere Version zu ersetzen. Nach dem Ersetzen der Geräte-Software bleiben die Grundeinstellungen im Gerät erhalten. Anmerkung: Die Einstellungen von Funktionen, die ausschließlich in der neueren Geräte-Soft- ware-Version zur Verfügung stehen, gehen verloren.
Ports konfigurieren 7.1 Port ein-/ausschalten 7 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten Betriebsart wählen Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie die folgenden Schritte aus: ...
Ports konfigurieren 7.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Automatische Konfiguration. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.1 SNMPv1/v2-Community ändern 8 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren IP-Zugriffsbeschränkung aktivieren Per Voreinstellung erreichen Sie das Management des Geräts von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle. Die IP-Zugriffsbeschränkung ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf ausgewählte IP-Adressbereiche und auf ausgewählte IP-basierte Protokolle zu beschränken.
Seite 628
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung. Heben Sie für den Eintrag in Spalte Aktiv die Markierung des Kontrollkästchens auf. Dieser Eintrag ermöglicht Benutzern den Zugriff auf das Gerät von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle.
Seite 629
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren Eintrag für den Adressbereich des Mobilfunknetzes network management access add 3 erzeugen. Nummer des nächsten verfügbaren Indexes in diesem Beispiel: IP-Adresse des Mobilfunknetzes festlegen. network management access modify 3 ip 109.237.176.0 Netzmaske des Mobilfunknetzes festlegen.
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität eines angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: ...
Seite 631
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Web. Legen Sie im Rahmen Konfiguration, Feld Web-Interface Session-Timeout [min] die Timeout- Zeit in Minuten fest.
Datenverkehr kontrollieren 9 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 633
Datenverkehr kontrollieren Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Operating System Destination Address Modification Ingress Egress Source Address Modification 1:1 NAT Packet Policy Routing Packet Masquerading NAT Destination NAT Filter Filter Double NAT Double NAT MAC-based ACL IP-based ACL Switching Chip Network 1...
Datenverkehr kontrollieren 9.1 Paketfilter Paketfilter 9.1.1 Beschreibung der Paketfilter-Funktion Der Paketfilter ermöglicht Ihnen 2 Arten der Filterung des Datenstroms. Die Filterung beinhaltet naturgemäß das Prüfen und Bewertung des Datenstroms. Das Gerät enthält eine Stateful Firewall. Eine Stateful Firewall zeichnet die Status der Verbindungen auf, die durch sie hindurchlaufen. Das Gerät kann sowohl den Inhalt wie auch den Zustand der zu vermittelnden Datenpakete filtern.
Seite 635
Datenverkehr kontrollieren 9.1 Paketfilter Um optionale, zustands- oder inhaltsbedingte Filterkriterien zu aktivieren, können Sie unterschied- liche Parameter einfügen, die jeweils die Form Schlüssel=<Wert> aufweisen. Welche Schlüssel gültig sind, ist zum Teil vom Protokoll der Regel abhängig. Die Schlüssel mac=<Wert> und state=<Wert>...
Datenverkehr kontrollieren 9.1 Paketfilter Wenn keine der von Ihnen konfigurierten Regeln auf ein Datenpaket zutrifft oder wenn Sie keine individuellen Regeln konfiguriert haben, wendet der Paketfilter eine Standard-Regel an. Hierbei stehen drei mögliche Standard-Regeln zur Verfügung: Tab. 14: Behandlung gefilterter Datenpakete Regel Funktion accept...
Seite 637
Datenverkehr kontrollieren 9.1 Paketfilter Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist. Die Firewall soll dabei helfen, den Datenstrom zwischen der Fertigungszelle und dem restlichen Firmennetz zu unterbinden. Einzig der Datenstrom zwischen dem Roboter und dem PC des Fertigungssteuerers darf frei fließen.
Seite 638
Datenverkehr kontrollieren 9.1 Paketfilter 10.0.1.0/24 10.0.2.0/24 10.0.1.5 Port 1 Port 4 10.0.1.201 10.0.2.1 10.0.2.17 Abb. 20: Anwendungsbeispiel für Paketfilter Erzeugen Sie eine Regel für zu empfangende IP-Pakete. Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Regel. In der Voreinstellung ist keinem Interface eine explizite Regel zugewiesen. Im Feld Default- Policy ist der Wert...
Seite 639
Datenverkehr kontrollieren 9.1 Paketfilter Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Regel. Erzeugen Sie eine neue Regel everything, die jedes IP-Paket verwirft. drop Legen Sie für die Regel die folgenden Einstellungen fest: Den Wert drop everything in Spalte Beschreibung ...
Datenverkehr kontrollieren 9.2 Unterstützung beim Schutz vor Denial of Service (DoS) Unterstützung beim Schutz vor Denial of Service (DoS) Mit dieser Funktion unterstützt Sie das Gerät beim Schutz gegen ungültigen oder gefälschten Datenpaketen, der auf den Ausfall bestimmter Dienste oder Geräte abzielt. Sie haben die Möglich- keit, Filter festzulegen, die den Datenstrom zum Schutz vor Denial-of-Service-Angriffen begrenzen.
Datenverkehr kontrollieren 9.3 Deep Packet Inspection Deep Packet Inspection Deep Packet Inspection-Funktion (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Deep Packet Inspection-Funktion untersucht Datenpakete auf unerwünschte Merkmale und Protokollverletzungen.
Datenverkehr kontrollieren 9.3 Deep Packet Inspection Bedeutung Adressbereich Program (ConCept) Concept Symbol Table Encapsulated Interface Transport Advantech Co. Ltd. - Management Functions Scan Data Inc. - Expanded Read Holding Registers Scan Data Inc. - Expanded Write Holding Registers unity Programming/OFS 100 Scattered Register Read 125 Schneider Electric - Firmware Replacement 126 Schneider Electric - Program...
Datenverkehr kontrollieren 9.3 Deep Packet Inspection 9.3.3 Modbus Enforcer-Regeln erzeugen und bearbeiten Legen Sie eine Regel fest mit Index = 1, Bezeichnung my-modbus und Funktionscode-Liste sowie Identifikationseinheit-Liste gemäß obigem Beispiel. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 644
Datenverkehr kontrollieren 9.3 Deep Packet Inspection Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche Um das Profil zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Profil aktiv. Damit das Gerät die festgelegten DPI-Modbus-Enforcer-Regeln auf den Datenstrom anwendet und die Anzeige in Spalte Funktionscode aktualisiert, klicken Sie die Schaltfläche Änderungen...
Die Systemzeit im Netz synchronisieren 10 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: Logbucheinträge Produktionsdaten mit Zeitstempel versehen ...
Die Systemzeit im Netz synchronisieren 10.1 Grundeinstellungen 10.1 Grundeinstellungen Im Dialog Zeit > Grundeinstellungen legen Sie allgemeine Einstellungen für die Zeit fest. 10.1.1 Uhrzeit einstellen Steht Ihnen keine Referenzzeitquelle zur Verfügung, haben Sie die Möglichkeit, im Gerät die Uhrzeit einzustellen. Sofern keine Echtzeituhr vorhanden ist oder diese eine ungültige Zeit übermittelt, initialisiert das Gerät nach einem Kalt- oder Neustart seine Uhr auf den 1.
Die Systemzeit im Netz synchronisieren 10.1 Grundeinstellungen Einstellen der Systemzeit des Geräts. clock set <YYYY-MM-DD> <HH:MM:SS> clock timezone offset <-780..840> Eingabe der Zeitdifferenz zwischen der lokalen Zeit und der empfangenen UTC-Zeit in Minuten. Speichern der Einstellungen im permanenten Spei- save cher ( ) im „ausgewählten”...
Die Systemzeit im Netz synchronisieren 10.2 NTP 10.2 Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schicht bezeichnet werden.
Die Systemzeit im Netz synchronisieren 10.2 NTP 10.2.1 Vorbereitung der NTP-Konfiguration Führen Sie die folgenden Schritte aus: Zeichnen Sie einen Netzplan mit den am NTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallaufzeit abhängig ist.
Seite 650
Die Systemzeit im Netz synchronisieren 10.2 NTP Im Rahmen Client and server: Server – Aktivieren/Deaktivieren der Funktion Modus – Setzen der Verbindungsparameter Stratum – Diese Einstellung vermeidet, dass andere Clients das Gerät als Referenzzeitquelle verwenden (Voreinstellung: 12). Konfiguration eines NTP-Clients (am Beispiel von Switch 2) Führen Sie die folgenden Schritte aus: ...
Die Systemzeit im Netz synchronisieren 10.2 NTP Für Switch 1 und Switch 3: Legen Sie in Spalte Adresse den Wert fest. 192.168.43.17 Um den Eintrag zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv. Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche Konfigurieren Sie sowohl Switch 1 als auch Switch 3 über die folgenden Kommandos.
Seite 652
Die Systemzeit im Netz synchronisieren 10.2 NTP Aktivieren des NTP-Client. ntp client operation enable ntp client operating-mode broadcast Aktivieren des NTP-Client im Broadcast-Betrieb. Hinzufügen von Index mit IP-Adresse ntp client multicast add 1 ip 224.0.1.1 224.0.1.1 als Multicast-Adresse. UM Config EAGLE Release 3.4 03/2020...
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, mit denen es die Netzlast reduziert: Gezielte Paketvermittlung Lastbegrenzung 11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete. Die Kombination „Port und MAC-Adresse“...
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (FDB) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 655
Netzlaststeuerung 11.1 Gezielte Paketvermittlung Statischen Adresseintrag deaktivieren. Öffnen Sie den Dialog Switching > Filter für MAC-Adressen. Um einen statischen Adresseintrag zu deaktivieren, markieren Sie in Spalte Status Wert invalid. Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche enable Wechsel in den Privileged-EXEC-Modus.
Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt auch bei hohem Verkehrsaufkommen für einen stabilen Betrieb, indem sie den Verkehr auf den Ports begrenzt. Die Lastbegrenzung erfolgt individuell für jeden Port sowie separat für Eingangs- und Ausgangsdatenverkehr. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Routing 12.1 Konfiguration 12 Routing 12.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten Ihres Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Routing 12.2 Routing - Grundlagen 12.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren; ...
Routing 12.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist er in der Lage, durch die systematische Vergabe von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 136 „CIDR”).
Seite 660
Routing 12.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und verschickt die Daten.
Routing 12.2 Routing - Grundlagen Da der Router die Route zum rechten PC kennt, antwortet die Proxy-ARP-Funktion auf diesem Router-Interface stellvertretend für den rechten PC mit seiner eigenen MAC-Adresse. So kann der linke PC seine Daten an die MAC-Adresse des Routers adressieren, der die Daten dann an den rechten PC weiterleitet.
Routing 12.2 Routing - Grundlagen Mit CIDR legen Sie die Anzahl der Bits fest, die den IP-Adressbereich kennzeichnen. Hierzu stellen Sie den IP-Adressbereich in binärer Form dar und zählen die Maskenbits zur Bezeichnung der Netzmaske. Die Netzmaske gibt die Anzahl der Bits an, die für jede IP-Adresse in einem gege- benen Adressbreich, dem Netz-Teil identisch sind.
Routing 12.3 Statisches Routing 12.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Der Benutzer legt fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 664
Routing 12.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 30: Einfachster Fall einer Route enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 2/1 von Interface Dem Interface dessen primäre IP-Parameter ip address primary 10.0.1.1 255.255.255.0 zuweisen.
Routing 12.3 Statisches Routing 12.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 666
Routing 12.3 Statisches Routing Routing auf dem VLAN-Router-Interface aktivieren. Die Routing-Funktion global einschalten. enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den VLAN-Konfigurationsmodus. vlan database Ein VLAN durch Eingabe der VLAN-ID erzeugen. vlan add 2 Der Bereich für die VLAN-ID reicht von 4042 Dem VLAN den Namen zuweisen.
Seite 667
Routing 12.3 Statisches Routing Wechsel in den Privileged-EXEC-Modus. exit Ihre Einträge in der statischen VLAN-Tabelle show vlan id 2 prüfen. VLAN ID......2 VLAN Name......VLAN002 VLAN Creation TIme....0 days, 01:47:17 VLAN Type......static Interface Current Configured Tagging ---------- -------- ----------- -------- Include Include Untagged Include...
Seite 668
Routing 12.3 Statisches Routing Öffnen Sie den Dialog Routing > Interfaces > Konfiguration. Klicken Sie die Schaltfläche Der Dialog zeigt das Fenster VLAN-Router-Interface einrichten. Legen Sie im Feld VLAN-ID eine Zahl zwischen fest. 4042 Für dieses Beispiel legen Sie den Wert fest.
Routing 12.3 Statisches Routing 12.3.3 Konfiguration einer statischen Route Im Beispiel unten benötigt der Router A die Information, dass er das Subnetz 10.0.3.0/24 über den Router B (Next-Hop) erreicht. Diese Information kann er über ein dynamisches Routing-Protokoll oder über einen statischen Routing-Eintrag erhalten. Mit dieser Information ist Router A in der Lage, Daten vom Subnetz 10.0.1.0/24 über Router B in das Subnetz 10.0.3.0/24 zu vermitteln.
Seite 670
Routing 12.3 Statisches Routing Konfiguration einer redundanten statischen Route Um eine stabile Verbindung zwischen den beiden Routern zu erzielen, können Sie die beiden Router mit zwei oder mehreren Leitungen verbinden. Subnet 10.0.1.0/24 Subnet 10.0.3.0/24 Interface 2.3 Interface 2.3 IP=10.0.4.1 IP=10.0.4.2 10.0.1.5/24 10.0.3.5/24 Interface 2.2...
Routing 12.3 Statisches Routing Konfiguration einer redundanten statischen Route mit Lastverteilung Wenn die Routen die gleiche Präferenz (Distanz) haben, teilt der Router die Last zwischen den 2 Routen auf (Lastverteilung). Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Weist dem vorhandenen Eintrag für statisches ip route modify 10.0.3.0 255.255.255.0 10.0.2.2 preference 2...
Seite 672
Routing 12.3 Statisches Routing Anwendungsbeispiel zur Funktion für statisches Route-Tracking Die Abbildung zeigt ein Beispiel zur Funktion für statisches Route-Tracking (siehe Abbildung 35). Router A überwacht die beste Route über L 1 mit Ping-Tracking. Bei einer Verbindungsunterbre- chung vermittelt der Router A über die redundante Verbindung L 3. Für das Beispiel sind folgende Informationen bekannt: Parameter Router A...
Seite 673
Routing 12.3 Statisches Routing Die folgende Liste nennt die Voraussetzungen für die weitere Konfiguration: Die IP-Parameter der Router-Interfaces sind konfiguriert. (siehe auf Seite 139 „Konfiguration der Router-Interfaces”) Die Routing-Funktion ist global und auf dem Router-Interface aktiviert. Ping-Tracking auf dem Interface von Router A ist konfiguriert (siehe auf Seite 163 „Ping- Tracking”).
Seite 674
Routing 12.3 Statisches Routing show track ping Die Einträge in der Tracking-Tabelle prüfen. Name Interface Intv [ms] Succ TTL BR-If State Active Inet-Address Timeout Miss ------ ------------- --------- ----- ------- -------- ----- ------ ping-1 1/2 1000 0 up 10.0.2.53 ping-2 1/1 1000 0 down [x] 10.0.4.2...
Seite 675
Routing 12.3 Statisches Routing Anmerkung: Um die Zeile zu aktivieren, prüfen Sie, ob die Verbindung auf dem Interface ist. Geben Sie anschließend die Routen zum Zielnetz in die statische Routing-Tabelle 10.0.5.0/24 von Router A ein. Öffnen Sie den Dialog Routing >...
Seite 676
Routing 12.3 Statisches Routing Tab. 20: Statische Routing-Einträge von Router B Zielnetz Zielnetzmaske Next-Hop Präferenz Track-ID 10.0.1.0 255.255.255.0 10.0.2.1 10.0.1.0 255.255.255.0 10.0.4.1 UM Config EAGLE Release 3.4 03/2020...
Routing 12.4 NAT – Network Address Translation 12.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Routing 12.4 NAT – Network Address Translation 12.4.2 1:1 NAT Die 1:1-NAT-Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 679
Routing 12.4 NAT – Network Address Translation In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen- netz und mit dem Netz der Produktionszelle verbunden. In den Endgeräten der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als Gateway verwenden die Endgeräte die IP-Adresse des Egress-Interfaces des NAT-Routers.
Routing 12.4 NAT – Network Address Translation 12.4.3 Destination NAT Das Destination-NAT-Verfahren ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausge- hender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form des Destination-NAT-Verfahrens ist die Port-Weiterleitung (Port-Forwarding). Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommunikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 681
Routing 12.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Routing-Funktion eingeschaltet. Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden. In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als Gateway verwenden die Endgeräte die IP-Adresse von Port 1 des NAT-Routers.
Routing 12.4 NAT – Network Address Translation Markieren Sie das Kontrollkästchen im Feld Aktiv, um die Zuweisung der Regel zu dem Router-Interface zu aktivieren. Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche Regel auf den Datenstrom anwenden. ...
Routing 12.4 NAT – Network Address Translation 12.4.5 Double-NAT Das Double-NAT-Verfahren ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endge- räten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard- Gateway oder eine Default Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz. Dazu ersetzt der NAT-Router beim Vermitteln die Quelladresse und die Zieladresse im Datenpaket.
Seite 684
Routing 12.4 NAT – Network Address Translation Anwendungsbeispiel für Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 685
Routing 12.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Routing-Funktion eingeschaltet. Im Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmennetz und mit dem Netz der Produktionszelle verbunden. ...
Seite 686
Routing 12.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > Double-NAT > Zuweisung. Klicken Sie die Schaltfläche Zuweisen. Wählen Sie im Feld Port das Router-Interface aus, das mit der Produktionszelle verbunden ist. ...
Routing 12.5 Tracking 12.5 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: ...
Routing 12.5 Tracking Das Einstellen einer Verzögerungszeit bietet Ihnen die Möglichkeit, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Routing 12.5 Tracking Das Vorgeben einer Anzahl für ausbleibende oder ankommende Ping-Antworten bietet Ihnen die Möglichkeit, die Empfindlichkeit für das Ping-Verhalten des Geräts einzustellen. Das Gerät infor- miert die Anwendung über eine Objekt-Statusänderung. Ping-Tracking bietet Ihnen die Möglichkeit, die Erreichbarkeit definierter Geräte zu überwachen. Sobald ein überwachtes Gerät nicht mehr erreichbar ist, kann das Gerät über die Anwendung einen alternativen Pfad wählen.
Seite 690
Routing 12.5 Tracking Interface-Tracking konfigurieren Interface-Tracking auf dem Port mit einer Link-Down-Verzögerung von Sekunden und einer Link-Up-Verzögerung von Sekunden einrichten. Öffnen Sie den Dialog Routing > Tracking > Konfiguration. Klicken Sie die Schaltfläche Der Dialog zeigt das Fenster Erzeugen. Typ auswählen: ...
Seite 691
Routing 12.5 Tracking Anwendungsbeispiel für Ping-Tracking Während das Interface-Tracking die direkt angeschlossene Verbindung überwacht (siehe Abbildung 42), überwacht das Ping-Tracking die gesamte Verbindung bis zum S2 (siehe Abbildung 43). Ping-Tracking auf dem Port zur IP-Adresse mit den vorhandenen Parametern 10.0.2.53 einrichten.
Seite 692
Routing 12.5 Tracking Wechsel in den Privileged-EXEC-Modus. exit show track Die konfigurierten Tracks anzeigen. Ping Tracking Instance ----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 693
Routing 12.5 Tracking PC B PC A Abb. 44: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten. Öffnen Sie den Dialog Routing > Tracking > Konfiguration. Klicken Sie die Schaltfläche Der Dialog zeigt das Fenster Erzeugen. Typ auswählen: ...
Seite 694
Routing 12.5 Tracking Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 695
Routing 12.5 Tracking Erst die ODER-Verknüpfung beider Ping-Tracking-Objekte liefert das präzise Ergebnis, dass der Router A keine Verbindung zum Ring hat. Zwar könnte ein Ping-Tracking-Objekt zum Gerät S3 auch auf eine unterbrochene Verbindung zum redundanten Ring hinweisen, aber in diesem Fall könnte auch aus einem anderen Grund die Ping- Antwort von Gerät S3 ausbleiben.
Seite 696
Routing 12.5 Tracking Die Parameter für dieses Tracking-Objekt fest- track modify logical 31 ping-21 or ping- legen. Das Tracking-Objekt aktivieren. track enable logical 31 Tracking ID logical-31 created Logical Instance ping-21 included Logical Instance ping-22 included Logical Operator set to or Tracking ID 31 activated Wechsel in den Privileged-EXEC-Modus.
Routing 12.6 VRRP 12.6 VRRP In der Regel ermöglichen Ihnen Endgeräte, 1 Standard-Gateway für die Vermittlung von Datenpa- keten in fremde Subnetze einzutragen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mitanderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden.
Seite 698
Routing 12.6 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 699
Routing 12.6 VRRP VRRP-Priorität Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den IP-Adressen- Inhaber. VRID Die Kennung des virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Routing 12.6 VRRP Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Die Routing-Funktion global einschalten. ip routing ip vrrp operation Schaltet VRRP global ein. Wechsel in den Interface-Konfigurationsmodus interface 1/3 von Interface Legt die primäre Routing-IP-Adresse und die Netz- ip address primary 10.0.1.1 255.255.255.0 maske des Port fest.
Routing 12.6 VRRP Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway 12.6.3 VRRP mit Multinetting Der Router ermöglicht Ihnen, VRRP mit Multinetting zu kombinieren.
Routing 12.7 OSPF 12.7 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF Kosten“ (OSPF costs), die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 703
Routing 12.7 OSPF Schonung von Netzressourcen/Bandbreitenoptimierung: Da OSPF anders als RIP die Routing- Tabellen nicht zyklisch mit einer kurzen Intervallzeit austauscht, wird keine unnötige Bandbreite zwischen den Routern "verschwendet". OSPF unterstützt die Authentifizierung aller Knoten, die Routing-Informationen senden. Tab.
Routing 12.7 OSPF 12.7.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut. Mit Hilfe von sogenannten Areas unterteilen Sie Ihr Netz. Autonomes System Ein autonomes System (Autonomous System, AS) ist eine Anzahl von Routern, die unter einer administrativen Verwaltung stehen und ein gemeinsames Interior Gateway Protokoll (IGP) benutzen.
Seite 705
Routing 12.7 OSPF Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung. Zwischen den Areas werden die Routing-Informationen so weit wie möglich zusammengefasst (Route Summarization).
Seite 706
Routing 12.7 OSPF OSPF unterscheidet folgende besonderen Area-Typen: Backbone-Area: Per Definition ist das die Area . Ein OSPF-Netz besteht mindestens aus der Backbone- 0.0.0.0 Area. Sie ist die zentrale Area, die mit den anderen Areas direkt verbunden ist. Die Backbone- Area erhält die Routing-Informationen und ist für die Weiterleitung dieser Informationen verant- wortlich.
Seite 707
Routing 12.7 OSPF Legt Area als NSSA fest. ip ospf area 2.2.2.2 nssa add import- 2.2.2.2 nssa Legt Area als Stub-Area fest. ip ospf area 3.3.3.3 stub add 0 3.3.3.3 Weist den ABR an, die Default-Route mit der ip ospf area 3.3.3.3 stub modify 0 default-cost 10 Metrik in die Stub-Area zu injizieren.
Seite 708
Routing 12.7 OSPF Router Wechsel in den Privileged-EXEC-Modus. enable configure Wechsel in den Konfigurationsmodus. Eingabe der Nachbar-Router-ID für eine virtuelle ip ospf area 1.1.1.1 virtual-link add 1.1.1.1 Verbindung in der Area 1.1.1.1 OSPF-Router OSPF unterscheidet folgende Router-Typen: Interner Router: Die OSPF-Interfaces eines internen Routers liegen in derselben Area.
Routing 12.7 OSPF AS-External LSAs (Type 5 LSAs): Diese LSAs werden von ASBRs generiert und beschreiben Routen außerhalb des Autonomen Systems. Diese LSAs werden überall geflutet außer in Stub Areas bzw. NSSAs. NSSA External LSAs (Type 7 LSAs): Eine Stub Area flutet keine externen Routen (repräsentiert durch Type 5-LSAs) und unterstützt somit auch keine Autonomous System Border Router (ASBRs) an ihren Grenzen.
Routing 12.7 OSPF 12.7.3 Aufbau der Adjacency Beim Starten eines Routers nimmt er über sogenannte Hello-Pakete Kontakt zu seinen benach- barten Routern auf. Mit Hilfe dieser Hello-Pakete erfährt ein OSPF-Router, welche OSPF-Router in seiner Nähe sind und ob sie geeignet sind, eine Adjacency aufzubauen. In Broadcast-Netzen wie Ethernet steigt mit der Anzahl der angeschlossenen Router die Anzahl der Nachbarschaften sowie der Informationsaustausch zur Klärung und Pflege der Adjacency.
Routing 12.7 OSPF Hello-Pakete dienen weiterhin zur Prüfung der Konfiguration innerhalb einer Area (Area-ID, Timer- Werte, Prioritäten) und zur Überwachung der Adjacencys. Hello-Pakete werden zyklisch gesendet (Hello-Intervall). Das Ausbleiben des Empfangs von Hello-Paketen innerhalb eines gewissen Zeit- raumes (Dead-Intervall) führt zur Kündigung der Adjacency und zum Löschen der entsprechenden Routen.
Routing 12.7 OSPF Zum Aufbau der LSDB und zur Aktualisierung bei Topologieänderungen sendet der OSPF-Router Verbindungsstatusmeldungen (LSA) an die direkt erreichbaren OSPF-Router. Diese Verbindungs- statusmeldungen bestehen aus den Interfaces und den darüber erreichbaren Nachbarn des sendenden OSPF-Routers. OSPF-Router nehmen diese Information in ihre Datenbank auf und fluten diese Information an die Ports.
Routing 12.7 OSPF Sie können die Standardkonfiguration ändern, indem Sie jedem OSPF-Interface einen anderen Wert für die Kosten zuweisen. Das bietet Ihnen die Möglichkeit, zwischen Fast-Ethernet und Gigabit-Ethernet zu unterscheiden. Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface...
Seite 714
Routing 12.7 OSPF Konfiguration für Router B Wechsel in den Privileged-EXEC-Modus. enable configure Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf dem Port aktivieren. ip routing OSPF auf diesem Port aktivieren.
Routing 12.7 OSPF show ip route all Anzeige der Routing-Tabelle Network Address Protocol Next Hop IP Next Hop If Pref Active --------------- -------- --- ------- ----------- ---- ------ 10.0.1.0 OSPF 10.0.2.1 12.7.7 Verteilung der Routen mit ACL einschränken Bei eingeschaltetem Redistributing verteilt OSPF ohne weiteres Zutun sämtliche statische Routen, die im Gerät eingerichtet sind.
Seite 717
Routing 12.7 OSPF Router A Routing global einschalten. enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Erstes Router-Interface einrichten. 10.0.1.1/24 Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface Festlegen der IP-Adresse und Subnet-Maske.
Seite 718
Routing 12.7 OSPF Einrichten der statischen Route über ip route add 8.1.2.0 255.255.255.0 8.1.2.0 10.0.2.2 Gateway 10.0.2.2 Einrichten der statischen Route über ip route add 8.1.4.0 255.255.255.0 8.1.4.0 10.0.2.4 Gateway 10.0.2.4 Verteilen der eingerichteten Routen in OSPF. ip ospf re-distribute static subnets enable UM Config EAGLE Release 3.4 03/2020...
Seite 719
Routing 12.7 OSPF Router B Routing global einschalten. enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Router-Interface einrichten. 10.0.1.2/24 Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface Festlegen der IP-Adresse und Subnet-Maske.
Seite 720
Routing 12.7 OSPF Um eine Route mit einer -Regel explizit freizugeben, lesen Sie weiter im Abschnitt „Route mit permit permit-Regel explizit freigeben” auf Seite 195. Um eine Route mit einer -Regel explizit zu sperren, lesen Sie weiter im Abschnitt „Route mit deny deny-Regel explizit sperren”...
Seite 721
Routing 12.7 OSPF Router A Access-Control-Liste mit expliziter -Regel einrichten. permit ip access-list extended name OSPF-rule Erstellen der Access-Control-Liste OSPF-rule permit src 8.1.2.0-0.0.0.0 dst Einrichten einer -Regel für das Subnetz permit 255.255.255.0-0.0.0.0 proto ip 8.1.2.0 • = Adresse des Zielnetzes src 8.1.2.0-0.0.0.0 und inverse Maske •...
Seite 722
Routing 12.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen. Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24 Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 723
Routing 12.7 OSPF Router A -Regel löschen. permit Diese Schritte sind ausschließlich dann notwendig, wenn Sie wie im Abschnitt permit beschrieben eine „Route mit permit-Regel explizit freigeben” auf Seite 195-Regel eingerichtet haben. Trennen der Access-Control-Liste no ip ospf distribute-list out static OSPF-rule OSPF-rule OSPF.
Seite 724
Routing 12.7 OSPF Router A Explizite -Regel in Access-Control-Liste einfügen. permit ip access-list extended name OSPF-rule Einfügen einer -Regel für sämtliche permit permit src any dst any proto ip Subnetze in die Access-Control-Liste OSPF-rule Eingerichtete Regeln prüfen. Anzeige der eingerichteten Access-Control-Listen show access-list ip und Regeln.
Seite 725
Routing 12.7 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 726
Routing 12.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen. Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24 Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Routing 12.8 IP-Parameter eingeben 12.8 IP-Parameter eingeben siehe OSPF Area 0 siehe “Portbasiertes Router-Interface” siehe “VLAN-basiertes Router-Interface” SN 11 SN 10 VLAN ID 2 SN 12 VRRP SN 13 siehe “VRRP” SN 14 Abb. 56: Netzplan Zur Konfiguration der Schicht-3-Funktion benötigen Sie einen Zugang zum Management des Geräts.
Seite 728
Routing 12.8 IP-Parameter eingeben IP = 10.0.200.11/24 IP = 10.0.100.10/24 IP = 10.0.11.11/24 Area 0 => 10.0.10.10/24 GW: 10.0.11.1 GW: 10.0.100.1 => 10.0.10.1 IP = 10.0.10.11/24 IP = 10.0.11.12/24 GW: 10.0.10.1 GW: 10.0.11.1 Management-IP= 10.0.100.101 SN 10 10.0.10.0 SN 11 10.0.11.0 IP = 10.0.10.13/24 GW: 10.0.10.1...
Seite 729
Routing 12.8 IP-Parameter eingeben IP = 10.0.200.11/24 Port 2.2: IP = 10.0.200.10/24 GW: 10.0.200.11 Port 2.1: VLAN 1 (Management IP=10.0.100.101) --> IP= 10.0.10.1/24 GW: 10.0.200.10 Port 3.1 - Port 3.4: VLAN 2 Interface vlan/2 IP = 10.0.11.1/24 GW: 10.0.200.10 SN 100 10.0.100.0 Port 1.1: VLAN 100...
Funktionsdiagnose 13.1 SNMP-Traps senden 13.1.1 Auflistung der SNMP-Traps Die folgende Tabelle zeigt mögliche vom Gerät gesendete SNMP-Traps: Tab. 24: Mögliche SNMP-Traps Bezeichnung des SNMP-Traps Bedeutung authenticationFailure Wird gesendet, wenn eine Station versucht, unberechtigt auf einen Agenten zuzugreifen. Wird nach einem Neustart gesendet. coldStart Wird gesendet, wenn der externe Speicher entfernt worden ist.
Funktionsdiagnose 13.1 SNMP-Traps senden 13.1.2 SNMP-Traps für Konfigurationsaktivitäten Nachdem Sie eine Konfiguration im Speicher gespeichert haben, sendet das Gerät einen hm2Con- figurationSavedTrap. Dieser SNMP-Trap enthält die Statusvariablen des nichtflüchtigen Spei- chers (NVM) und des externen Speichers (ENVM), die angeben, ob die aktuelle Konfiguration mit dem nichtflüchtigen Speicher und dem externen Speicher übereinstimmt.
Funktionsdiagnose 13.1 SNMP-Traps senden 13.1.4 ICMP-Messaging Das Gerät ermöglicht Ihnen, das Internet Control Message Protocol (ICMP) für Diagnoseanwen- dungen zu verwenden, zum Beispiel Ping und Traceroute. Das Gerät verwendet außerdem ICMP für Time-to-Live und das Verwerfen von Nachrichten, in denen das Gerät eine ICMP-Nachricht zurück an das Quellgerät des Paketes weiterleitet.
Funktionsdiagnose 13.2 Gerätestatus überwachen 13.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen aktuellen Status als oder im Rahmen Geräte-Status. Das Gerät error bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Funktionsdiagnose 13.2 Gerätestatus überwachen Tab. 25: Gerätestatus-Ereignisse (Forts.) Name Bedeutung Externen Speicher Aktivieren Sie diese Funktion, um das Vorhandensein eines externen Spei- entfernen chergeräts zu überwachen. Externer Speicher nicht Das Gerät überwacht die Synchronisation zwischen der Gerätekonfigura- synchron tion und der im externen Speicher (ENVM) gespeicherten Konfiguration. Netzteil Schalten Sie diese Funktion ein, um die Spannungsversorgung zu überwa- chen.
Seite 736
Funktionsdiagnose 13.2 Gerätestatus überwachen Überwacht den aktiven externen Speicher. Der device-status monitor envm-removal Wert im Rahmen Geräte-Status wechselt auf error, wenn Sie den aktiven externen Speicher aus dem Gerät entfernen. Überwacht das Netzteil . Der Wert im Rahmen device-status monitor power-supply 1 Geräte-Status wechselt auf error, wenn das Gerät einen Fehler am Netzteil feststellt.
Funktionsdiagnose 13.2 Gerätestatus überwachen 13.2.3 Gerätestatus anzeigen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System. Im Privileged-EXEC-Modus: Anzeige des Geräte- show device-status all status und der Einstellung zur Ermittlung des Gerä- testatus UM Config EAGLE Release 3.4 03/2020...
Funktionsdiagnose 13.3 Sicherheitsstatus 13.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog Grundeinstellungen >...
Funktionsdiagnose 13.3 Sicherheitsstatus Tab. 26: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Das Gerät überwacht, wann Sie die Lese-/Schreibfunktion für HiDiscovery einschalten. Unverschlüsselte Konfiguration vom Das Gerät überwacht die Sicherheitseinstellungen für das externen Speicher laden Laden der Konfiguration aus dem externen Speicher. Self-signed HTTPS-Zertifikat Das Gerät überwacht, ob der HTTPS-Server ein selbst vorhanden...
Seite 740
Funktionsdiagnose 13.3 Sicherheitsstatus Überwacht den HTTP-Server. Der Wert im security-status monitor http-enabled Rahmen Sicherheits-Status wechselt auf error, wenn Sie den HTTP-Server einschalten. Überwacht den SNMP-Server. security-status monitor snmp-unsecure Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: •...
Funktionsdiagnose 13.3 Sicherheitsstatus 13.3.3 Anzeigen des Sicherheitsstatus Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System. Zeigt im EXEC-Privilege-Modus Sicherheitsstatus show security-status all und die Einstellung zur Ermittlung des Geräte- status. UM Config EAGLE Release 3.4 03/2020...
Funktionsdiagnose 13.4 Out-of-Band-Signalisierung 13.4 Out-of-Band-Signalisierung Das Gerät verwendet den Signalkontakt zur Steuerung von externen Geräten und zur Überwa- chung der Gerätefunktionen. Die Funktionsüberwachung ermöglicht die Durchführung einer Fern- diagnose. Das Gerät meldet den Funktionsstatus über eine Unterbrechung des potentialfreien Signalkon- taktes (Relaiskontakt, Ruhestromschaltung) für den gewählten Modus.
Funktionsdiagnose 13.4 Out-of-Band-Signalisierung Entfernen des externen Speichers Die Konfiguration im externen Speicher stimmt nicht mit der Konfiguration im Gerät überein. Entscheiden Sie durch Markieren der entsprechenden Einträge, welche Ereignisse der Geräte- status erfasst. Anmerkung: Bei einer nichtredundanten Spannungsversorgung meldet das Gerät das Fehlen der Versorgungsspannung.
Funktionsdiagnose 13.4 Out-of-Band-Signalisierung 13.4.2 Gerätestatus und Sicherheitsstatus überwachen Im Rahmen Konfiguration legen Sie fest, welche Ereignisse der Signalkontakt signalisiert: Geräte-Status Mit dieser Einstellung signalisiert der Signalkontakt den Zustand der im Dialog Diagnose > Statuskonfiguration > Gerätestatus überwachten Parameter. Sicherheits-Status Mit dieser Einstellung signalisiert der Signalkontakt den Zustand der im Dialog Diagnose >...
Seite 745
Funktionsdiagnose 13.4 Out-of-Band-Signalisierung Überwacht die Konfigurationsprofile im Gerät und signal-contact 1 monitor envm-not-in- sync im externen Speicher. In folgenden Situationen öffnet der Signalkontakt: • Das Konfigurationsprofil existiert ausschließlich im Gerät. • Das Konfigurationsprofil im Gerät unterscheidet sich vom Konfigurationsprofil im externen Spei- cher.
Seite 746
Funktionsdiagnose 13.4 Out-of-Band-Signalisierung Ereignisse, die überwacht werden können Tab. 27: Gerätestatus-Ereignisse Name Bedeutung Temperatur Wenn die Temperatur den festgelegten Wert über- oder unter- schreitet. Verbindungsfehler Aktivieren Sie diese Funktion, um jedes Ereignis in Bezug auf Port-Links zu überwachen, bei dem das Kontrollkästchen Verbin- dungsfehler melden aktiviert ist.
Funktionsdiagnose 13.5 Port-Zustandsanzeige 13.5 Port-Zustandsanzeige Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System. Der Dialog zeigt das Gerät mit der aktuellen Konfiguration. Darüber hinaus zeigt der Dialog den Status der einzelnen Ports mittels eines Symbols. Die folgenden Symbole stellen den Zustand der einzelnen Ports dar.
Funktionsdiagnose 13.6 Portereignis-Zähler 13.6 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, möglicherweise erkannte Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog Grundeinstellungen > Neustart können Sie die Ereigniszähler zurücksetzen.
Seite 749
Funktionsdiagnose 13.6 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Kollisionen Im Halbduplexmodus bedeuten Kollisionen Normalbetrieb. Duplex-Problem Nicht übereinstimmende Duplex-Modi. Elektromagnetische Interferenz. ...
Funktionsdiagnose 13.7 SFP-Zustandsanzeige 13.7 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp, Seriennummer des Medien-Moduls Temperatur in º C, Sendeleistung in mW, Empfangsleistung in mW. Führen Sie die folgenden Schritte aus: ...
Funktionsdiagnose 13.8 Topologie-Erkennung 13.8 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein- samen LANs.
Funktionsdiagnose 13.8 Topologie-Erkennung Diese Informationen kann eine Netz-Management-Station von Geräten mit aktivem LLDP abrufen. Mit diesen Informationen ist die Netz-Management-Station in der Lage, die Topologie des Netzes darzustellen. Nicht-LLDP-Geräte blockieren in der Regel die spezielle Multicast-LLDP-IEEE-MAC-Adresse, die zum Informationsaustausch verwendet wird. Nicht-LLDP-Geräte verwerfen aus diesem Grund LLDP-Pakete.
Funktionsdiagnose 13.9 Berichte 13.9 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei Die Logdatei ist eine HTML-Datei, in die das Gerät geräteinterne Ereignisse schreibt. Audit Trail Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 754
Funktionsdiagnose 13.9 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion Protokolliere SNMP-Get-Requests protokolliert Benutzeran- fragen nach Geräte-Konfigurationsinformationen. Die Funktion Protokolliere SNMP-Set-Requests protokolliert Geräte-Konfigurationsereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Funktionsdiagnose 13.9 Berichte 13.9.2 Syslog Das Gerät bietet Ihnen die Möglichkeit, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog Diagnose >...
Funktionsdiagnose 13.9 Berichte Server IP Port Max. Severity Type Status ----- -------------- ----- -------------- ---------- ------- 10.0.1.159 error systemlog active Wechsel in den Konfigurationsmodus. configure Protokolliert SNMP-Get-Anfragen. logging snmp-requests get operation logging snmp-requests get severity 5 Der Wert legt den Schweregrad des Ereignisses fest, welches das Gerät bei SNMP-GET-Anfragen protokolliert.
Funktionsdiagnose 13.9 Berichte 13.9.4 Audit Trail Der Dialog Diagnose > Bericht > Audit Trail enthält Systeminformationen sowie Änderungen, die über Command Line Interface und SNMP an dem Gerät vorgenommen wurden. Bei Änderungen der Gerätekonfiguration zeigt der Dialog, wer zu welchem Zeitpunkt welche Änderungen vorge- nommen hat.
Erweiterte Funktionen des Geräts 14.1 Gerät als DNS-Client verwenden 14 Erweiterte Funktionen des Geräts 14.1 Gerät als DNS-Client verwenden Der DNS-Client fordert die DNS-Server dazu auf, die Host-Namen und IP-Adressen von Geräten im Netz aufzulösen. Der DNS-Client konvertiert Namen von Geräten, ähnlich einem Telefonbuch, in IP-Adressen.
Erweiterte Funktionen des Geräts 14.1 Gerät als DNS-Client verwenden 14.1.1 Beispiel: DNS-Server konfigurieren Geben Sie den Namen für den DNS-Client an, und konfigurieren Sie diesen so, dass er einen DNS- Server dazu auffordert, Host-Namen aufzulösen. Führen Sie die folgenden Schritte aus: ...
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Um über SSH auf das Gerät zuzugreifen, führen Sie die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät. oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.2 Eigenen Schlüssel in das Gerät laden Erfahrenen Netzadministratoren bietet OpenSSH die Möglichkeit, einen eigenen Schlüssel zu erzeugen. Zum Erzeugen des Schlüssels fügen Sie auf Ihrem PC die folgenden Kommandos ein: ssh-keygen(.exe) -q -t rsa -f rsa.key -C '' -N '' rsaparam -out rsaparam.pem 2048 Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen.
Seite 762
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Abb. 59: PuTTY-Eingabemaske In das Feld Host Name (or IP address) fügen Sie die IP-Adresse Ihres Geräts ein. Die IP-Adresse (a.b.c.d) besteht aus 4 Dezimalzahlen im Wert von bis 255. Die 4 Dezimal- zahlen sind durch einen Punkt getrennt. ...
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Web-Browser stellt mit dem HTTPS-Protokoll die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion HTTPS server im Dialog Gerätesicherheit > Management-Zugriff > Server, Registerkarte HTTPS einschalten. Anmerkung: Software von Drittanbietern wie Web-Browser validieren Zertifikate anhand von Krite- rien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfehlungen.
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat A.2.1 HTTPS-Zertifikatsverwaltung Für die Verschlüsselung ist ein Standardzertifikat nach X.509/PEM (Public-Key-Infrastruktur) erfor- derlich. In der Voreinstellung befindet sich ein selbst generiertes Zertifikat auf dem Gerät. Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Server, Registerkarte HTTPS. ...
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat A.2.2 Zugang über HTTPS Die Voreinstellung für HTTPS-Datenverbindungen ist der TCP-Port 443. Wenn Sie die HTTPS- Portnummer ändern, starten Sie anschließend das Gerät oder den HTTPS-Server neu. Damit wird die Änderung wirksam. Führen Sie die folgenden Schritte aus: ...
Anhang B.1 Literaturhinweise B Anhang Literaturhinweise Optische Übertragungstechnik in industrieller Praxis Christoph Wrobel (ed.) Hüthig Buch Verlag Heidelberg ISBN 3-7785-2262-0 Hirschmann-Handbuch Basics of Industrial ETHERNET and TCP/IP 280 710-834 TCP/IP Illustrated, Band 1 W.R. Stevens Addison Wesley 1994 ISBN 0-201-63346-9 UM Config EAGLE Release 3.4 03/2020...
Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE Release 3.4 03/2020...
Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 769
Anhang B.3 Management Information BASE (MIB) Beispiel: Die generische Objektklasse hm2PSState (OID = 1.3.6.1.4.1.248.11.11.1.1.1.1.2) ist die Beschreibung der abstrakten Information Netzteilstatus. Es lässt sich daraus noch kein Wert auslesen, es ist ja auch noch nicht bekannt, welches Netzteil gemeint ist. Durch die Angabe des Subidentifiers wird diese abstrakte Information auf die Wirklichkeit abge- bildet, instanziert, und bezeichnet so den Betriebszustand des Netzteils 2.
Seite 770
Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 772
Anhang B.4 Liste der RFCs RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3418 Management Information Base (MIB)
Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE Release 3.4 03/2020...
Anhang B.7 Technische Daten Technische Daten Switching MTU (Max. Länge der Pakete) 1518 Byte Routing/Switching MTU (max. Länge überlanger Pakete) 1500 auf Router-Interfaces Anzahl der Loopback-Interfaces Max. Anzahl der sekundären IP- Adressen (Multinetting) Max. Anzahl der statischen Routing- Einträge Firewall Max.
Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog Hilfe > Lizenzen. UM Config EAGLE Release 3.4 03/2020...
Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP Internet Group Management Protocol Internet Protocol...
Seite 778
Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............153 ABR .
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 784
Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 785
Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder per Post an Hirschmann Automation and Control GmbH Abteilung 01RD-NT Stuttgarter Str.
Seite 786
Leserkritik UM Config EAGLE Release 3.4 03/2020...