Seite 1 Hirschmann Automation and Control GmbH EAGLE HiSecOS Rel. 03500 Referenz-Handbücher Grafische Benutzeroberfläche Command Line Interface Anwender-Handbuch Konfiguration...
Seite 2: Grafische Benutzeroberfläche Industrial Security Router
Referenz-Handbuch Grafische Benutzeroberfläche Industrial Security Router EAGLE20/30 RM GUI EAGLE Technische Unterstützung Release 03.5 08/2020 https://hirschmann-support.belden.com...
Seite 3 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2020 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 4: Inhaltsverzeichnis
Inhalt Inhalt Sicherheitshinweise............7 Über dieses Handbuch .
Seite 5 Inhalt 4.3.3 Paketfilter Regel............. 123 4.3.4 Paketfilter Zuweisung.
Seite 6 Inhalt 8.4.3 OSPF Stub Areas............295 8.4.4 OSPF Not So Stubby Areas.
Seite 7 Inhalt Ports..............424 9.4.1 SFP .
Seite 8: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 9 Sicherheitshinweise RM GUI EAGLE Release 03.5 08/2020...
Seite 10: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 11: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 12: Hinweise Zur Grafischen Benutzeroberfläche
Hinweise zur grafischen Benutzeroberfläche Hinweise zur grafischen Benutzeroberfläche Die grafische Benutzeroberfläche des Geräts ist wie folgt unterteilt: Navigationsbereich  Dialogbereich  Schaltflächen  Navigationsbereich Der Navigationsbereich befindet sich auf der linken Seite der grafischen Benutzeroberfläche. Der Navigationsbereich enthält die folgenden Elemente: Symbolleiste ...
Seite 13 Hinweise zur grafischen Benutzeroberfläche Klicken Sie die Schaltfläche, um den gegenwärtig angemeldeten Benutzer abzumelden und die Login-Seite anzuzeigen. Zeigt die verbleibende Zeit in Sekunden, bis das Gerät einen inaktiven Benutzer automatisch abmeldet. Klicken Sie die Schaltfläche, um den Dialog zu öffnen. Gerätesicherheit >...
Seite 14: Dialogbereich
Hinweise zur grafischen Benutzeroberfläche Menü Das Menü zeigt die Menüpunkte. Sie haben die Möglichkeit, die Menüpunkte zu filtern. Siehe Abschnitt „Filter”. Um den zugehörigen Dialog im Dialogbereich anzuzeigen, klicken Sie den gewünschten Menü- punkt. Wenn der ausgewählte Menüpunkt ein Knoten ist, der untergeordnete Menüpunkte enthält, dann klappt der Knoten beim Klicken auf oder zu.
Seite 15: Arbeiten Mit Tabellen
Hinweise zur grafischen Benutzeroberfläche Arbeiten mit Tabellen Die Dialoge zeigen zahlreiche Einstellungen in tabellarischer Form. Wenn Sie eine Tabellenzelle ändern, zeigt die Tabellenzelle eine rote Markierung in der linken oberen Ecke. Die rote Markierung weist darauf hin, dass Ihre Änderungen noch nicht in den flüch- tigen Speicher (RAM) des Geräts übertragen sind.
Seite 16 Hinweise zur grafischen Benutzeroberfläche Ist das Kontrollkästchen in Spalte noch unmarkiert, klicken Sie die Schaltfläche Ausgewählt  und dann den Eintrag Auswählen. Klicken Sie die Schaltfläche , um die gegenwärtigen Änderungen zu speichern.  Aktualisiert die Felder mit den Werten, die im flüchtigen Speicher (RAM) des Geräts gespeichert sind.
Seite 17 Hinweise zur grafischen Benutzeroberfläche RM GUI EAGLE Release 03.5 08/2020...
Seite 18: Grundeinstellungen
Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System  Netz  Software  Laden/Speichern  Externer Speicher  Port  Neustart  System [ Grundeinstellungen > System ] In diesem Dialog überwachen Sie einzelne Betriebszustände. Geräte-Status Die Felder in diesem Rahmen zeigen den Gerätestatus und informieren über aufgetretene Alarme.
Seite 19 Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Die Felder in diesem Rahmen zeigen den Sicherheitsstatus und informieren über aufgetretene Alarme. Der Rahmen ist hervorgehoben, wenn gegenwärtig ein Alarm vorhanden ist. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 20: Systemdaten
Grundeinstellungen [ Grundeinstellungen > System ] Systemdaten Die Felder in diesem Rahmen zeigen Betriebsdaten sowie Informationen zum Standort des Geräts. Systemname Legt den Namen fest, unter dem das Gerät im Netz bekannt ist. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen ...
Seite 21 Grundeinstellungen [ Grundeinstellungen > System ] Betriebszeit Zeigt die Zeit, die seit dem letzten Neustart dieses Geräts vergangen ist. Mögliche Werte: Zeit im Format Tag(e), ...h ...m ...s  Temperatur [°C] Zeigt die gegenwärtige Temperatur im Gerät in °C. Das Überwachen der Temperaturgrenzen schalten Sie ein im Dialog Diagnose >...
Seite 22 Grundeinstellungen [ Grundeinstellungen > System ] Parameter Farbe Bedeutung Gerätevariante mit 2 Netzteilen: Power Lediglich eine Versorgungsspannung ist aktiv. Gerätevariante mit 1 Netzteil: Die Versorgungsspannung ist aktiv. Gerätevariante mit 2 Netzteilen: Beide Versorgungsspannungen sind aktiv. Das Gerät arbeitet weder als MRP-Ringmanager noch als DLR-Super- visor.
Seite 23: Netz
Grundeinstellungen [ Grundeinstellungen > Netz ] Netz [ Grundeinstellungen > Netz ] Das Menü enthält die folgenden Dialoge: Global  IPv4  RM GUI EAGLE Release 03.5 08/2020...
Seite 24 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] 1.2.1 Global [ Grundeinstellungen > Netz > Global ] In diesem Dialog legen Sie die VLAN- und HiDiscovery-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle In diesem Rahmen legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist.
Seite 25 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] MAC-Adresse Zeigt die MAC-Adresse des Geräts. Mit der MAC-Adresse ist das Management des Geräts über das Netz erreichbar. HiDiscovery Protokoll v1/v2 Dieser Rahmen ermöglicht Ihnen, Einstellungen für den Zugriff auf das Gerät per HiDiscovery- Protokoll festzulegen.
Seite 26 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] Signal Aktiviert/deaktiviert das Blinken der Port-LEDs wie die gleichnamige Funktion in der HiDiscovery- Software. Diese Funktion ermöglicht Ihnen, das Gerät im Feld zu identifizieren. Mögliche Werte: markiert  Das Blinken der Port-LEDs ist aktiv. Die Port-LEDs blinken solange, bis Sie die Funktion wieder ausschalten.
Seite 27: Ipv4
Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] 1.2.2 IPv4 [ Grundeinstellungen > Netz > IPv4 ] In diesem Dialog legen Sie die IPv4-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Zuweisung IP-Adresse Legt fest, aus welcher Quelle das Management des Geräts seine IP-Parameter erhält.
Seite 28 Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] Netzmaske Legt die Netzmaske fest. Mögliche Werte: Gültige IPv4-Netzmaske  Gateway-Adresse Legt die IP-Adresse eines Routers fest, über den das Gerät andere Geräte außerhalb des eigenen Netzes erreicht. Mögliche Werte: Gültige IPv4-Adresse ...
Seite 29: Software
Grundeinstellungen [ Grundeinstellungen > Software ] Software [ Grundeinstellungen > Software ] Dieser Dialog ermöglicht Ihnen, die Geräte-Software zu aktualisieren und Informationen über die Geräte-Software anzuzeigen. Außerdem haben Sie die Möglichkeit, ein im Gerät gespeichertes Backup der Geräte-Software wiederherzustellen. Anmerkung: Beachten Sie vor dem Aktualisieren der Geräte-Software die versionsspezifischen Hinweise in der Liesmich-Textdatei.
Seite 30: Software-Update
Grundeinstellungen [ Grundeinstellungen > Software ] Bootcode Zeigt Versionsnummer und Erstellungsdatum des Bootcodes. Software-Update Alternativ ermöglicht Ihnen das Gerät, die Geräte-Software durch Rechtsklicken in der Tabelle zu aktualisieren, wenn sich die Image-Datei im externen Speicher befindet. Legt Pfad und Dateiname der Image-Datei fest, mit der Sie die Geräte-Software aktualisieren. Das Gerät bietet Ihnen folgende Möglichkeiten, die Geräte-Software zu aktualisieren: Software-Update vom PC ...
Seite 31 Grundeinstellungen [ Grundeinstellungen > Software ] sd-card  Externer SD-Speicher (ACA31)  Externer USB-Speicher (ACA21/ACA22) Index Zeigt den Index der Geräte-Software. Für die der Geräte-Software im Flash hat der Index die folgende Bedeutung:  Diese Geräte-Software lädt das Gerät beim Neustart. ...
Seite 32: Laden/Speichern
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts permanent in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 33: Konfigurations-Verschlüsselung
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurations-Verschlüsselung Aktiv Zeigt, ob die Konfigurations-Verschlüsselung im Gerät aktiv/inaktiv ist. Mögliche Werte: markiert  Die Konfigurations-Verschlüsselung ist aktiv. Das Gerät lädt ein Konfigurationsprofil aus dem permanenten Speicher (NVM) ausschließlich dann, wenn dieses verschlüsselt ist und das Passwort mit dem im Gerät gespeicherten Pass- wort übereinstimmt.
Seite 34 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Installieren Sie im neuen Gerät den externen Speicher aus dem defekten Gerät.  Starten Sie das neue Gerät neu.  Beim Neustart lädt das Gerät das Konfigurationsprofil mit den Einstellungen des defekten Geräts vom externen Speicher. Das Gerät kopiert die Einstellungen in den flüchtigen Speicher (RAM) und in den permanenten Speicher (NVM).
Seite 35: Sichere Konfiguration Auf Remote-Server Beim Speichern
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Sichere Konfiguration auf Remote-Server beim Speichern Funktion Schaltet die Speichern-Funktion ein/aus. Sichere Konfiguration auf Remote-Server beim Mögliche Werte: Eingeschaltet  Speichern-Funktion ist eingeschaltet. Sichere Konfiguration auf Remote-Server beim Wenn Sie das Konfigurationsprofil im permanenten Speicher ( ) speichern, sichert das Gerät das Konfigurationsprofil automatisch auf dem im Feld festgelegten Remote-Server.
Seite 36: Konfigurationsänderungen Rückgängig Machen
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurationsänderungen rückgängig machen Funktion Schaltet die machen-Funktion ein/aus. Mit der Funktion prüft das Konfigurationsänderungen rückgängig Gerät kontinuierlich, ob es von der IP-Adresse dieses Benutzers erreichbar bleibt. Bricht die Verbindung ab, lädt das Gerät nach einer festgelegten Zeitspanne das „ausgewählte“ Konfigurati- onsprofil aus dem permanenten Speicher (NVM).
Seite 37 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] (permanenter Speicher des Geräts)  Aus dem permanenten Speicher lädt das Gerät das „ausgewählte“ Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion Konfigurationsänderungen rückgängig machen. Der permanente Speicher bietet Platz für mehrere Konfigurationsprofile, abhängig von der Anzahl der im Konfigurationsprofil gespeicherten Einstellungen.
Seite 38 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] – Das Gerät lädt die das Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion in den flüchtigen Speicher (RAM). Konfigurationsänderungen rückgängig machen – Wenn Sie die Schaltfläche klicken, speichert das Gerät die zwischengespeicherten Einstellungen in diesem Konfigurationsprofil. unmarkiert ...
Seite 39 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Mögliche Werte: markiert  Berechnete und gespeicherte Prüfsumme stimmen überein. Die gespeicherten Einstellungen sind konsistent. unmarkiert  Für das als „ausgewählt“ gekennzeichnete Konfigurationsprofil gilt: Berechnete und gespeicherte Prüfsumme unterscheiden sich. Das Konfigurationsprofil enthält geänderte Einstellungen. Mögliche Ursachen: –...
Seite 40 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Aktivieren Lädt die Einstellungen des in der Tabelle markierten Konfigurationsprofils in den flüchtigen Spei- cher (RAM). Das Gerät trennt die Verbindung zur grafischen Benutzeroberfläche.  Laden Sie die grafische Benutzeroberfläche neu.  Melden Sie sich erneut an. ...
Seite 41 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Importieren... Öffnet den Dialog Importieren..., um ein Konfigurationsprofile zu importieren. Voraussetzung ist, dass Sie das Konfigurationsprofil zuvor mit der Schaltfläche Exportieren... oder mit dem Link in Spalte exportiert haben. Profilname Wählen Sie in der Dropdown-Liste Select source aus, woher das Gerät das Konfigurationsprofil ...
Seite 42 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Bezüglich Verschlüsselung des Konfigurationsprofils lesen Sie auch den Hilfetext zum Rahmen Konfigurations-Verschlüsselung. Das Gerät importiert das Konfigurationsprofil unter den folgenden Bedingungen: • Die Konfigurations-Verschlüsselung des Geräts ist inaktiv. Das Konfigurationsprofil ist unver- schlüsselt. • Die Konfigurations-Verschlüsselung des Geräts ist aktiv.
Seite 43: Externer Speicher
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 44 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Automatisches Software-Update Aktiviert/deaktiviert die automatische Aktualisierung der Geräte-Software während des Neustarts. Mögliche Werte: markiert (Voreinstellung)  Die automatische Aktualisierung der Geräte-Software während des Neustarts ist aktiviert. Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: –...
Seite 45 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Hersteller-ID Zeigt den Namen des Speicher-Herstellers. Revision Zeigt die durch den Speicher-Hersteller vorgegebene Revisionsnummer. Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 46: Port
Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Verbindungszustand, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: [Konfiguration] ...
Seite 47 Grundeinstellungen [ Grundeinstellungen > Port ] Power-State (Port aus) Legt fest, ob der Port physikalisch eingeschaltet oder ausgeschaltet ist, wenn Sie den Port mit der Funktion deaktivieren. Port an Mögliche Werte: markiert  Der Port bleibt physikalisch eingeschaltet. Ein angeschlossenes Gerät empfängt einen aktiven Link.
Seite 48 Grundeinstellungen [ Grundeinstellungen > Port ] 100 Mbit/s FDX  Vollduplex-Verbindung 1000 Mbit/s FDX  Vollduplex-Verbindung Anmerkung: Die tatsächlich zur Verfügung stehenden Betriebsmodi des Ports sind abhängig von der Ausstattung des Geräts. Link/ Aktuelle Betriebsart Zeigt, welchen Betriebsmodus der Port gegenwärtig verwendet. Mögliche Werte: –...
Seite 49 Grundeinstellungen [ Grundeinstellungen > Port ] Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle auf dem Port. Mögliche Werte: markiert (Voreinstellung)  Die Flusskontrolle auf dem Port ist aktiv. Auf dem Port ist das Senden und Auswerten von Pause-Paketen (Vollduplex-Betrieb) oder Kolli- sionen (Halbduplex-Betrieb) aktiviert. Um die Flusskontrolle im Gerät einzuschalten, aktivieren Sie zusätzlich die Funktion Fluss- ...
Seite 50 Grundeinstellungen [ Grundeinstellungen > Port ] – Empfangene Multicast-Pakete – Empfangene Broadcast-Pakete Anzahl der vom Gerät gesendeten Datenpakete/Bytes  – Gesendete Pakete – Gesendete Oktets – Gesendete Unicast-Pakete – Gesendete Multicast-Pakete – Gesendete Broadcast-Pakete Anzahl der vom Gerät erkannten Fehler ...
Seite 51: Neustart
Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Portzähler und Adresstabellen zurück- zusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet den Dialog Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 52 Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei löschen Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. Persistente Log-Datei löschen Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikations-Verbindungen aus der State-Tabelle der Firewall.
Seite 53 Grundeinstellungen 1.7 Neustart RM GUI EAGLE Release 03.5 08/2020...
Seite 54: Zeit
Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen   Grundeinstellungen [ Zeit > Grundeinstellungen ] Das Gerät ist mit einer gepufferten Hardware-Uhr ausgestattet. Diese führt die aktuelle Uhrzeit weiter, wenn die Stromversorgung ausfällt oder wenn Sie das Gerät von der Stromversorgung trennen.
Seite 55: Global
Zeit [ Zeit > NTP ] Lokaler Offset [min] Legt die Differenz zwischen lokaler Zeit und in Minuten fest: Systemzeit (UTC) Lokaler Offset [min] − Systemzeit Systemzeit (UTC) Mögliche Werte: -780..840 (Voreinstellung: 60)  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 56 Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren ...
Seite 57 Zeit [ Zeit > NTP > Global ] Client and server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Gerätemanagement-VLAN sowie in Schicht 3 auf den eingerichteten IP-Schnittstellen. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 58 Zeit [ Zeit > NTP > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 03.5 08/2020...
Seite 59: Server
Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest-  gelegten Server. Wenn der NTP-Server des Geräts im Modus arbeitet, dann legen Sie hier die am symmetric...
Seite 60 Zeit [ Zeit > NTP > Server ] – Verwenden Sie diese Einstellung ausschließlich dann, wenn Sie als Referenzzeitquelle einen eigenen, nicht-öffentlichen NTP-Server nutzen. – Verwenden Sie diese Einstellung mit Sorgfalt, um die initiale Synchronisierung zu beschleu- nigen. unmarkiert (Voreinstellung) ...
Seite 61 Zeit [ Zeit > NTP > Server ] notResponding  Der Server ist verfügbar. Das Gerät erhält keine Zeitinformation. synchronizing  Der Server ist verfügbar. Das Gerät erhält eine Zeitinformation. synchronized  Der Server ist verfügbar. Das Gerät hat seine Uhr auf den Server synchronisiert. genericError ...
Seite 62: Gerätesicherheit
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung  Authentifizierungs-Liste  LDAP  Management-Zugriff  Pre-Login-Banner  Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 63 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Zeitraum für Login-Versuche Zeigt die Zeitspanne, nach der das Gerät den Zähler im Feld zurücksetzt. Login-Versuche Mögliche Werte: 0..60 (Voreinstellung: 0)  Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier angegeben.
Seite 64 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Ziffern (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Ziffern enthält, wie hier ange- geben. Mögliche Werte: 0..16 (Voreinstellung: 1)  Der Wert deaktiviert diese Richtlinie. Sonderzeichen (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Sonderzeichen enthält, wie hier angegeben.
Seite 65 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Passwort Zeigt ***** (Sternchen) anstelle des Passworts, mit dem sich der Benutzer anmeldet. Um das Pass- wort zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 6..64 Zeichen  Die folgenden Zeichen sind zulässig: –...
Seite 66 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Benutzer gesperrt Entsperrt das Benutzerkonto. Mögliche Werte: markiert  Das Benutzerkonto ist gesperrt. Der Benutzer hat keinen Zugriff auf das Management des Geräts. Das Gerät sperrt einen Benutzer automatisch, wenn dieser zu oft erfolglos versucht, sich anzu- melden.
Seite 67 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Benutzername legen Sie die Bezeichnung des Benutzerkontos fest.  Mögliche Werte: –...
Seite 68: Authentifizierungs-Liste
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 69: Ldap
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] radius  Das Gerät authentifiziert die Benutzer mit einen RADIUS-Server im Netz. Den RADIUS-Server legen Sie im Dialog fest. Netzsicherheit > RADIUS > Authentication-Server reject  Abhängig von der Richtlinie, die Sie zuerst anwenden, akzeptiert das Gerät die Authentifizie- rung oder lehnt die Authentifizierung ab.
Seite 70: Ldap Konfiguration
Gerätesicherheit [ Gerätesicherheit > LDAP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das linke Feld zeigt die Anwendungen, die sich der ausgewählten Liste zuordnen lassen.  Das rechte Feld zeigt die Anwendungen, die der ausgewählten Liste zugeordnet sind. ...
Seite 71: Funktion
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 72 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Bind-Benutzer Passwort Legt das Passwort fest, das das Gerät bei der Anmeldung am LDAP-Server zusammen mit der in Feld festgelegten Benutzerkennung verwendet. Bind-Benutzer Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen ...
Seite 73 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Default-Domain Legt die Zeichenfolge fest, mit der das Gerät den Benutzernamen sich anmeldender Benutzer ergänzt, sofern der Benutzername kein @-Zeichen enthält. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  CA certificate Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: •...
Seite 74 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Start Kopiert das im Feld festgelegte Zertifikat in das Gerät. Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht. Beschreibung Legt die Beschreibung fest. Wenn gewünscht, beschreiben Sie hier den Authentication-Server oder notieren zusätzliche Infor- mationen.
Seite 75 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Verbindungssicherheit Legt das Protokoll fest, das die Kommunikation zwischen Gerät und Authentication-Server verschlüsselt. Mögliche Werte: kein  Keine Verschlüsselung. Das Gerät baut eine LDAP-Verbindung zum Server auf und überträgt die Kommunikation inklu- sive Passwörter im Klartext.
Seite 76 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Cache leeren Entfernt die zwischengespeicherten Anmeldeinformationen der erfolgreich angemeldeten Benutzer. RM GUI EAGLE Release 03.5 08/2020...
Seite 77: Ldap Rollen-Zuweisung
Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings zu erstellen, um Benutzern eine Rolle zuzu- weisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenitgliedschaft dem Benutzer eine Rolle zuweist.
Seite 78 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht. Rolle Legt die Benutzer-Rolle fest, die den Zugriff des Benutzers auf die einzelnen Funktionen des Geräts regelt. Mögliche Werte: unauthorized  Der Benutzer ist gesperrt, das Gerät verweigert die Anmeldung des Benutzers.
Seite 79: Management-Zugriff
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Aktiv Aktiviert/deaktiviert das Mapping der Rolle. Mögliche Werte: markiert (Voreinstellung)  Das Mapping der Rolle ist aktiv. unmarkiert  Das Mapping der Rolle ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 80 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: [Information] ...
Seite 81 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] SNMPv3 Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit SNMP Version 3 ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte SNMP. Mögliche Werte: markiert  Server-Dienst ist aktiv. unmarkiert  Server-Dienst ist inaktiv.
Seite 82 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] [SNMP] Diese Registerkarte ermöglicht Ihnen, Einstellungen für den SNMP-Agenten des Geräts festzu- legen und den Zugriff auf das Gerät mit unterschiedlichen SNMP-Versionen ein-/auszuschalten. Der SNMP-Agent ermöglicht den Zugriff auf das Management des Geräts mit SNMP-basierten Anwendungen.
Seite 83 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der SNMP-Agent Anfragen von Clients entgegen- nimmt. Mögliche Werte: 1..65535 (Voreinstellung: 161)  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Damit der SNMP-Agent nach einer Änderung den neuen Port verwendet, gehen Sie wie folgt vor: Klicken Sie die Schaltfläche ...
Seite 84: Funktion
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion Funktion Schaltet den SSH-Server ein/aus. Mögliche Werte: (Voreinstellung)  Der SSH-Server ist eingeschaltet. Der Zugriff auf das Management des Geräts ist möglich mit dem Command Line Interface über eine verschlüsselte SSH-Verbindung. Der Server lässt sich ausschließlich dann starten, wenn eine RSA-Signatur im Gerät vorhanden ist.
Seite 85 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Mögliche Werte: 1..5 (Voreinstellung: 5)  Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität des angemeldeten Benutzers trennt das Gerät nach dieser Zeit die Verbindung. Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Mögliche Werte: ...
Seite 86 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Signatur RSA vorhanden Zeigt, ob ein RSA-Host-Key im Gerät vorhanden ist. Mögliche Werte: markiert  Schlüssel vorhanden. unmarkiert  Kein Schlüssel vorhanden. Erzeugen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des erzeugten Schlüssels: 2048 Bit (RSA) ...
Seite 87 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Key-Import Legt Pfad und Dateiname Ihres RSA-Host-Keys fest. Das Gerät akzeptiert den RSA-Schlüssel, wenn dieser die folgende Schlüssellänge aufweist: • 2048 bit (RSA) Das Gerät bietet Ihnen folgende Möglichkeiten, den Schlüssel in das Gerät zu kopieren: Import vom PC ...
Seite 88 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion Funktion Schaltet für den Webserver das Protokoll ein/aus. HTTP Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTP Der Zugriff auf das Management des Geräts ist möglich über eine unverschlüsselte HTTP- Verbindung.
Seite 89 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Das Gerät unterstützt bis zu 10 gleichzeitige Verbindungen per HTTP oder HTTPS. Anmerkung: Wenn Sie Einstellungen in dieser Registerkarte ändern und die Schaltfläche klicken, dann beendet das Gerät die Sitzung und trennt jede geöffnete Verbindung. Um wieder mit der grafischen Benutzeroberfläche zu arbeiten, melden Sie sich erneut an.
Seite 90 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerprint-Typ Legt fest, welchen Fingerprint das Feld anzeigt. Fingerprint Mögliche Werte: sha1  Das Feld Fingerprint zeigt den SHA1-Fingerprint des Zertifikats. sha256  Das Feld zeigt den SHA256-Fingerprint des Zertifikats. Fingerprint Fingerprint Zeichenfolge des digitalen Zertifikats, das der Server verwendet.
Seite 91: Zertifikat-Import
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Betriebszustand Zeigt, ob das Gerät gegenwärtig ein digitales Zertifikat generiert oder löscht. Möglicherweise hat ein anderer Benutzer die Aktion ausgelöst. Mögliche Werte: kein  Das Gerät generiert oder löscht gegenwärtig kein Zertifikat. delete ...
Seite 92 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Start Kopiert das im Feld festgelegte Zertifikat in das Gerät. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 03.5 08/2020...
Seite 93: Ip-Zugriffsbeschränkung
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog bietet Ihnen die Möglichkeit, den Zugriff auf das Management des Geräts auf gewisse IP-Adressbereiche und ausgewählte IP-basierte Anwendungen zu beschränken. Bei ausgeschalteter Funktion ist der Zugriff auf das Management des Geräts von jeder belie- ...
Seite 94 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Mögliche Werte: 1..16  Adresse Legt die IP-Adresse des Netzes fest, von dem aus Sie den Zugriff auf das Management des Geräts erlauben. Den Netz-Bereich legen Sie fest in Spalte Netzmaske. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 95 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Aktiviert/deaktiviert den SSH-Zugriff. Mögliche Werte: markiert (Voreinstellung)  Zugriff ist aktiviert für nebenstehenden IP-Adressbereich. unmarkiert  Zugriff ist deaktiviert. Aktiv Aktiviert/deaktiviert den Tabelleneintrag. Mögliche Werte: (Voreinstellung) markiert  Tabelleneintrag ist aktiviert. Das Gerät beschränkt den Zugriff auf das Management des Geräts auf den nebenstehenden IP-Adressbereich und die ausgewählten IP-basierten Anwendungen.
Seite 96: Web
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Web-Interface Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des angemeldeten Benutzers.
Seite 97: Command Line Interface
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Detaillierte Infor- mationen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Inter- face“.
Seite 98 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Für Telnet und SSH legen Sie das Timeout fest im Dialog Gerätesicherheit > Management-Zugriff > Server. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 99 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] <Tabulator>  <Zeilenumbruch>  Verbleibende Zeichen Zeigt, wie viele Zeichen im Feld noch für die Textinformation zur Verfügung stehen. Banner-Text Mögliche Werte: 1024..0  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 100: Snmpv1/V2 Community
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie die Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen per SNMPv1/v2 mit einem Community-Namen im SNMP-Daten- paket-Header.
Seite 101: Pre-Login-Banner
Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface. Benutzer, die sich mit SSH anmelden, sehen den Text – abhängig vom verwendeten Client –...
Seite 102 Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Verbleibende Zeichen Zeigt, wie viele Zeichen im Feld noch zur Verfügung stehen. Banner-Text Mögliche Werte: 512..0  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 03.5 08/2020...
Seite 103 Gerätesicherheit 3.5 Pre-Login-Banner RM GUI EAGLE Release 03.5 08/2020...
Seite 104: Netzsicherheit
Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht  RADIUS  Paketfilter  Deep Packet Inspection    Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt die im Gerät verwendeten Netzsicherheits-Regeln. Parameter Port/VLAN Legt fest, ob das Gerät VLAN- und/oder portbasierte Regeln anzeigt.
Seite 105 Netzsicherheit [ Netzsicherheit > Übersicht ] Double-NAT Zeigt die Double-NAT-Regeln in der Übersicht. Die Double-NAT-Regeln bearbeiten Sie im Dialog Routing > NAT > Double-NAT. Masquerading NAT Zeigt die NAT-Regeln in der Übersicht. Masquerading NAT-Regeln bearbeiten Sie im Dialog Masquerading Routing > NAT > Masquerading NAT.
Seite 106: Radius
Netzsicherheit [ Netzsicherheit > RADIUS ] RADIUS [ Netzsicherheit > RADIUS ] Das Gerät ist ab Werk so eingestellt, dass es Benutzer anhand der lokalen Benutzerverwaltung authentifiziert. Mit zunehmender Größe eines Netzes jedoch steigt der Aufwand, die Zugangsdaten der Benutzer über Geräte hinweg konsistent zu halten. RADIUS (Remote Authentication Dial-In User Service) ermöglicht Ihnen, die Benutzer an zentraler Stelle im Netz zu authentifizieren und zu autorisieren.
Seite 107 Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 108: Radius Authentication-Server
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 109 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] Primary server Kennzeichnet den Authentication-Server als primär oder sekundär. Mögliche Werte: markiert  Der Server ist als primärer Authentication-Server gekennzeichnet. Das Gerät sendet die Zugangsdaten zum Authentifizieren der Benutzer an diesen Authentication-Server. Wenn Sie mehrere Server markieren, kennzeichnet das Gerät den zuletzt markierten Server als primären Authentication-Server.
Seite 110: Radius Authentication Statistiken
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Zeile. Um die Statistik zu löschen, klicken Sie im Dialog die Schaltfläche Netzsicherheit >...
Seite 111 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Tabelle Name Zeigt den Namen des Servers. Adresse Zeigt die IP-Adresse des Servers. Round-Trip-Time Zeigt das Zeitintervall in Hundertstelsekunden zwischen der zuletzt empfangenen Antwort des Servers (Access-Reply/Access-Challenge) und dem zugehörigen gesendeten Datenpaket (Access-Request).
Seite 112: Paketfilter
Netzsicherheit [ Netzsicherheit > Paketfilter ] Unbekannte Pakete Zeigt, wie viele Datenpakete mit unbekanntem Datentyp das Gerät auf dem Authentication-Port vom Server empfangen hat. Verworfene Pakete Zeigt, wie viele Datenpakete das Gerät auf dem Authentication-Port vom Server empfangen und anschließend verworfen hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 113: Paketfilter Global
Netzsicherheit [ Netzsicherheit > Paketfilter ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Regeln Routing Paket- Paket- 1:1 NAT Masquerading NAT Destination NAT filter filter Double NAT Double NAT MAC-basierte ACL IP-basierte ACL Switching-Chipsatz Netz 1...
Seite 114 Netzsicherheit [ Netzsicherheit > Paketfilter > Global ] 4.3.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Paketfilter fest. Konfiguration Erlaubte L3-Firewall-Regeln (max.) Zeigt die maximale Anzahl erlaubter Firewall-Regeln für Datenpakete. Default-Policy Legt fest, wie die Firewall Datenpakete verarbeitet, wenn keine Regel zutrifft.
Seite 115 Netzsicherheit [ Netzsicherheit > Paketfilter > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Commit Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen des Enforcers.
Seite 116: Firewall-Lern-Modus
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] 4.3.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > FLM ] Die FLM-Funktion hilft Ihnen festzulegen, für welche Verbindungen Sie den Zugriff auf Ihr Netz zulassen. Die maximale Anzahl von Regeln, die Sie mithilfe der FLM-Funktion konfigurieren können, ist abhängig von der Anzahl der bereits konfigurierten Regeln im Dialog Regel.
Seite 117 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Information Status Zeigt den Zustand der aktiven Firewall-Lern-Modus-Anwendung. Mögliche Werte:  Die Funktion ist inaktiv. stopped-data-notpresent  stopped-data-present  Das Gerät hat den Lernmodus angehalten. In der Registerkarte finden Sie Informationen Regel zu den gelernten Daten.
Seite 118 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Information Zeigt den Status des Firewall-Lern-Modus-Anwendungsspeichers. Weitere Informationen Zeigt eine Meldung zu einem speziellen Status. Gelernte Einträge Zeigt die Anzahl der Schicht-3-Einträge in der Verbindungstabelle. Freier Speicher für Lerndaten [%] Zeigt den prozentualen Anteil des freien Speicherplatzes, der für das Erlernen von Daten verfügbar ist.
Seite 119 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Leeren Leert den Speicher. Gelernte Daten können ausschließlich dann gelöscht werden, wenn die FLM- Funktion gestoppt wird. [Regeln] Diese Registerkarte zeigt den Typ der Daten, welche die ausgewählten Ports durchqueren. Dies ermöglicht Ihnen, Regeln zur Verwaltung des Datenstroms zu erzeugen, der das Gerät durchquert. Auf Grundlage der im Rahmen angezeigten Daten können Sie nach Bedarf Daten Gelernte Einträge...
Seite 120: Gelernte Einträge
Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Gelernte Einträge Quell-Adresse Zeigt die Quelladresse der Pakete. Ziel-Adresse Zeigt die Zieladresse des Paketes. Ziel-Port Zeigt den Ziel-Port des Paketes. Eingangs-Interface Zeigt das Interface, welches das Paket empfangen hat. Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Protokoll Zeigt das IP-Protokoll auf der Basis von RFC 791 für die Protokollfilterung.
Seite 121 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Gültige IPv4-Adresse  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse an. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse im festgelegten Subnetz an.
Seite 122 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Paketfilter-Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu berücksichtigen. 1..65535 ...
Seite 123 Netzsicherheit [ Netzsicherheit > Paketfilter > FLM ] Beschreibung Legt einen Namen oder eine Beschreibung für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Eingangs-Interface Zeigt, ob das Gerät die Paketfilter-Regel auf Datenpakete anwendet, die das Gerät über ein Inter- face sendet oder empfängt.
Seite 124: Paketfilter Regel
Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] 4.3.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter zu konfigurieren. Die hier definierten Regeln können Sie im Dialog Netzsicherheit > Paketfilter > Zuweisung den gewünschten Ports zuweisen.
Seite 125 Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Protokoll Legt den Protokolltyp der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf sämtliche Datenpakete an, ohne das Protokoll zu berücksich- tigen.
Seite 126 Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Paketfilter-Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu berücksichtigen. 1..65535 ...
Seite 127 Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] flags=syn|ack|fin  Diese Regel gilt für Pakete, für die Sie das Flag oder gesetzt haben. syn,ack or fin mac=de:ad:de:ad:be:ef,state=new|rel,flags=syn  Diese Regel gilt für Pakete, die von der MAC-Adresse stammen, sich in de:ad:de:ad:be:ef einer neuen oder zugehörigen Verbindung befinden und für die Sie das Flag gesetzt haben.
Seite 128 Netzsicherheit [ Netzsicherheit > Paketfilter > Regel ] Trap Aktiviert/deaktiviert das Senden von SNMP-Traps beim Anwenden der Paketfilter-Regel auf Daten- pakete. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap, wenn es die Paketfilter-Regel auf ein Datenpaket anwendet. unmarkiert (Voreinstellung) ...
Seite 129: Paketfilter Zuweisung
Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] 4.3.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing > Interfaces > Konfiguration.
Seite 130 Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] Tabelle Beschreibung Zeigt den Namen oder die Beschreibung der Regel. Die Beschreibung legen Sie fest im Dialog Netzsicherheit > Paketfilter > Regel. Regel-Index Zeigt die fortlaufende Nummer der Paketfilter-Regel. Den Index legen Sie fest, wenn Sie die Schalt- fläche Eintrag erzeugenklicken.
Seite 131 Netzsicherheit [ Netzsicherheit > Paketfilter > Zuweisung ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um einem Router-Interface eine Regel zuzuweisen. Im Feld Interface legen Sie das Router-Interface fest, auf welches das Gerät die Regel ...
Seite 132: Paketfilter Übersicht
Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] 4.3.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Beschreibung Zeigt den Namen oder die Beschreibung der Regel. Die Beschreibung legen Sie fest im Dialog Netzsicherheit >...
Seite 133 Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Paketfilter-Regel ausschließlich auf Datenpakete an, die eine Quellad- resse im hier festgelegten Subnetz enthalten. Ein der IP-Adresse vorangestelltes Ausrufezeichen verkehrt den Ausdruck ins Gegenteil. Das ...
Seite 134 Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] igmp  Internet Group Management Protocol ipip  IP in IP tunneling (RFC 1853)  Transmission Control Protocol (RFC 793)  User Datagram Protocol (RFC 768)  IPsec Encapsulated Security Payload (RFC 2406) ...
Seite 135 Netzsicherheit [ Netzsicherheit > Paketfilter > Übersicht ] drop  Das Gerät verwirft die Datenpakete. reject  Das Gerät weist die Datenpakete zurück. enforce-modbus  Das Gerät wendet die Enforcer-Regel auf die Datenpakete an. Modbus enforce-opc  Das Gerät wendet die Enforcer-Regel auf die Datenpakete an.
Seite 136: Deep Packet Inspection
Netzsicherheit [ Netzsicherheit > DPI ] Deep Packet Inspection [ Netzsicherheit > DPI ] Die DPI-Funktion ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unter- stützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die DPI-Funktion untersucht Datenpakete auf unerwünschte Merkmale und Protokollverletzungen.
Seite 137: Funktion
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.4.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Regeln zu definieren. Die Regeln spezifizieren Modbus TCP-Funktionscodes und Register- oder Coil-Adressen.
Seite 138 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] readWrite  Das Gerät trägt ausschließlich Funktionscodes von Lese-/Schreib-Funktionen des Modbus TCP- Protokolls in die Spalte ein: 1,2,3,4,5,6,7,11,12,15,16,17,20,21,22,23,24. Funktionscode programming  Das Gerät trägt ausschließlich Funktionscodes von Programmier-Funktionen des Modbus TCP- Protokolls in die Spalte ein: Funktionscode...
Seite 139 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: <1,2,..,255>|<0..65535>|<0..65535>  Das Gerät lässt Datenpakete mit folgenden Eigenschaften zu: Funktionscodes <1,2,..,255>, Read-Adressbereich und Write-Adressbereich <0..65535> <0..65535>. – Mehrere Funktionscodes trennen Sie durch Komma. Beispiel: 1,2,3 Das Gerät lässt Datenpakete mit folgenden Funktions-Codes zu: 1 (Read Coils), 2 (Read...
Seite 140 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Ausnahme Aktiviert/deaktiviert das Senden einer Exception-Antwort im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung zu Fehlern führt. Mögliche Werte: markiert  Das Senden einer Exception-Antwort ist aktiv. Wenn das Gerät eine Protokollverletzung oder Fehler bei der Plausibilitätsprüfung ermittelt, sendet es eine Exception-Antwort an die Endpunkte und beendet die Modbus TCP-Verbindung.
Seite 141 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Entfernt die markierte Regel aus der Tabelle. Um die Änderungen im permanenten Speicher (NVM) zu speichern, gehen Sie wie folgt vor: Öffnen Sie den Dialog Grundeinstellungen > Laden/Speichern.  Markieren Sie in der Tabelle das gewünschte Konfigurationsprofil. ...
Seite 142 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] programming  Das Gerät trägt ausschließlich Funktionscodes von Programmier-Funktionen des Modbus TCP- Protokolls in die Spalte ein: Funktionscode 1,2,3,4,5,6,7,11,12,15,16,17,20,21,22,23,24,40,42,90, 125,126.  Das Gerät trägt jeden Funktionscode des TCP-Protokolls in die Spalte ein: Modbus Funktionscode...
Seite 143: Bedeutung Der Funktionscode-Werte
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Bedeutung der Funktionscode-Werte Bedeutung Adressbe- Adressbe- reich reich Read Coils <0..65535> Read Discrete Inputs <0..65535> Read Holding Registers <0..65535> Read Input Registers <0..65535> Write Single Coil <0..65535> Write Single Register <0..65535> Read Exception Status Diagnostic Get Comm Event Counter...
Seite 144: Deep Packet Inspection - Opc Enforcer
Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.4.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für den OPC Content Inspector festzulegen. OPC ist ein Integrationsprotokoll für industrielle Umgebungen. ist eine Funktion zur OPC Enforcer Unterstützung der Netzsicherheit.
Seite 145 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung auf Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiviert. Das Gerät prüft die Datenpakete auf Plausibilität bezüglich Format und Spezifikation. unmarkiert  Die Plausibilitätsprüfung ist deaktiviert. Fragmentenprüfung Aktiviert/deaktiviert die Fragmentprüfung auf Datenpakete.
Seite 146 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Nummer der Regel fest. ...
Seite 147: Deep Packet Inspection - Dnp3 Enforcer
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] 4.4.3 Deep Packet Inspection - DNP3 Enforcer [ Netzsicherheit > DPI > DNP3 Enforcer ] Dieser Dialog ermöglicht Ihnen, die DNP3 Enforcer-Einstellungen festzulegen und die DNP3 Enforcer- spezifischen Regeln zu definieren. Das Protokoll DNP3 ist darauf ausgelegt, eine zuverlässige Kommunikation zwischen den Kompo- nenten in Prozessautomatisierungssystemen zu ermöglichen.
Seite 148 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Funktionscode-Liste Zeigt die Function-Code-Liste für die DNP3 Enforcer-Regel. Bei aktiviertem Profil wendet das Gerät die DNP3 Enforcer-Regeln auf den Datenstrom an. Das Gerät erlaubt ausschließlich Datenpakete, welche die in Spalte festgelegten Funktionscode-Liste Function-Codes enthalten.
Seite 149 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder Fehler bei der Plausibilitätsprüfung ermittelt, beendet es die TCP-Verbindung.
Seite 150 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Bearbeiten Öffnet das Fenster Bearbeiten, um die Function-Code-Liste zu bearbeiten. Voraussetzungen ist, dass ein Tabelleneintrag markiert ist. Änderungen anwenden Das Gerät wendet die festgelegten Regeln auf den Datenstrom an. [Bearbeiten] Verfügbare Funktionscodes Zeigt die Nummer und die Bedeutung der verfügbaren Function-Codes für die DNP3 Enforcer-Regel.
Seite 151 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Schaltflächen >> Verschiebt jeden Eintrag aus dem Feld Funktionscodesin das Feld Verfügbare Ausgewählte Funktions- codes. > Verschiebt die im Feld markierten Einträge in das Feld Verfügbare Funktionscodes Ausgewählte Funk- tionscodes. < Verschiebt die im Feld Ausgewählte Funktionscodes markierten Einträge in das Feld...
Seite 152 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Bedeutung Record Current Time Open File Close File Delete File Get File Information Authenticate File Abort File Transfer Active Configuration Authentication Request Authenticate Request-No Acknowledgment Response Unsolicited Response Authentication Response [DNP3 Enforcer - Objekt-Assistent] Mit dem Assistenten können Sie eine DNP3-Regel auswählen und eine benutzerdefinierte Objekt- liste für die ausgewählte DNP3-Regel erstellen.
Seite 153 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] [DNP3 Enforcer - Objekt-Assistent – Objektcode für DNP3-Regel bearbeiten] Die Funktion DNP3 verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die Funktion DNP3 verwendet Gruppennummern, um den Datentyp zu kategorisieren, und Variationsnummern, um festzulegen, wie die Daten innerhalb der Gruppe kodiert werden.
Seite 154 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Variation-Nr. Legt die Variation-Nummer fest. Voraussetzung ist, dass Sie im Feld einen gültigen Gruppen-Nr. Wert festgelegt haben. Das Gerät wendet die Enforcer-Regel ausschließlich auf Datenpakete DNP3 an, die den festgelegten Wert enthalten. Die Funktion DNP3 ermöglicht die Auswahl von Kodierungsformaten für den als Variation-Nummer bekannten Typ von Datenpaketen.
Seite 155 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] single_bit_packed  Die gepackten Einzel-Bit-Werte werden bis zur nächsten Byte-Grenze aufgefüllt, wenn die Anzahl der Werte kein Vielfaches von 8 ist. double_bit_packed  Die gepackten Doppel-Bit-Werte werden bis zur nächsten Byte-Grenze aufgefüllt, wenn die Anzahl der Werte kein Vielfaches von 4 ist.
Seite 156 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Standard-Objektliste Tab. 1: Request-Nachrichten Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code 209-239 1 READ 0x00 READ 0x00 WRITE byte_2 0x00 241-243 1 READ 0x00 245-247 1 READ 0x00 245-247 2...
Seite 157 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code ASSIGN CLASS 0x00 0x01 0x06 0x17 0x28 WRITE single_bit_packed 0x00 0x01 READ 0x00 0x01 0x06 0x17 0x28 READ...
Seite 158 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code DIRECT_OPERATE single_bit_packed 0x00 0x01 DIRECT_OPERATE_NR single_bit_packed 0x00 0x01 READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28...
Seite 159 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x00 0x01 0x06 0x17 0x28 READ 0x00 0x01 0x06 0x17 0x28...
Seite 160 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code IMMEDIATE_FREEZE_NR 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME_NR 0x00 0x01 0x06 0x17 0x28...
Seite 161 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code WRITE 0x00 0x01 0x17 0x28 READ 0x00 0x01 0x06 ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x00 0x01...
Seite 162 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code DIRECT_OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE_NR 0x00 0x01 0x17 0x28 DIRECT_OPERATE_NR 0x00 0x01...
Seite 163 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code OPEN_FILE QC_5B_count_1 0x5B DELETE_FILE QC_5B_count_1 0x5B CLOSE_FILE QC_5B_count_1 0x5B FILE_ABORT QC_5B_count_1 0x5B READ QC_5B_count_1 0x5B WRITE QC_5B_count_1 0x5B...
Seite 164 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code DIRECT_OPERATE QC_5B 0x5B DIRECT_OPERATE_NR QC_5B 0x5B READ 0x06 0x07 0x08 INITIALIZE_APPLICATION QC_5B 0x5B START_APPLICATION QC_5B 0x5B STOP_APPLICATION QC_5B...
Seite 165 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code WRITE variation 0x00 0x01 0x17 0x28 READ 0x00 0x01 0x17 0x28 ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 Tab.
Seite 166 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE double_bit_packed 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE...
Seite 167 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00...
Seite 168 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28...
Seite 169 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01...
Seite 170 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28...
Seite 171 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 RESPONSE 0x00 0x01 RESPONSE 0x00 0x01...
Seite 172 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28...
Seite 173 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x07 RESPONSE 0x00 0x01 0x17...
Seite 174: Dos
Netzsicherheit [ Netzsicherheit > DoS ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x03 0x04 0x05 0x17 0x28 RESPONSE variation 0x00 0x01 0x03 0x04 0x05 0x17...
Seite 175 Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.5.1 DoS-Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. TCP/UDP Scanner nutzen Port-Scans, um Angriffe auf das Netz vorzubreiten. Der Scanner verwendet unter- schiedliche Techniken, um aktive Geräte und offene Ports zu ermitteln.
Seite 176 Netzsicherheit [ Netzsicherheit > DoS > Global ] Mögliche Werte: markiert  Der Filter ist aktiv. (Voreinstellung) unmarkiert  Der Filter ist inaktiv. TCP-Offset-Protection Aktiviert/deaktiviert den TCP-Offset-Schutz. Der TCP-Offset-Schutz erkennt eingehende TCP-Datenpakete, deren Fragment-Offset-Feld des IP-Headers gleich 1 ist und verwirft diese. Der TCP-Offset-Schutz akzeptiert UDP- und ICMP-Pakete mit Fragment-Offset-Feld des IP- Headers gleich 1.
Seite 177 Netzsicherheit [ Netzsicherheit > DoS > Global ] Mögliche Werte: markiert  Der Filter ist aktiv. (Voreinstellung) unmarkiert  Der Filter ist inaktiv. Min. TCP header size Zeigt die minimale Größe eines gültigen TCP-Headers. Dieser Rahmen ermöglicht Ihnen, den Land-Attack-Filter zu aktivieren und zu deaktivieren. Bei der Land-Attack-Methode sendet die angreifende Station Datenpakete, deren Quell- und Zieladresse identisch mit denen des Empfängers ist.
Seite 178: Schaltflächen
Netzsicherheit [ Netzsicherheit > ACL ] Anhand Paket-Größe verwerfen Aktiviert/deaktiviert den Filter für eingehende ICMP-Pakete. Der Filter erkennt ICMP-Pakete, deren Payload-Größe die im Feld Erlaubte Payload-Größe [Byte] festgelegte Größe überschreitet und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung) ...
Seite 179 Netzsicherheit [ Netzsicherheit > ACL ] Vergleich ACLs zu Paketfilter: ACLs filtern den Datenstrom mithilfe von Hardware, demzufolge ist die Bearbeitungsdauer  kürzer. ACLs ermöglichen eine grobe Filterung.  ACLs bearbeiten den Datenstrom vor dem Paketfilter.  ACLs filtern auf Grundlage der IP- oder MAC-Adresse. ...
Seite 180: Acl Ipv4-Regel
Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] 4.6.1 ACL IPv4-Regel [ Netzsicherheit > ACL > IPv4-Regel ] In diesem Dialog legen Sie die Regeln fest, die das Gerät auf IP-Datenpakete anwendet. Eine Access-Control-Liste (Gruppe) enthält eine oder mehrere Regeln. Das Gerät wendet die Regeln einer Access-Control-Liste nacheinander an, zuerst die Regel mit dem kleinsten Wert in Spalte Index.
Seite 181 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] Alle Pakete filtern Legt fest, auf welche IP-Datenpakete das Gerät die Regel anwendet. Mögliche Werte: markiert (Voreinstellung)  Das Gerät wendet die Regel auf jedes IP-Datenpaket an. unmarkiert  Das Gerät wendet die Regel auf IP-Datenpakete in Abhängigkeit vom Wert in den folgenden Feldern an: –...
Seite 182 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] Protokoll Legt den Protokolltyp der IP-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf jedes IP-Datenpaket an, ohne den Protokolltyp zu berücksich- tigen.
Seite 183 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] TOS-Priorität Legt die IP-Precedence (ToS-Wert) im Header der IP-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf jedes IP-Datenpaket an, ohne den ToS-Wert zu berücksich- tigen.
Seite 184 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] Redirection-Port Legt den Port fest, an den das Gerät die IP-Datenpakete vermittelt. Voraussetzung ist, dass Sie in Spalte den Wert festlegen. Aktion permit Mögliche Werte: – (Voreinstellung)  Die Redirection-Port-Funktion ist ausgeschaltet. <Port-Nummer>...
Seite 185 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] Mögliche Werte: (Voreinstellung)  Keine Begrenzung der Datentransferrate. 1..4294967295  Wenn die Datentransferrate auf dem Port den festgelegten Wert überschreitet, verwirft das Gerät überschüssige IP-Datenpakete. Voraussetzung ist, dass Sie in Spalte den Wert Burst size >0 festlegen.
Seite 186 Netzsicherheit [ Netzsicherheit > ACL > IPv4-Regel ] Treffer Zeigt, auf wie viele IP-Datenpakete das Gerät die Regel angewendet hat. Mögliche Werte: 0..18446744073709551615  Timer Zeigt, wann der Wert in Spalte den Maximalwert überschritten hat. Zu diesem Zeitpunkt setzt Treffer das Gerät den Wert in Spalte zurück.
Seite 187: Acl Mac-Regel
Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] 4.6.2 ACL MAC-Regel [ Netzsicherheit > ACL > MAC-Regel ] In diesem Dialog legen Sie die Regeln fest, die das Gerät auf MAC-Datenpakete anwendet. Eine Access-Control-Liste (Gruppe) enthält eine oder mehrere Regeln. Das Gerät wendet die Regeln einer Access-Control-Liste nacheinander an, zuerst die Regel mit dem kleinsten Wert in Spalte Index.
Seite 188 Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] Alle Pakete filtern Legt fest, auf welche MAC-Datenpakete das Gerät die Regel anwendet. Mögliche Werte: markiert (Voreinstellung)  Das Gerät wendet die Regel auf jedes MAC-Datenpaket an. Das Gerät ignoriert den Wert in den Feldern Quell-MAC-Adresse,Ziel-MAC-Adresse, Ethertype, und COS.
Seite 189 Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] Ethertype Legt das Ethertype-Schlüsselwort der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: custom (Voreinstellung)  Das Gerät wendet den in Spalte festgelegten Wert an. Benutzerspezifischer Ethertype-Wert appletalk  ...
Seite 190 Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] Legt den Class-of-Service-Wert (COS) der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: 0..7  (Voreinstellung)  Das Gerät wendet die Regel auf jedes MAC-Datenpaket an, ohne den Class-of-Service-Wert zu berücksichtigen.
Seite 191 Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] Zugewiesene Queue-ID Legt die Warteschlangen-ID fest, der das Gerät die MAC-Datenpakete zuweist. Mögliche Werte: 0..7 (Voreinstellung: 0)  Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log.
Seite 192 Netzsicherheit [ Netzsicherheit > ACL > MAC-Regel ] Burst size Legt das Limit in KByte fest für das Datenvolumen während temporärer Bursts. Mögliche Werte: (Voreinstellung)  Keine Begrenzung des Datenvolumens. 1..128  Wenn das Datenvolumen während temporärer Bursts auf dem Port den festgelegten Wert über- schreitet, verwirft das Gerät überschüssige MAC-Datenpakete.
Seite 193: Acl Zuweisung
Netzsicherheit [ Netzsicherheit > ACL > Zuweisung ] 4.6.3 ACL Zuweisung [ Netzsicherheit > ACL > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Ports und VLANs des Geräts eine oder mehrere Access- Control-Listen zuzuweisen. Mit dem Zuweisen einer Priorität legen Sie die Reihenfolge der Abar- beitung fest, sofern Sie einem Port oder VLAN mehrere Access-Control-Listen zugewiesen haben.
Seite 194 Netzsicherheit [ Netzsicherheit > ACL > Zuweisung ] Port Zeigt den Port, dem die Access-Control-Liste zugewiesen ist. Das Feld bleibt leer, wenn die Access-Control-Liste einem VLAN zugewiesen ist. VLAN-ID Zeigt das VLAN, dem die Access-Control-Liste zugewiesen ist. Das Feld bleibt leer, wenn die Access-Control-Liste einem Port zugewiesen ist.
Seite 195 Netzsicherheit 4.6.3 ACL Zuweisung RM GUI EAGLE Release 03.5 08/2020...
Seite 196: Virtuelles Privates Netz
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] 5 Virtuelles Privates Netz Das Menü enthält die folgenden Dialoge: VPN Übersicht  VPN Zertifikate  VPN Verbindungen  VPN Übersicht [ Virtuelles Privates Netz > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 197: Verbindung
Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter festgelegte Menge ein. Max. Aktive Verbindungen Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 198 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung.
Seite 199 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] Verbindung hergestellt [s] Zeigt den Zeitraum in Sekunden, nach dem das Gerät den VPN-Tunnel für dieses Gerät aufgebaut hat. Das Gerät aktualisiert den Wert nach jeder erneuten IKE-Authentifizierung. Lokaler Host Zeigt den Namen und/oder die IP-Adresse des lokalen Hosts, den das Gerät mittels IKE erkannt hat.
Seite 200 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] [Diagnose] Tabelle VPN index Zeigt den Zeilenindex für die eindeutige Kennung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. VPN active Zeigt, ob der VPN-Tunnel aktiv/inaktiv ist. Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert.
Seite 201 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] negotiation  Wenn Sie den VPN-Tunnel für diese Instanz als den Initiator festlegen, gibt der Wert an, dass der Schlüsselaustausch und der Verhandlungsalgorithmus laufen. Wenn der VPN-Tunnel für diese Instanz als „Responder“ (Antwortende) fungiert, dann gibt der Wert an, dass der VPN- Tunnel auf den Beginn des Prozesses wartet.
Seite 202 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] IKE Neu-Authentifizierung [s] Zeigt die verbleibende Zeit bis zur nächsten IKE-Neuauthentifizierung in Sekunden. Der Wert 0 gibt an, dass die Neuauthentifizierung nicht konfiguriert ist. Nächstes IKE Re-Keying [s] Zeigt die verbleibende Zeit bis zur nächsten IKE-Schlüssel-Erzeugung in Sekunden. Der Wert 0 gibt an, dass die Schlüssel-Erzeugung nicht konfiguriert ist.
Seite 203 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] re-keying  Der Schlüsselaustausch für diesen IPsec-SA wird ausgeführt. Das Gerät zeigt den Wert nach Ablauf des IPsec Lifetime-Timers. re-keyed  Der Schlüsselaustausch für diesen IPsec-SA ist abgeschlossen und das Gerät erzeugt einen neuen Tunnel.
Seite 204 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] IPsec input SPI Zeigt den IPsec-Security-Parameter-Index (SPI), den das Gerät auf die Daten anwendet, die das Gerät aus dem VPN-Tunnel empfängt. Der SPI ermöglicht dem Gerät die Auswahl der SA, mit der das Gerät ein empfangenes Paket verarbeitet.
Seite 205 Virtuelles Privates Netz [ Virtuelles Privates Netz > Übersicht ] [Verbindungsfehler] Tabelle VPN index Zeigt den Zeilenindex für die eindeutige Kennung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. VPN active Zeigt, ob der VPN-Tunnel aktiv/inaktiv ist. Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert.
Seite 206: Vpn Zertifikate
Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] VPN Zertifikate [ Virtuelles Privates Netz > Zertifikate ] Eine Zertifizierungsstelle (CA) stellt Zertifikate zur Authentifizierung der Identität von Geräten aus, die einen VPN-Tunnel anfordern. Sie konfigurieren die Geräte, die einen VPN-Tunnel bilden, dahingehend, dass sie die CA, welche das Zertifikat signiert hat, als vertrauenswürdig einstufen.
Seite 207 Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Aussteller Zeigt den Aussteller des Zertifikats. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Gültig ab Zeigt Beginndatum und -uhrzeit für das Zertifikat. Mögliche Werte: Datums- und Zeitstempel ...
Seite 208 Virtuelles Privates Netz [ Virtuelles Privates Netz > Zertifikate ] Hochgeladen am Zeigt Datum und die Uhrzeit des letzten Zertifikat-Uploads. Mögliche Werte: Datums- und Zeitstempel  Private key status Zeigt den Status des privaten Schlüssels im Peer-Zertifikat. Ein Peer-Zertifikat ist nicht verwendbar ohne einen privaten Schlüssel.
Seite 209: Vpn Verbindungen
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] VPN Verbindungen [ Virtuelles Privates Netz > Verbindungen ] Dieser Dialog ermöglicht Ihnen das Anlegen, Löschen und Bearbeiten von VPN-Tunneln. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM).
Seite 210 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: markiert  Der Tabelleneintrag ist aktiv. Das Gerät filtert ausschließlich bei aktiviertem Tabelleneintrag den Datenstrom auf der Grund- lage der im Traffic-Selektor festgelegten Parameter. unmarkiert (Voreinstellung)  Der Tabelleneintrag ist inaktiv. Das Gerät ermöglicht Ihnen ausschließlich bei inaktivem Tabelleneintrag, die Parameter zu bearbeiten.
Seite 211 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Ziel-Adresse (CIDR) Legt IP-Adresse und Netzmaske des Ziels fest. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, die diese IP-Zieladresse enthalten, wendet das Gerät die in dieser Zeile festgelegten Einstellungen an. Außerdem wendet das Gerät für jedes weitergeleitete IP-Paket mit dieser Adresse die zugehörigen IPsec- und IKE-SA-Einstellungen an.
Seite 212 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: initiator  Wenn Sie festlegen, dass das Gerät als Initiator startet, dann beginnt das Gerät einen IKE mit dem Responder. responder  Wenn Sie festlegen, dass das Gerät als Responder startet, dann wartet das Gerät darauf, dass der Initiator einen IKE und die Aushandlung der Parameter beginnt.
Seite 213 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] individualx509  Wählen Sie diesen Wert aus, damit das Gerät ein X509-Zertifikat verwendet. Verwenden Sie ein separates Zertifikat für CA und die lokale Identifikation. pkcs12  Damit das Gerät einen PKCS12-Container mit den erforderlichen Zertifikaten verwendet, der auch die CA einschließt, wählen Sie diesen Wert aus.
Seite 214 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  IKE Auth. Zert. Extern Legt den Dateinamen des Zertifikats fest, welches das entfernte Gerät verwendet. Das Gerät verwendet dieses Zertifikat zur Authentifizierung des entfernten Peers auf der lokalen Seite. Dieses Zertifikat verknüpft die Identität des entfernten Peers mit dem festgelegten öffentlichen Schlüssel.
Seite 215 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] address  Verwenden Sie die lokale IP-Adresse oder den DNS-Namen aus Spalte Lokaler Endpunkt local  Das Gerät identifiziert den in Spalte festgelegten Wert als einen der folgenden IKE local ID Typen: –...
Seite 216 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] – eine E-Mail-Adresse – Den in Spalte enthaltenen ASN.1 X.500 Distinguished Name (DN). Die IKE Auth. Zert. Extern lokalen und entfernten Geräte tauschen ihre Zertifikate aus, um die SA aufzubauen. Remote-ID Legt die Kennung für den entfernten Peer fest, die das Gerät während Phase-1-Verhandlungen mit dem Wert für die ID-Nutzlast vergleicht.
Seite 217 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen. hmacmd5 ...
Seite 218 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Gültige IPv4-Adresse und Netzmaske  Hostname  Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen Wenn Sie einen Hostnamen festlegen, dann stellt das Gerät den VPN-Tunnel zurück, bis das Gerät eine IP-Adresse für den Hostnamen empfängt. Ferner Endpunkt Legt den Hostnamen oder die IP-Adresse des entfernten Sicherheits-Gateways fest.
Seite 219 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] modp3072  Der Wert stellt einen RSA mit 3072-Bit-Modulus dar, der zur Diffie-Hellman-Gruppe 15 gehört. modp4096  Der Wert stellt einen RSA mit 4096-Bit-Modulus dar, der zur Diffie-Hellman-Gruppe 16 gehört. none ...
Seite 220 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] aes128 (Voreinstellung)  Das Gerät verwendet AES (Advanced Encryption Standard) mit einer Blockgröße von 128 Bits und einer Schlüssellänge von 128 Schlüssel-Bits. aes192  Das Gerät verwendet AES mit einer Blockgröße von 128 Bits und einer Schlüssellänge von 192 Schlüssel-Bits.
Seite 221: Schaltflächen
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Log informational entries Aktiviert/deaktiviert Protokolleinträge ausschließlich für die Fehlersuche. Mögliche Werte: markiert  Das Gerät empfängt und verarbeitet die Informationsnachrichten für diesen VPN-Tunnel und trägt die Nachricht in das Ereignisprotokoll ein. (Voreinstellung) unmarkiert ...
Seite 222 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] [VPN-Konfiguration (Wizard) – Create or select entry] Create or select entry – Tabelle VPN index Zeigt den Zeilenindex für die eindeutige Kennung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat.
Seite 223 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Aushandlung der Parameter.
Seite 224 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] VPN Beschreibung Legt die benutzerdefinierte Beschreibung für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  [VPN-Konfiguration (Wizard) – Authentifizierung] Authentifizierungs-Typ Authentifizierungs-Typ Legt den Authentifizierungstyp fest, den das Gerät verwendet. Mögliche Werte: (Voreinstellung) ...
Seite 225: Zertifikat
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Bestätigen Legen Sie zur Bestätigung denselben Schlüssel fest, den Sie in im Feld festgelegt Pre-shared key haben. Wenn der Schlüssel vom zuvor in das Feld eingetragenen Schlüssel Pre-shared key abweicht, dann bleibt die Schaltfläche Weiter grau.
Seite 226 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Voraussetzung für das Aktivieren der Schaltfläche Choose... ist, dass Sie in der Dropdown-Liste den Eintrag auswählen. Authentifizierungs-Typ individualx509 Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Certificate Authority Zeigt den Namen der Zertifizierungsstelle, die das Zertifikat ausstellt hat. Das Gerät verwendet dieses Zertifikat zur Zertifizierung der Signatur der lokalen und entfernten Zertifikate.
Seite 227 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: markiert (Voreinstellung)  Aktiviert die Felder und Bestätigen, wodurch Sie die Möglichkeit Pass Phrase (Private Key) erhalten, eine neue Passphrase einzugeben und zu bestätigen. unmarkiert  Die Felder sind inaktiv.
Seite 228 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Add traffic selector Traffic selector index Zeigt den Traffic-Selektor-Index des VPN-Tunnels. Das Gerät ermöglicht Ihnen, eine verfügbare Nummer innerhalb des angegebenen Bereiches festzulegen. Mögliche Werte: 1..16  Beschreibung Traffic-Selector Zeigt die benutzerdefinierte Beschreibung für den Traffic-Selektor. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen ...
Seite 229 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Ziel-Adresse (CIDR) Zeigt IP-Adresse und Netzmaske des Ziels. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, die diese IP-Zieladresse enthalten, wendet das Gerät die in dieser Zeile festgelegten Einstellungen an. Außerdem wendet das Gerät für jedes weitergeleitete IP-Paket mit dieser Adresse die zugehörigen IPsec- und IKE-SA-Einstellungen an.
Seite 230: Allgemein
Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Im Feld Ziel-Adresse (CIDR) legen Sie die IP-Adresse des Ziels fest.  Mögliche Werte: – Gültige IPv4-Adresse und Netzmaske in CIDR-Notation Im Feld legen Sie optionale Einschränkungen für die Quelle fest. Ziel-Einschränkungen ...
Seite 231 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: initiator  Wenn Sie festlegen, dass das Gerät als Initiator startet, dann beginnt das Gerät einen IKE mit dem Responder. responder  Wenn Sie festlegen, dass das Gerät als Responder startet, dann wartet das Gerät darauf, dass der Initiator einen IKE und die Aushandlung der Parameter beginnt.
Seite 232 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] – eine E-Mail-Adresse – Typischer X.500 Distinguished Name Ferner Identifier-Typ Legt den Typ der entfernten Peer-Kennung fest, die das Gerät für den Parameter Remote-IDver- wendet. Mögliche Werte: (Voreinstellung)  Das Gerät erwartet, dass keine der empfangenen entfernten Kennungen verifiziert ist. address ...
Seite 233 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. IKE key agreement Legt den Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung fest, den das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet.
Seite 234 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] IKE encryption Legt den IKE-Verschlüsselungsalgorithmus fest, den das Gerät verwendet. Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 235 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] IPSec/Data-exchange IPsec key agreement Legt den Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung fest, den das Gerät zur Ermittlung des IPsec-SA-Sitzungsschlüssels verwendet. Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 236 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] hmacsha1 (Voreinstellung)  Das Gerät verwendet den Secure Hash Algorithm Version 1 (SHA-1) zur Berechnung der Hash- Funktion. hmacsha256  Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet.
Seite 237 Virtuelles Privates Netz [ Virtuelles Privates Netz > Verbindungen ] aes256gcm96  AES-GCM mit einem 96-Bit-ICV und 256 Schlüssel-Bits. aes256gcm128  AES-GCM mit einem 128-Bit-ICV und 256 Schlüssel-Bits. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zurück Zeigt die vorherige Seite an.
Seite 238: Switching
Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global  Lastbegrenzer  Filter für MAC-Adressen  QoS/Priorität  VLAN  Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: Aging-Time der Adresstabelle ändern ...
Seite 239 Switching [ Switching > Global ] Die Adresstabelle finden Sie im Dialog Switching > Filter für MAC-Adressen. Im Zusammenhang mit der Router-Redundanz wählen Sie eine Zeit ≥ 30 s. Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert  Die Flusskontrolle ist im Gerät aktiviert. Aktivieren Sie die Flusskontrolle zusätzlich auf den erforderlichen Ports.
Seite 240: Lastbegrenzer
Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, den Datenverkehr an den Ports zu begrenzen, um auch bei hohem Datenverkehr einen stabilen Betrieb zu ermöglichen. Wenn der Verkehr an einem Port den einge- gebenen Grenzwert überschreitet, dann verwirft das Gerät die Überlast auf diesem Port.
Seite 241 Switching [ Switching > Lastbegrenzer ] Broadcast-Grenzwert Legt den Grenzwert für empfangene Broadcasts auf diesem Port fest. Mögliche Werte: 0..14880000 (Voreinstellung: 0)  Der Wert deaktiviert die Lastbegrenzerfunktion auf diesem Port. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Grenzwert Einheit Prozent ...
Seite 242 Switching [ Switching > Lastbegrenzer ] Wenn Sie in Spalte Grenzwert Einheit den Wert Prozent auswählen, dann geben Sie einen  Prozentwert zwischen 0 und 100 ein. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Abso- Grenzwert Einheit ...
Seite 243: Filter Für Mac-Adressen
Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die Adresstabelle anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 244: Qos/Priorität
Switching [ Switching > QoS/Priorität ] learned  Der Port vermittelt Datenpakete an die Zieladresse. Das Gerät hat den Filter anhand empfan- gener Datenpakete automatisch eingerichtet. unicast static  Der Port vermittelt Datenpakete an die Zieladresse. Ein Benutzer hat den Filter erzeugt. multicast static ...
Seite 245 Switching [ Switching > QoS/Priorität ] Das Gerät bietet Ihnen folgende Einstellmöglichkeiten: Für eingehende Datenpakete legen Sie fest, wie das Gerät die QoS-/Priorisierungs-Information  auswertet. Für ausgehende Datenpakete legen Sie fest, welche QoS-/Priorisierungs-Information das Gerät  in das Datenpaket schreibt (zum Beispiel Priorität für Management-Pakete, Portpriorität). Anmerkung: Wenn Sie die Funktionen in diesem Menü...
Seite 246: Qos/Priorität Global
Switching [ Switching > QoS/Priorität > Global ] 6.4.1 QoS/Priorität Global [ Switching > QoS/Priorität > Global ] Das Gerät ermöglicht Ihnen, auch in Situationen mit großer Netzlast Zugriff auf das Management des Geräts zu behalten. In diesem Dialog legen Sie die dazu notwendigen QoS-/Priorisierungsein- stellungen fest.
Seite 247: Qos/Priorität Port-Konfiguration
Switching [ Switching > QoS/Priorität > Port-Konfiguration ] 6.4.2 QoS/Priorität Port-Konfiguration [ Switching > QoS/Priorität > Port-Konfiguration ] In diesem Dialog legen Sie für jeden Port fest, wie das Gerät empfangene Datenpakete anhand ihrer QoS-/Prioritätsinformation verarbeitet. Tabelle Port Zeigt die Nummer des Ports. Port-Priorität Legt fest, welche VLAN-Prioritätsinformation das Gerät in ein Datenpaket schreibt, wenn das Datenpaket keine Prioritätsinformation enthält.
Seite 248: D/P Zuweisung
Switching [ Switching > QoS/Priorität > 802.1D/p Zuweisung ] 6.4.3 802.1D/p Zuweisung [ Switching > QoS/Priorität > 802.1D/p Zuweisung ] Das Gerät vermittelt Datenpakete mit VLAN-Tag anhand der enthaltenen QoS-/Priorisierungsinfor- mation mit hoher oder mit niedriger Priorität. In diesem Dialog sehen Sie, welche VLAN-Priorität welcher Verkehrsklasse zugewiesen ist. Die Verkehrsklassen sind den Warteschlangen der Ports (Prioritäts-Queues) fest zugewiesen.
Seite 249: Vlan
Switching [ Switching > VLAN ] VLAN-Priorität Traffic Class Inhaltskennzeichnung gemäß IEEE 802.1D Video Bildübertragung mit Verzögerungen und Jitter < 100 ms Voice Sprachübertragung mit Verzögerungen und Jitter < 10 ms Network Control Daten für Netzmanagement und Redundanzmechanismen VLAN [ Switching > VLAN ] Mit VLAN (Virtual Local Area Network) verteilen Sie den Datenverkehr im physischen Netz auf logi- sche Teilnetze.
Seite 250: Vlan Global
Switching [ Switching > VLAN > Global ] 6.5.1 VLAN Global [ Switching > VLAN > Global ] Dieser Dialog ermöglicht Ihnen, sich allgemeine VLAN-Parameter des Geräts anzusehen. Konfiguration Größte VLAN-ID Größtmögliche ID, die Sie einem VLAN zuweisen können. Siehe Dialog Switching >...
Seite 251: Vlan Konfiguration
Switching [ Switching > VLAN > Konfiguration ] 6.5.2 VLAN Konfiguration [ Switching > VLAN > Konfiguration ] In diesem Dialog verwalten Sie die VLANs. Um ein VLAN einzurichten, erzeugen Sie in der Tabelle eine weitere Zeile. Dort legen Sie für jeden Port fest, ob er Datenpakete des betreffenden VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten.
Seite 252 Switching [ Switching > VLAN > Konfiguration ] Name Legt die Bezeichnung des VLANs fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  <Port-Nummer> Legt fest, ob der betreffende Port Datenpakete des VLANs vermittelt und ob die Datenpakete eine VLAN-Markierung enthalten. Mögliche Werte: (Voreinstellung) ...
Seite 253: Vlan Port
Switching [ Switching > VLAN > Port ] 6.5.3 VLAN Port [ Switching > VLAN > Port ] In diesem Dialog legen Sie fest, wie das Gerät empfangene Datenpakete behandelt, die kein VLAN-Tag haben oder deren VLAN-Tag von der VLAN-ID des Ports abweicht. Dieser Dialog ermöglicht Ihnen, den Ports ein VLAN zuzuweisen und damit die Port-VLAN-ID fest- zulegen.
Seite 254 Switching [ Switching > VLAN > Port ] Ingress-Filtering Aktiviert/deaktiviert die Eingangsfilterung. Mögliche Werte: markiert (Voreinstellung)  Die Eingangsfilterung ist aktiv. Das Gerät vergleicht die im Datenpaket enthaltene VLAN-ID mit den VLANs, in denen der Port Mitglied ist. Siehe Dialog Konfiguration.
Seite 255 Switching 6.5.3 VLAN Port RM GUI EAGLE Release 03.5 08/2020...
Seite 256: Wan (Hardwareabhängig)
WAN (hardwareabhängig) [ WAN > SHDSL/EFM ] 7 WAN (hardwareabhängig) Das Menü enthält die folgenden Dialoge: SHDSL/EFM (hardwareabhängig)  SHDSL/EFM (hardwareabhängig) [ WAN > SHDSL/EFM ] Single-Pair Highspeed Digital Subscriber Line (SHDSL) ermöglicht die Datenübertragung über Kupfer-Doppeladern mit symmetrischem Up- und Downstream. Das Gerät unterstützt ausschließlich das EFM-Interface von SHDSL (2BASE-TL).
Seite 257 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Konfiguration ] 7.1.1 SHDSL/EFM Konfiguration (hardwareabhängig) [ WAN > SHDSL/EFM > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen der SHDSL-Ports einzurichten. Anmerkung: Verwenden Sie die SHDSL-Ports ausschließlich dazu, um 2 EAGLE-Geräte mitein- ander zu verbinden.
Seite 258 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Konfiguration ] Tabelle Tab. 3: Profile mit Einstellungen Profile Min data rate Max data rate Power Region Constellation Standard/ (kbit/s) (kbit/s) (dBm) Custom 5696 5696 13.5 North America 32-TCPAM Standard (Annex A sec. A.4.1) 3072 3072 13.5...
Seite 259 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Konfiguration ] Betriebsart Legt die Betriebsart fest, die das Gerät auf der Doppelader anwendet. Ändern Sie die Betriebsart ausschließlich dann, wenn keine Verbindung über den Port aufgebaut ist. Verwenden Sie für die 2 Doppeladern eines Ports dieselbe Betriebsart. Mögliche Werte: ieee2BaseTLO ...
Seite 260: Shdsl/Efm Statistiken (Hardwareabhängig)
WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] 7.1.2 SHDSL/EFM Statistiken (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] Dieser Dialog zeigt Information zu den Verbindungs-Parametern. • PAF (PME Aggregation Function) zeigt die Parameter der zu einer Verbindung aggregierten Doppeladern eines SHDSL-Ports.
Seite 261 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] subscriber  Der Port arbeitet in der Betriebsart „Remote“. unknown  Den Doppeladern ist keine Betriebsart zugewiesen. oder Den Doppeladern sind die Betriebsarten widersprüchlich zugewiesen. Siehe Dialog WAN > SHDSL/EFM > Konfiguration, Spalte Betriebsart.
Seite 262 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] [PME] Diese Registerkarte zeigt die Verbindungs-Parameter der einzelnen Doppeladern. Tabelle Port Zeigt die Nummer des Ports, zu dem die Doppelader gehört. PME oper status Zeigt den gegenwärtigen Betriebsstatus der Doppelader. Mögliche Werte: ...
Seite 263 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] Oper profile Zeigt das SHDSL-Profil, das das Gerät auf der Doppelader anwendet. Mögliche Werte: 1..20  Ein Profil mit speziellen Einstellungen für Datenrate, Annex und Modulationstyp ist zugewiesen.  Die Verbindung wird initialisiert. oder Das Gerät arbeitet in der Betriebsart „Remote“...
Seite 264 WAN (hardwareabhängig) [ WAN > SHDSL/EFM > Statistiken ] Leitungsdämpfung Remote [dB] Gegenwärtig unterstützt das Gerät diese Funktion nicht. TC coding errors Zeigt, wie viele 64/65-Octet-Encapsulation-Fehler das Gerät im empfangenen Datenstrom erkannt hat. TC CRC errors Zeigt, wie viele CRC-Fehler das Gerät im empfangenen Datenstrom erkannt hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 265 WAN (hardwareabhängig) 7.1.2 SHDSL/EFM Statistiken (hardwareabhängig) RM GUI EAGLE Release 03.5 08/2020...
Seite 266: Routing
Routing [ Routing > Global ] 8 Routing Das Menü enthält die folgenden Dialoge: Routing Global  Routing-Interfaces   Open Shortest Path First  Routing-Tabelle  Tracking  L3-Relay  Loopback-Interface  L3-Redundanz   Routing Global [ Routing > Global ] Das Menü...
Seite 267 Routing [ Routing > Global ] ICMP-Filter Im Rahmen haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den ICMP-Filter eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von „ICMP error message“-Nachrichten belastet die Leistung des Routers und reduziert die verfügbare Bandbreite im Netz.
Seite 268: Routing-Interfaces
Routing [ Routing > Interfaces ] Mögliche Werte: 0..2147483647 (Voreinstellung: 1000)  Rate limit burst size Zeigt die maximale Anzahl von ICMP-Datenpaketen, die das Gerät während eines Bursts an jeden Empfänger sendet. Mögliche Werte:  Information Default TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet.
Seite 269: Routing-Interfaces Konfiguration
Routing [ Routing > Interfaces > Konfiguration ] 8.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein portbasiertes Router-Interface einzurichten, bearbeiten Sie die Einträge in der Tabelle. Um ein VLAN-basiertes Router-Interfaces einzurichten, verwenden Sie das Wizard-Fenster.
Seite 270 Routing [ Routing > Interfaces > Konfiguration ] IP-Adresse Legt die IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: •...
Seite 271 Routing [ Routing > Interfaces > Konfiguration ] MTU-Wert Legt die maximal zulässige Größe der IP-Pakete auf dem Router-Interface in Byte fest. Mögliche Werte:  Stellt den voreingestellten Wert (1500) wieder her. 68..1500 (Voreinstellung: 1500)  Voraussetzung ist, dass Sie auf den Ports, die zum Router-Interface gehören, die zulässige Größe der Ethernet-Pakete um mindestens 18 Byte größer als hier festlegen.
Seite 272: Bereich Unter Der Tabelle
Routing [ Routing > Interfaces > Konfiguration ] [VLAN-Router-Interface einrichten (Wizard) – VLAN erstellen oder auswählen] Tabelle VLAN-ID Zeigt die ID der im Gerät eingerichteten VLANs. Name Zeigt den Namen der im Gerät eingerichteten VLANs. Bereich unter der Tabelle VLAN-ID Legt die ID eines VLANs fest, das das Wizard-Fenster für Sie festlegt.
Seite 273 Routing [ Routing > Interfaces > Konfiguration ] Tabelle Port Zeigt die Nummer des Ports. Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog für den Port festgelegte Einstellung. Switching >...
Seite 274 Routing [ Routing > Interfaces > Konfiguration ] Port-VLAN-ID Legt die ID des VLANs fest, die das Gerät Datenpaketen ohne eigenes VLAN-Tag zuweist. Diese Einstellung überschreibt die für den Port im Dialog Port, Spalte fest- Switching > VLAN > Port-VLAN-ID gelegte Einstellung.
Seite 275 Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) ...
Seite 276: Routing-Interfaces Sekundäre Interface-Adressen
Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 8.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Seite 277: Arp
Routing [ Routing > ARP ] Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: • Management-Port • Router-Interface • Loopback-Interface [ Routing > ARP ] Das Address Resolution Protocol(ARP) lernt zu einer IP-Adresse die zugehörige MAC-Adresse.
Seite 278 Routing [ Routing > ARP > Global ] 8.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 279 Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Wenn Sie die ARP-Tabelle zurücksetzen, wird der Zähler auf den Wert zurückgesetzt.
Seite 280: Arp Aktuell
Routing [ Routing > ARP > Aktuell ] 8.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Port Zeigt das Router-Interface, an dem das Gerät die IP/MAC-Adresszuweisung gelernt hat. IP-Adresse Zeigt die IP-Adresse des Geräts, das auf eine ARP-Anfrage auf diesem Router-Interface geant- wortet hat.
Seite 281 Routing [ Routing > ARP > Aktuell ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite ARP-Tabelle zurücksetzen Entfernt aus der ARP-Tabelle die dynamisch eingerichteten Adressen. RM GUI EAGLE Release 03.5 08/2020...
Seite 282: Arp Statisch
Routing [ Routing > ARP > Statisch ] 8.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle IP-Adresse Zeigt die IP-Adresse, die das Gerät der nebenstehenden MAC-Adresse zuweist. MAC-Adresse Zeigt die MAC-Adresse, die das Gerät der nebenstehenden IP-Adresse zuweist.
Seite 283: Open Shortest Path First
Routing [ Routing > OSPF ] [ARP (Wizard)] Das Wizard-Fenster ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP- Tabelle einzufügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. [ARP (Wizard) – ARP-Tabelle bearbeiten] Führen Sie die folgenden Schritte aus: Legen Sie in den Feldern unter der Tabelle die IP-Adresse und die zugehörige MAC-Adresse ...
Seite 284 Routing [ Routing > OSPF ] Die OSPF-Konvergenz des gesamten Netzes ist langsam. Nach der Implementierung reagiert das Protokoll jedoch rasch auf Änderungen der Topologie. Die Konvergenzzeit von OSPF beträgt je nach Größe des Netzes 5 bis 15 Sekunden. OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des gesamten Netzes (OSPF-Domäne).
Seite 285: Ospf Global
Routing [ Routing > OSPF > Global ] 8.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein]  [Konfiguration]  [Redistribution]  [Allgemein] Diese Registerkarte ermöglicht Ihnen, OSPF im Gerät einzuschalten und die Netzparameter fest- zulegen.
Seite 286 Routing [ Routing > OSPF > Global ] Konfiguration Router-ID Legt die eindeutige Kennung für den Router im autonomen System (AS) fest. Es beeinflusst die Wahl der Designated Router (DR) und der Backup Designated Router (BDR). Verwenden Sie idea- lerweise die IP -Adresse eines Router-Interfaces im Gerät. Mögliche Werte: (Voreinstellung: 0.0.0.0) <IP-Adresse eines Interfaces>...
Seite 287 Routing [ Routing > OSPF > Global ] Standard-Metrik Legt den voreingestellten Metrik-Wert für OSPF fest. Mögliche Werte: (Voreinstellung)  OSPF weist aus externen Routen gelernten Quellen (statisch oder direkt verbunden) automa- tisch Kosten von 20 zu. 1..16777214  Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderungen an den OSPF-Parametern erkennt.
Seite 288 Routing [ Routing > OSPF > Global ] Information ASBR status Zeigt, ob das Gerät als Autonomous System Boundary Router (ASBR) arbeitet. Mögliche Werte: markiert  Der Router ist ein ASBR. unmarkiert  Der Router funktioniert in einer anderen Rolle als in der Rolle eines ASBR. ABR status Zeigt, ob das Gerät als Area Border Router (ABR) arbeitet.
Seite 289: Rfc 1583 Kompatibilität
Routing [ Routing > OSPF > Global ] RFC 1583 Kompatibilität Die Network Working Group entwickelt und verbessert die OSPF-Funktion stetig weiter und fügt Parameter hinzu. Dieser Router stellt Parameter gemäß RFC 2328 bereit. Über die Parameter in diesem Dialog stellen Sie die Kompatibilität des Routers mit gemäß RFC 1583 entwickelten Routern her.
Seite 290 Routing [ Routing > OSPF > Global ] Präferenz (intra) Legt die „Administrative Distanz“ zwischen Routern innerhalb derselben Area (Intra-Area-OSPF- Routen) fest. Mögliche Werte: 1..255 (Voreinstellung: 110)  Präferenz (inter) Legt die „Administrative Distanz“ zwischen Routern in unterschiedlichen Areas (Inter-Area-OSPF- Routen) fest.
Seite 291 Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert  Der Router meldet stets die Default-Route 0.0.0.0/0. (Voreinstellung) unmarkiert  Das Gerät verwendet die im Parameter festgelegten Einstellungen. Advertise Metrik Legt die Metrik der Default-Route fest, die OSPF meldet, wenn diese von anderen Protokollen gelernt wurde.
Seite 292 Routing [ Routing > OSPF > Global ] Tabelle Quelle Zeigt das Quellprotokoll, aus dem OSPF die Routen neu verteilt. Dieses Objekt dient außerdem als Bezeichner für den Tabelleneintrag. Das Aktivieren einer Zeile ermöglicht dem Gerät, Routen aus dem betreffenden Quellprotokoll in OSPF weiterzuverteilen.
Seite 293 Routing [ Routing > OSPF > Global ] Mögliche Werte: 0..4294967295 (Voreinstellung: 0)  Subnetze Aktiviert/deaktiviert die Routen-Neuverteilung für Subnetze in OSPF. OSPF verteilt ausschließlich Netzklassen in die OSPF-Domäne um. Um die Subnetz-Routen in OSPF neu zu verteilen, aktivieren Sie den Subnetz-Parameter. Mögliche Werte: markiert (Voreinstellung)
Seite 294: Ospf Areas
Routing [ Routing > OSPF > Areas ] 8.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 295 Routing [ Routing > OSPF > Areas ] SPF runs Zeigt, wie oft der Router die Intra-Area-Routing-Tabelle berechnet hat, die die Link-Status-Daten- bank dieser Area verwendet. Der Router verwendet den Dijkstra-Algorithmus für die Routen- Berechnung. Area-Border-Router Zeigt die Gesamtzahl der ABR, die innerhalb dieser Area erreichbar sind. Die Anzahl der erreich- baren Router ist initial auf 0 eingestellt.
Seite 296: Ospf Stub Areas
Routing [ Routing > OSPF > Stub Areas ] 8.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 297 Routing [ Routing > OSPF > Stub Areas ] Totally stub Aktiviert/deaktiviert den Import von Summary-LSAs in die Stub-Areas. Mögliche Werte: markiert  Der Router importiert keine Area-Summarys. Die Stub-Area basiert vollständig auf der Default- Route. Dadurch wird die Default-Route zu einer Totally-Stubby-Area. (Voreinstellung) unmarkiert ...
Seite 298: Ospf Not So Stubby Areas
Routing [ Routing > OSPF > NSSA ] 8.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type-7-AS-External-LSAs in Type-5-AS-External-LSAs umwandelt.
Seite 299 Routing [ Routing > OSPF > NSSA ] Standard-Metrik Legt die im Type-7-Default-LSA gemeldete Metrik fest. Mögliche Werte: 1..16777214 (Voreinstellung: 10)  Standard-Metrik-Typ Legt den im Type-7-Default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric  Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 300 Routing [ Routing > OSPF > NSSA ] Translator-Stability-Intervall [s] Legt die Anzahl von Sekunden fest, in denen der Router die Übersetzung von Type-7-LSAs in Type-5-LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: 0..65535 (Voreinstellung: 40)  Translator events Zeigt die Anzahl von Übersetzer-Statusänderungen seit dem letzten Start.
Seite 301: Ospf Interfaces
Routing [ Routing > OSPF > Interfaces ] 8.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 302 Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router. Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router- ID.
Seite 303 Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: 1..65535 (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: (Voreinstellung) down...
Seite 304 Routing [ Routing > OSPF > Interfaces ] Designated router Zeigt die IP-Adresse des Designated Routers. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Backup designated router Zeigt die IP-Adresse des Backup Designated Routers. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Ereignisse Zeigt, wie oft dieses OSPF-Interface seinen Zustand ändert oder wie oft der Router einen Fehler erkannt hat.
Seite 305 Routing [ Routing > OSPF > Interfaces ] simple  Der Router verwendet Klartext-Authentifizierung. In diesem Fall übermitteln Router die Pass- wörter als Klartext.  Der Router verwendet die MD5-Authentifizierung über den Message-Digest-Algorithmus. Dieser Authentifizierungstyp unterstützt Sie dabei, Ihr Netz sicherer zu machen. Auth key Legt den Authentifizierungsschlüssel fest.
Seite 306 Routing [ Routing > OSPF > Interfaces ] Calculated cost Zeigt den Metrik-Wert, den OSPF gegenwärtig für dieses Interface verwendet. MTU ignorieren Aktiviert/deaktiviert die IP-MTU-Mismatch-Erkennung (MTU: Maximum Transmission Unit) an diesem OSPF-Interface. Mögliche Werte: markiert  Deaktiviert die IP-MTU-Prüfung und ermöglicht Adjacencys, wenn der MTU-Wert auf den Inter- faces unterschiedlich ist.
Seite 307: Ospf Virtuelle Links
Routing [ Routing > OSPF > Virtuelle Links ] 8.4.6 OSPF Virtuelle Links [ Routing > OSPF > Virtuelle Links ] OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone-Area zu verbinden.
Seite 308 Routing [ Routing > OSPF > Virtuelle Links ] Mögliche Werte: 1..65535 (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Hello-Intervall [s] Legt die Anzahl von Sekunden zwischen den Übertragungen von Hello-Paketen auf dem Interface fest.
Seite 309 Routing [ Routing > OSPF > Virtuelle Links ] Auth key Legt den Authentifizierungsschlüssel fest. Nach Eingabe zeigt das Feld ***** (Sternchen) anstelle des Authentifizierungsschlüssels. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 16 Zeichen  – mit 8 Zeichen, wenn in der Dropdown-Liste der Eintrag ausgewählt ist Auth Typ...
Seite 310: Ospf Ranges
Routing [ Routing > OSPF > Bereiche ] 8.4.7 OSPF Ranges [ Routing > OSPF > Bereiche ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 311 Routing [ Routing > OSPF > Bereiche ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. In der Dropdown-Liste Area-ID wählen Sie die Area-ID des Adressbereichs aus. ...
Seite 312: Ospf Diagnose
Routing [ Routing > OSPF > Diagnose ] 8.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert OSPF auf 2 grundlegenden Prozessen. Herstellen von Adjacencys  Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus ...
Seite 313 Routing [ Routing > OSPF > Diagnose ] Type-2-LSAs sind Netz-LSAs. Der DR erstellt eine Netz-LSA auf der Grundlage von Informati-  onen, die über die Type-1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Netz-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 314 Routing [ Routing > OSPF > Diagnose ] Global LSA erneut gesendet Zeigt die Gesamtzahl der LSAs, die seit dem Zurücksetzen der Zähler erneut übertragen wurden. Wenn der Router dasselbe LSA an mehrere Nachbarn übermittelt, erhöht der Router die Anzahl schrittweise für jeden Nachbarn.
Seite 315 Routing [ Routing > OSPF > Diagnose ] Zähler übertragen wurden. Max. Rate innerhalb 5s empfangener LSU Zeigt die maximale Rate der OSPFv2-Update-Pakete, die seit dem Zurücksetzen der Zähler in einem 5-Sekunden-Intervall empfangen wurden. Zeigt die Rate in Paketen pro Sekunde. Das bedeutet, das die Anzahl der innerhalb des 5-Sekunden-Intervalls empfangenen Pakete durch 5 geteilt wird.
Seite 316 Routing [ Routing > OSPF > Diagnose ] Wenn ein Router ein LSA aus der Datenbank löscht, entfernt er das LSA auch aus den Link-Status- Retransmission-Listen der anderen Router im Netz. Ein Router löscht in den folgenden Fällen ein LSA aus der zugehörigen Datenbank: Eine neuere Instanz überschreibt das LSA während des Flutungsvorganges.
Seite 317 Routing [ Routing > OSPF > Diagnose ] LSID Zeigt den Link-Status-ID(LSID)-Wert, der im LSA empfangen wurde. Die LSID ist ein Feld im LSA-Header. Das Feld enthält abhängig vom LSA-Typ entweder eine Router-ID oder eine IP-Adresse. Mögliche Werte: <Router ID> ...
Seite 318 Routing [ Routing > OSPF > Diagnose ] [Nachbarn] Das Hello-Protokoll ist zuständig für die Nachbarerfassung und-pflege sowie für die bidirektionale Kommunikation zwischen Nachbarn. Während der Erfassung vergleichen die Router an einem Segment ihre Konfigurationen auf Kompatibilität. Sind die Router kompatibel, stellen die Router Adjacencys her. Die Router erkennen ihren Master- oder Slave-Status anhand von Informationen, die in den Hello-Paketen zur Verfü- gung gestellt werden.
Seite 319 Routing [ Routing > OSPF > Diagnose ] init  Der Router hat kürzlich ein Hello-Paket vom Nachbarn erkannt. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das angeschlossene Interface führt beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 320 Routing [ Routing > OSPF > Diagnose ] Tabelle Area-ID Zeigt die Transit-Area-ID der virtuellen Datenverbindung. Router-ID Zeigt die Router-ID des anderen virtuellen Endpunkt-ABR. Nach der Bildung von virtuellen Adjacencys überträgt die virtuelle Datenverbindung OSPF-Pakete wie Hello-Pakete und LS-Update-Pakete, die Datenbankinformationen enthalten. Voraussetzung ist, dass die LSAs des Nachbar-Routers die Router-ID des lokalen Routers enthalten.
Seite 321 Routing [ Routing > OSPF > Diagnose ] In besonderen Fällen setzt der Router das E-Bit auf einen niedrigen Wert. • Die Router geben ihre Fähigkeit zur Verarbeitung von TOS-Metriken bekannt, bei denen es sich nicht um TOS 0 handelt, wenn das E-Bit auf einen niedrigen Wert gesetzt ist. Das E-Bit ist das zweite Bit im Optionen-Feld und stellt den Wert 0 dar, wenn es auf einen niedrigen Wert gesetzt ist.
Seite 322 Routing [ Routing > OSPF > Diagnose ] exchange  Der Router macht seine gesamte Link-Status-Datenbank bekannt, indem er DD-Pakete an den Nachbarn sendet. Der Router bestätigt explizit jedes DD-Paket. Jedes Paket verfügt über eine Sequenznummer. Die Adjacencys lassen nur zu, dass zu einem bestimmten Zeitpunkt jeweils 1 DD-Paket aussteht.
Seite 323 Routing [ Routing > OSPF > Diagnose ] [Externe Link-State-Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen. Router geben Informationen zu den externen Datenverbindungen im gesamten Netz in Form von Link-Status-Updates weiter.
Seite 324 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 325: Routing-Tabelle
Routing [ Routing > Routing-Tabelle ] nssa-type1  Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die Not-So- Stub-Area importiert. Diese Routen verwenden die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). nssa-type2 ...
Seite 326 Routing [ Routing > Routing-Tabelle ] Netz-Adresse Zeigt die Adresse des Zielnetzes. Netzmaske Zeigt die Netzmaske. Next-Hop IP-Adresse Zeigt die IP-Adresse des nächsten Routers auf dem Pfad ins Zielnetz. Zeigt den Typ der Route. Mögliche Werte: lokal  Das Router-Interface ist mit dem Zielnetz direkt verbunden. remote ...
Seite 327 Routing [ Routing > Routing-Tabelle ] Mögliche Werte:  Reserviert für Routen, die das Gerät beim Einrichten der Router-Interfaces erzeugt. Diese Routen haben in Spalte den Wert lokal. Protokoll 1..254  Bei der Routing-Entscheidung bevorzugt das Gerät die Route mit dem kleinsten Wert. ...
Seite 328: Tracking
Routing [ Routing > Tracking ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um eine statische Route zu erzeugen. Im Feld Netz-Adresse legen Sie die Adresse des Zielnetzes fest.  Mögliche Werte: –...
Seite 329: Tracking Konfiguration
Routing [ Routing > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Tracking Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. • Virtuelle Router verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 330 Routing [ Routing > Tracking > Konfiguration ] 8.6.1 Tracking Konfiguration [ Routing > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Legt den Typ des Tracking-Objekts fest. Mögliche Werte: interface  Das Gerät überwacht den Link-Status seiner physischen Ports, Link-Aggregation-, LRE- oder VLAN-Router-Interfaces.
Seite 331 Routing [ Routing > Tracking > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Status Zeigt das Überwachungsergebnis des Tracking-Objekts. Mögliche Werte:  Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. oder –...
Seite 332 Routing [ Routing > Tracking > Konfiguration ] Link-Up-Verzögerung [s] Legt die Zeit in Sekunden fest, nach der das Gerät das Überwachungsergebnis als positiv erkennt. Wenn der Link auf dem Interface länger als die hier festgelegte Zeit aktiv ist, zeigt Spalte Status Wert up.
Seite 333 Routing [ Routing > Tracking > Konfiguration ] Ping-Intervall [ms] Legt das Intervall in Millisekunden fest, in welchem das Gerät periodisch Ping-Request-Pakete sendet. Mögliche Werte: 100..20000 (Voreinstellung: 1000)  Wenn Sie einen Wert <1000 festlegen, können Sie maximal 16 Tracking-Objekte des Typs ping einrichten.
Seite 334 Routing [ Routing > Tracking > Konfiguration ] Mögliche Werte: –  Kein Tracking-Objekt des Typs ping. (Voreinstellung: 128) 1..255  Best route Zeigt die Nummer des Router-Interfaces, über das die beste Route zum zu überwachenden Router oder Endgerät führt. Mögliche Werte: <Port-Nummer>...
Seite 335 Routing [ Routing > Tracking > Konfiguration ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld legen Sie den Typ des Tracking-Objekts fest. ...
Seite 336: Tracking Applikationen
Routing [ Routing > Tracking > Applikationen ] 8.6.2 Tracking Applikationen [ Routing > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 337: L3-Relay
Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Subnetz senden BOOTP/DHCP-Broadcast-Nachrichten an DHCP-Server, um Konfigurationsinformationen wie IP-Adressen anzufordern. Router grenzen Broadcast-Domänen ein, sodass BOOTP/DHCP-Anfragen innerhalb des lokalen Subnetzes bleiben. Die Schicht-3- Relay(L3-Relay)-Funktion fungiert als Proxy für Clients, die Information von einem BOOTP/DHCP- Server in einem anderen Netz anfordern.
Seite 338 Routing [ Routing > L3-Relay ] Mögliche Werte: markiert  Das Gerät fügt die Circuit-ID des DHCP-Relay-Agenten zu den Suboptionen für Client-Anfragen hinzu. (Voreinstellung) unmarkiert  Das Gerät entfernt die DHCP-Relay-Agent-Circuit-ID-Suboptionen aus den Client-Anfragen. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit fest, die das Gerät wartet, bevor es BOOTP/DHCP-Anfragen weiterleitet. Die Endgeräte senden Broadcast-Anfragen in das lokale Netz.
Seite 339 Routing [ Routing > L3-Relay ] Mögliche Werte: 0..16 (Voreinstellung: 4)  Information Empfangene DHCP-Client-Messages Zeigt die Anzahl der vom Gerät empfangenen DHCP-Requests der Clients. Weitergeleitete DHCP-Client-Messages Zeigt die Anzahl der DHCP-Requests, die das Gerät an die in der Tabelle festgelegten Server weitergeleitet hat.
Seite 340 Routing [ Routing > L3-Relay ] trag. Das Gerät leitet DHCP-Nachrichten vom Client, die mit den UDP-Port-Kriterien überein- stimmen, an die in diesem Tabelleneintrag festgelegte IP-Helper-Adresse weiter. IP-Adresse Zeigt die mit diesem Tabelleneintrag verbundene IP-Helper-Adresse. Treffer Zeigt die gegenwärtige Anzahl an Paketen, die das Interface an den festgelegten UDP-Port in diesem Tabelleneintrag sendet.
Seite 341 Routing [ Routing > L3-Relay ] dhcp  Entspricht dem UDP-Port 67. Das Gerät leitet DHCP-Anfragen für IP-Adressen-Zuweisung und Netzparameter weiter. domain  Entspricht dem UDP-Port 53. Das Gerät leitet DNS-Anfragen für Host-Namen und IP-Adress-Umwandlung weiter. isakmp  Entspricht dem UDP-Port 500. Das Gerät leitet Internet-Security-Association-and-Key-Management-Protocol-Anfragen weiter.
Seite 342 Routing [ Routing > L3-Relay ] time  Entspricht dem UDP-Port 37. Das Gerät leitet Time-Protokoll-Anfragen weiter. Das Gerät vermittelt Client-Anfragen an einen Server, der das Time-Protokoll unterstützt. Der Server antwortet daraufhin mit einer Nachricht, welche die als Ganzzahl dargestellten seit 01. Januar 1900, 00:00 Uhr (GMT) vergangenen Sekunden beinhaltet, und beendet die Datenverbindung.
Seite 343: Loopback-Interface
Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist ein virtuelles Netz-Interface ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 344 Routing [ Routing > Loopback-Interface ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um ein Loopback-Interface zu erzeugen. Im Feld Index legen Sie die Nummer fest, die das Loopback-Interface eindeutig identifiziert. ...
Seite 345: L3-Redundanz
Routing [ Routing > L3-Redundanz ] L3-Redundanz [ Routing > L3-Redundanz ] Das Menü enthält die folgenden Dialoge: VRRP  8.9.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol(VRRP) ist ein Verfahren, das es dem System ermöglicht, auf den Ausfall eines Routers zu reagieren.
Seite 346 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 8.9.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: bis zu 16 virtuelle Router pro Router-Interface  bis zu 2 Adressen pro virtuellem Router ...
Seite 347 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt. unmarkiert (Voreinstellung)  Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 348 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Zustand Zeigt den VRRP-Zustand. Mögliche Werte: initialize  VRRP initialisiert sich gerade, die Funktion ist inaktiv, oder der Master-Router ist noch unbe- nannt. backup  Der Router beobachtet die Möglichkeit, Master-Router zu werden. master ...
Seite 349 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Virtuelle IP-Adresse Zeigt die virtuelle IP-Adresse im Subnetz der primären IP-Adresse auf dem Interface. Wenn keine Übereinstimmung gefunden wird, gibt das Gerät eine unbestimmte virtuelle Adresse aus. Wenn keine virtuelle Adresse konfiguriert ist, wird 0.0.0.0 ausgegeben.
Seite 350: Vrrp-Router-Instanz Einrichten
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] VRRP-Router-Instanz einrichten Das Gerät ermöglicht Ihnen, bis zu 8 virtuelle Router pro Router-Interface einzurichten. Bevor Sie eine VRRP-Router-Instanz einrichten, vergewissern Sie sich, dass das Netz.Routing ordnungsgemäß funktioniert, und geben Sie die IP-Adressen auf den für die VRRP-Instanzen verwendeten Router-Interfaces ein.
Seite 351: Vrrp-Router-Instanz Löschen
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] VRRP-Router-Instanz löschen Führen Sie die folgenden Schritte aus: Markieren Sie im Dialog eine Zeile und klicken Sie Routing > L3-Redundanz > VRRP > Konfiguration  die Schaltfläche [VRRP-Konfiguration (Wizard)] Das Wizard-Fenster hilft Ihnen beim Einrichten einer VRRP-Router-Instanz. Voraussetzungen: Routing funktioniert ordnungsgemäß.
Seite 352 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Bereich unter der Tabelle Port Legt die Router-Interface-Nummer fest, auf die sich der Tabelleneintrag bezieht. Mögliche Werte: <verfügbare Router-Interfaces>  VRID Legt den Virtual Router Identifier fest. Ein virtueller Router verwendet 00-00-5E-00-01-XX als seine MAC-Adresse.
Seite 353 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Information Port Zeigt die Router-Interface-Nummer, auf die sich der Tabelleneintrag bezieht. VRID Zeigt den Virtual Router Identifier. Konfiguration Basis Priorität Legt die Priorität des virtuellen Routers fest. Der Wert weicht ab von Priorität, wenn überwachte Objekte inaktiv sind oder der virtuelle Router Inhaber der IP-Adresse ist.
Seite 354 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Preempt-Modus Aktiviert/deaktiviert den Preempt-Modus. Diese Einstellung legt fest, ob dieser Router als Backup- Router einem Master-Router mit niedrigerer VRRP-Priorität die Rolle als Master-Router entzieht. Mögliche Werte: markiert (Voreinstellung)  Wenn Sie den Preempt-Moduseinschalten, übernimmt dieser Router die Master-Router-Rolle von einem Router mit einer niedrigeren VRRP-Priorität, ohne eine Auswahl abzuwarten.
Seite 355: Aktuelle Track-Einträge
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: Gültige IP-Adresse (Voreinstellung: 0.0.0.0)  [VRRP-Konfiguration (Wizard) – Tracking] Aktuelle Track-Einträge Zeigt den Typ des Tracking-Objekts. Mögliche Werte: interface  Das Gerät überwacht den Link-Status seiner physischen Ports, Link-Aggregation-, LRE- oder VLAN-Router-Interfaces.
Seite 356 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dekrement Legt den Wert fest, um den die VRRP-Instanz die Priorität des virtuellen Routers reduziert, wenn das Überwachungsergebnis negativ ist. Mögliche Werte: 1..253 (Voreinstellung: 20)  Anmerkung: Wenn im Dialog der Wert in Spalte Routing >...
Seite 357: 8.9.1.2 Vrrp Statistiken
Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 8.9.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die VRRP-Funktion relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 358 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] IP-TTL-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Seite 359: 8.9.1.3 Vrrp Tracking
Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 8.9.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Seite 360: Nat
Routing [ Routing > NAT ] Status Zeigt das Überwachungsergebnis des Tracking-Objekts. Mögliche Werte: notReady  Das Tracking-Objekt ist nicht aktiv.  Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. down ...
Seite 361 Routing [ Routing > NAT ] Masquerading NAT  Double-NAT  RM GUI EAGLE Release 03.5 08/2020...
Seite 362: Nat Global
Routing [ Routing > NAT > NAT Global ] 8.10.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Angewendet auf dem Gerät ermöglicht die NAT-Funktion Kommunikations-Verbindungen zwischen Endgeräten in unterschiedlichen Netzen.
Seite 363 Routing [ Routing > NAT > NAT Global ] Destination-NAT-Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Destination-NAT-Regeln von den gespei- cherten Destination-NAT-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine gespeicherte Destination-NAT-Regel enthält geänderte Einstellungen. Um die Änderungen auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche und dann den Eintrag Änderungen...
Seite 364: 1:1-Nat
Routing [ Routing > NAT > 1:1-NAT ] 8.10.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die 1:1-NAT-Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 365: 1:1-Nat Regel
Routing [ Routing > NAT > 1:1-NAT ] 1:1 NAT Zieladresse Neue Zieladresse Ingress Egress Interface Interface 192.168.1.100 192.168.2.100 Proxy ARP 192.168.2.0/24 192.168.1.0/24 Zieladr. 192.168.1.100 Neue Zieladr. 192.168.2.100 192.168.1.8 Abb. 3: Funktionsprinzip der 1:1-NAT-Funktion Um die NAT-Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein.
Seite 366 Routing [ Routing > NAT > 1:1-NAT > Regel ] 8.10.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die 1:1-NAT-Regeln und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht.
Seite 367 Routing [ Routing > NAT > 1:1-NAT > Regel ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die 1:1-NAT-Regel anwendet. Das Gerät vermittelt Datenpakete mit dieser Zieladresse an die in Spalte festgelegte Neue Ziel-Adresse Zieladresse. Mögliche Werte: Gültige IPv4-Adresse ...
Seite 368: Destination-Nat
Routing [ Routing > NAT > Destination-NAT ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der 1:1-NAT-Regel auf ein Datenpaket in der Log-Datei. unmarkiert (Voreinstellung) ...
Seite 369 Routing [ Routing > NAT > Destination-NAT ] <any> dest <any> Destination NAT new dest 192.168.2.2 proto dest port 80,20,21 192.168.1.0/24 192.168.1.8 Ingress Interface 192.168.2.2 (Port-Forwarding) Ingress 192.168.1.0/24 Interface 192.168.2.8:8080 192.168.1.8:80 Abb. 5: Funktionsprinzip der Destination-NAT-Funktion Um die NAT-Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein.
Seite 370: Destination-Nat Regel
Routing [ Routing > NAT > Destination-NAT ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Regeln Routing Paket- Paket- 1:1 NAT Masquerading NAT Destination NAT filter filter Double NAT Double NAT MAC-basierte ACL IP-basierte ACL Switching-Chipsatz...
Seite 371 Routing [ Routing > NAT > Destination-NAT > Regel ] 8.10.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Destination-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing >...
Seite 372 Routing [ Routing > NAT > Destination-NAT > Regel ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Destination-NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen. 1..65535  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, die den festge- legten Quell-Port enthalten.
Seite 373 Routing [ Routing > NAT > Destination-NAT > Regel ] – Mit durch Bindestrich verbundenen Zahlenwerten legen Sie einen Port-Bereich fest, zum Beispiel 2000-3000. – Des Weiteren können Sie Ports und Port-Bereiche kombinieren, zum Beispiel 21,2000- 3000,65535. Die Spalte ermöglicht Ihnen, bis zu 15 Zahlenwerte festzulegen. Wenn Sie zum Beispiel 21,2000-3000,65535 einfügen, verwenden Sie 4 von 15 Zahlenwerten.
Seite 374 Routing [ Routing > NAT > Destination-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der Destination-NAT-Regel auf ein Datenpaket in der Log- Datei.
Seite 375: 8.10.3.2 Destination-Nat Zuweisung
Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 8.10.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 376 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Destination-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 377: 8.10.3.3 Destination-Nat Übersicht
Routing [ Routing > NAT > Destination-NAT > Übersicht ] 8.10.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 378 Routing [ Routing > NAT > Destination-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Destination-NAT-Regel auf ein Datenpaket in der Log- Datei.
Seite 379: Masquerading Nat
Routing [ Routing > NAT > Masquerading NAT ] 8.10.4 Masquerading NAT [ Routing > NAT > Masquerading NAT ] Masquerading NAT-Funktion versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 380 Routing [ Routing > NAT > Masquerading NAT ] Das Menü enthält die folgenden Dialoge: Masquerading-NAT Regel  Masquerading-NAT Zuweisung  Masquerading-NAT Übersicht  RM GUI EAGLE Release 03.5 08/2020...
Seite 381: 8.10.4.1 Masquerading-Nat Regel
Routing [ Routing > NAT > Masquerading NAT > Regel ] 8.10.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Masquerading NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden NAT-Regel im Dialog Masquerading Routing >...
Seite 382 Routing [ Routing > NAT > Masquerading NAT > Regel ] Quell-Port Legt den Quell-Port der Datenpakete fest, auf die das Gerät die NAT-Regel anwendet. Masquerading Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Masquerading NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen.
Seite 383 Routing [ Routing > NAT > Masquerading NAT > Regel ] Trap Aktiviert/deaktiviert das Senden von SNMP-Traps beim Anwenden der NAT-Regel auf Masquerading Datenpakete. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap, wenn es die NAT-Regel auf ein Datenpaket Masquerading anwendet.
Seite 384: 8.10.4.2 Masquerading-Nat Zuweisung
Routing [ Routing > NAT > Masquerading NAT > Zuweisung ] 8.10.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen.
Seite 385 Routing [ Routing > NAT > Masquerading NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Masquerading NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 386: 8.10.4.3 Masquerading-Nat Übersicht
Routing [ Routing > NAT > Masquerading NAT > Übersicht ] 8.10.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading NAT-Regel welchem Router-Inter- face zugewiesen ist. NAT-Regeln erzeugen und bearbeiten Sie im Dialog Masquerading Routing >...
Seite 387: Double-Nat
Routing [ Routing > NAT > Double-NAT ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die NAT-Regel auf ein Masquerading Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der NAT-Regel auf ein Datenpaket in der Masquerading Log-Datei.
Seite 388: Double-Nat Regel
Routing [ Routing > NAT > Double-NAT ] Double NAT 192.168.1.8 192.168.2.8 Proxy ARP Egress Interface Ingress 192.168.2.0/24 192.168.1.0/24 Interface Proxy ARP 192.168.1.100 192.168.2.100 Abb. 9: Funktionsprinzip der Double-NAT-Funktion Um die NAT-Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein.
Seite 389 Routing [ Routing > NAT > Double-NAT > Regel ] 8.10.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Double-NAT-Regeln. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing >...
Seite 390 Routing [ Routing > NAT > Double-NAT > Regel ] Ferne interne IP-Adresse Legt für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 391 Routing [ Routing > NAT > Double-NAT > Regel ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 03.5 08/2020...
Seite 392: 8.10.5.2 Double-Nat Zuweisung
Routing [ Routing > NAT > Double-NAT > Zuweisung ] 8.10.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 393 Routing [ Routing > NAT > Double-NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Double-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 394: 8.10.5.3 Double-Nat Übersicht
Routing [ Routing > NAT > Double-NAT > Übersicht ] 8.10.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 395 Routing [ Routing > NAT > Double-NAT > Übersicht ] Tabelle Port Zeigt die Nummer des Router-Interfaces, auf welches das Gerät die Double-NAT-Regel anwendet. Regel-Index Zeigt die fortlaufende Nummer der Double-NAT-Regel. Siehe Spalte im Dialog Index Routing > NAT > Double-NAT >...
Seite 396 Routing [ Routing > NAT > Double-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Double-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Double-NAT-Regel auf ein Datenpaket in der Log- Datei.
Seite 397 Routing 8.10.5.3 Double-NAT Übersicht RM GUI EAGLE Release 03.5 08/2020...
Seite 398: Diagnose
Diagnose [ Diagnose > Statuskonfiguration ] 9 Diagnose Das Menü enthält die folgenden Dialoge: Statuskonfiguration  System  Syslog  Ports  LLDP  Bericht  Statuskonfiguration [ Diagnose > Statuskonfiguration ] Das Menü enthält die folgenden Dialoge: Gerätestatus  Sicherheitsstatus ...
Seite 399: Gerätestatus
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 9.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 400 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät Änderungen an den über- wachten Funktionen erkennt. Mögliche Werte: (Voreinstellung) markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 401 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externen Speicher entfernen Aktiviert/deaktiviert die Überwachung des aktiven externen Speichers. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den aktiven externen Speicher Geräte-Status aus dem Gerät entfernen.
Seite 402 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] [Port] Tabelle Port Zeigt die Nummer des Ports. Verbindungsfehler melden Aktiviert/deaktiviert die Überwachung des Links auf dem Port/Interface. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf dem ausgewählten Geräte-Status Port/Interface abbricht.
Seite 403: Sicherheitsstatus
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 9.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 404 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät Änderungen an den über- wachten Funktionen erkennt. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 405 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Passwort-Richtlinien deaktiviert Aktiviert/deaktiviert die Überwachung der Passwort-Richtlinien-Einstellungen. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn für mindestens eine der Sicherheits-Status folgenden Richtlinien ein Wert kleiner als festgelegt ist.
Seite 406 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] – Die SNMPv1-Funktion ist eingeschaltet. – Die SNMPv2-Funktion ist eingeschaltet. – Die Verschlüsselung für SNMPv3 ist ausgeschaltet. Die Verschlüsselung schalten Sie ein im Dialog Benutzerverwaltung, Spalte Gerätesicherheit > SNMP-Verschlüsselung. unmarkiert  Die Überwachung ist inaktiv. Die Einstellungen für den SNMP-Agenten legen Sie fest im Dialog Gerätesicherheit >...
Seite 407 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] – Das im externen Speicher gespeicherte Konfigurationsprofil ist unverschlüsselt. – Die Spalte im Dialog hat den Wert Konfigurations-Priorität Grundeinstellungen > Externer Speicher first oder second. unmarkiert  Die Überwachung ist inaktiv. Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports.
Seite 408 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] [Port] Tabelle Port Zeigt die Nummer des Ports. Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Port eingeschaltet ist Sicherheits-Status (Dialog...
Seite 409: Signalkontakt
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt ] 9.1.3 Signalkontakt [ Diagnose > Statuskonfiguration > Signalkontakt ] Der Signalkontakt ist ein potentialfreier Relaiskontakt. Das Gerät ermöglicht Ihnen damit eine Fern- diagnose. Über den Signalkontakt signalisiert das Gerät das Eintreten von Ereignissen, indem es den Relaiskontakt öffnet und den Ruhestromkreis unterbricht.
Seite 410 Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] 9.1.3.1 Signalkontakt 1 / Signalkontakt 2 [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] In diesem Dialog legen Sie die Auslösebedingungen für den Signalkontakt fest. Der Signalkontakt bietet Ihnen folgende Möglichkeiten: Funktionsüberwachung des Geräts.
Seite 411 Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] Kontakt Schaltet den Signalkontakt von Hand. Voraussetzung ist, dass Sie in der Dropdown-Liste Modus den Eintrag auswählen. Manuelle Einstellung Mögliche Werte: offen  Der Signalkontakt ist geöffnet. geschlossen  Der Signalkontakt ist geschlossen.
Seite 412: Funktionsüberwachung
Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] Funktionsüberwachung In dieser Tabelle legen Sie die Parameter fest, die das Gerät überwacht. Das Eintreten eines Ereig- nisses meldet das Gerät durch Öffnen des Signalkontakts. Temperatur Aktiviert/deaktiviert die Überwachung der Temperatur im Gerät. Mögliche Werte: markiert (Voreinstellung)
Seite 413 Diagnose [ Diagnose > Statuskonfiguration > Signalkontakt > Signalkontakt 1 ] – Das Konfigurationsprofil existiert ausschließlich im Gerät. – Das Konfigurationsprofil im Gerät unterscheidet sich vom Konfigurationsprofil im externen Speicher. (Voreinstellung) unmarkiert  Die Überwachung ist inaktiv. Netzteil Aktiviert/deaktiviert die Überwachung des Netzteils. Mögliche Werte: markiert (Voreinstellung)
Seite 414: Alarme (Traps)
Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] [Status] Tabelle Zeitstempel Zeigt das Datum und die Uhrzeit des Ereignisses im Format Tag.Monat.Jahr hh:mm:ss. Ursache Zeigt das Ereignis, das den SNMP-Trap ausgelöst hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 415 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Tabelle Name Legt die Bezeichnung des Trap-Ziels fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  Adresse Legt die IP-Adresse und die Port-Nummer des Trap-Ziels fest. Mögliche Werte: <Gültige IPv4-Adresse>:<Port-Nummer>  Aktiv Aktiviert/deaktiviert das Senden von SNMP-Traps an dieses Trap-Ziel.
Seite 416: System
Diagnose [ Diagnose > System ] System [ Diagnose > System ] Das Menü enthält die folgenden Dialoge: Systeminformationen  Konfigurations-Check   Selbsttest  RM GUI EAGLE Release 03.5 08/2020...
Seite 417: Systeminformationen
Diagnose [ Diagnose > System > Systeminformationen ] 9.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 418: Konfigurations-Check
Diagnose [ Diagnose > System > Konfigurations-Check ] 9.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 419: Zusammenfassung
Diagnose [ Diagnose > System > Konfigurations-Check ] Zusammenfassung Außerdem finden Sie diese Informationen, wenn Sie in der Symbolleiste im oberen Bereich des Navigationsbereichs den Mauszeiger über der Schaltfläche positionieren. Fehler Zeigt die Anzahl der Fehler, die das Gerät beim Konfigurations-Check erkannt hat. Warnung Zeigt die Anzahl der Warnungen, die das Gerät beim Konfigurations-Check erkannt hat.
Seite 420: Arp
Diagnose [ Diagnose > System > ARP ] 9.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Port Zeigt die Nummer des Ports. IP-Adresse Zeigt die IPv4-Adresse eines benachbarten Geräts.
Seite 421: Selbsttest
Diagnose [ Diagnose > System > Selbsttest ] 9.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden.  Festlegen, wie sich das Gerät im Fehlerfall verhält. ...
Seite 422 Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät im Fehlerfall verhält. Ursache Fehlerursachen, auf die das Gerät reagiert. Mögliche Werte: task  Das Gerät erkennt Fehler in ausgeführten Anwendungen, zum Beispiel wenn eine Task abbricht oder nicht verfügbar ist.
Seite 423: Syslog
Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 424 Diagnose [ Diagnose > Syslog ] Ziel-UDP-Port Legt den UDP-Port fest, auf dem der Syslog-Server die Log-Einträge erwartet. Mögliche Werte: 1..65535 (Voreinstellung: 514)  Min. Schweregrad Legt den Mindest-Schweregrad der Ereignisse fest. Das Gerät sendet einen Log-Eintrag für Ereig- nisse mit diesem Schweregrad und mit dringlicheren Schweregraden an den Syslog-Server. Mögliche Werte: emergency ...
Seite 425: Ports
Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge:  RM GUI EAGLE Release 03.5 08/2020...
Seite 426 Diagnose [ Diagnose > Ports > SFP ] 9.4.1 [ Diagnose > Ports > SFP ] Dieser Dialog ermöglicht Ihnen, die gegenwärtige Bestückung des Geräts mit SFP-Transceivern und deren Eigenschaften einzusehen. Tabelle Die Tabelle zeigt ausschließlich dann gültige Werte, wenn das Gerät mit SFP-Transceivern bestückt ist.
Seite 427: Lldp
Diagnose [ Diagnose > LLDP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät Link Layer Discovery Protocol (LLDP). Mit diesen Informationen ist eine Netzmanagement- Station in der Lage, die Struktur Ihres Netzes darzustellen.
Seite 428 Diagnose [ Diagnose > LLDP > Konfiguration ] 9.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port zu konfigurieren. Funktion Funktion Schaltet die LLDP-Funktion ein/aus. Mögliche Werte: (Voreinstellung)  Die LLDP-Funktion ist eingeschaltet. Die Topologie-Erkennung mit LLDP ist auf dem Gerät aktiv.
Seite 429 Diagnose [ Diagnose > LLDP > Konfiguration ] Sende-Verzögerung [s] Zeigt die Verzögerung in Sekunden für die Übertragung von aufeinanderfolgenden LLDP-Datenpa- keten, nachdem Konfigurationsänderungen im Gerät wirksam geworden sind. Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: 5..3600 (Voreinstellung: 5)
Seite 430 Diagnose [ Diagnose > LLDP > Konfiguration ] Port-Beschreibung senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit der Port-Beschreibung. Mögliche Werte: markiert (Voreinstellung)  Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit der Port-Beschreibung. unmarkiert  Das Senden des TLV ist inaktiv.
Seite 431: Autodetect
Diagnose [ Diagnose > LLDP > Konfiguration ] Nachbarn (max.) Begrenzt für diesen Port die Anzahl der zu erfassenden benachbarten Geräte. Mögliche Werte: 1..50 (Voreinstellung: 10)  FDB-Modus Legt fest, welche Funktion das Gerät verwendet, um benachbarte Geräte auf diesem Port zu erfassen.
Seite 432: Lldp Topologie-Erkennung
Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 9.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs sendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Seite 433: Bericht
Diagnose [ Diagnose > Bericht ] Nachbar-IP-Adresse Zeigt die IP-Adresse, mit der der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar-Port-Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts. Nachbar-Systemname Zeigt den Gerätenamen des Nachbargeräts. Nachbar-Systembeschreibung Zeigt eine Beschreibung für das Nachbargerät. Port ID Zeigt die ID des Ports, über den das Nachbargerät mit dem Gerät verbunden ist.
Seite 434: Bericht Global
Diagnose [ Diagnose > Bericht > Global ] 9.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: auf der Konsole  auf einen oder mehreren Syslog-Servern  auf einer per SSH aufgebauten Verbindung zum Command Line Interface ...
Seite 435 Diagnose [ Diagnose > Bericht > Global ] Buffered-Logging Das Gerät puffert protokollierte Ereignisse in 2 getrennten Speicherbereichen, damit die Log- Einträge für dringliche Ereignisse erhalten bleiben. Dieser Rahmen ermöglicht Ihnen, den Mindest-Schweregrad für Ereignisse festzulegen, die das Gerät im höher priorisierten Speicherbereich puffert. Schweregrad Legt den Mindest-Schweregrad für die Ereignisse fest.
Seite 436: Warning  Notice
Diagnose [ Diagnose > Bericht > Global ] Protokolliere SNMP-Get-Requests Schaltet die Protokollierung von SNMP Get requests ein/aus. Mögliche Werte:  Die Protokollierung ist eingeschaltet. Das Gerät protokolliert SNMP Get requests als Ereignis im Syslog. Den Schweregrad für dieses Ereignis wählen Sie in der Dropdown-Liste Schweregrad Get- aus.
Seite 437 Diagnose [ Diagnose > Bericht > Global ] informational  debug  CLI-Logging Funktion Schaltet die CLI-Logging-Funktion ein/aus. Mögliche Werte:  Die CLI-Logging-Funktion ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung)  Die CLI-Logging-Funktion ist ausgeschaltet.
Seite 438: Bedeutung Der Ereignis-Schweregrade
Diagnose [ Diagnose > Bericht > Global ] Bedeutung der Ereignis-Schweregrade Schweregrad Bedeutung Gerät nicht betriebsbereit emergency alert Sofortiger Bedienereingriff erforderlich critical Kritischer Zustand Fehlerhafter Zustand error Warnung warning notice Signifikanter, normaler Zustand informational Informelle Nachricht debug Debug-Nachricht RM GUI EAGLE Release 03.5 08/2020...
Seite 439: Persistentes Ereignisprotokoll
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 9.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher permanent zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 440 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: 0..25 (Voreinstellung: 4)
Seite 441 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateiname Zeigt den Dateinamen der Log-Datei im externen Speicher. Mögliche Werte: messages  messages.X  Datei-Größe [Byte] Zeigt die Größe der Log-Datei im externen Speicher in Bytes. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 442: System Log
Diagnose [ Diagnose > Bericht > System Log ] 9.6.3 System Log [ Diagnose > Bericht > System Log ] Das Gerät protokolliert geräteinterne Ereignisse in einer Log-Datei (System Log). Dieser Dialog zeigt die Log-Datei (System Log). Der Dialog ermöglicht Ihnen, die Log-Datei im HTML-Format auf Ihrem PC zu speichern.
Seite 443: Audit Trail
Diagnose [ Diagnose > Bericht > Audit Trail ] 9.6.4 Audit Trail [ Diagnose > Bericht > Audit Trail ] Dieser Dialog zeigt die Log-Datei (Audit Trail). Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Web-Browsers.
Seite 444: 10 Erweitert
Erweitert [ Erweitert > DNS ] 10 Erweitert Das Menü enthält die folgenden Dialoge:  Command Line Interface  10.1 [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client  DNS-Cache  10.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Seite 445: Dns-Client Global
Erweitert [ Erweitert > DNS > Client > Global ] 10.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Client-Funktion ein. Funktion Funktion Schaltet die Client-Funktion ein/aus. Mögliche Werte:  Die Client-Funktion ist eingeschaltet. Das Gerät sendet Anfragen zur Auflösung von Hostnamen in IP-Adressen an einen DNS- Server.
Seite 446: 10.1.1.2 Dns-Client Aktuell
Erweitert [ Erweitert > DNS > Client > Aktuell ] 10.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Index Zeigt die fortlaufende Nummer des DNS-Servers.
Seite 447: 10.1.1.3 Dns-Client Statisch
Erweitert [ Erweitert > DNS > Client > Statisch ] 10.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, selbst bis zu 4 IP-Adressen festzulegen oder die IP-Adressen von einem DHCP-Server zu übernehmen.
Seite 448 Erweitert [ Erweitert > DNS > Client > Statisch ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE Release 03.5 08/2020...
Seite 449: 10.1.1.4 Statische Hosts
Erweitert [ Erweitert > DNS > Client > Statische Hosts ] 10.1.1.4 Statische Hosts [ Erweitert > DNS > Client > Statische Hosts ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Hostnamen festzulegen, die mit jeweils einer IP-Adresse verknüpft sind. Bei Anfragen zur Auflösung von Hostnamen in IP-Adressen sucht das Gerät in dieser Tabelle nach einem passenden Eintrag.
Seite 450: Dns-Cache
Erweitert [ Erweitert > DNS > Cache ] 10.1.2 DNS-Cache [ Erweitert > DNS > Cache ] Die Cache-Funktion befähigt das Gerät, auf Anfragen zur Auflösung von Hostnamen in IP-Adressen selbst zu antworten. Das Menü enthält die folgenden Dialoge: DNS-Cache Global ...
Seite 451: Command Line Interface
Erweitert [ Erweitert > DNS > Cache > Global ] 10.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Cache-Funktion ein. Ist die Cache-Funktion eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnamens an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 452 Erweitert [ Erweitert > CLI ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite SSH-Verbindung starten Öffnet die SSH-fähige Client-Anwendung. Wenn Sie die Schaltfläche klicken, übergibt die Web-Anwendung den URL des Geräts beginnend mit ssh:// und den Benutzernamen des gegenwärtig angemeldeten Benutzers. Wenn der Web-Browser eine SSH-fähige Client-Anwendung findet, dann stellt der SSH-fähige Client eine Verbindung mit dem SSH-Protokoll zum Gerät her.
Seite 453 Erweitert 10.2 Command Line Interface RM GUI EAGLE Release 03.5 08/2020...
Seite 454: A Stichwortverzeichnis
Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............363 802.1D/p-Mapping .
Seite 455 Stichwortverzeichnis Geräte-Software ............. 28 Geräte-Software Backup .
Seite 456 Stichwortverzeichnis Passwort ............62, 403, 404 Passwort-Länge .
Seite 457 Stichwortverzeichnis Verschlüsselung ............. 31 Virtual Local Area Network .
Seite 458: B Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 459: C Leserkritik
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 460 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...
Seite 462 Reference Manual Command Line Interface (CLI) Industrial ETHERNET Firewall EAGLE20/30 RM CLI EAGLE20/30 Technical Support Release 03.5 09/2020 https://hirschmann-support.belden.eu.com...
Seite 463 The naming of copyrighted trademarks in this manual, even when not specially indicated, should not be taken to mean that these names may be considered as free in the sense of the trademark and tradename protection law and hence that they may be freely used by anyone. ©...
Seite 464 Contents Cont e nt s Sa fe t y inst ruc t ions First login (Pa ssw ord c ha nge ) About t his M a nua l Ac c e ss Cont rol List (ACL) 1.1.1 mac acl add 1.1.2 mac acl delete 1.1.3 mac acl assign 1.1.4 mac acl deassign...
Seite 465 Contents show 4.2.1 show classofservice ip-dscp-mapping 4.2.2 show classofservice dot1p-mapping 4.2.3 show classofservice trust 4.2.4 show cos-queue Com m a nd Line I nt e rfa c e (CLI ) 5.1.1 cli serial-timeout 5.1.2 cli prompt 5.1.3 cli numlines 5.1.4 cli banner operation 5.1.5 cli banner text show 5.2.1 show cli global...
Seite 466 Contents show 7.5.1 show running-config xml show 7.6.1 show config envm settings 7.6.2 show config envm properties 7.6.3 show config envm active 7.6.4 show config watchdog 7.6.5 show config encryption 7.6.6 show config profiles 7.6.7 show config status swap 7.7.1 swap firmware system backup De vic e M onit oring device-status 8.1.1 device-status monitor link-failure...
Seite 467 Contents 10.1.6 dns client servers delete 10.1.7 dns client servers modify 10.1.8 dns client servers enable 10.1.9 dns client servers disable 10.1.10dns client timeout 10.1.11dns client retry 10.2 show 10.2.1 show dns caching-server info 10.2.2 show dns client hosts 10.2.3 show dns client info 10.2.4 show dns client servers DoS M it iga t ion 11.1 dos...
Seite 468 Contents 13.2 bridge 13.2.1 bridge aging-time 13.3 show 13.3.1 show mac-filter-table static 13.4 show 13.4.1 show bridge aging-time 13.5 show 13.5.1 show mac-addr-table 13.6 clear 13.6.1 clear mac-addr-table Fire w a ll Le a rning M ode (FLM ) 14.1 flm 14.1.1 flm operation 14.1.2 flm action 14.1.3 flm interface add...
Seite 469 Contents 18.5 linktraps 18.5.1 linktraps 18.6 speed 18.6.1 speed 18.7 name 18.7.1 name 18.8 power-state 18.8.1 power-state 18.9 mac-filter 18.9.1 mac-filter 18.10 show 18.10.1show port 18.11 show 18.12 show I nt e rfa c e St a t ist ic s 19.1 utilization 19.1.1 utilization control-interval 19.1.2 utilization alarm-threshold lower...
Seite 470 Contents 21.1.2 ip ospf trapflags all 21.1.3 ip ospf operation 21.1.4 ip ospf 1583compatability 21.1.5 ip ospf default-metric 21.1.6 ip ospf router-id 21.1.7 ip ospf external-lsdb-limit 21.1.8 ip ospf exit-overflow 21.1.9 ip ospf maximum-path 21.1.10ip ospf spf-delay 21.1.11ip ospf spf-holdtime 21.1.12ip ospf auto-cost 21.1.13ip ospf distance intra 21.1.14ip ospf distance inter...
Seite 471 Contents Addre ss Re solut ion Prot oc ol (I P ARP) 1 0 0 23.1 ip 23.1.1 ip arp add 23.1.2 ip arp delete 23.1.3 ip arp enable 23.1.4 ip arp disable 23.1.5 ip arp timeout 23.1.6 ip arp response-time 23.1.7 ip arp retries 23.2 show 23.2.1 show ip arp info...
Seite 472 Contents 26.1.3 logging host add 26.1.4 logging host delete 26.1.5 logging host enable 26.1.6 logging host disable 26.1.7 logging host modify 26.1.8 logging syslog operation 26.1.9 logging current-console operation 26.1.10logging current-console severity 26.1.11logging console operation 26.1.12logging console severity 26.1.13logging persistent operation 26.1.14logging persistent numfiles 26.1.15logging persistent filesize 26.1.16logging persistent severity-level...
Seite 473 Contents 28.1.19nat masq logtrap 28.1.20nat masq ipsec-exempt 28.1.21nat masq state 28.1.22nat masq if add 28.1.23nat masq if delete 28.1.24nat doublenat commit 28.1.25nat doublenat add 28.1.26nat doublenat modify 28.1.27nat doublenat delete 28.1.28nat doublenat logtrap 28.1.29nat doublenat state 28.1.30nat doublenat if add 28.1.31nat doublenat if delete 28.2 show 28.2.1 show nat dnat global...
Seite 474 Contents 30.3.6 show packet-filter l3 pending Pa ssw ord M a na ge m e nt 1 3 5 31.1 passwords 31.1.1 passwords min-length 31.1.2 passwords max-login-attempts 31.1.3 passwords min-uppercase-chars 31.1.4 passwords min-lowercase-chars 31.1.5 passwords min-numeric-chars 31.1.6 passwords min-special-chars 31.1.7 passwords login-attempt-period 31.2 show 31.2.1 show passwords Ra dius...
Seite 475 Contents 34.1.5 script delete 34.2 copy 34.2.1 copy script envm 34.2.2 copy script remote 34.2.3 copy script nvm 34.3 show 34.3.1 show script envm 34.3.2 show script system Se lft e st 1 4 7 35.1 selftest 35.1.1 selftest action 35.1.2 selftest ramtest 35.1.3 selftest system-monitor 35.1.4 selftest boot-default-on-error...
Seite 476 Contents 40.2 show 40.2.1 show logging snmp Se c ure She ll (SSH ) 1 5 8 41.1 ssh 41.1.1 ssh server 41.1.2 ssh timeout 41.1.3 ssh port 41.1.4 ssh max-sessions 41.1.5 ssh key rsa 41.1.6 ssh key fingerprint-type 41.2 copy 41.2.1 copy sshkey remote 41.2.2 copy sshkey envm 41.3 show...
Seite 477 Contents 44.1.6 track description 44.1.7 track modify interface 44.1.8 track modify ping 44.1.9 track modify logical 44.2 show 44.2.1 show track overview 44.2.2 show track interface 44.2.3 show track ping 44.2.4 show track logical 44.2.5 show track application L3 Re la y 1 6 9 45.1 ip 45.1.1 ip udp-helper operation...
Seite 478 Contents 47.6 ip 47.6.1 ip route add 47.6.2 ip route modify 47.6.3 ip route delete 47.6.4 ip route distance 47.6.5 ip route track add 47.6.6 ip route track delete 47.6.7 ip default-route add 47.6.8 ip default-route modify 47.6.9 ip default-route delete 47.6.10ip default-route track add 47.6.11ip default-route track delete 47.6.12ip loopback add...
Seite 479 Contents 49.5.2 network management priority dot1p 49.5.3 network management priority ip-dscp V irt ua l Priva t e N e t w ork (V PN ) 1 8 8 50.1 ipsec 50.1.1 ipsec certificate delete 50.1.2 ipsec certificate upload passphrase 50.1.3 ipsec connection add 50.1.4 ipsec connection modify 50.1.5 ipsec connection status...
Seite 480: Sa Fe T Y Inst Ruc T Ions
Safety instructions Sa fe t y inst ruc t ions WARN I N G UNCONTROLLED MACHINE ACTIONS To avoid uncontrolled machine actions caused by data loss, configure all the data transmission devices individually. Before you start any machine which is controlled via data transmission, be sure to complete the configuration of all data transmission devices.
Seite 481: First Login (Pa Ssw Ord Cha Nge )
 The device prompts you to confirm your new password.  Log on to the device again with your new password. Note: If you lost your password, then use the System Monitor to reset the password. For further information see: hirschmann-support.belden.com. RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 482: About T His M A Nua L
About this Manual About t his M a nua l The “Installation” user manual contains a device description, safety instructions, a description of the display, and the other information that you need to install the device. The “Configuration” user manual contains the information you need to start operating the device. It takes you step by step from the first startup operation through to the basic settings for operation in your environment.
Seite 483: Ac C E Ss Cont Rol List (Acl)
Access Control List (ACL) 1.1 mac Ac c e ss Cont rol List (ACL) 1 .1 m a c Set MAC parameters. 1 .1 .1 m a c a c l a dd Create a new MAC ACL  Mode: Global Config Mode ...
Seite 484: Mac Acl Trapflag
Access Control List (ACL) 1.1 mac 1 .1 .6 m a c a c l t ra pfla g Change the trap flag.  Mode: Global Config Mode  Privilege Level: Operator  Format: mac acl trapflag <P-1> Parameter Value Meaning enable Enable the option.
Seite 485: Mac Acl Rule Delete
Access Control List (ACL) 1.2 ip Parameter Value Meaning P-10 Enter any as a shortcut for the MAC address 00:00:00:00:00:00. aa:bb:cc:dd:ee:ff Enter the MAC address in hexadecimal format. P-11 Enter any as a shortcut for the MAC address 00:00:00:00:00:00. aa:bb:cc:dd:ee:ff Enter the MAC mask in hexadecimal format.
Seite 486: Ip Acl Assign
Access Control List (ACL) 1.2 ip Parameter Value Meaning 1..10100 IP ACL ID 1 .2 .3 ip a c l a ssign Assign an IP ACL to a VLAN.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip acl assign <P-1> vlan <P-2> <P-3> <P-4> vlan: Specify a VLAN.
Seite 487 Access Control List (ACL) 1.2 ip dst: Specify the destination IP/mask. [dport]: Specify the destination L4 port. [proto]: Specify the protocol. [fragments]: Match non-initial fragments [log]: Enable Logging [dscp]: Specify the DSCP. [mirror]: Specify the mirror port. [redirect]: Specify the redirect port. [rate-limit]: Specify the rate limit and burst size.
Seite 488 Access Control List (ACL) 1.2 ip Parameter Value Meaning domain Domain echo Echo ftpdata FTP Data http HTTP https HTTPS smtp SMTP snmp SNMP telnet Telnet tftp TFTP 1-65535 Port number 1-255 Enter a protocol number. icmp Match the ICMP protocol. igmp Match the IGMP protocol Match the IPinIP tunnel.
Seite 489: Ip Acl Rule Delete
Access Control List (ACL) 1.3 show Parameter Value Meaning P-34 domain Domain echo Echo ftpdata FTP Data http HTTP https HTTPS smtp SMTP snmp SNMP telnet Telnet tftp TFTP 1-65535 Port number 1-255 P-35 Enter a protocol number. icmp Match the ICMP protocol. igmp Match the IGMP protocol Match the IPinIP tunnel.
Seite 490: Show Access-List Mac Counters
Access Control List (ACL) 1.3 show Parameter Value Meaning 1..10100 MAC ACL ID 1 .3 .4 show a c c e ss-list m a c c ount e rs Display the counters of a specific MAC ACL.  Mode: Command is in all modes available. ...
Seite 491: Applic At Ion List S
Application Lists 2.1 appllists Applic at ion List s 2 .1 a ppllist s Configure an application list. 2 .1 .1 a ppllist s se t -a ut hlist Set an authentication list reference that shall be used by given application. ...
Seite 492: Aut He Nt Ic At Ion List S
Authentication Lists 3.1 authlists Aut he nt ic at ion List s 3 .1 a ut hlist s Configure an authentication list. 3 .1 .1 a ut hlist s a dd Create a new login authentication list.  Mode: Global Config Mode ...
Seite 493: Authlists Disable
Authentication Lists 3.2 show 3 .1 .5 a ut hlist s disa ble Deactivate a login authentication list.  Mode: Global Config Mode  Privilege Level: Administrator  Format: authlists disable <P-1> Parameter Value Meaning string <authlist_name> Name of an authentication list. 3 .2 show Display device options and settings.
Seite 494: Cla Ss Of Se Rvic E
Class Of Service 4.1 classofservice Cla ss Of Se r vic e 4 .1 cla ssofse r vic e Class of service configuration. 4 .1 .1 c la ssofse rvic e ip-dsc p-m a pping ip-dscp-mapping configuration  Mode: Global Config Mode ...
Seite 495 Class Of Service 4.1 classofservice RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 496 Class Of Service 4.1 classofservice Parameter Value Meaning af11 af12 af13 af21 af22 af23 af31 af32 af33 af41 af42 af43 RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 497: Classofservice Dot1P-Mapping
Class Of Service 4.2 show Parameter Value Meaning 0..7 Enter the Traffic Class value. 0..3 Enter the Traffic Class value. 4 .1 .2 c la ssofse rvic e dot 1 p-m a pping Enter a VLAN priority and the traffic class it should be mapped to. ...
Seite 498: Com M A Nd Line I Nt E Rfa C E (Cli )
Command Line Interface (CLI) 5.1 cli Com m a nd Line I nt e rfa c e (CLI ) 5 .1 Set the CLI preferences. 5 .1 .1 c li se ria l-t im e out Set login timeout for serial line connection to CLI. Setting to 0 will disable the timeout. The value is active after next login.
Seite 499: Show
Command Line Interface (CLI) 5.2 show 5 .2 show Display device options and settings. 5 .2 .1 show c li globa l Display the CLI preferences.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show cli global 5 .2 .2 show c li c om m a nd-t re e Display a list of every command.
Seite 500: Clock
Clock 6.1 clock Clock 6 .1 clock Configure local and DST clock settings. 6 .1 .1 c loc k se t Edit current local time.  Mode: Global Config Mode  Privilege Level: Administrator  Format: clock set <P-1> <P-2> Parameter Value Meaning YYYY-MM-DD...
Seite 501: Configurat Ion
Configuration 7.1 save Configurat ion 7 .1 save Save the configuration to the specified destination. 7 .1 .1 sa ve profile Save the configuration to the specific profile.  Mode: All Privileged Modes  Privilege Level: Operator  Format: save profile <P-1> Parameter Value Meaning string...
Seite 502: Config Envm Choose-Active
Configuration 7.2 config 7 .2 .5 c onfig e nvm c hoose -a c t ive Choose the active external non-volatile memory for copying firmware, logs, certificates etc. This does not affect loading and saving of the configuration.  Mode: Global Config Mode ...
Seite 503: Config Profile Select
Configuration 7.2 config 7 .2 .1 0 c onfig profile se le c t Select a configuration profile to be the active configuration.  Mode: Global Config Mode  Privilege Level: Administrator  Format: config profile select <P-1> <P-2> Parameter Value Meaning You can only select nvm for this command.
Seite 504: Copy
Configuration 7.3 copy 7 .3 c opy Copy different kinds of items. 7 .3 .1 c opy sysinfo syst e m e nvm Copy the system information to external non-volatile memory.  Mode: Privileged Exec Mode  Privilege Level: Operator ...
Seite 505: Copy Config Envm
Configuration 7.4 clear running-config: (Re)-load a configuration from non-volatile memory to the running-config. remote: Copy a configuration from non-volatile memory to a server. Parameter Value Meaning string Filename. string Enter a user-defined text, max. 128 characters. 7 .3 .8 c opy c onfig e nvm Copy a configuration from external non-volatile memory to non-volatile memory.
Seite 506: Show Running-Config Xml
Configuration 7.6 show 7 .5 .1 show running-c onfig x m l Display the currently running configuration (XML file).  Mode: Command is in all modes available.  Privilege Level: Administrator  Format: show running-config xml 7 .6 show Display device options and settings. 7 .6 .1 show c onfig e nvm se t t ings Display the settings of the external non-volatile memory.
Seite 507: 7.7 Swap
Configuration 7.7 swap 7 .7 sw a p Swap software images. 7 .7 .1 sw a p firm w a re syst e m ba c k up Swap the main and backup images.  Mode: Privileged Exec Mode  Privilege Level: Administrator ...
Seite 508: Devic E M Onit Oring
Device Monitoring 8.1 device-status Devic e M onit oring 8 .1 devic e -st at us Configure various device conditions to be monitored. 8 .1 .1 de vic e -st a t us m onit or link -fa ilure Enable or disable monitor state of network connection(s). ...
Seite 509: Device-Status Monitor Power-Supply
Device Monitoring 8.2 device-status 8 .1 .5 de vic e -st a t us m onit or pow e r-supply Enable or disable monitoring the condition of the power supply(s).  Mode: Global Config Mode  Privilege Level: Administrator  Format: device-status monitor power-supply <P-1>...
Seite 510: Show Device-Status State
Device Monitoring 8.3 show 8 .3 .2 show de vic e -st a t us st a t e Display the current state of the device.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show device-status state 8 .3 .3 show de vic e -st a t us t ra p Display the device trap information and configurations.
Seite 511: Devic E Se C Urit Y
Device Security 9.1 security-status Devic e Se c urit y 9 .1 se c urit y-st at us Configure the security status settings. 9 .1 .1 se c urit y-st a t us m onit or pw d-c ha nge Sets the monitoring of default password change for 'user' and 'admin'.
Seite 512: Security-Status Monitor Http-Enabled
Device Security 9.1 security-status 9 .1 .5 se c urit y-st a t us m onit or ht t p-e na ble d Sets the monitoring of the activation of http on the switch.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 513: 9.2 Security-Status
Device Security 9.2 security-status 9 .1 .1 0 se c urit y-st a t us m onit or hidisc -e na ble d Sets the monitoring of HiDiscovery.  Mode: Global Config Mode  Privilege Level: Administrator  Format: security-status monitor hidisc-enabled ...
Seite 514: Show
Device Security 9.3 show  no se c urit y-st a t us no-link Disable the option  Mode: Interface Range Mode  Privilege Level: Administrator  Format: no security-status no-link 9 .3 show Display device options and settings. 9 .3 .1 show se c urit y-st a t us m onit or Display the security status monitoring settings.
Seite 515: Domain Name System (Dns)
Domain Name System (DNS) 10.1 dns 1 0 Dom a in N a m e Syst e m (DN S) 1 0 .1 Set DNS parameters. 1 0 .1 .1 dns c a c hing-se rve r a dm inst a t e Enable or disable the DNS Caching Server.
Seite 516: Dns Client Servers Delete
Domain Name System (DNS) 10.1 dns Parameter Value Meaning 1..4 DNS Client servers index. A.B.C.D IP address. 1 0 .1 .6 dns c lie nt se rve rs de le t e Delete a DNS server.  Mode: Global Config Mode ...
Seite 517: 10.2 Show
Domain Name System (DNS) 10.2 show 1 0 .2 show Display device options and settings. 1 0 .2 .1 show dns c a c hing-se rve r info Display the DNS Caching Server information.  Mode: Command is in all modes available. ...
Seite 518: 1 1 Dos M It Igat Ion
DoS Mitigation 11.1 dos 1 1 DoS M it igat ion 1 1 .1 Manage DoS Mitigation 1 1 .1 .1 dos t c p-null Enables TCP Null scan protection - all TCP flags and TCP sequence number zero.  Mode: Global Config Mode ...
Seite 519: Dos Icmp-Fragmented
DoS Mitigation 11.1 dos 1 1 .1 .5 dos ic m p-fra gm e nt e d Enables fragmented ICMP protection.  Mode: Global Config Mode  Privilege Level: Operator  Format: dos icmp-fragmented  no dos ic m p-fra gm e nt e d Disable the option ...
Seite 520: 11Dos L4-Port
DoS Mitigation 11.2 show  no dos t c p-syn Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no dos tcp-syn 1 1 .1 .1 1 dos l4 -port Enables UDP or TCP source port equals destination port check. ...
Seite 521: 2 De E P Pa Cke T I Nspe C T Ion (Dpi )
Deep Packet Inspection (DPI) 12.1 dpi 1 2 De e p Pa cke t I nspe c t ion (DPI ) 1 2 .1 Creation and configuration of DPI profiles. 1 2 .1 .1 dpi m odbus c om m it Writes all changes made in the DPI MODBUS profiles to the enforcer.
Seite 522: Dpi Modbus Modifyprofile
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning 1..255 Function codes 1 - 255 1|0-65535 Function code read coils, coil address range 0 - 65535 2|0-65535 Function code read discrete inputs, input address range 0 - 65535 3|0-65535 Function code read holding registers, register address range 0 - 65535 4|0-65535 Function code read input registers, register address range 0 - 65535 5|0-65535...
Seite 523: Dpi Modbus Copyprofile
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning readonly Read only function codes for function code list readwrite Read write function codes for function code list programming Programming function codes for function code list All possible function codes for function code list (allow any function code) advanced Keeps the function code list from the previous selection and makes it editable by the user...
Seite 524: Dpi Modbus Enableprofile
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning 1..32 Profile index 1 - 32 1 2 .1 .6 dpi m odbus e na ble profile Enables a profile in the DPI MODBUS profile table. A profile can only be activated when all required parameters are set.
Seite 525: 11Dpi Opc Copyprofile
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning True False 0..60 Timeout in seconds 0 - 60 1 2 .1 .1 1 dpi opc c opyprofile Copies a profile to another DPI OPC profile.  Mode: Global Config Mode ...
Seite 526: 16Dpi Dnp3 Profile Modify
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning 0..255 Function codes for the DNP3 profile. Confirm Read Write Select Operate Direct Operate Direct Operate-No Response Required Freeze Freeze-No Response Required Freeze Clear Freeze Clear-No Response Required Freeze At Time Freeze At Time-No Response Required Cold Restart Warm Restart...
Seite 527: 17Dpi Dnp3 Profile Delete
Deep Packet Inspection (DPI) 12.1 dpi [crc-check]: CRC verification for DNP3 data link layer frames. [outstation-packets-check]: Check the DNP3 data packets originating at an outstation. [reset-tcp-check]: Reset the TCP connection in case of a protocol violation or if the plausibility check leads to errors.
Seite 528: 18Dpi Dnp3 Profile Enable
Deep Packet Inspection (DPI) 12.1 dpi Parameter Value Meaning 1..32 DNP3 profile index. 1 2 .1 .1 8 dpi dnp3 profile e na ble Enables a profile in the DPI DNP3 profile table. A profile can only be activated when all required parameters are set.
Seite 529: 23Dpi Dnp3 Object Delete
Deep Packet Inspection (DPI) 12.2 show Parameter Value Meaning string Qualifier code list, hexadecimal numbers separated by a comma(e.g numbers ranging between 0x00 to 0xFF). 1 2 .1 .2 3 dpi dnp3 obje c t de le t e Deletes an object from a DPI DNP3 rule. ...
Seite 530: Show Dpi Dnp3 Objectlist
Deep Packet Inspection (DPI) 12.2 show 1 2 .2 .7 show dpi dnp3 obje c t list Display the DPI DNP3 object list for a profile.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show dpi dnp3 objectlist <P-1> [<P-2>] Parameter Value Meaning 1..32...
Seite 531: 3 Filt E Ring Dat A Ba Se (Fdb)
Filtering Database (FDB) 13.1 mac-filter 1 3 Filt e ring Dat a ba se (FDB) 1 3 .1 m a c -filt e r 1 3 .1 .1 m a c -filt e r Static MAC filter configuration.  Mode: Global Config Mode ...
Seite 532: 13.5 Show
Filtering Database (FDB) 13.5 show 1 3 .5 show Display device options and settings. 1 3 .5 .1 show m a c -a ddr-t a ble Display the MAC address table.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 533: 4 Fire W A Ll Le A Rning M Ode (Flm )
Firewall Learning Mode (FLM) 14.1 flm 1 4 Fire w a ll Le a r ning M ode (FLM ) 1 4 .1 Configure the firewall learning mode. 1 4 .1 .1 flm ope ra t ion Enable/disable the firewall learning mode. ...
Seite 534: 14.2 Show
Firewall Learning Mode (FLM) 14.2 show 1 4 .2 .1 show flm globa l Display the information and settings for the firewall learning mode.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show flm global 1 4 .2 .2 show flm int e rfa c e Display the interfaces selected for the firewall learning mode.
Seite 535: H Idisc Ove Ry
HiDiscovery 15.1 network 1 5 H iDisc ove r y 1 5 .1 ne t w ork Configure the inband and outband connectivity. 1 5 .1 .1 ne t w ork hidisc ove ry ope ra t ion Enable/disable the HiDiscovery protocol on this device. ...
Seite 536: 6 H Ype R T Ex T Tra Nsfe R Prot Oc Ol (H T T P)
Hypertext Transfer Protocol (HTTP) 16.1 http 1 6 H ype r t ex t Tra nsfe r Prot oc ol (H T T P) 1 6 .1 ht t p Set HTTP parameters. 1 6 .1 .1 ht t p port Set the HTTP port number.
Seite 537: 7 H T T P Se C Ure (H T T Ps)
HTTP Secure (HTTPS) 17.1 https 1 7 H T T P Se c ure (H T T PS) 1 7 .1 ht t ps Set HTTPS parameters. 1 7 .1 .1 ht t ps se rve r Enable or disable the HTTPS server. ...
Seite 538: Copy Httpscert Envm
HTTP Secure (HTTPS) 17.3 show Parameter Value Meaning string Enter a user-defined text, max. 128 characters. 1 7 .2 .2 c opy ht t psc e rt e nvm Copy X509/PEM certificate from external non-volatile memory to the specified destination. ...
Seite 539: 8 I Nt E Rfa C E
Interface 18.1 shutdown 1 8 I nt e rfa c e 1 8 .1 shut dow n 1 8 .1 .1 shut dow n Enable or disable the interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: shutdown ...
Seite 540: Linktraps
Interface 18.4 cable-crossing 1 8 .4 c a ble -c rossing 1 8 .4 .1 c a ble -c rossing Cable crossing settings on the interface. The cable crossing settings have no effect if auto-negotiation is enabled. In this case cable crossing is always set to auto. Cable crossing is set to the value chosen by the user if auto- negotiation is disabled.
Seite 541: 18.8 Power-State
Interface 18.8 power-state 1 8 .8 pow e r-st at e 1 8 .8 .1 pow e r-st a t e Enable or disable the power state on the interface. The interface power state settings have no effect if the interface admin state is enabled.
Seite 542: 18.12 Show
Interface 18.12 show 1 8 .1 2 show Display device options and settings.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 543: 1 9 I Nt E Rfa C E St At Ist Ic S
Interface Statistics 19.1 utilization 1 9 I nt e rfa c e St at ist ic s 1 9 .1 ut ilizat ion Configure the interface utilization parameters. 1 9 .1 .1 ut iliza t ion c ont rol-int e rva l Add interval time to monitor the bandwidth utilization of the interface.
Seite 544: Show Interface Statistics
Interface Statistics 19.3 show 1 9 .3 .2 show int e rfa c e st a t ist ic s Display the summary interface statistics.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show interface statistics [<P-1>] Parameter Value Meaning slot no./port no.
Seite 545: 2 0 I Nt E R N
Intern 20.1 help 2 0 I nt e r n 2 0 .1 he lp Display the help text for various special keys.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: help 2 0 .2 logout Exit this session.
Seite 546: 20.6 Exit
Intern 20.6 exit 2 0 .6 ex it Exit from vlan mode.  Mode: VLAN Mode  Privilege Level: Operator  Format: exit 2 0 .7 e nd Exit to exec mode.  Mode: Interface Range Mode  Privilege Level: Operator ...
Seite 547: 20.11 Reboot
Intern 20.11 reboot 2 0 .1 1 reboot Reset the device (cold start).  Mode: All Privileged Modes  Privilege Level: any  Format: reboot 2 0 .1 2 ping Send ICMP echo packets to a specified IP address. 2 0 .1 2 .1 ping c ount Number of retries.
Seite 548: 1 Ope N Short E St Pa T H First (Ospf)
Open Shortest Path First (OSPF) 21.1 ip 2 1 Ope n Shor t e st Pat h First (OSPF) 2 1 .1 Set IP parameters. 2 1 .1 .1 ip ospf a re a Administer the OSPF areas. An area is a sub-division of an OSPF autonomous system. You identify an area by an area-id.
Seite 549 Open Shortest Path First (OSPF) 21.1 ip nssa: Configure a NSSA(Not-So-Stubby-Area). add: Add a NSSA. delete: Delete a NSSA. modify: Modify the parameters of a NSSA. translator: Configure the NSSA translator related parameters. role: Configure the NSSA translator role. stability-interval: Configure the translator stability interval for the NSSA, in seconds. summary: Configure the import summary for the specified NSSA.
Seite 550: Ip Ospf Trapflags All
Open Shortest Path First (OSPF) 21.1 ip  no ip ospf a re a Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no ip ospf area <P-1> range add modify delete add delete stub add modify summarylsa default-cost delete virtual-link add delete modify authentication type key key-id hello-interval dead-interval transmit-delay retransmit-interval nssa add delete modify translator role stability-interval summary no-...
Seite 551: Ip Ospf Router-Id
Open Shortest Path First (OSPF) 21.1 ip  no ip ospf de fa ult -m e t ric Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no ip ospf default-metric <P-1> 2 1 .1 .6 ip ospf rout e r-id Configure the router ID to uniquely identify this OSPF router in the autonomous system.
Seite 552: 12Ip Ospf Auto-Cost
Open Shortest Path First (OSPF) 21.1 ip 2 1 .1 .1 2 ip ospf a ut o-c ost Set the auto cost reference bandwidth of the router interfaces for ospf metric calculations. The default reference bandwidth is 100 Mbps.  Mode: Global Config Mode ...
Seite 553: 17Ip Ospf Distribute-List
Open Shortest Path First (OSPF) 21.2 ip  no ip ospf re -dist ribut e Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no ip ospf re-distribute <P-1> [metric] [metric-type] [tag] [subnets] 2 1 .1 .1 7 ip ospf dist ribut e -list Configure the distribute list for the routes from other source protocols.
Seite 554: Ip Ospf Area-Id
Open Shortest Path First (OSPF) 21.2 ip 2 1 .2 .2 ip ospf a re a -id Configure the area ID that uniquely identifies the area to which the interface is connected.  Mode: Interface Range Mode  Privilege Level: Operator ...
Seite 555: Ip Ospf Dead-Interval
Open Shortest Path First (OSPF) 21.2 ip Parameter Value Meaning 1..65535 Enter a number between 1 and 65535 2 1 .2 .8 ip ospf de a d-int e rva l Configure the OSPF dead-interval for the interface, in seconds. If the timer expires without the router receiving hello packets from the neighbor, the router declares the neighbor router as down.
Seite 556: 21.3 Show
Open Shortest Path First (OSPF) 21.3 show 2 1 .3 show Display device options and settings. 2 1 .3 .1 show ip ospf globa l Display the OSPF global configurations.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 557: Show Ip Ospf Virtual-Neighbor
Open Shortest Path First (OSPF) 21.3 show 2 1 .3 .9 show ip ospf virt ua l-ne ighbor Display the OSPF Virtual-link neighbor information  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show ip ospf virtual-neighbor 2 1 .3 .1 0 show ip ospf ne ighbor Display the OSPF neighbor related information.
Seite 558: Ip Vrrp Operation
Virtual Router Redundancy Protocol (VRRP) 22.1 ip 2 2 V ir t ua l Rout e r Re dunda ncy Prot oc ol (V RRP) 2 2 .1 Set IP parameters. 2 2 .1 .1 ip vrrp ope ra t ion Enables or disables VRRP globally on the device.
Seite 559: Ip Vrrp Modify
Virtual Router Redundancy Protocol (VRRP) 22.2 ip Parameter Value Meaning 1..254 Enter a priority value. 1..255 Enter a number in the given range. 2 2 .2 .2 ip vrrp m odify Modify parameters of a VRRP instance.  Mode: Interface Range Mode ...
Seite 560: Ip Vrrp Track Add
Virtual Router Redundancy Protocol (VRRP) 22.3 show 2 2 .2 .8 ip vrrp t ra c k a dd Add a tracking object to the vrrp instance.  Mode: Interface Range Mode  Privilege Level: Operator  Format: ip vrrp track add <P-1> <P-2> [decrement <P-3>] [decrement]: Configure the decrement value.
Seite 561: Address Resolution Protocol (Ip Arp)
Address Resolution Protocol (IP ARP) 23.1 ip 2 3 Addre ss Re solut ion Prot oc ol (I P ARP) 2 3 .1 Set IP parameters. 2 3 .1 .1 ip a rp a dd Add a static arp entry. ...
Seite 562: Ip Arp Retries
Address Resolution Protocol (IP ARP) 23.2 show 2 3 .1 .7 ip a rp re t rie s Configure ARP count of maximum requests for retries.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip arp retries <P-1> Parameter Value Meaning 0..10...
Seite 563: Internet Protocol Version 4 (Ipv4)
Internet Protocol Version 4 (IPv4) 24.1 network 2 4 I nt e r ne t Prot oc ol Ve rsion 4 (I Pv4 ) 2 4 .1 ne t w ork Configure the inband and outband connectivity. 2 4 .1 .1 ne t w ork pa rm s Set network address, netmask and gateway ...
Seite 564: Link Layer Discovery Protocol (Lldp)
Link Layer Discovery Protocol (LLDP) 25.1 lldp 2 5 Link La ye r Disc ove r y Prot oc ol (LLDP) 2 5 .1 lldp Configure of Link Layer Discovery Protocol. 2 5 .1 .1 lldp ope ra t ion Enable or disable the LLDP operational state.
Seite 565: Lldp Config Chassis Tx-Interval
Link Layer Discovery Protocol (LLDP) 25.2 show Parameter Value Meaning 2..10 Enter a number in the given range. 2 5 .1 .7 lldp c onfig c ha ssis t x -int e rva l Enter the LLDP transmit interval in seconds. ...
Seite 566: Lldp Fdb-Mode
Link Layer Discovery Protocol (LLDP) 25.3 lldp 2 5 .3 .2 lldp fdb-m ode Configure the LLDP FDB mode for this interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: lldp fdb-mode <P-1> Parameter Value Meaning lldp-only Collected remote data will be based on received LLDP frames only.
Seite 567: Lldp Tlv Mgmt-Addr
Link Layer Discovery Protocol (LLDP) 25.3 lldp  no lldp t lv m a x -fra m e -size Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no lldp tlv max-frame-size <P-1> 2 5 .3 .7 lldp t lv m gm t -a ddr Enable or disable mgmt-addr TLV transmission.
Seite 568: 11Lldp Tlv Sys-Cap
Link Layer Discovery Protocol (LLDP) 25.3 lldp 2 5 .3 .1 1 lldp t lv sys-c a p Enable or disable system capabilities TLV transmission.  Mode: Interface Range Mode  Privilege Level: Operator  Format: lldp tlv sys-cap <P-1> Parameter Value Meaning [cr]...
Seite 569 Link Layer Discovery Protocol (LLDP) 25.3 lldp  no lldp t lv prot oc ol-ba se d-vla n Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no lldp tlv protocol-based-vlan RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 570: 6 Logging 1
Logging 26.1 logging 2 6 Logging 2 6 .1 logging Logging configuration. 2 6 .1 .1 logging a udit -t ra il Add a comment for the audit trail.  Mode: Global Config Mode  Privilege Level: Administrator  Format: logging audit-trail <P-1> Parameter Value Meaning string...
Seite 571: Logging Host Delete
Logging 26.1 logging Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately. Unrecoverable failure of a component. System failure likely. critical Recoverable failure of a component that may lead to system failure. error Error conditions.
Seite 572: Logging Syslog Operation
Logging 26.1 logging Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately. Unrecoverable failure of a component. System failure likely. critical Recoverable failure of a component that may lead to system failure. error Error conditions.
Seite 573: 11Logging Console Operation
Logging 26.1 logging Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately. Unrecoverable failure of a component. System failure likely. critical Recoverable failure of a component that may lead to system failure. error Error conditions.
Seite 574: 14Logging Persistent Numfiles
Logging 26.2 show  no logging pe rsist e nt ope ra t ion Disable the option  Mode: Global Config Mode  Privilege Level: Administrator  Format: no logging persistent operation 2 6 .1 .1 4 logging pe rsist e nt num file s Enter the maximum number of log files.
Seite 575: Show Logging Traplogs
Logging 26.3 copy 2 6 .2 .2 show logging t ra plogs Display the trap log entries.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show logging traplogs 2 6 .2 .3 show logging c onsole Display the console logging configurations.
Seite 576: Copy Traplog System Envm
Logging 26.4 clear remote: Copy the persistent logs from the device to a file server. Parameter Value Meaning string Enter a user-defined text, max. 32 characters. string Enter a user-defined text, max. 32 characters. string Enter a user-defined text, max. 128 characters. 2 6 .3 .4 c opy t ra plog syst e m e nvm Copy the traplog from the device to external non-volatile memory.
Seite 577: Clear Eventlog
Logging 26.4 clear 2 6 .4 .3 c le a r e ve nt log Clear the event log entries from memory.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: clear eventlog RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 578: 7 M A Na Ge M E Nt Ac C E Ss 1
Management Access 27.1 network 2 7 M a na ge m e nt Ac c e ss 2 7 .1 ne t w ork Configure the inband and outband connectivity. 2 7 .1 .1 ne t w ork m a na ge m e nt a c c e ss w e b t im e out Set the web interface idle timeout.
Seite 579: Network Management Access Operation
Management Access 27.2 show Parameter Value Meaning 0..32 Prefix length netmask. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 2 7 .1 .5 ne t w ork m a na ge m e nt a c c e ss ope ra t ion Enable/Disable operation for RMA.
Seite 580: N E T W Ork Addre Ss T Ra Nsla T Ion (N At )
Network Address Translation (NAT) 28.1 nat 2 8 N e t w ork Addre ss Tra nslat ion (N AT ) 2 8 .1 Manage NAT rules 2 8 .1 .1 na t dna t c om m it Commit pending changes for DNAT (commits all NAT changes). ...
Seite 581: Nat Dnat Delete
Network Address Translation (NAT) 28.1 nat Parameter Value Meaning a.b.c.d Source IP address a.b.c.d/n CIDR mask !a.b.c.d !<a.b.c.d> Everything BUT this address !a.b.c.d/n !<a.b.c.d/n> Everything BUT this CIDR mask any Any number number UDP/TCP Source Port nu-nu nu-nu Port Range nu,nu-nu nu,nu-nu List of ports (or port ranges) any Any port (or protocol without a port)
Seite 582: Nat Dnat If Add
Network Address Translation (NAT) 28.1 nat 2 8 .1 .7 na t dna t if a dd Add Interface  Mode: Global Config Mode  Privilege Level: Operator  Format: nat dnat if add <P-1> <P-2> <P-3> Parameter Value Meaning slot no./port no.
Seite 583: 12Nat 1To1Nat Delete
Network Address Translation (NAT) 28.1 nat Parameter Value Meaning slot no./port no. string Rule description/name 2 8 .1 .1 2 na t 1 t o1 na t de le t e Delete the rule from 1:1 NAT  Mode: Global Config Mode ...
Seite 584: 17Nat Masq Modify
Network Address Translation (NAT) 28.1 nat 2 8 .1 .1 7 na t m a sq m odify Configure single Masquerading rule  Mode: Global Config Mode  Privilege Level: Operator  Format: nat masq modify <P-1> <P-2> <P-3> <P-4> [<P-5>] Parameter Value Meaning 1..128...
Seite 585: 22Nat Masq If Add
Network Address Translation (NAT) 28.1 nat 2 8 .1 .2 2 na t m a sq if a dd Add interface  Mode: Global Config Mode  Privilege Level: Operator  Format: nat masq if add <P-1> <P-2> <P-3> Parameter Value Meaning slot no./port no.
Seite 586: 28Nat Doublenat Logtrap
Network Address Translation (NAT) 28.2 show 2 8 .1 .2 8 na t double na t logt ra p Set log/trap for Double NAT rule  Mode: Global Config Mode  Privilege Level: Operator  Format: nat doublenat logtrap <P-1> <P-2> <P-3> Parameter Value Meaning 1..255...
Seite 587: Show Nat Dnat Rules
Network Address Translation (NAT) 28.2 show 2 8 .2 .2 show na t dna t rule s Display the DNAT rules.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show nat dnat rules [<P-1>] Parameter Value Meaning 1..255...
Seite 588: 10Show Nat 1To1Nat Rules
Network Address Translation (NAT) 28.2 show 2 8 .2 .1 0 show na t 1 t o1 na t rule s Display the 1:1 NAT rules.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show nat 1to1nat rules [<P-1>] Parameter Value Meaning 1..256...
Seite 589: N E T W Ork T Im E Prot Oc Ol (N T P)
Network Time Protocol (NTP) 29.1 ntp 2 9 N e t w ork T im e Prot oc ol (N T P) 2 9 .1 nt p Configure NTP settings. 2 9 .1 .1 nt p c lie nt ope ra t ion Enable or disable the NTP client.
Seite 590: Ntp Peers Delete
Network Time Protocol (NTP) 29.2 show [burst]: Increase the precision on links with high jitter (default: disabled). Used only in client-unicast mode. [prefer]: If correctly operating, choose this peer as synchronization source (default: disabled). Parameter Value Meaning 1..4 NTP servers index. A.B.C.D IP address.
Seite 591: Pa Cke T -Filt E R
Packet Filter 30.1 packet-filter 3 0 Pa cke t Filt e r 3 0 .1 pa cke t -filt e r Creation and configuration of Firewall rules. 3 0 .1 .1 pa c k e t -filt e r l3 c om m it Writes all changes made in the L3 firewall configuration to the device ...
Seite 592: Packet-Filter L3 Modifyrule
Packet Filter 30.1 packet-filter Parameter Value Meaning string Parameters for rule (or 'none') accept Accept packets drop Drop packets without notification reject Drop packets and notify source enforce-modbus Accept or drop packets by Modbus TCP/IP enforcer, protocol should be tcp or udp enforce-opc Accept or drop packets by opc enforcer, protocol should be tcp enforce-iec104...
Seite 593: Packet-Filter L3 Disablerule
Packet Filter 30.1 packet-filter Parameter Value Meaning 1..2048 Rule index 3 0 .1 .8 pa c k e t -filt e r l3 disa ble rule Disables a rule from L3 rule table  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 594: 13Packet-Filter L3 Disableif
Packet Filter 30.2 clear 3 0 .1 .1 3 pa c k e t -filt e r l3 disa ble if Disables an interface of a L3 firewall rule  Mode: Global Config Mode  Privilege Level: Operator  Format: packet-filter l3 disableif <P-1> <P-2> <P-3> Parameter Value Meaning slot no./port no.
Seite 595: Show Packet-Filter L3 Pending
Packet Filter 30.3 show 3 0 .3 .6 show pa c k e t -filt e r l3 pe nding Display whether uncommitted changes for L3 exist.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show packet-filter l3 pending RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 596: Password Management
Password Management 31.1 passwords 3 1 Pa ssw ord M a na ge m e nt 3 1 .1 pa ssw ords Manage password policies and options. 3 1 .1 .1 pa ssw ords m in-le ngt h Set minimum password length for user passwords. ...
Seite 597: Passwords Login-Attempt-Period
Password Management 31.2 show 3 1 .1 .7 pa ssw ords login-a t t e m pt -pe riod The time period [minutes] in which the number of failed authentication attempts is counted. Value 0 disables this functionality.  Mode: Global Config Mode ...
Seite 598: 2 Ra Dius 1
Radius 32.1 radius 3 2 Ra dius 3 2 .1 ra dius Configure RADIUS parameters. 3 2 .1 .1 ra dius se rve r a t t ribut e 4 Specifies the RADIUS client to use the NAS-IP Address attribute in the RADIUS requests. ...
Seite 599: Radius Server Retransmit
Radius 32.2 show Parameter Value Meaning enable Enable the option. disable Disable the option. string Enter a user-defined text, max. 128 characters. string Enter a user-defined text, max. 128 characters. 3 2 .1 .5 ra dius se rve r re t ra nsm it Configure the retransmit value for the RADIUS server.
Seite 600: 32.3 Clear
Radius 32.3 clear 3 2 .3 .1 c le a r ra dius Clear the RADIUS statistics.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: clear radius <P-1> Parameter Value Meaning statistics Clear the RADIUS statistics. RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 601: Remote Authentication
Remote Authentication 33.1 ldap 3 3 Re m ot e Aut he nt ic at ion 3 3 .1 lda p Configure LDAP settings. 3 3 .1 .1 lda p ope ra t ion Enable or disable the remote authentication operation. ...
Seite 602: Ldap Bind-User
Remote Authentication 33.1 ldap Parameter Value Meaning string Enter a user-defined text, max. 64 characters. 3 3 .1 .7 lda p bind-use r Bind-account user name for LDAP query at the external AD server.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 603: 13Ldap Client Server Disable
Remote Authentication 33.1 ldap 3 3 .1 .1 3 lda p c lie nt se rve r disa ble Disable a LDAP client server connection.  Mode: Global Config Mode  Privilege Level: Administrator  Format: ldap client server disable <P-1> Parameter Value Meaning 1..4...
Seite 604: 18Ldap Mapping Disable
Remote Authentication 33.2 show 3 3 .1 .1 8 lda p m a pping disa ble Deactivate a LDAP role mapping entry.  Mode: Global Config Mode  Privilege Level: Administrator  Format: ldap mapping disable <P-1> Parameter Value Meaning 1..64 Enter a number in the given range.
Seite 605 Remote Authentication 33.3 copy Parameter Value Meaning string Enter a user-defined text, max. 128 characters. string Enter a user-defined text, max. 100 characters. RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 606: Script File
Script File 34.1 script 3 4 Sc ript File 3 4 .1 sc ript CLI Script File. 3 4 .1 .1 sc ript a pply Executes the CLI script file available in the device.  Mode: Privileged Exec Mode  Privilege Level: Administrator ...
Seite 607: Copy Script Remote
Script File 34.3 show Parameter Value Meaning string Enter a user-defined text, max. 32 characters. 3 4 .2 .2 c opy sc ript re m ot e Copy script file from server to specified destination.  Mode: Privileged Exec Mode ...
Seite 608: 5 Se Lft E St 1
Selftest 35.1 selftest 3 5 Se lft e st 3 5 .1 se lft e st Configure the selftest settings. 3 5 .1 .1 se lft e st a c t ion Configure the action that a selftest component should take. ...
Seite 609: 35.2 Show
Selftest 35.2 show 3 5 .2 show Display device options and settings. 3 5 .2 .1 show se lft e st a c t ion Display the actions the device takes if an error occurs.  Mode: Command is in all modes available. ...
Seite 610: Small Form-Factor Pluggable (Sfp)
Small Form-factor Pluggable (SFP) 36.1 show 3 6 Sm a ll For m -fa c t or Plugga ble (SFP) 3 6 .1 show Display device options and settings. 3 6 .1 .1 show sfp Display the information about the plugged SFP modules. ...
Seite 611: 7 Signa L Cont A C T 1
Signal Contact 37.1 signal-contact 3 7 Signa l Cont a c t 3 7 .1 signa l-c ont a c t Configure the signal contact settings. 3 7 .1 .1 signa l-c ont a c t m ode Configure the Signal Contact mode setting. ...
Seite 612: Signal-Contact Monitor Temperature
Signal Contact 37.1 signal-contact  no signa l-c ont a c t m onit or e nvm -re m ova l Disable the option  Mode: Global Config Mode  Privilege Level: Administrator  Format: no signal-contact <P-1> monitor envm-removal 3 7 .1 .5 signa l-c ont a c t m onit or t e m pe ra t ure Sets the monitoring of the device temperature.
Seite 613: Signal-Contact Link-Alarm
Signal Contact 37.2 signal-contact 3 7 .2 signa l-c ont a c t Configure the signal contact interface settings. 3 7 .2 .1 signa l-c ont a c t link -a la rm Configure the monitoring of the specific network ports. ...
Seite 614: Simple Network Management Protocol (Snmp)
Simple Network Management Protocol (SNMP) 38.1 snmp 3 8 Sim ple N e t w ork M a na ge m e nt Prot oc ol (SN M P) 3 8 .1 snm p Configure of SNMP versions and traps. 3 8 .1 .1 snm p a c c e ss ve rsion v1 Enable or disable SNMP version V1.
Seite 615: 38.2 Show
Simple Network Management Protocol (SNMP) 38.2 show 3 8 .2 .1 show snm p a c c e ss Display the SNMP access configuration settings.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show snmp access RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 616: 9 Sn M P Com M Unit Y 1
SNMP Community 39.1 snmp 3 9 SN M P Com m unit y 3 9 .1 snm p Configure of SNMP versions and traps. 3 9 .1 .1 snm p c om m unit y ro SNMP v1/v2 read-only community. ...
Seite 617: 0 Sn M P Logging 1
SNMP Logging 40.1 logging 4 0 SN M P Logging 4 0 .1 logging Logging configuration. 4 0 .1 .1 logging snm p-re que st ge t ope ra t ion Enable or disable logging of SNMP GET or SET requests. ...
Seite 618: 40.2 Show
SNMP Logging 40.2 show 4 0 .1 .4 logging snm p-re que st se t se ve rit y Define severity level.  Mode: Global Config Mode  Privilege Level: Administrator  Format: logging snmp-request set severity <P-1> Parameter Value Meaning emergency System is unusable.
Seite 619: Se C Ure She Ll (Ssh )
Secure Shell (SSH) 41.1 ssh 4 1 Se c ure She ll (SSH ) 4 1 .1 Set SSH parameters. 4 1 .1 .1 ssh se rve r Enable or disable the SSH server.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 620: 41.2 Copy
Secure Shell (SSH) 41.2 copy Parameter Value Meaning Configure md5 fingerprint of the existing SSH host key sha256 Configure sha256 fingerprint of the existing SSH host key. 4 1 .2 c opy Copy different kinds of items. 4 1 .2 .1 c opy sshk e y re m ot e Copy the SSH key from a server to the specified destination.
Seite 621: 2 St Orm Cont Rol 1
Storm Control 42.1 storm-control 4 2 St or m Cont rol 4 2 .1 st or m -c ont rol Configure the global storm-control settings. 4 2 .1 .1 st orm -c ont rol flow -c ont rol Enable or disable flow control globally. ...
Seite 622: Storm-Control Ingress Unicast Threshold
Storm Control 42.3 show 4 2 .2 .4 st orm -c ont rol ingre ss unic a st t hre shold Set the threshold value for unicast frames with unknown destination.  Mode: Interface Range Mode  Privilege Level: Operator ...
Seite 623: Show Storm-Control Flow-Control
Storm Control 42.3 show 4 2 .3 .1 show st orm -c ont rol flow -c ont rol Global flow control status.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show storm-control flow-control 4 2 .3 .2 show st orm -c ont rol ingre ss Display the storm control ingress parameters.
Seite 624: 3 Syst E M 1
System 43.1 system 4 3 Syst e m 4 3 .1 syst e m Set system related values e.g. name of the device, location of the device, contact data for the person responsible for the device, and pre-login banner text. 4 3 .1 .1 syst e m na m e Edit the name of the device.
Seite 625: System Resources Operation
System 43.2 temperature 4 3 .1 .6 syst e m re sourc e s ope ra t ion Enable or disable the measurement operation.  Mode: Global Config Mode  Privilege Level: Administrator  Format: system resources operation  no syst e m re sourc e s ope ra t ion Disable the option ...
Seite 626: Show System Flash-Status
System 43.3 show 4 3 .3 .4 show syst e m fla sh-st a t us Display the flash memory statistics of the device.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show system flash-status 4 3 .3 .5 show syst e m t e m pe ra t ure lim it s Display the temperature limits.
Seite 627: 4 T Ra C K Ing 1
Tracking 44.1 track 4 4 Tra ck ing 4 4 .1 t ra ck Configure tracking instances on the device. 4 4 .1 .1 t ra c k a dd Create a tracking instance.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 628: Track Description
Tracking 44.1 track Parameter Value Meaning interface interface tracking ping ping tracking logical logical tracking 1..256 Enter a number in the given range.  no t ra c k t ra p Disable the option  Mode: Global Config Mode ...
Seite 629: Track Modify Logical
Tracking 44.2 show 4 4 .1 .9 t ra c k m odify logic a l Modify the configuration of a logical tracking instance.  Mode: Global Config Mode  Privilege Level: Operator  Format: track modify logical <P-1> <P-2> <P-3> <P-4> Parameter Value Meaning slot no./port no.
Seite 630: 5 L3 Re La Y 1
L3 Relay 45.1 ip 4 5 L3 Re la y 4 5 .1 Set IP parameters. 4 5 .1 .1 ip udp-he lpe r ope ra t ion Enable or disable the IP helper and DHCP relay.  Mode: Global Config Mode ...
Seite 631: Ip Udp-Helper Maxhopcount
L3 Relay 45.2 ip Parameter Value Meaning A.B.C.D IP address. 4 5 .1 .6 ip udp-he lpe r m a x hopc ount Configure the DHCP relay maximum hop count.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip udp-helper maxhopcount <P-1>...
Seite 632: Ip Udp-Helper Server Enable
L3 Relay 45.3 show 4 5 .2 .3 ip udp-he lpe r se rve r e na ble Enable a relay agent to process DHCP client requests and UDP broadcast packets received on a specific interface.  Mode: Interface Range Mode ...
Seite 633: 45.4 Clear
L3 Relay 45.4 clear 4 5 .4 .1 c le a r ip udp-he lpe r Reset IP helper and DHCP relay statistics.  Mode: Privileged Exec Mode  Privilege Level: Operator  Format: clear ip udp-helper RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 634: 6 T Ra Ps 1
Traps 46.1 snmp 4 6 Tra ps 4 6 .1 snm p Configure of SNMP versions and traps. 4 6 .1 .1 snm p t ra p ope ra t ion Global enable/disable SNMP trap.  Mode: Global Config Mode ...
Seite 635: 46.2 Show
Traps 46.2 show 4 6 .2 .1 show snm p t ra ps Display the SNMP traps.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show snmp traps RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 636: Unicast Routing
Unicast Routing 47.1 routing 4 7 U nic a st Rout ing 4 7 .1 rout ing Create routing on VLAN. 4 7 .1 .1 rout ing a dd Enable routing on VLAN  Mode: VLAN Database Mode  Privilege Level: Operator ...
Seite 637: Show Ip Global
Unicast Routing 47.4 show 4 7 .3 .1 show ip globa l Display the summary information of the IP, including the ICMP rate limit configuration and the global ICMP Redirect configuration.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 638: Ip Address Secondary
Unicast Routing 47.6 ip 4 7 .5 .3 ip a ddre ss se c onda ry Designates whether an IP Address is a secondary address on this interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: ip address secondary <P-1> <P-2> Parameter Value Meaning A.B.C.D...
Seite 639: Ip Route Add
Unicast Routing 47.6 ip 4 7 .6 .1 ip rout e a dd Add a static route entry.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip route add <P-1> <P-2> <P-3> [preference <P-4>] [preference]: Change the preference value of a route. Parameter Value Meaning A.B.C.D...
Seite 640: Ip Default-Route Add
Unicast Routing 47.6 ip Parameter Value Meaning A.B.C.D IP address. 4 7 .6 .7 ip de fa ult -rout e a dd Add a static default route entry.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip default-route add <P-1> [preference <P-2>] [preference]: Change the preference value of a route.
Seite 641: 47.7 Show
Unicast Routing 47.7 show 4 7 .6 .1 3 ip loopba c k de le t e Disable a loopback interface.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip loopback delete <P-1> Parameter Value Meaning 1..8 Enter the loopback id in the given range.
Seite 642: Show Ip Route Local
Unicast Routing 47.7 show 4 7 .7 .2 show ip rout e loc a l Display the local routes.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show ip route local 4 7 .7 .3 show ip rout e st a t ic Display the static routes.
Seite 643: 8 U Se Rs 1
Users 48.1 users 4 8 U se rs 4 8 .1 use rs Manage Users and User Accounts. 4 8 .1 .1 use rs a dd Add a new user.  Mode: Global Config Mode  Privilege Level: Administrator  Format: users add <P-1>...
Seite 644: Users Snmpv3 Encryption
Users 48.2 show 4 8 .1 .7 use rs snm pv3 e nc rypt ion Specify encryption settings for a user.  Mode: Global Config Mode  Privilege Level: Administrator  Format: users snmpv3 encryption <P-1> <P-2> Parameter Value Meaning string <user>...
Seite 645: 49.1 Name
Virtual LAN (VLAN) 49.1 name 4 9 V ir t ua l LAN (V LAN ) 4 9 .1 na m e 4 9 .1 .1 na m e Assign a name to a VLAN  Mode: VLAN Database Mode ...
Seite 646: Vlan Pvid
Virtual LAN (VLAN) 49.3 vlan  no vla n ingre ssfilt e r Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no vlan ingressfilter 4 9 .3 .3 vla n priorit y Configure the priority for untagged frames. ...
Seite 647: 49.4 Show
Virtual LAN (VLAN) 49.4 show 4 9 .4 show Display device options and settings. 4 9 .4 .1 show vla n id Display the configuration of a single specified VLAN.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 648: Network Management Priority Ip-Dscp
Virtual LAN (VLAN) 49.5 network 4 9 .5 .3 ne t w ork m a na ge m e nt priorit y ip-dsc p Configure the management VLAN ip-dscp priority of the switch.  Mode: Privileged Exec Mode  Privilege Level: Operator ...
Seite 649: 50.1 Ipsec
Virtual Private Network (VPN) 50.1 ipsec 5 0 V ir t ua l Privat e N e t w ork (V PN ) 5 0 .1 ipse c Configure IPsec VPN settings. 5 0 .1 .1 ipse c c e rt ific a t e de le t e Delete a certificate uploaded to the device.
Seite 650 Virtual Private Network (VPN) 50.1 ipsec informational: Enable or disable debug of informational messages. not-handled: Enable or disable debug of not handled messages. access: IPsec VPN access. [method]: Authentication method to be used. [pre-shared-key]: Preshared key (passphrase). [local-type]: Type of local peer identifier. [local-id]: Local peer identifier.
Seite 651 Virtual Private Network (VPN) 50.1 ipsec Parameter Value Meaning P-17 initiator Initiates an IKE at startup. responder Peer starts the IKE initiation. 0..86400 P-18 Interval between liveness messages in seconds, 0 to disable. 300..86400 P-19 Lifetime of IKE SA in seconds (Max. 24h). P-20 main Initiates or Accepts main mode only.
Seite 652: Ipsec Connection Status
Virtual Private Network (VPN) 50.1 ipsec Parameter Value Meaning P-31 Accept all algorithms as responder, use default as initiator. des3 Triple-DES aes128 AES with 128 key bits. aes192 AES with 192 key bits. aes256 AES with 256 key bits. aes128ctr AES-COUNTER with 128 key bits.
Seite 653: 50.2 Show
Virtual Private Network (VPN) 50.2 show [name]: Traffic selector ID. [source-net]: Source address for the traffic selector. [source-restriction]: Source restriction for the traffic selector [dest-net]: Destination address for the traffic selector. [dest-restriction]: Destination restriction for the traffic selector. status: Enable or disable an existing traffic selector. Parameter Value Meaning 1..256...
Seite 654: Show Ipsec Connections Certificates
Virtual Private Network (VPN) 50.2 show 5 0 .2 .4 show ipse c c onne c t ions c e rt ific a t e s IPsec connection certificates.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 655 Virtual Private Network (VPN) 50.2 show Parameter Value Meaning 1..100 Certificate Table Index. RM CLI EAGLE20/30 Release 03.5 09/2020...
Seite 656: Further Support
You find the addresses of our partners on the Internet at www.hirschmann.com. A list of local telephone numbers and email addresses for technical support directly from Hirschmann is available at hirschmann-support.belden.com. This site also includes a free of charge knowledge base and a software download section.
Seite 657 Readers’ Comments 50.2 show Re a de rs’ Com m e nt s What is your opinion of this manual? We are constantly striving to provide as comprehensive a description of our product as possible, as well as important information to assist you in the operation of this product. Your comments and suggestions help us to further improve the quality of our documentation.
Seite 658 Readers’ Comments 50.2 show Street: Zip code / City: E-mail: Date / Signature: Dear User, Please fill out and return this page  as a fax to the number +49 (0)7127/14-1600 or  per mail to Hirschmann Automation and Control GmbH Department 01RD-NT Stuttgarter Str.
Seite 660 Anwender-Handbuch Konfiguration Industrial Security Router EAGLE20/30 UM Config EAGLE Technische Unterstützung Release 03.5 08/2020 https://hirschmann-support.belden.com...
Seite 661 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2020 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 662 Inhalt Inhalt Sicherheitshinweise............9 Über dieses Handbuch .
Seite 663 Inhalt Benutzerverwaltung ............57 3.4.1 Berechtigungen .
Seite 664 Inhalt SNMPv1/v2 ausschalten ............106 HTTP ausschalten .
Seite 665 Inhalt Routing ..............165 13.1 Konfiguration .
Seite 666 Inhalt 14.5 Port-Zustandsanzeige ............256 14.6 Portereignis-Zähler.
Seite 667 Inhalt UM Config EAGLE Release 03.5 08/2020...
Seite 668: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 669 Sicherheitshinweise UM Config EAGLE Release 03.5 08/2020...
Seite 670: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 671: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 672: Ersetzen Eines Defekten Geräts
Ersetzen eines defekten Geräts Ersetzen eines defekten Geräts Das Gerät bietet folgende Plug-and-Play-Lösungen, um ein defektes Gerät durch ein Gerät des gleichen Typs zu ersetzen: Das neue Gerät lädt das Konfigurationsprofil des ersetzten Geräts vom externen Speicher.  Siehe „Konfigurationsprofil aus dem externen Speicher laden” auf Seite 91. Bei jeder Lösung erhält das neue Gerät beim Neustart die gleichen IP-Einstellungen, die das ersetzte Gerät zuvor hatte.
Seite 673 Ersetzen eines defekten Geräts UM Config EAGLE Release 03.5 08/2020...
Seite 674: Benutzeroberflächen
Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Web-Browser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Seite 675: Command Line Interface
Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten.
Seite 676 Benutzeroberflächen 1.2 Command Line Interface Abb. 1: PuTTY-Eingabemaske In das Feld fügen Sie die IP-Adresse Ihres Geräts ein. Host Name (or IP address)  Die IP-Adresse besteht aus 4 Dezimalzahlen im Wert von bis 255. Die 4 Dezimalzahlen sind durch einen Punkt getrennt. Um den Verbindungstyp auszuwählen, wählen Sie in der Optionsliste das Opti- Connection type...
Seite 677: Zugriff Auf Das Command Line Interface Über Die Serielle Schnittstelle
Benutzeroberflächen 1.2 Command Line Interface login as: admin admin@192.168.1.5’s password: Copyright (c) 2011-2020 Hirschmann Automation and Control GmbH All rights reserved EAGLE Release 03.5 (Build date 2020-08-02 19:17) System Name EAGLE-FD122E Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 Base MAC EC:E5:55:01:02:03 System Time 2020-01-01 17:39:01...
Seite 678 Benutzeroberflächen 1.2 Command Line Interface Gehen Sie wie folgt vor: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ verbinden  Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken Sie eine beliebige Taste. Alternativ erstellen Sie die serielle Datenverbindung zum Gerät über die serielle Schnittstelle mit ...
Seite 679: Modus-Basierte Kommando-Hierarchie
Benutzeroberflächen 1.2 Command Line Interface Copyright (c) 2011-2020 Hirschmann Automation and Control GmbH All rights reserved EAGLE Release 03.5 (Build date 2020-08-02 19:17) System Name EAGLE-FD122E Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 Base MAC EC:E5:55:01:02:03 System Time 2020-01-01 17:39:01 NOTE: Enter '?' for Command Help.
Seite 680 Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT login logout Die User Exec Kommandos Eingeschränkte sind auch im User Exec Modus Funktion Privileged Exec Modus verfügbar. enable exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen vlan serviceshell...
Seite 681 Benutzeroberflächen 1.2 Command Line Interface – Alle physikalischen Ports des Gerätes Kommando-Prompt: (EAGLE) ((interface) all)# Beispiel: Beim Wechsel vom Global Config Modus in den Interface Range Modus ändert sich das Kommando-Prompt wie folgt: (EAGLE) (config)#interface all (EAGLE) ((Interface)all)# – Einzelner Port an einem Interface Kommando-Prompt: (EAGLE) (interface <slot/port>)# Beispiel: Beim Wechsel vom Global Config Modus in den Interface Range Modus ändert sich...
Seite 682 Benutzeroberflächen 1.2 Command Line Interface Tab. 2: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus VLAN-Modus Aus dem Privileged Exec Modus Um den VLAN-Modus zu beenden und in geben Sie den Befehl den Privileged Exec Modus zurückzu- vlan database ein.
Seite 683: Ausführen Von Kommandos
Benutzeroberflächen 1.2 Command Line Interface 1.2.5 Ausführen von Kommandos Syntaxanalyse Nach Anmelden mit dem Command Line Interface befinden Sie sich im User Exec Modus. Das Command Line Interface gibt das Prompt auf dem Bildschirm aus. (EAGLE)> Wenn Sie ein Kommando eingeben und die <Eingabetaste> drücken, startet das Command Line Interface die Syntax-Analyse.
Seite 684: Aufbau Eines Kommandos
Benutzeroberflächen 1.2 Command Line Interface 1.2.6 Aufbau eines Kommandos Dieser Abschnitt beschreibt Syntax, Konventionen und Terminologie und stellt diese anhand von Beispielen dar. Format der Kommandos Ein Großteil der Kommandos enthält Parameter. Fehlt der Kommando-Parameter, zeigt das Command Line Interface einen Hinweis auf eine erkannte fehlerhafte Syntax des Befehls.
Seite 685 Benutzeroberflächen 1.2 Command Line Interface Parameter Die Reihenfolge der Parameter ist für die korrekte Syntax eines Kommandos relevant. Parameter sind notwendige Werte, optionale Werte, Auswahlen oder eine Kombination davon. Die Darstellung zeigt die Art des Parameters. Tab. 3: Parameter- und Kommando-Syntax Kommandos in spitzen Klammern (<>) sind obligatorisch.
Seite 686 Benutzeroberflächen 1.2 Command Line Interface Tab. 4: Parameterwerte im Command Line Interface Wert Beschreibung number Ganze Zahl im angegebenen Bereich, zum Beispiel 0..999999. date Datum im Format YYYY-MM-DD. time Zeit im Format HH:MM:SS. Netzadressen Netzadressen sind Voraussetzung beim Aufbau einer Datenverbindung zu einer entfernten Arbeitsstation, einem Server oder einem anderen Netz.
Seite 687: Beispiele Für Kommandos
Benutzeroberflächen 1.2 Command Line Interface 1.2.7 Beispiele für Kommandos Beispiel 1: clear arp-table-switch Kommando zum Löschen der ARP-Tabelle des Management-Agenten (Cache). ist die Befehlsbezeichnung. Das Kommando ist ohne weitere Parameter clear arp-table-switch durch Drücken der <Enter>-Taste ausführbar. Beispiel 2: radius server timeout Kommando, um die Zeitüberschreitung des RADIUS Servers zu konfigurieren.
Seite 688: Eingabeprompt
Benutzeroberflächen 1.2 Command Line Interface 1.2.8 Eingabeprompt Kommandomodus Das Command Line Interface zeigt durch das Eingabeprompt, in welchem der Modi Sie sich befinden:  (EAGLE) > User Exec Modus  (EAGLE) # Privileged Exec Modus  (EAGLE) (config)# Global Config Modus ...
Seite 689 Benutzeroberflächen 1.2 Command Line Interface Wildcards Das Gerät ermöglicht Ihnen, den Prompt der Befehlszeile zu ändern. Das Command Line Interface unterstützt die folgenden Platzhalter: Tab. 6: Verwendung von Wildcards am Eingabeprompt des Command Line Interfaces Wildcard Beschreibung Systemdatum Systemzeit IP-Adresse des Geräts MAC-Adresse des Gerätes Produktbezeichnung des Geräts !(EAGLE)>enable...
Seite 690: Tastaturkombinationen
Benutzeroberflächen 1.2 Command Line Interface 1.2.9 Tastaturkombinationen Die folgenden Tastaturkombinationen erleichtern Ihnen die Arbeit mit dem Command Line Inter- face: Tab. 7: Tastenkombinationen im Command Line Interface Tastaturkombination Beschreibung <STRG> + <H>, <Zurück Letztes Zeichen löschen (Backspace)> <STRG> + <A> Zum Zeilenanfang gehen <STRG>...
Seite 691 Benutzeroberflächen 1.2 Command Line Interface (EAGLE) #help HELP: Special keys: Ctrl-H, BkSp delete previous character Ctrl-A ..go to beginning of line Ctrl-E ..go to end of line Ctrl-F ..go forward one character Ctrl-B ..go backward one character Ctrl-D ..
Seite 692: Eingabehilfen
Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein ...
Seite 693: Anwendungsfälle
Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Um Ihre aktuelle Konfiguration zu speichern, gehen Sie wie folgt vor: Wechseln Sie mit in den Privileged Exec Modus.
Seite 694: Arbeiten Mit Der Service Shell
Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Service Shell Die Service Shell dient ausschließlich zu Service-Zwecken. Die Service Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen.
Seite 695: Service Shell Permanent Im Gerät Deaktivieren
Benutzeroberflächen 1.2 Command Line Interface Service Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Fügen Sie ein und drücken die <Enter>-Taste.  help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 696 Benutzeroberflächen 1.2 Command Line Interface – Fügen Sie ein und drücken die <Enter>-Taste. – Fügen Sie ein und drücken die <Enter>-Taste. Dieser Schritt ist unumkehrbar!  Drücken Sie die <Y>-Taste. !EAGLE >enable !*EAGLE #serviceshell deactivate Notice: If you continue, then the Service Shell is permanently deactivated. This step is irreversible! For details, refer to the Configuration Manual.
Seite 697: System-Monitor
Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen  Betriebssystem aktualisieren  Betriebssystem starten  Konfigurationsprofile löschen, Gerät auf Lieferzustand zurücksetzen ...
Seite 698 Benutzeroberflächen 1.3 System-Monitor System Monitor 1 (Selected OS: ...-03.5 (2020-08-02 19:17)) Manage operating system Update operating system Start selected operating system Manage configurations Show boot code information End (reset and reboot) sysMon1> Abb. 9: Bildschirmansicht System Monitor 1 Wählen Sie durch Eingabe der Zahl den gewünschten Menüpunkt aus. ...
Seite 699 Benutzeroberflächen 1.3 System-Monitor UM Config EAGLE Release 03.5 08/2020...
Seite 700: Ip-Parameter Festlegen
IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts benötigen Sie die IP-Parameter. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface.  Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
Seite 701 IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry)  Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens)  Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 702: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
Seite 703: Classless Inter-Domain Routing
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 704: Ip-Parameter Mit Dem Command Line Interface Festlegen
IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface fest- legen 2.2.1 IPv4 Es gibt folgende Möglichkeiten, die IP-Parameter einzugeben: HiDiscovery-Protokoll  Externer Speicher  Command Line Interface über eine serielle Verbindung  Das Gerät ermöglicht Ihnen, die IP-Parameter über das HiDiscovery-Protokoll oder über die seri- elle Schnittstelle mit Hilfe des Command Line Interfaces festzulegen.
Seite 705 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Anmerkung: Sollten Sie in der Nähe des Installationsortes kein Terminal oder keinen PC mit Terminalemulation zur Verfügung haben, können Sie das Gerät an ihrem Arbeitsplatz konfigurieren und danach an seinen endgültigen Installationsort bringen. Stellen Sie eine Verbindung zu dem Gerät her.
Seite 706: Ip-Parameter Mit Hidiscovery Festlegen
IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen IP-Parameter mit HiDiscovery festlegen Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzu- weisen. Die anderen Parameter konfigurieren Sie komfortabel über die grafische Benutzeroberfläche. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Sie finden die Software auf der Produkt- DVD, die Sie mit dem Gerät erhalten haben.
Seite 707 IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen Anmerkung: Schalten Sie die HiDiscovery-Funktion im Geräts aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben. Anmerkung: Speichern Sie die Einstellungen, sodass die Eingaben nach einem Neustart wieder zur Verfügung stehen. UM Config EAGLE Release 03.5 08/2020...
Seite 708: Ip-Parameter Mit Grafischer Benutzeroberfläche Festlegen
IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche fest- legen 2.4.1 IPv4 Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Netz > Global.  In diesem Dialog legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist, und konfigurieren den HiDiscovery-Zugang.
Seite 709 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen UM Config EAGLE Release 03.5 08/2020...
Seite 710: Zugriff Auf Das Gerät
Zugriff auf das Gerät 3.1 Berechtigungen 3 Zugriff auf das Gerät Berechtigungen Die Funktionen des Gerätes, die Ihnen als Benutzer zur Verfügung stehen, hängen von Ihrer Berechtigungsstufe ab. Der Funktionsumfang einer Berechtigungsstufe ist für Sie verfügbar, wenn Sie als Benutzer mit dieser Berechtigungsstufe angemeldet sind. Die Kommandos, die Ihnen als Benutzer zur Verfügung stehen, sind außerdem abhängig vom Modus des Command Line Interface, in welchem Sie sich gerade befinden.
Seite 711: Erste Anmeldung (Passwortänderung)
Passwort zu bestätigen. Melden Sie sich mit Ihrem neuen Passwort erneut an.  Anmerkung: Wenn Sie Ihr Passwort vergessen haben, verwenden Sie den System-Monitor, um das Passwort zurückzusetzen. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE Release 03.5 08/2020...
Seite 712: Web Interface
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Authentifizierungs-Listen Eine Authentifizierungs-Liste enthält die Richtlinien, die das Gerät für die Authentifizierung anwendet, wenn ein Benutzer über eine bestimmte Verbindung auf das Gerät zugreift. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Seite 713: 3.3 Authentifizierungs-Listen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen 3.3.3 Authentifizierungs-Listen verwalten Die Authentifizierungs-Listen verwalten Sie in der grafischen Benutzeroberfläche oder im Command Line Interface. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste.  Der Dialog zeigt die eingerichteten Authentifizierungs-Listen. Zeigt die eingerichteten Authentifizierungs-Listen.
Seite 714: Einstellungen Anpassen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen 3.3.4 Einstellungen anpassen Beispiel: Richten Sie eine eigenständige Authentifizierungs-Liste für die Anwendung WebInterface ein, die per Voreinstellung in der Authentifizierungs-Liste defaultLoginAuthList enthalten ist. Das Gerät leitet Authentifizierungsanfragen an einen RADIUS-Server im Netz weiter. Als Fallback-Lösung authentifiziert das Gerät die Benutzer über die lokale Benutzerverwaltung.
Seite 715 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Klicken Sie die Schaltfläche .  Die rechte Spalte zeigt jetzt die Anwendung WebInterface. Klicken Sie die Schaltfläche Ok.  Der Dialog zeigt die aktualisierten Einstellungen: – Die Spalte Zugeordnete Anwendungen der Authentifizierungs-Liste loginGUI zeigt die Anwendung WebInterface.
Seite 716: Benutzerverwaltung
Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie local siehe Dialog...
Seite 717 Zugriff auf das Gerät 3.4 Benutzerverwaltung Jedes Benutzerkonto ist mit einer Berechtigung verknüpft, das den Zugriff auf die einzelnen Funk- tionen des Geräts reguliert. Abhängig von der vorgesehenen Tätigkeit des jeweiligen Benutzers weisen Sie ihm eine vordefinierte Berechtigung zu. Das Gerät unterscheidet die folgenden Berech- tigungen.
Seite 718: Benutzerkonten Verwalten
Zugriff auf das Gerät 3.4 Benutzerverwaltung Tab. 10: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten Auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog Diagnose > Bericht > Audit Trail zu speichern.
Seite 719: Voreinstellung
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.3 Voreinstellung Im Lieferzustand sind die Benutzerkonten im Gerät eingerichtet. admin user Tab. 11: Voreinstellungen der werkseitig eingerichteten Benutzerkonten Parameter Voreinstellung Benutzername admin user private public Passwort administrator guest Rolle Benutzer gesperrt unmarkiert unmarkiert Richtlinien überprüfen unmarkiert unmarkiert...
Seite 720 Zugriff auf das Gerät 3.4 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inac- tive Legt für das Benutzerkonto <user>...
Seite 721: Neues Benutzerkonto Einrichten
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.5 Neues Benutzerkonto einrichten Weisen Sie Benutzern, die auf das Management des Geräts zugreifen, jeweils ein eigenes Benut- zerkonto zu. Auf diese Weise haben Sie die Möglichkeit, die Berechtigungen für die Zugriffe diffe- renziert zu steuern. Im folgenden Beispiel werden wir das Benutzerkonto für einen Benutzer mit der Rolle USER...
Seite 722: Benutzerkonto Deaktivieren
Zugriff auf das Gerät 3.4 Benutzerverwaltung Anmerkung: Denken Sie daran, das Passwort zuzuweisen, wenn Sie ein neues Benutzerkonto im Command Line Interface einrichten. 3.4.6 Benutzerkonto deaktivieren Nach Deaktivieren eines Benutzerkontos verweigert das Gerät Zugriffe des zugehörigen Benutzers auf das Management des Geräts. Im Gegensatz zum vollständigen Löschen ermöglicht Ihnen das Deaktivieren, die Einstellungen des Benutzerkontos für eine künftige Wiederverwendung beizube- halten.
Seite 723: Richtlinien Für Passwörter Anpassen
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen, die Passwörter der Benutzerkonten auf Einhaltung vorgegebener Richtlinien zu prüfen. Durch Einhaltung der Richtlinien erzielen Sie Passwörter mit höherer Komplexität. Die Benutzerverwaltung des Geräts ermöglicht Ihnen, die Prüfung in jedem Benutzerkonto indivi- duell ein- oder auszuschalten.
Seite 724 Zugriff auf das Gerät 3.4 Benutzerverwaltung Legt die Richtlinie für die Mindestanzahl von passwords min-special-chars 1 Sonderzeichen im Passwort fest. Legt die Richtlinie für die Mindestanzahl von Groß- passwords min-uppercase-chars 1 buchstaben im Passwort fest. Zeigt die eingerichteten Richtlinien. show passwords Speichern der Einstellungen im permanenten Spei- save cher (nvm) im „ausgewählten”...
Seite 725: Ldap
Zugriff auf das Gerät 3.5 LDAP LDAP Server-Administratoren verwalten Active Directorys, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Seite 726: Beispiel-Konfiguration
Zugriff auf das Gerät 3.5 LDAP 3.5.2 Beispiel-Konfiguration Das Gerät ist in der Lage, eine verschlüsselte Verbindung zu einem lokalen Server ausschließlich über den Server-Namen oder zu einem Server in einem anderen Netz über eine IP-Adresse herzu- stellen. Der Server-Administrator verwendet Attribute zur Identifizierung der Anmeldeinformationen eines Benutzers und für die Zuordnung von individuellen Berechtigungsstufen und Gruppenbe- rechtigungsstufen.
Seite 727 Zugriff auf das Gerät 3.5 LDAP Öffnen Sie den Dialog Gerätesicherheit > Authentifizierungs-Liste.  Um das Gerät so zu konfigurieren, dass es bei der Anmeldung über die grafische Benut-  zeroberfläche die Benutzeranmeldeinformationen zuerst aus dem Active Directory abruft, legen Sie für die Liste defaultLoginAuthList in Spalte den Wert...
Seite 728 Zugriff auf das Gerät 3.5 LDAP Öffnen Sie den Dialog Gerätesicherheit > LDAP > Rollen-Zuweisung.  Um einen Tabelleneintrag hinzuzufügen, klicken Sie die Schaltfläche  Wenn ein Benutzer sich mit konfiguriertem und aktiviertem LDAP anmeldet, sucht das Gerät im Active Directory nach den Anmeldeinformationen für den Benutzer. Wenn das Gerät fest- stellt, dass Benutzername und Passwort korrekt sind, sucht das Gerät nach dem Wert, den Sie in die Spalte festgelegt haben.
Seite 729 Zugriff auf das Gerät 3.5 LDAP Fügen Sie für die Rolle einen Eintrag zur Operator ldap mapping add 1 access-role operator mapping-type attribute mapping- Zuordnung der Remote-Authentifizierungsrolle parameter OPERATOR hinzu. Ordnen Sie die Rolleoperator dem Attribut zu, welches das Wort OPERATOR enthält.
Seite 730: 3.6 Snmp-Zugriff
Zugriff auf das Gerät 3.6 SNMP-Zugriff SNMP-Zugriff Das Protokoll SNMP ermöglicht Ihnen, mit einem Netzmanagementsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.6.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Seite 731: Snmpv3-Zugriff
Zugriff auf das Gerät 3.6 SNMP-Zugriff 3.6.2 SNMPv3-Zugriff Mit SNMPv3 kommunizieren das Netzmanagementsystem und das Gerät verschlüsselt. Das Netz- managementsystem authentifiziert sich gegenüber dem Gerät mit den Zugangsdaten eines Benut- zers. Voraussetzung für den SNMPv3-Zugriff ist, dass im Netzmanagementsystem dieselben Einstellungen wie im Gerät festgelegt sind.
Seite 732: Vpn - Virtuelles Privates Netz
VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 733 VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus  Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
Seite 734: Ike - Internet Key Exchange
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange IKE – Internet Key Exchange IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
Seite 735: Zertifikat Mit Openssl Erzeugen
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange 4.2.3 Zertifikat mit OpenSSL erzeugen Die Verwendung von OpenSSL ermöglicht Ihnen, ein Serverzertifikat zu erzeugen und zu signieren, das für die VPN-Authentifizierung verwendet wird. Um ein Zertifikat zu erzeugen, führen Sie die folgenden Schritte durch. Sie benötigen einen Text- editor, der Unix-Zeilenumbrüche korrekt verarbeitet, zum Beispiel das Programm Notepad++.
Seite 736 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange Die OpenSSL-Anwendung ermöglicht Ihnen außerdem, andere Zertifikatstypen zu erzeugen. Um die möglichen Zertifikatstypen anzuzeigen, öffnen Sie die Anwendung openssl.exe Verzeichnis c:\OpenSSL\bin, und fügen Sie im Fenster das Zeichen ein. Command Prompt Um eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erzeugen und zu ...
Seite 737: Anwendungsbeispiele
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Anwendungsbeispiele Die folgenden Beispiele beschreiben die Besonderheiten in häufig verwendeten Anwendungen. 4.3.1 2 Subnetze miteinander verbinden In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, konfigurieren Sie das VPN dahingehend, dass das VPN im Tunnelmodus betrieben wird.
Seite 738 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Transfernetz 10.0.2.0/24 10.0.1.0/24 10.0.3.0/24 intern extern extern intern Abb. 17: 2 Subnetze über ein Transfernetz miteinander verbinden Führen Sie die folgenden Schritte aus: Erzeugen Sie eine VPN-Verbindung.  Öffnen Sie den Dialog Virtuelles Privates Netz > Verbindungen.
Seite 739 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Legen Sie im Dialog die folgenden Einstellungen fest: Add traffic selector  Den Wert in Spalte Traffic selector index  Das Gerät gibt die Indexnummer ein und ermöglicht Ihnen außerdem, die Index- nummer zu ändern. Den Wert Any Traffic in Spalte...
Seite 740 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Geben Sie die IKE-Schlüsselaustauschparameter ein.  Das Gerät verwendet die im Dialog festgelegten Werte. In diesem Advanced configuration Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen lautet die Voreinstellung für das Feld 540 s.
Seite 741 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele UM Config EAGLE Release 03.5 08/2020...
Seite 742: Konfigurationsprofile Verwalten
Konfigurationsprofile verwalten 5.1 Geänderte Einstellungen erkennen 5 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen zusätzlich in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 743 Konfigurationsprofile verwalten 5.1 Geänderte Einstellungen erkennen show config status Configuration Storage sync State -------------------------------- NV to ACA........out of sync UM Config EAGLE Release 03.5 08/2020...
Seite 744: 5.2 Einstellungen Speichern
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Einstellungen speichern 5.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 745: Einstellungen In Konfigurationsprofil Kopieren
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Einstellungen in Konfigurationsprofil kopieren Das Gerät ermöglicht Ihnen, die im flüchtigen Speicher (RAM) gespeicherten Einstellungen anstatt im „ausgewählten“ Konfigurationsprofil in ein anderes Konfigurationsprofil zu kopieren. Auf diese Weise erzeugen Sie im permanenten Speicher (NVM) ein neues oder überschreiben ein vorhan- denes Konfigurationsprofil.
Seite 746: Konfigurationsprofil Auswählen
Konfigurationsprofile verwalten 5.2 Einstellungen speichern Konfigurationsprofil auswählen Wenn der permanente Speicher (NVM) mehrere Konfigurationsprofile enthält, haben Sie die Möglichkeit, dort ein beliebiges Konfigurationsprofil auszuwählen. Das Gerät speichert die Einstel- lungen im „ausgewählten“ Konfigurationsprofil. Das Gerät lädt die Einstellungen des „ausge- wählten“...
Seite 747: Konfigurationsprofil Im Externen Speicher Speichern
Konfigurationsprofile verwalten 5.2 Einstellungen speichern 5.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Speicher. In der Voreinstellung ist Ausgewählter externer die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 748 Konfigurationsprofile verwalten 5.2 Einstellungen speichern Um das Konfigurationsprofil auf Ihren PC zu exportieren, führen Sie die folgenden Schritte aus: Klicken Sie den Link in Spalte Profilname.  Wählen Sie den Speicherort und legen den Dateinamen fest.  Klicken Sie die Schaltfläche Ok. ...
Seite 749: Einstellungen Laden
Konfigurationsprofile verwalten 5.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 5.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Seite 750: Konfigurationsprofil Aus Dem Externen Speicher Laden
Konfigurationsprofile verwalten 5.3 Einstellungen laden 5.3.2 Konfigurationsprofil aus dem externen Speicher laden Wenn der externe Speicher angeschlossen ist, dann lädt das Gerät beim Neustart automatisch ein Konfigurationsprofil aus dem externen Speicher. Das Gerät ermöglicht Ihnen, diese Einstellungen wieder in einem Konfigurationsprofil im permanenten Speicher zu speichern. Wenn der externe Speicher das Konfigurationsprofil eines baugleichen Geräts enthält, haben Sie die Möglichkeit, auf diese Weise die Einstellungen von einem Gerät in ein anderes zu übertragen.
Seite 751: Konfigurationsprofil Importieren
Konfigurationsprofile verwalten 5.3 Einstellungen laden 5.3.3 Konfigurationsprofil importieren Das Gerät ermöglicht Ihnen, ein als XML-Datei gespeichertes Konfigurationsprofil von einem Server zu importieren. Wenn Sie die grafische Benutzeroberfläche verwenden, dann können Sie die XML-Datei direkt von Ihrem PC importieren. Voraussetzungen: Um die Datei auf einem Server zu speichern, benötigen Sie einen eingerichteten Server im ...
Seite 752 Konfigurationsprofile verwalten 5.3 Einstellungen laden Um das Konfigurationsprofil aus dem externen Speicher zu importieren, führen Sie die folgenden Schritte aus: Wählen Sie im Rahmen memory, Dropdown-Liste Import profile from external Profilname  Namen des zu importierenden Konfigurationsprofils. Voraussetzung ist, dass der externe Speicher ein exportiertes Konfigurationsprofil enthält. Legen Sie im Rahmen fest, wo das Gerät das importierte Konfigurationsprofil spei- Ziel...
Seite 753: Gerät Auf Lieferzustand Zurücksetzen
Konfigurationsprofile verwalten 5.4 Gerät auf Lieferzustand zurücksetzen Gerät auf Lieferzustand zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 754 Konfigurationsprofile verwalten 5.4 Gerät auf Lieferzustand zurücksetzen Um das Kommando auszuführen, drücken Sie die Taste <1>.  Clear configs and boot params Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste.  Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM).
Seite 755 Konfigurationsprofile verwalten 5.4 Gerät auf Lieferzustand zurücksetzen UM Config EAGLE Release 03.5 08/2020...
Seite 756: Neueste Software Laden
Neueste Software laden 6.1 Software-Update vom PC 6 Neueste Software laden Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com.
Seite 757 Neueste Software laden 6.1 Software-Update vom PC Außerdem haben Sie die Möglichkeit, die Datei von Ihrem PC per SFTP oder SCP auf das Gerät zu übertragen: Öffnen Sie auf Ihrem PC einen SFTP- oder SCP-Client, zum Beispiel WinSCP.  Öffnen Sie mit dem SFTP- oder SCP-Client eine Verbindung zum Gerät. ...
Seite 758: Software-Update Von Einem Server
Neueste Software laden 6.2 Software-Update von einem Server Software-Update von einem Server Für ein Software-Update mit SFTP oder SCP benötigen Sie einen Server, auf dem die Image-Datei der Geräte-Software abgelegt ist. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 759: Software-Update Aus Dem Externen Speicher
Neueste Software laden 6.3 Software-Update aus dem externen Speicher Software-Update aus dem externen Speicher 6.3.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software mit wenigen Mausklicks zu aktualisieren. Voraus- setzung ist, dass sich die Image-Datei der Geräte-Software im externen Speicher befindet. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 760 Neueste Software laden 6.3 Software-Update aus dem externen Speicher – Existiert die Image-Datei, die in der Datei startup.txt angegeben ist? – Ist die Software-Version der Image-Datei aktueller als die gegenwärtig im Gerät ausgeführte Software? Wenn die Kriterien erfüllt sind, startet das Gerät den Update-Vorgang. Die gegenwärtig ausgeführte Geräte-Software kopiert das Gerät in den Backup-Bereich.
Seite 761: Frühere Software-Version Laden
Neueste Software laden 6.4 Frühere Software-Version laden Frühere Software-Version laden Das Gerät ermöglicht Ihnen, die Geräte-Software durch eine frühere Version zu ersetzen. Nach dem Ersetzen der Geräte-Software bleiben die Grundeinstellungen im Gerät erhalten. Anmerkung: Die Einstellungen von Funktionen, die ausschließlich in der neueren Geräte-Soft- ware-Version zur Verfügung stehen, gehen verloren.
Seite 762: Ports Konfigurieren
Ports konfigurieren 7.1 Port ein-/ausschalten 7 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten  Betriebsart wählen  Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 763: Betriebsart Wählen
Ports konfigurieren 7.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Automatische Konfiguration. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Port, Registerkarte Konfiguration. Grundeinstellungen >...
Seite 764: Unterstützung Beim Schutz Vor Unberechtigtem Zugriff
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.1 SNMPv1/v2-Community ändern 8 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Seite 765: Snmpv1/V2 Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Seite 766: Http Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Seite 767: Hidiscovery-Zugriff Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Seite 768: 8.5 Ip-Zugriffsbeschränkung Aktivieren
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren IP-Zugriffsbeschränkung aktivieren Per Voreinstellung erreichen Sie das Management des Geräts von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle. Die IP-Zugriffsbeschränkung ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf ausgewählte IP-Adressbereiche und auf ausgewählte IP-basierte Protokolle zu beschränken.
Seite 769 Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung.  Heben Sie für den Eintrag in Spalte die Markierung des Kontrollkästchens auf. Aktiv  Dieser Eintrag ermöglicht Benutzern den Zugriff auf das Gerät von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle.
Seite 770 Unterstützung beim Schutz vor unberechtigtem Zugriff 8.5 IP-Zugriffsbeschränkung aktivieren Netzmaske des Mobilfunknetzes festlegen. network management access modify 3 mask SNMP für den Adressbereich des Mobilfunknetzes network management access modify 3 snmp disable deaktivieren. Schritt für jedes ungewünschte Protokoll wieder- holen. Voreingestellten Eintrag deaktivieren.
Seite 771: Session-Timeouts Anpassen
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität eines angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: Command Line Interface: Sessions über eine SSH-Verbindung ...
Seite 772: Session-Timeout Für Die Grafische Benutzeroberfläche
Unterstützung beim Schutz vor unberechtigtem Zugriff 8.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Web.  Legen Sie im Rahmen Konfiguration, Feld Web-Interface Session-Timeout [min] die Timeout- ...
Seite 773 Unterstützung beim Schutz vor unberechtigtem Zugriff 8.6 Session-Timeouts anpassen UM Config EAGLE Release 03.5 08/2020...
Seite 774: Datenverkehr Kontrollieren
Datenverkehr kontrollieren 9 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 775: Paketfilter
Datenverkehr kontrollieren 9.1 Paketfilter Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Regeln Routing Paket- Paket- 1:1 NAT Masquerading NAT Destination NAT filter filter Double NAT Double NAT MAC-basierte ACL IP-basierte ACL Switching-Chipsatz Netz 1 Netz 2...
Seite 776 Datenverkehr kontrollieren 9.1 Paketfilter Die entsprechenden Werte können Sie in der Tabelle des Dialogs Netzsicherheit > Paketfilter > Regel konfigurieren. Bei Filterung nach dem Zustand eines Paketes prüft das Gerät die Kriterien, die Sie optional im Dialog Regel, Feld festlegen. Netzsicherheit >...
Seite 777: Anwendungsbeispiel Für Paketfilter
Datenverkehr kontrollieren 9.1 Paketfilter Wenn keine der von Ihnen konfigurierten Regeln auf ein Datenpaket zutrifft oder wenn Sie keine individuellen Regeln konfiguriert haben, wendet der Paketfilter eine Standard-Regel an. Hierbei stehen drei mögliche Standard-Regeln zur Verfügung: Tab. 14: Behandlung gefilterter Datenpakete Regel Funktion Das Gerät leitet das Datenpaket entsprechend der Adressinformati-...
Seite 778 Datenverkehr kontrollieren 9.1 Paketfilter Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist. Die Firewall soll dabei helfen, den Datenstrom zwischen der Fertigungszelle und dem restlichen Firmennetz zu unterbinden. Einzig der Datenstrom zwischen dem Roboter und dem PC des Fertigungssteuerers darf frei fließen.
Seite 779 Datenverkehr kontrollieren 9.1 Paketfilter Um die Regel zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche  Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Zuweisung.  Um die Regel einem Interface zuzuordnen, klicken Sie die Schaltfläche und dann ...
Seite 780 Datenverkehr kontrollieren 9.1 Paketfilter Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche  Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Global.  Um die Regeln auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche  dann den Eintrag Änderungen anwenden. UM Config EAGLE Release 03.5 08/2020...
Seite 781: Unterstützung Beim Schutz Vor Denial Of Service (Dos)
Datenverkehr kontrollieren 9.2 Unterstützung beim Schutz vor Denial of Service (DoS) Unterstützung beim Schutz vor Denial of Service (DoS) Mit dieser Funktion unterstützt Sie das Gerät beim Schutz gegen ungültigen oder gefälschten Datenpaketen, der auf den Ausfall bestimmter Dienste oder Geräte abzielt. Sie haben die Möglich- keit, Filter festzulegen, die den Datenstrom zum Schutz vor Denial-of-Service-Angriffen begrenzen.
Seite 782: Acl
Datenverkehr kontrollieren 9.3 ACL In diesem Menü haben Sie die Möglichkeit, die Parameter für die Access-Control-Listen (ACL) einzufügen. Das Gerät verwendet ACLs, um Datenpakete zu filtern, die es in VLANs oder auf einzelnen oder mehreren Ports empfängt. In einer ACL legen Sie Regeln fest, anhand derer das Gerät Datenpa- kete filtert.
Seite 783: Erzeugen Und Bearbeiten Von Ipv4-Regeln
Datenverkehr kontrollieren 9.3 ACL Das Menü enthält die folgenden Dialoge: ACL IPv4-Regel  ACL MAC-Regel  ACL Zuweisung  Diese Dialoge bieten folgende Möglichkeiten: Die Regeln für die einzelnen ACL-Typen festlegen.  Die Regeln mit den erforderlichen Prioritäten versehen.  Die ACLs den Ports oder VLANs zuweisen.
Seite 784: Erzeugen Und Konfigurieren Einer Ip-Acl Im Command Line Interface
Datenverkehr kontrollieren 9.3 ACL 9.3.2 Erzeugen und Konfigurieren einer IP-ACL im Command Line Interface In dem folgenden Beispiel konfigurieren Sie ACLs dahingehend, dass sie Kommunikation von Rechnern B und C zu Rechner A über IP (TCP, UDP usw.) blockieren. IP: 10.0.1.11/24 IP: 10.0.1.13/24 Port 1 Port 3...
Seite 785: Erzeugen Und Bearbeiten Von Mac-Regeln
Datenverkehr kontrollieren 9.3 ACL Verlässt den Interface-Modus. exit Zeigt die Zuweisung der IP-ACL mit ID 1. show acl ip assignment 1 Zeigt die Zuweisung der IP-ACL mit ID 2. show acl ip assignment 2 9.3.3 Erzeugen und Bearbeiten von MAC-Regeln Beim Filtern von MAC-Datenpaketen ermöglicht Ihnen das Gerät: Erzeugen von neuen Gruppen und Regeln ...
Seite 786: Erzeugen Und Konfigurieren Einer Mac-Acl Im Command Line Interface
Datenverkehr kontrollieren 9.3 ACL 9.3.4 Erzeugen und Konfigurieren einer MAC-ACL im Command Line Interface Das Beispiel sieht vor, dass AppleTalk und IPX aus dem gesamten Netz gefiltert werden. Führen Sie die folgenden Schritte aus: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Fügt eine MAC-ACL mit ID und dem Namen...
Seite 787 Datenverkehr kontrollieren 9.3 ACL Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld den gewünschten Port oder das gewünschte VLAN fest. Port/VLAN  Legen Sie im Feld die Priorität fest. Priorität  Legen Sie im Feld Richtung fest, auf welche Datenpakete das Gerät die Regel ...
Seite 788: Deep Packet Inspection
Datenverkehr kontrollieren 9.4 Deep Packet Inspection Deep Packet Inspection Deep Packet Inspection-Funktion (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Inspection-Funktion untersucht Datenpakete auf unerwünschte Merkmale und Deep Packet Protokollverletzungen.
Seite 789: Anwendungsbeispiel Für Modbus Enforcer
Datenverkehr kontrollieren 9.4 Deep Packet Inspection Bedeutung Adressbereich Program (ConCept) Concept Symbol Table Encapsulated Interface Transport Advantech Co. Ltd. - Management Functions Scan Data Inc. - Expanded Read Holding Registers Scan Data Inc. - Expanded Write Holding Registers unity Programming/OFS 100 Scattered Register Read 125 Schneider Electric - Firmware Replacement 126 Schneider Electric - Program...
Seite 790: Modbus Enforcer-Regeln Erzeugen Und Bearbeiten
Datenverkehr kontrollieren 9.4 Deep Packet Inspection 9.4.3 Modbus Enforcer-Regeln erzeugen und bearbeiten Legen Sie eine Regel fest mit = 1, Bezeichnung und Funktionscode-Liste sowie Index my-modbus Identifikationseinheit-Liste gemäß obigem Beispiel. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit >...
Seite 791: Deep Packet Inspection - Dnp3 Enforcer-Funktion
Datenverkehr kontrollieren 9.4 Deep Packet Inspection Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche  Um das Profil zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Damit das Gerät die festgelegten DPI-Modbus-Enforcer-Regeln auf den Datenstrom  anwendet und die Anzeige in Spalte Funktionscode aktualisiert, klicken Sie die Schaltfläche Änderungen...
Seite 792: Anwendungsbeispiel Für Dnp3 Enforcer
Datenverkehr kontrollieren 9.4 Deep Packet Inspection – Variation-Nr. – Funktionscode – Funktionsname – Länge – Qualifier-Code – Index (Standard-Objektliste) Das Gerät verwendet die Funktion Inspection, um Datenpakete zu blockieren, die gegen Deep Packet die festgelegten Regeln verstoßen. Das Gerät beendet auf Wunsch die TCP-Verbindung, wenn es eines der folgenden Ereignisse erkennt: Verstoß...
Seite 793 Datenverkehr kontrollieren 9.4 Deep Packet Inspection Zu diesem Zweck erzeugen Sie die DNP3 Enforcer-Regel mit den oben genannten Werten. Header+ Payload DNP3-Master DNP3-Client (Outstation) DPI-DNP3-Enforcer Abb. 22: Inspektion der Datenpakete UM Config EAGLE Release 03.5 08/2020...
Seite 794: Eine Dnp3 Enforcer-Regel Erzeugen Und Bearbeiten
Datenverkehr kontrollieren 9.4 Deep Packet Inspection 9.4.6 Eine DNP3 Enforcer-Regel erzeugen und bearbeiten Legen Sie gemäß dem obigen Beispiel eine Regel mit dem Namen fest. my-dnp3 Führen Sie die folgenden Schritte aus: DNP3 Enforcer-Regel erzeugen.  Öffnen Sie den Dialog Netzsicherheit >...
Seite 795 Datenverkehr kontrollieren 9.4 Deep Packet Inspection Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  Bearbeiten Sie die Standard-Objektliste. Gehen Sie dazu wie folgt vor:  Öffnen Sie den Dialog Wizard. Klicken Sie dazu die Schaltfläche  Der Dialog zeigt das Fenster DNP3 Enforcer - Objekt-Assistent.
Seite 796 Datenverkehr kontrollieren 9.4 Deep Packet Inspection Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Enforcer-Regel erzeugen. DNP3 dpi dnp3 profile add 1 description my- dnp3 function-code-list 1,2,3,23 • dpi dnp3 profile add 1 default-object-list 6 Enforcer-Regel mit Index = hinzufügen.
Seite 797 Datenverkehr kontrollieren 9.4 Deep Packet Inspection Objekt-Liste anzeigen, die das Gerät auf DNP3 show dpi dnp3 objectlist 1 anwendet. Enforcer-Regel Index Object Type Group Number Variation Function Code Function Name Function Length Qualifier List --------- ------------ ------------------------------------- ----------------------------- request write 0x17,0x28 UM Config EAGLE Release 03.5 08/2020...
Seite 798: 10 Die Systemzeit Im Netz Synchronisieren
Die Systemzeit im Netz synchronisieren 10 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: Logbucheinträge  Produktionsdaten mit Zeitstempel versehen ...
Seite 799: Grundeinstellungen
Die Systemzeit im Netz synchronisieren 10.1 Grundeinstellungen Das Gerät ermöglicht Ihnen, die Zeit im Netz mit den folgenden Optionen zu synchronisieren: Das Network Time Protocol (NTP) hat eine Genauigkeit bis in den Sub-Millisekunden-Bereich.  10.1 Grundeinstellungen Im Dialog Zeit > Grundeinstellungen legen Sie allgemeine Einstellungen für die Zeit fest.
Seite 800: Automatische Sommerzeitumschaltung
Die Systemzeit im Netz synchronisieren 10.1 Grundeinstellungen Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Einstellen der Systemzeit des Geräts. clock set <YYYY-MM-DD> <HH:MM:SS> Eingabe der Zeitdifferenz zwischen der lokalen Zeit clock timezone offset <-780..840> und der empfangenen UTC-Zeit in Minuten. Speichern der Einstellungen im permanenten Spei- save cher (nvm) im „ausgewählten”...
Seite 801: Ntp
Die Systemzeit im Netz synchronisieren 10.2 NTP 10.2 Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schicht bezeichnet werden.
Seite 802: Vorbereitung Der Ntp-Konfiguration
Die Systemzeit im Netz synchronisieren 10.2 NTP 10.2.1 Vorbereitung der NTP-Konfiguration Führen Sie die folgenden Schritte aus: Zeichnen Sie einen Netzplan mit den am NTP beteiligten Geräten, um einen Überblick über die  Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallaufzeit abhängig ist.
Seite 803 Die Systemzeit im Netz synchronisieren 10.2 NTP Im Rahmen Client and server: – Aktivieren/Deaktivieren der Funktion Server  – Setzen der Verbindungsparameter Modus  – Diese Einstellung vermeidet, dass andere Clients das Gerät als Referenzzeitquelle Stratum  verwenden (Voreinstellung: 12). Konfiguration eines NTP-Clients (am Beispiel von Switch 2) Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog...
Seite 804 Die Systemzeit im Netz synchronisieren 10.2 NTP Für Switch 1 und Switch 3:  Legen Sie in Spalte den Wert fest. Adresse 192.168.43.17 Um den Eintrag zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche ...
Seite 805 Die Systemzeit im Netz synchronisieren 10.2 NTP UM Config EAGLE Release 03.5 08/2020...
Seite 806: 11 Netzlaststeuerung
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, mit denen es die Netzlast reduziert: Gezielte Paketvermittlung  Lastbegrenzung  Priorisierung - QoS  Flusskontrolle  11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete.
Seite 807: Statische Adresseinträge
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (FDB) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 808 Netzlaststeuerung 11.1 Gezielte Paketvermittlung Statischen Adresseintrag deaktivieren.  Öffnen Sie den Dialog Switching > Filter für MAC-Adressen.  Um einen statischen Adresseintrag zu deaktivieren, markieren Sie in Spalte Status  Wert invalid. Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche ...
Seite 809: Lastbegrenzung
Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt auch bei hohem Verkehrsaufkommen für einen stabilen Betrieb, indem sie den Verkehr auf den Ports begrenzt. Die Lastbegrenzung erfolgt individuell für jeden Port sowie separat für Eingangs- und Ausgangsdatenverkehr. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Seite 810: Qos/Priorität
Netzlaststeuerung 11.3 QoS/Priorität 11.3 QoS/Priorität QoS (Quality of Service) ist ein in der Norm IEEE 802.1D beschriebenes Verfahren, mit dem Sie die Ressourcen im Netz verteilen. QoS ermöglicht Ihnen, Daten der wichtigsten Anwendungen zu priorisieren. Die Priorisierung vermeidet insbesondere bei starker Netzlast, dass Datenverkehr mit geringerer Priorität verzögerungsempfindlichen Datenverkehr stört.
Seite 811: Priorisierung Einstellen
Netzlaststeuerung 11.3 QoS/Priorität Das Gerät wertet bei Datenpaketen mit VLAN-Tags folgende Informationen aus: Prioritätsinformation  VLAN-Tag, sofern VLANs eingerichtet sind  4 Octets Abb. 25: Aufbau des VLAN-Tag Ein Datenpaket, dessen VLAN-Tag eine Prioritätsinformation, aber keine VLAN-Information (VLAN-Kennung = 0) enthält, bezeichnet man als „Priority Tagged Frame“. Anmerkung: Netzprotokolle und Redundanzmechanismen nutzen die höchste Verkehrsklasse 7.
Seite 812: Flusskontrolle
Netzlaststeuerung 11.4 Flusskontrolle 11.4 Flusskontrolle Wenn in der Warteschlange eines Ports sehr viele Datenpakete gleichzeitig eintreffen, dann führt dies möglicherweise zum Überlaufen des Port-Speichers. Dies geschieht zum Beispiel, wenn das Gerät Daten auf einem Gigabit-Port empfängt und diese an einen Port mit niedrigerer Bandbreite weiterleitet.
Seite 813: Halbduplex- Oder Vollduplex-Verbindung
Netzlaststeuerung 11.4 Flusskontrolle 11.4.1 Halbduplex- oder Vollduplex-Verbindung Flusskontrolle bei Halbduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Halbduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät Daten zurück an Arbeitsstation 2. Arbeitsstation 2 erkennt eine Kollision und unterbricht den Sendevorgang. Flusskontrolle bei Vollduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Vollduplex-Verbindung.
Seite 814 VLANs 12 VLANs Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basieren zusätzlich auf logi- schen (statt ausschließlich physikalischen) Verbindungen zwischen Netzteilnehmern.
Seite 815: Vlans
VLANs 12.1 Beispiele für ein VLAN 12.1 Beispiele für ein VLAN Die folgenden Beispiele aus der Praxis vermitteln einen schnellen Einstieg in den Aufbau eines VLANs. Anmerkung: Für die Konfiguration von VLANs verwenden Sie eine gleichbleibende Management- Oberfläche. In diesem Beispiel verwenden Sie für die Konfiguration der VLANs entweder Interface 1/6 oder die serielle Verbindung.
Seite 816 VLANs 12.1 Beispiele für ein VLAN Für obiges Beispiel hat das TAG der Datenpakete keine Relevanz, verwenden Sie die Einstellung Tab. 17: Ingress-Tabelle Endgerät Port Port VLAN Identifer (PVID) Tab. 18: Egress-Tabelle VLAN-ID Port Führen Sie die folgenden Schritte aus: VLAN einrichten ...
Seite 817 VLANs 12.1 Beispiele für ein VLAN Wechsel in den Privileged-EXEC-Modus. exit Zeigt die aktuelle VLAN Konfiguration. show vlan brief Max. VLAN ID........4042 Max. supported VLANs......64 Number of currently configured VLANs... 3 vlan unaware mode......disabled VLAN ID VLAN Name VLAN Type VLAN Creation Time ---- -------------------------------- --------- ------------------ VLAN1...
Seite 818: Beispiel 2
VLANs 12.1 Beispiele für ein VLAN Port wird Mitglied des VLANs und vermittelt vlan participation include 3 die Datenpakete ohne VLAN-Tag. Port die Port-VLAN-ID zuweisen. vlan pvid 3 Wechsel in den Konfigurationsmodus. exit Wechsel in den Interface-Konfigurationsmodus interface 1/4 von Interface 1/4. Port wird Mitglied des VLANs und vermittelt...
Seite 819 VLANs 12.1 Beispiele für ein VLAN Anmerkung: Das VLAN 1 hat in diesem Fall keine Bedeutung für die Endgerätekommunikation, ist aber notwendig für die Administration der Vermittlungsgeräte über das sogenannte Manage- ment-VLAN. Weisen Sie die Ports mit ihren angeschlossenen Endgeräten eindeutig einem VLAN zu (wie im vorherigen Beispiel gezeigt).
Seite 820 VLANs 12.1 Beispiele für ein VLAN Tab. 22: Egress-Tabelle Gerät rechts VLAN-ID Port Die Kommunikationsbeziehungen sind hierbei wie folgt: Endgeräte an Port 1 und 4 des linken Geräts sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 821 VLANs 12.1 Beispiele für ein VLAN Hier verwenden die Geräte das VLAN-Tag (IEEE 801.1Q) innerhalb des VLANs mit der ID 1 (Uplink). Der Buchstabe in der Egress-Tabelle der Ports zeigt das VLAN-Tag. Die Konfiguration des Beispiels erfolgt exemplarisch für das rechte Gerät. Verfahren Sie analog, um das zuvor bereits konfigurierte linke Gerät unter Anwendung der oben erzeugten Ingress- und Egress-Tabellen an die neue Umgebung anzupassen.
Seite 822 VLANs 12.1 Beispiele für ein VLAN Öffnen Sie den Dialog Switching > VLAN > Port.  Um einem VLAN einen Port zuzuweisen, legen Sie in der betreffenden Spalte den  gewünschten Wert fest. Mögliche Werte: = Der Port ist Mitglied im VLAN. Der Port sendet Datenpakete mit Tag. ...
Seite 823 VLANs 12.1 Beispiele für ein VLAN Wechsel in den Konfigurationsmodus. exit Wechsel in den Interface-Konfigurationsmodus interface 1/3 von Interface 1/3. Port wird Mitglied des VLANs und vermittelt vlan participation include 3 die Datenpakete ohne VLAN-Tag. Port-VLAN-ID dem Port zuweisen. vlan pvid 3 Wechsel in den Konfigurationsmodus.
Seite 824: 13 Routing
Routing 13.1 Konfiguration 13 Routing 13.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten Ihres Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Seite 825: Routing - Grundlagen
Routing 13.2 Routing - Grundlagen 13.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren;  eine gemeinsame Basis für die Entwicklung von weiteren Standards für offene Systeme zur ...
Seite 826: Arp
Routing 13.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist er in der Lage, durch die systematische Vergabe von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 169 „CIDR”).
Seite 827 Routing 13.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und verschickt die Daten.
Seite 828: Cidr
Routing 13.2 Routing - Grundlagen Da der Router die Route zum rechten PC kennt, antwortet die Proxy-ARP-Funktion auf diesem Router-Interface stellvertretend für den rechten PC mit seiner eigenen MAC-Adresse. So kann der linke PC seine Daten an die MAC-Adresse des Routers adressieren, der die Daten dann an den rechten PC weiterleitet.
Seite 829: Multinetting
Routing 13.2 Routing - Grundlagen Mit CIDR legen Sie die Anzahl der Bits fest, die den IP-Adressbereich kennzeichnen. Hierzu stellen Sie den IP-Adressbereich in binärer Form dar und zählen die Maskenbits zur Bezeichnung der Netzmaske. Die Netzmaske gibt die Anzahl der Bits an, die für jede IP-Adresse in einem gege- benen Adressbreich, dem Netz-Teil identisch sind.
Seite 830: Statisches Routing
Routing 13.3 Statisches Routing 13.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Der Benutzer legt fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 831: Konfiguration Der Router-Interfaces
Routing 13.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 36: Einfachster Fall einer Route Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 2/1 von Interface 2/1. Dem Interface dessen primäre IP-Parameter ip address primary 10.0.1.1 255.255.255.0...
Seite 832: Vlan-Basiertes Router-Interface
Routing 13.3 Statisches Routing 13.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 833 Routing 13.3 Statisches Routing Routing auf dem VLAN-Router-Interface aktivieren.  Die Routing-Funktion global einschalten.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den VLAN-Konfigurationsmodus. vlan database Ein VLAN durch Eingabe der VLAN-ID erzeugen. vlan add 2 Der Bereich für die VLAN-ID reicht von bis 4042.
Seite 834 Routing 13.3 Statisches Routing VLAN ID......2 VLAN Name......VLAN002 VLAN Creation TIme....0 days, 01:47:17 VLAN Type......static Interface Current Configured Tagging ---------- -------- ----------- -------- Include Include Untagged Include Include Untagged Exclude Autodetect Untagged Exclude Autodetect Untagged Die VLAN-spezifischen Port-Einstellungen prüfen. show vlan port Port Acceptable IngressInterface VLAN ID Frame Types...
Seite 835 Routing 13.3 Statisches Routing Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster VLAN-Router-Interface einrichten. Legen Sie im Feld eine Zahl zwischen 4042 fest. VLAN-ID  Für dieses Beispiel legen Sie den Wert fest.
Seite 836: Konfiguration Einer Einfachen Statischen Route
Routing 13.3 Statisches Routing 13.3.3 Konfiguration einer statischen Route Im Beispiel unten benötigt der Router A die Information, dass er das Subnetz 10.0.3.0/24 über den Router B (Next-Hop) erreicht. Diese Information kann er über ein dynamisches Routing-Protokoll oder über einen statischen Routing-Eintrag erhalten. Mit dieser Information ist Router A in der Lage, Daten vom Subnetz 10.0.1.0/24 über Router B in das Subnetz 10.0.3.0/24 zu vermitteln.
Seite 837: Konfiguration Einer Redundanten Statischen Route
Routing 13.3 Statisches Routing Geben Sie für Router A eine statische Route ein, ausgehend von der Konfiguration des Router- Interfaces im vorhergehenden Beispiel ein (siehe Abbildung 36): Konfigurieren Sie Router B entsprechend.  Konfiguration einer redundanten statischen Route Um eine stabile Verbindung zwischen den beiden Routern zu erzielen, können Sie die beiden Router mit zwei oder mehreren Leitungen verbinden.
Seite 838: Konfiguration Einer Redundanten Statischen Route Mit Lastverteilung
Routing 13.3 Statisches Routing Sie haben die Möglichkeit, einer Route Präferenz (Distanz) zuzuweisen. Bestehen mehrere Routen zu einem Ziel, wählt der Router die Route mit der höchsten Präferenz. Router A konfigurieren.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Den Port auswählen, an dem Sie die redundante interface 2/3...
Seite 839: Anwendungsbeispiel Zur Funktion Für Statisches Route-Tracking
Routing 13.3 Statisches Routing Weist dem vorhandenen Eintrag für statisches ip route modify 10.0.3.0 255.255.255.0 10.0.2.2 preference 2 Routing die Präferenz (siehe auf Seite 177 „Konfiguration einer einfachen statischen Route”). Wenn beide Routen verfügbar sind, dann benutzt der Router beide Routen zur Datenübertragung. Die Routing-Tabelle prüfen: show ip route all Network Address...
Seite 840 Routing 13.3 Statisches Routing Parameter Router A IP-Adresse Interface (IF) 10.0.4.1 IP-Adresse Interface (IF) 10.0.2.1 IP-Adresse Interface (IF) 10.0.1.112 Netzmaske 255.255.255.0 Parameter Router B IP-Adresse Interface (IF) 10.0.4.2 IP-Adresse Interface (IF) 10.0.2.53 IP-Adresse Interface (IF) 10.0.5.1 Netzmaske 255.255.255.0 10.0.1.0/24 10.0.2.0/24 10.0.5.0/24 IF 1/4 IF 1/2...
Seite 841 Routing 13.3 Statisches Routing Führen Sie die folgenden Schritte aus: Die Tracking-Objekte auf Router A für die Routen zum Zielnetz erzeugen. Die in 10.0.5.0/24  anderen Zellen eingegebenen voreingestellten Werte bleiben in diesem Beispiel unverändert. Öffnen Sie den Dialog Routing > Tracking > Konfiguration.
Seite 842 Routing 13.3 Statisches Routing Anmerkung: Um die Zeile zu aktivieren, prüfen Sie, ob die Verbindung auf dem Interface ist. Geben Sie anschließend die Routen zum Zielnetz 10.0.5.0/24 in die statische Routing-Tabelle  von Router A ein. Öffnen Sie den Dialog Routing >...
Seite 843 Routing 13.3 Statisches Routing Tab. 25: Statische Routing-Einträge von Router B Zielnetz Zielnetzmaske Next-Hop Präferenz Track-ID 10.0.1.0 255.255.255.0 10.0.2.1 10.0.1.0 255.255.255.0 10.0.4.1 UM Config EAGLE Release 03.5 08/2020...
Seite 844: Nat - Network Address Translation
Routing 13.4 NAT – Network Address Translation 13.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Seite 845: Anwendungsbeispiel Für 1:1-Nat
Routing 13.4 NAT – Network Address Translation 13.4.2 1:1 NAT Die 1:1-NAT-Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 846 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Sie benötigen 2 NAT-Router.  In jedem Gerät ist die Routing-Funktion eingeschaltet.  In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen-  netz und mit dem Netz der Produktionszelle verbunden.
Seite 847: Destination Nat
Routing 13.4 NAT – Network Address Translation 13.4.3 Destination NAT Das Destination-NAT-Verfahren ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausge- hender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form des Destination-NAT-Verfahrens ist die Port-Weiterleitung (Port-Forwarding). Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommunikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 848 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Routing-Funktion eingeschaltet.  Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden.  In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als ...
Seite 849: Masquerading-Nat
Routing 13.4 NAT – Network Address Translation Markieren Sie das Kontrollkästchen im Feld Aktiv, um die Zuweisung der Regel zu dem  Router-Interface zu aktivieren. Um die Änderungen zwischenzuspeichern, klicken Sie die Schaltfläche  Regel auf den Datenstrom anwenden.  Öffnen Sie den Dialog Routing >...
Seite 850: Double-Nat
Routing 13.4 NAT – Network Address Translation 13.4.5 Double-NAT Das Double-NAT-Verfahren ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endge- räten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard- Gateway oder eine Default Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz. Dazu ersetzt der NAT-Router beim Vermitteln die Quelladresse und die Zieladresse im Datenpaket.
Seite 851: Anwendungsbeispiel Für Double-Nat
Routing 13.4 NAT – Network Address Translation Anwendungsbeispiel für Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 852 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Routing-Funktion eingeschaltet.  Im Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmennetz und  mit dem Netz der Produktionszelle verbunden. Im Endgerät links und im Endgerät rechts ist die IP-Adresse festgelegt.
Seite 853 Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > Double-NAT > Zuweisung.  Klicken Sie die Schaltfläche Zuweisen.  Wählen Sie im Feld das Router-Interface aus, das mit der Produktionszelle verbunden Port  ist. Wählen Sie im Feld den Wert egress.
Seite 854: Tracking
Routing 13.5 Tracking 13.5 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: Verbindungsstatus eines Interfaces (Interface-Tracking) ...
Seite 855: Ping-Tracking
Routing 13.5 Tracking Das Einstellen einer Verzögerungszeit bietet Ihnen die Möglichkeit, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Seite 856: Logical-Tracking
Routing 13.5 Tracking Das Vorgeben einer Anzahl für ausbleibende oder ankommende Ping-Antworten bietet Ihnen die Möglichkeit, die Empfindlichkeit für das Ping-Verhalten des Geräts einzustellen. Das Gerät infor- miert die Anwendung über eine Objekt-Statusänderung. Ping-Tracking bietet Ihnen die Möglichkeit, die Erreichbarkeit definierter Geräte zu überwachen. Sobald ein überwachtes Gerät nicht mehr erreichbar ist, kann das Gerät über die Anwendung einen alternativen Pfad wählen.
Seite 857: Interface-Tracking Konfigurieren
Routing 13.5 Tracking Interface-Tracking konfigurieren Interface-Tracking auf dem Port mit einer Link-Down-Verzögerung von Sekunden und  einer Link-Up-Verzögerung von Sekunden einrichten. Öffnen Sie den Dialog Routing > Tracking > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Typ auswählen: Tragen Sie die gewünschten Werte ein, zum Beispiel: ...
Seite 858: Anwendungsbeispiel Für Ping-Tracking
Routing 13.5 Tracking Anwendungsbeispiel für Ping-Tracking Während das Interface-Tracking die direkt angeschlossene Verbindung überwacht (siehe Abbildung 48), überwacht das Ping-Tracking die gesamte Verbindung bis zum S2 (siehe Abbildung 49). Ping-Tracking auf dem Port zur IP-Adresse 10.0.2.53 mit den vorhandenen Parametern ...
Seite 859: Anwendungsbeispiel Für Logical-Tracking
Routing 13.5 Tracking Wechsel in den Privileged-EXEC-Modus. exit Die konfigurierten Tracks anzeigen. show track Ping Tracking Instance ----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 860 Routing 13.5 Tracking Voraussetzungen für die weitere Konfiguration: Die Ping-Tracking-Objekte für die Operanden 1 und 2 sind konfiguriert (siehe auf Seite 199  „Anwendungsbeispiel für Ping-Tracking”). PC B PC A Abb. 50: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten.
Seite 861 Routing 13.5 Tracking Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 862 Routing 13.5 Tracking Erst die ODER-Verknüpfung beider Ping-Tracking-Objekte liefert das präzise Ergebnis, dass der Router A keine Verbindung zum Ring hat. Zwar könnte ein Ping-Tracking-Objekt zum Gerät S3 auch auf eine unterbrochene Verbindung zum redundanten Ring hinweisen, aber in diesem Fall könnte auch aus einem anderen Grund die Ping- Antwort von Gerät S3 ausbleiben.
Seite 863 Routing 13.5 Tracking Die Parameter für dieses Tracking-Objekt fest- track modify logical 31 ping-21 or ping- legen. Das Tracking-Objekt aktivieren. track enable logical 31 Tracking ID logical-31 created Logical Instance ping-21 included Logical Instance ping-22 included Logical Operator set to or Tracking ID 31 activated Wechsel in den Privileged-EXEC-Modus.
Seite 864: Vrrp
Routing 13.6 VRRP 13.6 VRRP In der Regel ermöglichen Ihnen Endgeräte, 1 Standard-Gateway für die Vermittlung von Datenpa- keten in fremde Subnetze einzutragen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mitanderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden.
Seite 865 Routing 13.6 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 866: Konfiguration Von Vrrp
Routing 13.6 VRRP VRRP-Priorität  Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den IP-Adressen- Inhaber. VRID  Die Kennung des virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Seite 867: Vrrp Mit Lastverteilung
Routing 13.6 VRRP Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Die Routing-Funktion global einschalten. ip routing Schaltet VRRP global ein. ip vrrp operation Wechsel in den Interface-Konfigurationsmodus interface 1/3 von Interface 1/3. Legt die primäre Routing-IP-Adresse und die Netz- ip address primary 10.0.1.1 255.255.255.0 maske des Port fest.
Seite 868: Vrrp Mit Multinetting
Routing 13.6 VRRP Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen  Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway  13.6.3 VRRP mit Multinetting Der Router ermöglicht Ihnen, VRRP mit Multinetting zu kombinieren.
Seite 869: Ospf
Routing 13.7 OSPF 13.7 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF Kosten“ (OSPF costs), die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 870 Routing 13.7 OSPF Schonung von Netzressourcen/Bandbreitenoptimierung: Da OSPF anders als RIP die Routing-  Tabellen nicht zyklisch mit einer kurzen Intervallzeit austauscht, wird keine unnötige Bandbreite zwischen den Routern "verschwendet". OSPF unterstützt die Authentifizierung aller Knoten, die Routing-Informationen senden.  Tab.
Seite 871: Ospf-Topologie
Routing 13.7 OSPF 13.7.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut. Mit Hilfe von sogenannten Areas unterteilen Sie Ihr Netz. Autonomes System Ein autonomes System (Autonomous System, AS) ist eine Anzahl von Routern, die unter einer administrativen Verwaltung stehen und ein gemeinsames Interior Gateway Protokoll (IGP) benutzen.
Seite 872 Routing 13.7 OSPF Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung. Zwischen den Areas werden die Routing-Informationen so weit wie möglich zusammengefasst (Route Summarization).
Seite 873 Routing 13.7 OSPF Eine Stub-Area lässt keinen Durchgang für eine virtuelle Verbindung zu.  Die Backbone-Area lässt sich nicht als Stub-Area festlegen.  Not So Stubby Area (NSSA):  Eine Area definieren Sie als NSSA, wenn externe (gelbe) Routen eines direkt an die NSSA angeschlossenen Systems außerhalb Ihres autonomen Systems in die Area geleitet (redistri- buted) werden sollen.
Seite 874: Virtuelle Verbindung (Virtual Link)
Routing 13.7 OSPF Virtuelle Verbindung (Virtual Link) OSPF setzt voraus, dass die Backbone-Area mit jeder Area verbunden ist. Ist das aber in der Realität nicht möglich, bietet OSPF eine virtuelle Verbindung (VL) an, um Teile der Backbone-Area miteinander zu verbinden Siehe Abbildung 59 auf Seite 215..
Seite 875: Link State Advertisement
Routing 13.7 OSPF Area Border Router (ABR)  ABRs besitzen OSPF-Interfaces in mehreren Areas, darunter auch in der Backbone-Area. ABRs partizipieren somit in mehreren Areas. Wenn möglich, fassen Sie mehrere Routen zusammen und senden Sie „Summary-LSAs“ in die Backbone-Area. Autonomous System Area Border Router (ASBR): ...
Seite 876: Prinzipielle Arbeitsweise Von Ospf
Routing 13.7 OSPF 13.7.2 Prinzipielle Arbeitsweise von OSPF OSPF wurde speziell auf die Bedürfnisse von größeren Netzen zugeschnitten und bietet eine schnelle Konvergenz sowie eine minimale Verwendung von Protokollnachrichten. Das Konzept von OSPF basiert auf der Erzeugung, Aufrechterhaltung und Verteilung der soge- nannten Link-State-Database.
Seite 877 Routing 13.7 OSPF Aus Sicherheitsgründen sieht OSPF noch die Wahl eines Backup-Designated-Routers (BDR) vor, der beim Ausfall des DR dessen Aufgaben übernimmt. Der OSPF-Router mit der höchsten Router- Priorität wird DR. Die Router-Priorität legt der Administrator fest. Wenn Router die gleiche Priorität haben, dann wird der Router mit der höheren Router-ID gewählt.
Seite 878 Routing 13.7 OSPF Hello-Pakete dienen weiterhin zur Prüfung der Konfiguration innerhalb einer Area (Area-ID, Timer- Werte, Prioritäten) und zur Überwachung der Adjacencys. Hello-Pakete werden zyklisch gesendet (Hello-Intervall). Das Ausbleiben des Empfangs von Hello-Paketen innerhalb eines gewissen Zeit- raumes (Dead-Intervall) führt zur Kündigung der Adjacency und zum Löschen der entsprechenden Routen.
Seite 879: Synchronisation Der Lsdb
Routing 13.7 OSPF 13.7.4 Synchronisation der LSDB Kernstück von OSPF ist die Link-State-Database (LSDB). Diese Datenbank enthält eine Beschrei- bung des Netzes und den Zustand jedes Routers. Sie ist die Quelle zur Berechnung der Routing- Tabelle und spiegelt die Netz-Topologie wider. Die LSDB wird aufgebaut, nachdem der Desig- nated-Router oder der Backup-Designated-Router innerhalb einer Area (Broadcast-Netze) ermit- telt wurde.
Seite 880: Ospf Konfigurieren
Routing 13.7 OSPF Die Tabelle zeigt, dass diese Berechnungsform in der Standardkonfiguration keine Unterscheidung zwischen zwischen Fast-Ethernet und Gigabit-Ethernet zulässt. Sie können die Standardkonfiguration ändern, indem Sie jedem OSPF-Interface einen anderen Wert für die Kosten zuweisen. Das bietet Ihnen die Möglichkeit, zwischen Fast-Ethernet und Gigabit-Ethernet zu unterscheiden.
Seite 881 Routing 13.7 OSPF Konfiguration für Router B Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface 2/2. Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf dem Port aktivieren. ip routing OSPF auf diesem Port aktivieren.
Seite 882 Routing 13.7 OSPF Anzeige der Einstellungen für die OSPF-Interface- show ip ospf interface 2/1 Konfiguration. IP address........10.0.2.2 OSPF admin mode........ enabled OSPF area ID........1.1.1.1 Transmit delay......... 1 Hello interval......... 10 Dead interval........40 Re-transmit interval......5 Authentification type......none OSPF interface type......
Seite 883: Verteilung Der Routen Mit Acl Einschränken
Routing 13.7 OSPF 13.7.7 Verteilung der Routen mit ACL einschränken Bei eingeschaltetem Redistributing verteilt OSPF ohne weiteres Zutun sämtliche statische Routen, die im Gerät eingerichtet sind. Analog verhält sich das Verteilen der rip-Routen und connected- Routen. Mit Access-Control-Listen können Sie dieses Verhalten einschränken. Mit IP-Regeln legen Sie fest, welche Routen das Gerät in OSPF an andere Router verteilt: Um wenige Routen in OSPF zu verteilen, verwenden Sie explizite permit-Regeln.
Seite 884 Routing 13.7 OSPF Router A Routing global einschalten.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Erstes Router-Interface 10.0.1.1/24 einrichten.  Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface 1/1.
Seite 885 Routing 13.7 OSPF Einrichten der statischen Route über 8.1.2.0 ip route add 8.1.2.0 255.255.255.0 10.0.2.2 Gateway 10.0.2.2. Einrichten der statischen Route 8.1.4.0 über ip route add 8.1.4.0 255.255.255.0 10.0.2.4 Gateway 10.0.2.4. Verteilen der eingerichteten Routen in OSPF. ip ospf re-distribute static subnets enable UM Config EAGLE Release 03.5 08/2020...
Seite 886 Routing 13.7 OSPF Router B Routing global einschalten.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Router-Interface 10.0.1.2/24 einrichten.  Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface 2/2.
Seite 887: Route Mit Permit-Regel Explizit Freigeben
Routing 13.7 OSPF Um eine Route mit einer permit-Regel explizit freizugeben, lesen Sie weiter im Abschnitt „Route mit permit-Regel explizit freigeben” auf Seite 228. Um eine Route mit einer deny-Regel explizit zu sperren, lesen Sie weiter im Abschnitt „Route mit deny-Regel explizit sperren”...
Seite 888 Routing 13.7 OSPF Router A Access-Control-Liste mit expliziter permit-Regel einrichten.  Erstellen der Access-Control-Liste OSPF-rule ip access-list extended name OSPF-rule permit src 8.1.2.0-0.0.0.0 dst Einrichten einer permit-Regel für das Subnetz 255.255.255.0-0.0.0.0 proto ip 8.1.2.0. • src 8.1.2.0-0.0.0.0 = Adresse des Ziel- netzes und inverse Maske •...
Seite 889: Route Mit Deny-Regel Explizit Sperren
Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 890 Routing 13.7 OSPF Router A permit-Regel löschen.  Diese Schritte sind ausschließlich dann notwendig, wenn Sie wie im Abschnitt permit beschrieben eine „Route mit permit-Regel explizit freigeben” auf Seite 228-Regel eingerichtet haben. Trennen der Access-Control-Liste OSPF-rule no ip ospf distribute-list out static OSPF-rule OSPF.
Seite 891 Routing 13.7 OSPF Router A Explizite permit-Regel in Access-Control-Liste einfügen.  Einfügen einer permit-Regel für sämtliche ip access-list extended name OSPF-rule permit src any dst any proto ip Subnetze in die Access-Control-Liste OSPF-rule. Eingerichtete Regeln prüfen.  Anzeige der eingerichteten Access-Control-Listen show access-list ip und Regeln.
Seite 892 Routing 13.7 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 893 Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 894: Ip-Parameter Eingeben
Routing 13.8 IP-Parameter eingeben 13.8 IP-Parameter eingeben siehe OSPF Area 0 siehe “Portbasiertes Router-Interface” siehe “VLAN-basiertes Router-Interface” SN 11 SN 10 VLAN ID 2 SN 12 VRRP SN 13 siehe “VRRP” SN 14 Abb. 62: Netzplan Zur Konfiguration der Schicht-3-Funktion benötigen Sie einen Zugang zum Management des Geräts.
Seite 895 Routing 13.8 IP-Parameter eingeben IP = 10.0.200.11/24 IP = 10.0.100.10/24 IP = 10.0.11.11/24 Area 0 => 10.0.10.10/24 GW: 10.0.11.1 GW: 10.0.100.1 => 10.0.10.1 IP = 10.0.10.11/24 IP = 10.0.11.12/24 GW: 10.0.10.1 GW: 10.0.11.1 Management-IP= 10.0.100.101 SN 10 10.0.10.0 SN 11 10.0.11.0 IP = 10.0.10.13/24 VLAN 2...
Seite 896 Routing 13.8 IP-Parameter eingeben IP = 10.0.200.11/24 Port 2.2: IP = 10.0.200.10/24 GW: 10.0.200.11 Port 2.1: VLAN 1 (Management IP=10.0.100.101) --> IP= 10.0.10.1/24 GW: 10.0.200.10 Port 3.1 - Port 3.4: VLAN 2 Interface vlan/2 IP = 10.0.11.1/24 GW: 10.0.200.10 SN 100 10.0.100.0 Port 1.1: VLAN 100...
Seite 897 Routing 13.8 IP-Parameter eingeben UM Config EAGLE Release 03.5 08/2020...
Seite 898: 14 Funktionsdiagnose
Funktionsdiagnose 14.1 SNMP-Traps senden 14 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: SNMP-Traps senden  Gerätestatus überwachen  Out-of-Band-Signalisierung durch Signalkontakt  Port-Zustandsanzeige  Ereigniszähler auf Portebene  Erkennen der Nichtübereinstimmung der Duplex-Modi  Auto-Disable  SFP-Zustandsanzeige  Topologie-Erkennung  IP-Adresskonflikte erkennen ...
Seite 899: Auflistung Der Snmp-Traps
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.1 Auflistung der SNMP-Traps Die folgende Tabelle zeigt mögliche vom Gerät gesendete SNMP-Traps: Tab. 29: Mögliche SNMP-Traps Bezeichnung des SNMP-Traps Bedeutung Wird gesendet, wenn eine Station versucht, unberechtigt auf authenticationFailure einen Agenten zuzugreifen. coldStart Wird nach einem Neustart gesendet. hm2DevMonSenseExtNvmRe- Wird gesendet, wenn der externe Speicher entfernt worden ist.
Seite 900: Snmp-Traps Für Konfigurationsaktivitäten
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.2 SNMP-Traps für Konfigurationsaktivitäten Nachdem Sie eine Konfiguration im Speicher gespeichert haben, sendet das Gerät einen hm2Con- figurationSavedTrap. Dieser SNMP-Trap enthält die Statusvariablen des nichtflüchtigen Spei- chers (NVM) und des externen Speichers (ENVM), die angeben, ob die aktuelle Konfiguration mit dem nichtflüchtigen Speicher und dem externen Speicher übereinstimmt.
Seite 901: Icmp-Messaging
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.4 ICMP-Messaging Das Gerät ermöglicht Ihnen, das Internet Control Message Protocol (ICMP) für Diagnoseanwen- dungen zu verwenden, zum Beispiel Ping und Traceroute. Das Gerät verwendet außerdem ICMP für Time-to-Live und das Verwerfen von Nachrichten, in denen das Gerät eine ICMP-Nachricht zurück an das Quellgerät des Paketes weiterleitet.
Seite 902: Gerätestatus Überwachen
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen gegenwärtigen Status als error oder im Rahmen Geräte-Status.
Seite 903: Gerätestatus Konfigurieren
Funktionsdiagnose 14.2 Gerätestatus überwachen Tab. 30: Gerätestatus-Ereignisse (Forts.) Name Bedeutung Externen Speicher Aktivieren Sie diese Funktion, um das Vorhandensein eines externen Spei- chergeräts zu überwachen. entfernen Das Gerät überwacht die Synchronisation zwischen der Gerätekonfigura- Externer Speicher nicht tion und der im externen Speicher (ENVM) gespeicherten Konfiguration. synchron Netzteil Schalten Sie diese Funktion ein, um die Spannungsversorgung zu überwa-...
Seite 904 Funktionsdiagnose 14.2 Gerätestatus überwachen Überwacht den aktiven externen Speicher. Der device-status monitor envm-removal Wert im Rahmen wechselt auf error, Geräte-Status wenn Sie den aktiven externen Speicher aus dem Gerät entfernen. Überwacht das Netzteil 1. Der Wert im Rahmen device-status monitor power-supply 1 Geräte-Status wechselt auf error, wenn das Gerät einen Fehler am Netzteil feststellt.
Seite 905: Gerätestatus Anzeigen
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2.3 Gerätestatus anzeigen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  Im Privileged-EXEC-Modus: Anzeige des Geräte- show device-status all status und der Einstellung zur Ermittlung des Gerä- testatus UM Config EAGLE Release 03.5 08/2020...
Seite 906 Funktionsdiagnose 14.3 Sicherheitsstatus 14.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog System, Rahmen Sicherheits-Status.
Seite 907: 14.3 Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus Tab. 31: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Das Gerät überwacht, wann Sie die Lese-/Schreibfunktion für HiDiscovery einschalten. Das Gerät überwacht die Sicherheitseinstellungen für das Unverschlüsselte Konfiguration vom Laden der Konfiguration aus dem externen Speicher. externen Speicher laden Self-signed HTTPS-Zertifikat Das Gerät überwacht, ob der HTTPS-Server ein selbst...
Seite 908 Funktionsdiagnose 14.3 Sicherheitsstatus Überwacht den HTTP-Server. Der Wert im security-status monitor http-enabled Rahmen wechselt auf error, Sicherheits-Status wenn Sie den HTTP-Server einschalten. Überwacht den SNMP-Server. security-status monitor snmp-unsecure Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: •...
Seite 909: Anzeigen Des Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus 14.3.3 Anzeigen des Sicherheitsstatus Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  Zeigt im EXEC-Privilege-Modus Sicherheitsstatus show security-status all und die Einstellung zur Ermittlung des Geräte- status. UM Config EAGLE Release 03.5 08/2020...
Seite 910: Out-Of-Band-Signalisierung
Funktionsdiagnose 14.4 Out-of-Band-Signalisierung 14.4 Out-of-Band-Signalisierung Das Gerät verwendet den Signalkontakt zur Steuerung von externen Geräten und zur Überwa- chung der Gerätefunktionen. Die Funktionsüberwachung ermöglicht die Durchführung einer Fern- diagnose. Das Gerät meldet den Funktionsstatus über eine Unterbrechung des potentialfreien Signalkon- taktes (Relaiskontakt, Ruhestromschaltung) für den gewählten Modus.
Seite 911: Signalkontakt Steuern
Funktionsdiagnose 14.4 Out-of-Band-Signalisierung Entfernen des externen Speichers  Die Konfiguration im externen Speicher stimmt nicht mit der Konfiguration im Gerät überein.  Entscheiden Sie durch Markieren der entsprechenden Einträge, welche Ereignisse der Geräte- status erfasst. Anmerkung: Bei einer nichtredundanten Spannungsversorgung meldet das Gerät das Fehlen der Versorgungsspannung.
Seite 912: Funktionsüberwachung Konfigurieren
Funktionsdiagnose 14.4 Out-of-Band-Signalisierung Sicherheits-Status  Mit dieser Einstellung signalisiert der Signalkontakt den Zustand der im Dialog Diagnose > Statuskonfiguration > Sicherheitsstatus überwachten Parameter. Geräte-/Sicherheits-Status  Mit dieser Einstellung signalisiert der Signalkontakt den Zustand der im Dialog Diagnose > Statuskonfiguration > Gerätestatus und im Dialog Diagnose >...
Seite 913 Funktionsdiagnose 14.4 Out-of-Band-Signalisierung Überwacht die Konfigurationsprofile im Gerät und signal-contact 1 monitor envm-not-in- sync im externen Speicher. In folgenden Situationen öffnet der Signalkontakt: • Das Konfigurationsprofil existiert ausschließlich im Gerät. • Das Konfigurationsprofil im Gerät unterscheidet sich vom Konfigurationsprofil im externen Spei- cher.
Seite 914 Funktionsdiagnose 14.4 Out-of-Band-Signalisierung Ereignisse, die überwacht werden können Tab. 32: Gerätestatus-Ereignisse Name Bedeutung Temperatur Wenn die Temperatur den festgelegten Wert über- oder unter- schreitet. Aktivieren Sie diese Funktion, um jedes Ereignis in Bezug auf Verbindungsfehler Port-Links zu überwachen, bei dem das Kontrollkästchen Verbin- aktiviert ist.
Seite 915: Port-Zustandsanzeige
Funktionsdiagnose 14.5 Port-Zustandsanzeige 14.5 Port-Zustandsanzeige Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  Der Dialog zeigt das Gerät mit der aktuellen Konfiguration. Darüber hinaus zeigt der Dialog den Status der einzelnen Ports mittels eines Symbols. Die folgenden Symbole stellen den Zustand der einzelnen Ports dar.
Seite 916: Portereignis-Zähler
Funktionsdiagnose 14.6 Portereignis-Zähler 14.6 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, möglicherweise erkannte Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog können Sie Grundeinstellungen > Neustart die Ereigniszähler zurücksetzen.
Seite 917: Möglichen Ursachen Für Port-Fehlerereignisse
Funktionsdiagnose 14.6 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Kollisionen  Im Halbduplexmodus bedeuten Kollisionen Normalbetrieb. Duplex-Problem  Nicht übereinstimmende Duplex-Modi.  Elektromagnetische Interferenz. Netzausdehnung ...
Seite 918: Sfp-Zustandsanzeige
Funktionsdiagnose 14.7 SFP-Zustandsanzeige 14.7 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp,  Seriennummer des Medien-Moduls  Temperatur in º C,  Sendeleistung in mW,  Empfangsleistung in mW. ...
Seite 919: Topologie-Erkennung
Funktionsdiagnose 14.8 Topologie-Erkennung 14.8 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein-  samen LANs.
Seite 920: Anzeige Der Topologie-Erkennung
Funktionsdiagnose 14.8 Topologie-Erkennung Diese Informationen kann eine Netz-Management-Station von Geräten mit aktivem LLDP abrufen. Mit diesen Informationen ist die Netz-Management-Station in der Lage, die Topologie des Netzes darzustellen. Nicht-LLDP-Geräte blockieren in der Regel die spezielle Multicast-LLDP-IEEE-MAC-Adresse, die zum Informationsaustausch verwendet wird. Nicht-LLDP-Geräte verwerfen aus diesem Grund LLDP-Pakete.
Seite 921: Berichte
Funktionsdiagnose 14.9 Berichte 14.9 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei  Die Logdatei ist eine HTML-Datei, in die das Gerät geräteinterne Ereignisse schreibt. Audit Trail  Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 922 Funktionsdiagnose 14.9 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion protokolliert Benutzeran- Protokolliere SNMP-Get-Requests fragen nach Geräte-Konfigurationsinformationen. Die Funktion Protokolliere SNMP-Set-Requests protokolliert Geräte-Konfigurationsereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Seite 923: Syslog
Funktionsdiagnose 14.9 Berichte 14.9.2 Syslog Das Gerät bietet Ihnen die Möglichkeit, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog Diagnose >...
Seite 924: System-Log
Funktionsdiagnose 14.9 Berichte Wechsel in den Konfigurationsmodus. configure Protokolliert SNMP-Get-Anfragen. logging snmp-requests get operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests get severity 5 fest, welches das Gerät bei SNMP-GET-Anfragen protokolliert. Der Wert bedeutet notice. Protokolliert SNMP-SET-Anfragen. logging snmp-requests set operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests set severity 5...
Seite 925: Logging Audit-Trail
Funktionsdiagnose 14.9 Berichte Kommando im Command Line Interface, das den Kommentar  logging audit-trail <string> protokolliert Automatische Änderungen der Systemzeit  Watchdog-Ereignisse  Sperren eines Benutzers nach mehreren fehlgeschlagenen Login-Versuchen  Benutzeranmeldung über das Command Line Interface (lokal oder remote) ...
Seite 926: 15 Erweiterte Funktionen Des Geräts
Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden 15 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden Der DNS-Client fordert die DNS-Server dazu auf, die Host-Namen und IP-Adressen von Geräten im Netz aufzulösen. Der DNS-Client konvertiert Namen von Geräten, ähnlich einem Telefonbuch, in IP-Adressen.
Seite 927 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden UM Config EAGLE Release 03.5 08/2020...
Seite 928: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Um über SSH auf das Gerät zuzugreifen, führen Sie die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät.  oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Seite 929: Eigenen Schlüssel In Das Gerät Laden
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.2 Eigenen Schlüssel in das Gerät laden Erfahrenen Netzadministratoren bietet OpenSSH die Möglichkeit, einen eigenen Schlüssel zu erzeugen. Zum Erzeugen des Schlüssels fügen Sie auf Ihrem PC die folgenden Kommandos ein: ssh-keygen(.exe) -q -t rsa -f rsa.key -C '' -N '' rsaparam -out rsaparam.pem 2048 Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen.
Seite 930: Ssh-Client-Programm Vorbereiten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.3 SSH-Client-Programm vorbereiten Das Programm ermöglicht Ihnen, auf das Gerät mit SSH zuzugreifen. Dieses Programm PuTTY finden Sie auf der Produkt-CD. Führen Sie die folgenden Schritte aus: Starten Sie das Programm mit einem Doppelklick.  Abb.
Seite 931 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Einrichten der Datenverbindung fügen Sie das folgende Kommando ein: ssh admin@10.0.112.53 ist der Benutzername. admin 10.0.112.53 ist die IP-Adresse Ihres Geräts. UM Config EAGLE Release 03.5 08/2020...
Seite 932: Https-Zertifikat
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Web-Browser stellt mit dem HTTPS-Protokoll die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion im Dialog HTTPS server Gerätesicherheit > Management-Zugriff > Server, Registerkarte einschalten. HTTPS Anmerkung: Software von Drittanbietern wie Web-Browser validieren Zertifikate anhand von Krite- rien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfehlungen.
Seite 933: Https-Zertifikatsverwaltung
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat A.2.1 HTTPS-Zertifikatsverwaltung Für die Verschlüsselung ist ein Standardzertifikat nach X.509/PEM (Public-Key-Infrastruktur) erfor- derlich. In der Voreinstellung befindet sich ein selbst generiertes Zertifikat auf dem Gerät. Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Server, Registerkarte HTTPS. ...
Seite 934: Zugang Über Https
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat A.2.2 Zugang über HTTPS Die Voreinstellung für HTTPS-Datenverbindungen ist der TCP-Port 443. Wenn Sie die HTTPS- Portnummer ändern, starten Sie anschließend das Gerät oder den HTTPS-Server neu. Damit wird die Änderung wirksam. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Server, Registerkarte HTTPS.
Seite 935 Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat UM Config EAGLE Release 03.5 08/2020...
Seite 936: B Anhang
Anhang B.1 Literaturhinweise B Anhang Literaturhinweise Optische Übertragungstechnik in industrieller Praxis  Christoph Wrobel (ed.) Hüthig Buch Verlag Heidelberg ISBN 3-7785-2262-0 Hirschmann-Handbuch  Basics of Industrial ETHERNET and TCP/IP 280 710-834 TCP/IP Illustrated, Band 1  W.R. Stevens Addison Wesley 1994 ISBN 0-201-63346-9 UM Config EAGLE Release 03.5 08/2020...
Seite 937: Wartung
Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE Release 03.5 08/2020...
Seite 938: Management Information Base (Mib)
Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 939: Anhang
Anhang B.3 Management Information BASE (MIB) Beispiel: Die generische Objektklasse hm2PSState (OID = 1.3.6.1.4.1.248.11.11.1.1.1.1.2) ist die Beschreibung der abstrakten Information Netzteilstatus. Es lässt sich daraus noch kein Wert auslesen, es ist ja auch noch nicht bekannt, welches Netzteil gemeint ist. Durch die Angabe des Subidentifiers wird diese abstrakte Information auf die Wirklichkeit abge- bildet, instanziert, und bezeichnet so den Betriebszustand des Netzteils 2.
Seite 940 Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Seite 941: Liste Der Rfcs
Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 942 Anhang B.4 Liste der RFCs RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3418 Management Information Base (MIB)
Seite 943: Zugrundeliegende Ieee-Normen
Anhang B.5 Zugrundeliegende IEEE-Normen Zugrundeliegende IEEE-Normen IEEE 802.1AB Station and Media Access Control Connectivity Discovery IEEE 802.1D MAC Bridges (switching function) IEEE 802.1Q Virtual LANs (VLANs, MRP, Spanning Tree) IEEE 802.3 Ethernet IEEE 802.3ac VLAN Tagging IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet UM Config EAGLE...
Seite 944: Zugrundeliegende Ansi-Normen
Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE Release 03.5 08/2020...
Seite 945: B.7 Technische Daten
Anhang B.7 Technische Daten Technische Daten Switching Größe der MAC-Adress-Tabelle 16384 (inkl. statische Filter) Max. Anzahl statisch konfigurierter MAC-Adressfilter Anzahl Warteschlangen 8 Queues Einstellbare Port-Prioritäten 0..7 MTU (Max. Länge der Pakete) 1518 Byte VLAN VLAN-ID-Bereich 1..4042 Anzahl der VLANs max. 64 gleichzeitig pro Gerät max.
Seite 946 Anhang B.7 Technische Daten Max. Anzahl der 1:1-NAT-Regeln Max. Anzahl der Destination-NAT- Regeln Max. Anzahl der Double-NAT-Regeln 255 Max. Anzahl der Masquerading-NAT- Regeln Max. Anzahl der Einträge für Connec- 7768 tion Tracking UM Config EAGLE Release 03.5 08/2020...
Seite 947: Copyright Integrierter Software
Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog Hilfe > Lizenzen. UM Config EAGLE Release 03.5 08/2020...
Seite 948: B.9 Verwendete Abkürzungen
Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers Access Control List BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Extended Unique Identifier Forwarding Database Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE...
Seite 949 Anhang B.9 Verwendete Abkürzungen UM Config EAGLE Release 03.5 08/2020...
Seite 950: C Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............186 ABR .
Seite 951 Stichwortverzeichnis Echtzeit ..............151 Ereignisprotokoll .
Seite 952 Stichwortverzeichnis LACNIC ..............42 Lastverteilung .
Seite 953 Stichwortverzeichnis Paketfilter ............. 115, 116 Passwort .
Seite 954 Stichwortverzeichnis Schulungsangebote ............297 Secure Shell .
Seite 955 Stichwortverzeichnis Variable Length Subnet Mask ..........210 Verkehrsflussvertraulichkeit .
Seite 956: D Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 957: E Leserkritik
Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 958 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...

Diese Anleitung auch für:

Hirschmann eagle20 Hirschmann eagle30

Belden HIRSCHMANN EAGLE HiSecOS Referenzhandbuch

Deutsch

1 Grundeinstellungen

2 Zeit

3 Gerätesicherheit

4 Netzsicherheit

5 Virtuelles Privates Netz

6 Switching

7 WAN (Hardwareabhängig)

8 Routing

9 Diagnose

10 Erweitert

English

Sa Fe T y Inst Ruc T Ions

First Login (Pa Ssw Ord Cha Nge )

About T His M a Nua L

Ac C E Ss Cont Rol List (ACL)

Applic at Ion List S

Aut He Nt IC at Ion List S

Cla Ss of Se Rvic E

Com M a Nd Line I Nt E Rfa C E (CLI )

Clock

Configurat Ion

Devic E M Onit Oring

Devic E Se C Urit y

Domain Name System (DNS)

1 1 Dos M It Igat Ion

2 De E P Pa Cke T I Nspe C T Ion (DPI )

3 Filt E Ring Dat a Ba Se (FDB)

4 Fire W a Ll le a Rning M Ode (FLM )

H Idisc Ove Ry

6 H Ype R T Ex T Tra Nsfe R Prot Oc Ol (H T T P)

7 H T T P Se C Ure (H T T PS)

8 I Nt E Rfa C E

1 9 I Nt E Rfa C E St at ist IC S

2 0 I Nt E R N

1 Ope N Short E St Pa T H First (OSPF)

Address Resolution Protocol (IP ARP)

Internet Protocol Version 4 (Ipv4)

Link Layer Discovery Protocol (LLDP)

6 Logging 1

7 M a Na Ge M E Nt Ac C E Ss 1

N E T W Ork Addre Ss T Ra Nsla T Ion (N at )

N E T W Ork T IM E Prot Oc Ol (N T P)

Pa Cke T -Filt E R

Password Management

2 Ra Dius 1

Remote Authentication

Script File

5 Se Lft E St 1

Small Form-Factor Pluggable (SFP)

7 Signa L Cont a C T 1

Simple Network Management Protocol (SNMP)

9 SN M P Com M Unit y 1

0 SN M P Logging 1

Se C Ure She Ll (SSH )

2 St Orm Cont Rol 1

3 Syst E M 1

4 T Ra C K Ing 1

5 L3 Re la y 1

6 T Ra Ps 1

Unicast Routing

8 U Se Rs 1

Anhang

Quicklinks

Kapitel

Verwandte Anleitungen für Belden HIRSCHMANN EAGLE HiSecOS

Inhaltszusammenfassung für Belden HIRSCHMANN EAGLE HiSecOS