Seite 1 Hirschmann Automation and Control GmbH EAGLE40-07 HiSecOS Rel. 04101 Referenz-Handbücher Grafische Benutzeroberfläche Command Line Interface Anwender-Handbuch Konfiguration...
Seite 2: Grafische Benutzeroberfläche Industrial Security Router
Referenz-Handbuch Grafische Benutzeroberfläche Industrial Security Router EAGLE40-07 RM GUI EAGLE40-07 Technische Unterstützung Release 4.1.01 05/2021 https://hirschmann-support.belden.com...
Seite 3 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2021 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 4: Inhaltsverzeichnis
Inhalt Inhalt Sicherheitshinweise............7 Über dieses Handbuch .
Seite 5 Inhalt 4.3.1.2 Firewall-Lern-Modus ............108 4.3.1.3 Paketfilter Regel.
Seite 6 Inhalt 7.4.3 OSPF Stub Areas............286 7.4.4 OSPF Not So Stubby Areas.
Seite 7 Inhalt LLDP ..............410 8.5.1 LLDP Konfiguration .
Seite 8: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 9 Sicherheitshinweise RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 10: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 11: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 12: Hinweise Zur Grafischen Benutzeroberfläche
Hinweise zur grafischen Benutzeroberfläche Hinweise zur grafischen Benutzeroberfläche Die grafische Benutzeroberfläche des Geräts ist wie folgt unterteilt: Navigationsbereich  Dialogbereich  Schaltflächen  Navigationsbereich Der Navigationsbereich befindet sich auf der linken Seite der grafischen Benutzeroberfläche. Der Navigationsbereich enthält die folgenden Elemente: Symbolleiste ...
Seite 13 Hinweise zur grafischen Benutzeroberfläche Klicken Sie die Schaltfläche, um den gegenwärtig angemeldeten Benutzer abzumelden und den Login-Dialog anzuzeigen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“ Konfigura- tionsprofil im permanenten Speicher (NVM) unterscheiden, zeigt das Gerät den Dialog Warnung. •...
Seite 14: Dialogbereich
Hinweise zur grafischen Benutzeroberfläche Filter Der Filter bietet Ihnen die Möglichkeit, die Anzahl der Menüpunkte im Menü zu reduzieren. Während des Filterns zeigt das Menü ausschließlich diejenigen Menüpunkte, die den im Filterfeld eingegebenen Suchbegriff enthalten. Menü Das Menü zeigt die Menüpunkte. Sie haben die Möglichkeit, die Menüpunkte zu filtern.
Seite 15: Arbeiten Mit Tabellen
Hinweise zur grafischen Benutzeroberfläche Ist das Kontrollkästchen in Spalte noch unmarkiert, klicken Sie die Schaltfläche Ausgewählt  und dann den Eintrag Auswählen. Klicken Sie die Schaltfläche und dann den Eintrag Speichern.  Anmerkung: Unbeabsichtigte Änderungen an den Einstellungen führen möglicherweise zum Verbindungsabbruch zwischen Ihrem PC und dem Gerät.
Seite 16: Schaltflächen
Hinweise zur grafischen Benutzeroberfläche Schaltflächen Hier finden Sie die Beschreibung der Standard-Schaltflächen. Spezielle, Dialog-spezifische Schalt- flächen sind im Hilfetext des zugehörigen Dialogs beschrieben. Überträgt die Änderungen in den flüchtigen Speicher (RAM) des Geräts und wendet diese an. Um die Änderungen im permanenten Speicher zu speichern, gehen Sie wie folgt vor: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 17 Hinweise zur grafischen Benutzeroberfläche RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 18: Grundeinstellungen
Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System  Netz  Software  Laden/Speichern  Externer Speicher  Port  Neustart  System [ Grundeinstellungen > System ] In diesem Dialog überwachen Sie einzelne Betriebszustände. Geräte-Status Die Felder in diesem Rahmen zeigen den Gerätestatus und informieren über aufgetretene Alarme.
Seite 19: Systemdaten
Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Die Felder in diesem Rahmen zeigen den Sicherheitsstatus und informieren über aufgetretene Alarme. Der Rahmen ist hervorgehoben, wenn gegenwärtig ein Alarm vorhanden ist. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 20 Grundeinstellungen [ Grundeinstellungen > System ] Die folgenden Funktionen verwenden den festgelegten Wert als Hostnamen oder FQDN (Fully Qualified Domain Name). Für die Kompatibilität ist es empfehlenswert, nur Kleinbuchstaben zu verwenden, da nicht jedes System zwischen Groß- und Kleinschreibung im FQDN unterscheidet. Vergewissern Sie sich, dass dieser Name im gesamten Netz eindeutig ist.
Seite 21 Grundeinstellungen [ Grundeinstellungen > System ] Mögliche Werte: -99..99 (ganze Zahl)  Wenn die Temperatur im Gerät diesen Wert überschreitet, dann generiert das Gerät einen Alarm. Untere Temp.-Grenze [°C] Legt die untere Temperaturgrenze in °C fest. Das Anwender-Handbuch „Installation“ enthält ausführliche Informationen zum Festlegen der Temperaturgrenzen.
Seite 22: Netz
Grundeinstellungen [ Grundeinstellungen > Netz ] Status Port Dieser Rahmen zeigt eine vereinfachte Ansicht der Ports des Geräts zum Zeitpunkt der letzten Aktualisierung. Die Symbole stellen den Zustand der einzelnen Ports dar. In manchen Situationen überlagern sich die folgenden Symbole. Wenn Sie den Mauszeiger über dem entsprechenden Port-Symbol positi- onieren, zeigt ein Tooltip detaillierte Informationen zum Port-Status.
Seite 23 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] 1.2.1 Global [ Grundeinstellungen > Netz > Global ] In diesem Dialog legen Sie die VLAN- und HiDiscovery-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle In diesem Rahmen legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist.
Seite 24 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] Funktion Schaltet die Funktion HiDiscovery im Gerät ein/aus. Mögliche Werte: (Voreinstellung)  HiDiscovery ist eingeschaltet. Sie haben die Möglichkeit, das Gerät mit der HiDiscovery-Software von Ihrem PC aus zu errei- chen.  HiDiscovery ist ausgeschaltet.
Seite 25: Ipv4
Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] 1.2.2 IPv4 [ Grundeinstellungen > Netz > IPv4 ] In diesem Dialog legen Sie die IPv4-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Zuweisung IP-Adresse Legt fest, aus welcher Quelle das Management des Geräts seine IP-Parameter erhält.
Seite 26: Software
Grundeinstellungen [ Grundeinstellungen > Software ] Netzmaske Legt die Netzmaske fest. Mögliche Werte: Gültige IPv4-Netzmaske  Gateway-Adresse Legt die IP-Adresse eines Routers fest, über den das Gerät andere Geräte außerhalb des eigenen Netzes erreicht. Mögliche Werte: Gültige IPv4-Adresse  Wenn das Gerät das festgelegte Gateway nicht verwendet, dann prüfen Sie, ob ein anderes Stan- dard-Gateway festgelegt ist.
Seite 27: Software-Update
Grundeinstellungen [ Grundeinstellungen > Software ] Backup-Version Zeigt Versionsnummer und Erstellungsdatum der als Backup im Flash gespeicherten Geräte-Soft- ware. Diese Geräte-Software hat das Gerät beim letzten Software-Update oder nach Klicken der Schaltfläche Wiederherstellen in den Backup-Bereich kopiert. Wiederherstellen Stellt die als Backup gespeicherte Geräte-Software wieder her. Dabei tauscht das Gerät die Gespei- Versionund die der Geräte-Software.
Seite 28 Grundeinstellungen [ Grundeinstellungen > Software ] Tabelle Datei Ort Zeigt den Speicherort der Geräte-Software. Mögliche Werte:  Flüchtiger Speicher des Geräts flash  Permanenter Speicher (NVM) des Geräts  Externer USB-Speicher (ACA21/ACA22) Index Zeigt den Index der Geräte-Software. Für die der Geräte-Software im Flash hat der Index die folgende Bedeutung: ...
Seite 29: Laden/Speichern
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts permanent in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 30: Konfigurations-Verschlüsselung
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurations-Verschlüsselung Aktiv Zeigt, ob die Konfigurations-Verschlüsselung im Gerät aktiv/inaktiv ist. Mögliche Werte: markiert  Die Konfigurations-Verschlüsselung ist aktiv. Das Gerät lädt ein Konfigurationsprofil aus dem permanenten Speicher (NVM) ausschließlich dann, wenn dieses verschlüsselt ist und das Passwort mit dem im Gerät gespeicherten Pass- wort übereinstimmt.
Seite 31 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Installieren Sie im neuen Gerät den externen Speicher aus dem defekten Gerät.  Starten Sie das neue Gerät neu.  Beim Neustart lädt das Gerät das Konfigurationsprofil mit den Einstellungen des defekten Geräts vom externen Speicher. Das Gerät kopiert die Einstellungen in den flüchtigen Speicher (RAM) und in den permanenten Speicher (NVM).
Seite 32: Konfigurationsänderungen Rückgängig Machen
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurationsänderungen rückgängig machen Funktion Schaltet die Funktion ein/aus. Mit der Funktion prüft das Konfigurationsänderungen rückgängig machen Gerät kontinuierlich, ob es von der IP-Adresse Ihres PCs erreichbar bleibt. Bricht die Verbindung ab, lädt das Gerät nach einer festgelegten Zeitspanne das „ausgewählte“ Konfigurationsprofil aus dem permanenten Speicher (NVM).
Seite 33 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] (permanenter Speicher des Geräts)  Aus dem permanenten Speicher lädt das Gerät das „ausgewählte“ Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion Konfigurationsänderungen rückgängig machen. Der permanente Speicher bietet Platz für mehrere Konfigurationsprofile, abhängig von der Anzahl der im Konfigurationsprofil gespeicherten Einstellungen.
Seite 34 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Mögliche Werte: markiert  Das Konfigurationsprofil ist als „ausgewählt“ gekennzeichnet. – Das Gerät lädt die das Konfigurationsprofil beim Neustart oder beim Anwenden der Funktion in den flüchtigen Speicher (RAM). Konfigurationsänderungen rückgängig machen – Wenn Sie die Schaltfläche klicken, speichert das Gerät die zwischengespeicherten Einstellungen in diesem Konfigurationsprofil.
Seite 35 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Mögliche Werte: markiert  Berechnete und gespeicherte Prüfsumme stimmen überein. Die gespeicherten Einstellungen sind konsistent. unmarkiert  Für das als „ausgewählt“ gekennzeichnete Konfigurationsprofil gilt: Berechnete und gespeicherte Prüfsumme unterscheiden sich. Das Konfigurationsprofil enthält geänderte Einstellungen. Mögliche Ursachen: –...
Seite 36 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Aktivieren Lädt die Einstellungen des in der Tabelle markierten Konfigurationsprofils in den flüchtigen Spei- cher (RAM). Das Gerät trennt die Verbindung zur grafischen Benutzeroberfläche. Um wieder auf das Geräte-  Management zuzugreifen, führen Sie die folgenden Schritte aus: Laden Sie die grafische Benutzeroberfläche neu.
Seite 37 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Importieren... Öffnet das Fenster Importieren..., um ein Konfigurationsprofile zu importieren. Voraussetzung ist, dass Sie das Konfigurationsprofil zuvor mit der Schaltfläche Exportieren... oder mit dem Link in Spalte exportiert haben. Profilname Wählen Sie in der Dropdown-Liste Select source aus, woher das Gerät das Konfigurationsprofil ...
Seite 38 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Exportieren... Exportiert das in der Tabelle markierte Konfigurationsprofil und speichert es als XML-Datei auf einem Remote-Server. Um die Datei auf Ihrem PC zu speichern, klicken Sie den Link in Spalte Profilname, um den Spei- cherort zu wählen und den Dateinamen festzulegen.
Seite 39: Externer Speicher
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 40 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Automatisches Software-Update Aktiviert/deaktiviert die automatische Aktualisierung der Geräte-Software während des Neustarts. Mögliche Werte: markiert (Voreinstellung)  Die automatische Aktualisierung der Geräte-Software während des Neustarts ist aktiviert. Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: –...
Seite 41 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Revision Zeigt die durch den Speicher-Hersteller vorgegebene Revisionsnummer. Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 42: Port
Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Verbindungszustand, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: [Konfiguration] ...
Seite 43 Grundeinstellungen [ Grundeinstellungen > Port ] Power-State (Port aus) Legt fest, ob der Port physikalisch eingeschaltet oder ausgeschaltet ist, wenn Sie den Port mit der Funktion deaktivieren. Port an Mögliche Werte: markiert  Der Port bleibt physikalisch eingeschaltet. Ein angeschlossenes Gerät empfängt einen aktiven Link.
Seite 44 Grundeinstellungen [ Grundeinstellungen > Port ] 100 Mbit/s FDX  Vollduplex-Verbindung 1000 Mbit/s FDX  Vollduplex-Verbindung Anmerkung: Die tatsächlich zur Verfügung stehenden Betriebsmodi des Ports sind abhängig von der Ausstattung des Geräts. Link/ Aktuelle Betriebsart Zeigt, welchen Betriebsmodus der Port gegenwärtig verwendet. Mögliche Werte: –...
Seite 45 Grundeinstellungen [ Grundeinstellungen > Port ] Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle auf dem Port. Mögliche Werte: markiert (Voreinstellung)  Die Flusskontrolle auf dem Port ist aktiv. Auf dem Port ist das Senden und Auswerten von Pause-Paketen (Vollduplex-Betrieb) oder Kolli- sionen (Halbduplex-Betrieb) aktiviert. Um die Flusskontrolle im Gerät einzuschalten, aktivieren Sie zusätzlich die Funktion Fluss- ...
Seite 46 Grundeinstellungen [ Grundeinstellungen > Port ] [Statistiken] Diese Registerkarte zeigt pro Port folgenden Überblick: Anzahl der vom Gerät empfangenen Datenpakete/Bytes  – Empfangene Pakete – Empfangene Oktets – Empfangene Unicast-Pakete – Empfangene Multicast-Pakete – Empfangene Broadcast-Pakete Anzahl der vom Gerät gesendeten Datenpakete/Bytes ...
Seite 47: Neustart
Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Port-Zähler und Adresstabellen zurück- zusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet den Dialog Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 48 Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei löschen Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System-Log. Persistente Log-Datei löschen Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikationsverbindungen aus der State-Tabelle der Fire- wall.
Seite 49 Grundeinstellungen 1.7 Neustart RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 50: Zeit
Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen   Grundeinstellungen [ Zeit > Grundeinstellungen ] Nach einem Neustart initialisiert das Gerät seine Uhr auf den 1. Januar, 0.00 Uhr. Stellen Sie die Uhrzeit neu ein, wenn Sie das Netzteil vom Gerät trennen oder das Gerät neu starten.
Seite 51: Global
Zeit [ Zeit > NTP ] Lokaler Offset [min] Legt die Differenz zwischen lokaler Zeit und in Minuten fest: Systemzeit (UTC) Lokaler Offset [min] − Systemzeit Systemzeit (UTC) Mögliche Werte: -780..840 (Voreinstellung: 60)  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 52 Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren ...
Seite 53: Client Und Server
Zeit [ Zeit > NTP > Global ] Client und Server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Gerätemanagement-VLAN sowie in Schicht 3 auf den eingerichteten IP-Schnittstellen. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 54 Zeit [ Zeit > NTP > Global ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 55: Server
Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest-  gelegten Server. Wenn der NTP-Server des Geräts im Modus arbeitet, dann legen Sie hier die am symmetric...
Seite 56 Zeit [ Zeit > NTP > Server ] Mögliche Werte: markiert  burst-Modus ist aktiv. Initial – Das Gerät sendet einmalig mehrere Datenpakete (Burst), wenn der NTP-Server uner- reichbar ist. – Verwenden Sie diese Einstellung ausschließlich dann, wenn Sie als Referenzzeitquelle einen eigenen, nicht-öffentlichen NTP-Server nutzen.
Seite 57 Zeit [ Zeit > NTP > Server ] Status Zeigt den Synchronisierungs-Status. Mögliche Werte: disabled  Kein Server verfügbar. protocolError  notSynchronized  Der Server ist verfügbar. Der Server selbst ist nicht synchronisiert. notResponding  Der Server ist verfügbar. Das Gerät erhält keine Zeitinformation. synchronizing ...
Seite 58: Gerätesicherheit
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung  Authentifizierungs-Liste  LDAP  Management-Zugriff  Pre-Login-Banner  Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 59 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Zeitraum für Login-Versuche (min.) Zeigt die Zeitspanne, nach der das Gerät den Zähler im Feld zurücksetzt. Login-Versuche Mögliche Werte: 0..60 (Voreinstellung: 0)  Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier festgelegt.
Seite 60 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Sonderzeichen (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Sonderzeichen enthält, wie hier festgelegt. Mögliche Werte: 0..16 (Voreinstellung: 1)  Der Wert deaktiviert diese Richtlinie. Tabelle Jeder Benutzer benötigt ein aktives Benutzerkonto, um Zugriff auf das Management des Geräts zu erhalten.
Seite 61 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Wenn das Kontrollkästchen in Spalte Richtlinien überprüfen markiert ist, dann prüft das Gerät das Passwort gemäß der im Rahmen festgelegten Richtlinien. Passwort-Richtlinien Das Gerät prüft stets die Mindestlänge des Passworts, auch wenn das Kontrollkästchen in Spalte ist.
Seite 62 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Richtlinien überprüfen Aktiviert/deaktiviert das Prüfen des Passworts. Mögliche Werte: markiert  Das Prüfen des Passworts ist aktiviert. Beim Einrichten oder Ändern des Passworts prüft das Gerät das Passwort gemäß der im Rahmen Passwort-Richtlinienfestgelegten Richtlinien. unmarkiert (Voreinstellung) ...
Seite 63: Authentifizierungs-Liste
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 64: Ldap
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] radius  Das Gerät authentifiziert die Benutzer mit einen RADIUS-Server im Netz. Den RADIUS-Server legen Sie im Dialog fest. Netzsicherheit > RADIUS > Authentication-Server reject  Abhängig von der Richtlinie, die Sie zuerst anwenden, akzeptiert das Gerät die Authentifizie- rung oder lehnt die Authentifizierung ab.
Seite 65: Web Interface
Gerätesicherheit [ Gerätesicherheit > LDAP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das linke Feld zeigt die Anwendungen, die sich der ausgewählten Liste zuordnen lassen.  Das rechte Feld zeigt die Anwendungen, die der ausgewählten Liste zugeordnet sind. ...
Seite 66: Funktion
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 67 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Bind-Benutzer Passwort Legt das Passwort fest, das das Gerät bei der Anmeldung am LDAP-Server zusammen mit der in Feld festgelegten Benutzerkennung verwendet. Bind-Benutzer Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen ...
Seite 68 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Default-Domain Legt die Zeichenfolge fest, mit der das Gerät den Benutzernamen sich anmeldender Benutzer ergänzt, sofern der Benutzername kein @-Zeichen enthält. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  CA certificate Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: •...
Seite 69 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Beschreibung Legt die Beschreibung fest. Wenn gewünscht, beschreiben Sie hier den Authentication-Server oder notieren zusätzliche Infor- mationen. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Adresse Legt IP-Adresse oder DNS-Name des Servers fest. Mögliche Werte: IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 70 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ]  Verschlüsselung mit SSL. Das Gerät baut eine TLS-Verbindung zum Server auf und tunnelt darüber die LDAP-Kommuni- kation. (Voreinstellung) startTLS  Verschlüsselung mit startTLS-Erweiterung. Das Gerät baut eine LDAP-Verbindung zum Server auf und verschlüsselt die Kommunikation. Voraussetzung für die verschlüsselte Kommunikation ist, dass das Gerät die korrekte Uhrzeit verwendet.
Seite 71: Ldap Rollen-Zuweisung
Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings zu erstellen, um Benutzern eine Rolle zuzu- weisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenitgliedschaft dem Benutzer eine Rolle zuweist.
Seite 72 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Rolle Legt die Benutzer-Rolle fest, die den Zugriff des Benutzers auf die einzelnen Funktionen des Geräts regelt. Mögliche Werte: unauthorized  Der Benutzer ist gesperrt, das Gerät verweigert die Anmeldung des Benutzers. Weisen Sie diesen Wert zu, um das Benutzerkonto vorübergehend zu sperren.
Seite 73: Management-Zugriff
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Index-Nummer fest.  Mögliche Werte: –...
Seite 74 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: [Information] ...
Seite 75 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] SNMPv3 Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit SNMP Version 3 ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte SNMP. Mögliche Werte: markiert  Server-Dienst ist aktiv. unmarkiert  Server-Dienst ist inaktiv.
Seite 76 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] [SNMP] Diese Registerkarte ermöglicht Ihnen, Einstellungen für den SNMP-Agenten des Geräts festzu- legen und den Zugriff auf das Gerät mit unterschiedlichen SNMP-Versionen ein-/auszuschalten. Der SNMP-Agent ermöglicht den Zugriff auf das Management des Geräts mit SNMP-basierten Anwendungen.
Seite 77 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der SNMP-Agent Anfragen von Clients entgegen- nimmt. Mögliche Werte: 1..65535 (Voreinstellung: 161)  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Damit der SNMP-Agent nach einer Änderung den neuen Port verwendet, gehen Sie wie folgt vor: Klicken Sie die Schaltfläche ...
Seite 78 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion SSH-Server Schaltet den SSH-Server ein/aus. Mögliche Werte: (Voreinstellung)  Der SSH-Server ist eingeschaltet. Der Zugriff auf das Management des Geräts ist möglich mit dem Command Line Interface über eine verschlüsselte SSH-Verbindung. Der Server lässt sich ausschließlich dann starten, wenn eine RSA-Signatur im Gerät vorhanden ist.
Seite 79 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Mögliche Werte: 1..5 (Voreinstellung: 5)  Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität des angemeldeten Benutzers trennt das Gerät nach dieser Zeit die Verbindung. Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Mögliche Werte: ...
Seite 80 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Signatur RSA vorhanden Zeigt, ob ein RSA-Host-Key im Gerät vorhanden ist. Mögliche Werte: markiert  Schlüssel vorhanden. unmarkiert  Kein Schlüssel vorhanden. Erzeugen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des erzeugten Schlüssels: 2048 Bit (RSA) ...
Seite 81 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Key-Import Legt Pfad und Dateiname Ihres RSA-Host-Keys fest. Das Gerät akzeptiert den RSA-Schlüssel, wenn dieser die folgende Schlüssellänge aufweist: • 2048 bit (RSA) Das Gerät bietet Ihnen folgende Möglichkeiten, den Schlüssel in das Gerät zu kopieren: Import vom PC ...
Seite 82 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTP server Schaltet für den Webserver das Protokoll ein/aus. HTTP Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTP Der Zugriff auf das Management des Geräts ist möglich über eine unverschlüsselte HTTP- Verbindung.
Seite 83 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Das Gerät unterstützt bis zu 10 gleichzeitige Verbindungen per HTTP oder HTTPS. Anmerkung: Wenn Sie Einstellungen in dieser Registerkarte ändern und die Schaltfläche klicken, dann beendet das Gerät die Sitzung und trennt jede geöffnete Verbindung. Um wieder mit der grafischen Benutzeroberfläche zu arbeiten, melden Sie sich erneut an.
Seite 84 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerabdruck-Typ Legt fest, welchen Fingerprint das Feld anzeigt. Fingerabdruck Mögliche Werte: sha1  Das Feld Fingerabdruck zeigt den SHA1-Fingerprint des Zertifikats. sha256  Das Feld zeigt den SHA256-Fingerprint des Zertifikats. Fingerabdruck Fingerabdruck Zeichenfolge des digitalen Zertifikats, das der Server verwendet.
Seite 85: Zertifikat-Import
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Betriebszustand Zeigt, ob das Gerät gegenwärtig ein digitales Zertifikat generiert oder löscht. Möglicherweise hat ein anderer Benutzer die Aktion ausgelöst. Mögliche Werte: kein  Das Gerät generiert oder löscht gegenwärtig kein Zertifikat. delete ...
Seite 86 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 87: Ip-Zugriffsbeschränkung
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog bietet Ihnen die Möglichkeit, den Zugriff auf das Management des Geräts auf gewisse IP-Adressbereiche und ausgewählte IP-basierte Anwendungen zu beschränken. Bei ausgeschalteter Funktion ist der Zugriff auf das Management des Geräts von jeder belie- ...
Seite 88 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Mögliche Werte: 1..16  Adresse Legt die IP-Adresse des Netzes fest, von dem aus Sie den Zugriff auf das Management des Geräts erlauben. Den Netz-Bereich legen Sie fest in Spalte Netzmaske. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 89 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Aktiviert/deaktiviert den SSH-Zugriff. Mögliche Werte: markiert (Voreinstellung)  Zugriff ist aktiviert für nebenstehenden IP-Adressbereich. unmarkiert  Zugriff ist deaktiviert. Aktiv Aktiviert/deaktiviert den Tabelleneintrag. Mögliche Werte: (Voreinstellung) markiert  Tabelleneintrag ist aktiviert. Das Gerät beschränkt den Zugriff auf das Management des Geräts auf den nebenstehenden IP-Adressbereich und die ausgewählten IP-basierten Anwendungen.
Seite 90: Web
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Web-Interface Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des angemeldeten Benutzers.
Seite 91: Command Line Interface
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Detaillierte Infor- mationen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Inter- face“.
Seite 92 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] Eine Änderung des Werts wird bei erneuter Anmeldung eines Benutzers wirksam. Für den SSH-Server legen Sie das Timeout fest im Dialog Gerätesicherheit > Management-Zugriff > Server. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 93 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] <Tabulator>  <Zeilenumbruch>  Verbleibende Zeichen Zeigt, wie viele Zeichen im Feld noch für die Textinformation zur Verfügung stehen. Banner-Text Mögliche Werte: 1024..0  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 94: Snmpv1/V2 Community
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie die Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen per SNMPv1/v2 mit einem Community-Namen im SNMP-Daten- paket-Header.
Seite 95: Pre-Login-Banner
Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface. Benutzer, die sich mit SSH anmelden, sehen den Text – abhängig vom verwendeten Client –...
Seite 96 Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Verbleibende Zeichen Zeigt, wie viele Zeichen im Feld noch zur Verfügung stehen. Banner-Text Mögliche Werte: 512..0  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 97 Gerätesicherheit 3.5 Pre-Login-Banner RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 98: Netzsicherheit
Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht  RADIUS  Paketfilter  Deep Packet Inspection   Intrusion Detection System  Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt die im Gerät verwendeten Netzsicherheits-Regeln. Parameter Port/VLAN Legt fest, ob das Gerät VLAN- und/oder portbasierte Regeln anzeigt.
Seite 99 Netzsicherheit [ Netzsicherheit > RADIUS ] Double-NAT Zeigt die Double-NAT-Regeln in der Übersicht. Die Double-NAT-Regeln bearbeiten Sie im Dialog Routing > NAT > Double-NAT. Masquerading-NAT Zeigt die Masquerading-NAT-Regeln in der Übersicht. Die Masquerading-NAT-Regeln bearbeiten Sie im Dialog Routing > NAT > Masquerading-NAT.
Seite 100: Radius Global
Netzsicherheit [ Netzsicherheit > RADIUS ] Das Gerät arbeitet in der Rolle des RADIUS-Clients, wenn Sie im Dialog radius einer Anwendung die Richtlinie zuweisen. Das Gerät leitet die Zugangsdaten Gerätesicherheit > Authentifizierungs-Liste der Benutzer weiter an den primären Authentication-Server. Der Authentication-Server entscheidet, ob die Zugangsdaten gültig sind und übermittelt dem Gerät die Berechtigungen des Benutzers.
Seite 101 Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 102: Radius Authentication-Server
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 103 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] Primärer Server Kennzeichnet den Authentication-Server als primär oder sekundär. Mögliche Werte: markiert  Der Server ist als primärer Authentication-Server gekennzeichnet. Das Gerät sendet die Zugangsdaten zum Authentifizieren der Benutzer an diesen Authentication-Server. Wenn Sie mehrere Server markieren, kennzeichnet das Gerät den zuletzt markierten Server als primären Authentication-Server.
Seite 104: Radius Authentication Statistiken
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Zeile. Um die Statistik zu löschen, klicken Sie im Dialog die Schaltfläche Netzsicherheit >...
Seite 105: Paketfilter
Netzsicherheit [ Netzsicherheit > Paketfilter ] Fehlerhafter Authentifikator Zeigt, wie viele Access-Response-Datenpakete mit ungültigem Authentifikator das Gerät vom Server empfangen hat. Offene Anfragen Zeigt, wie viele Access-Request-Datenpakete das Gerät an den Server gesendet hat, auf die es noch keine Antwort vom Server empfangen hat. Timeouts Zeigt, wie viele Male die Antwort des Servers vor Ablauf der voreingestellten Wartezeit ausge- blieben ist.
Seite 106: Global
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] 4.3.1 Routed-Firewall-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] In diesem Menü legen Sie die Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Der Routed-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Daten- strom auf seinen Router-Interfaces anwendet. Der Routed-Firewall-Modus-Paketfilter bewertet den Datenstrom statusorientiert und filtert unerwünschte Datenpakete selektiv.
Seite 107 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] 4.3.1.1 Global [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Konfiguration Erlaubte L3-Firewall-Regeln (max.) Zeigt die maximale Anzahl erlaubter Firewall-Regeln für Datenpakete. Default-Policy Legt fest, wie die Firewall Datenpakete verarbeitet, wenn keine Regel zutrifft.
Seite 108 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Commit...
Seite 109: 4.3.1.2 Firewall-Lern-Modus
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] 4.3.1.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Dieser Dialog ermöglicht Ihnen, die Verbindungen festzulegen, für die Sie den Zugriff auf Ihr Netz- werk erlauben. Die maximale Anzahl von Regeln, die Sie mithilfe der Funktion konfigurieren können, ist abhängig von der Anzahl der bereits konfigurierten Regeln im Dialog Regel.
Seite 110 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Information Status Zeigt den Zustand der aktiven Firewall-Lern-Modus-Anwendung. Mögliche Werte:  Die Funktion ist inaktiv. stopped-data-notpresent  stopped-data-present  Das Gerät hat den Lernmodus angehalten. In der Registerkarte finden Sie Informationen Regel zu den gelernten Daten.
Seite 111: Gelernte Einträge
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Verschiebt die im Feld markierten Einträge in das Feld Verfügbare Interfaces Ausgewählte Interfaces. Für die Funktion können Sie ausschließlich aktive Router-Interfaces auswählen. Verschiebt die im Feld markierten Einträge in das Feld Ausgewählte Interfaces...
Seite 112: Paketfilter-Regeln
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel-Port Zeigt den Ziel-Port des Paketes. Eingangs-Interface Zeigt das Interface, welches das Paket empfangen hat. Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Protokoll Zeigt das IP-Protokoll auf der Basis von RFC 791 für die Protokollfilterung. Erstes Vorkommen Zeigt den Zeitpunkt, zu dem das Gerät das Paket zum ersten Mal ermittelt hat.
Seite 113 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf Datenpakete mit beliebiger Zieladresse an. Gültige IPv4-Adresse ...
Seite 114 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 115 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Beschreibung Legt einen Namen oder eine Beschreibung für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  Eingangs-Interface Zeigt, ob das Gerät die Paketfilter-Regel auf Datenpakete anwendet, die das Gerät über ein Router- Interface sendet oder empfängt.
Seite 116: 4.3.1.3 Paketfilter Regel
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] 4.3.1.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Die hier definierten Regeln können Sie im Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung gewünschten Ports zuweisen.
Seite 117 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Protokoll Legt den IP-Protokoll- oder Layer 4-Protokoll-Typ der Datenpakete fest, auf die das Gerät die Regel anwendet. Das Gerät wendet die Regel ausschließlich auf Datenpakete an, die im Protocol-Feld den festgelegten Wert enthalten. Mögliche Werte: (Voreinstellung) ...
Seite 118 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 119 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] flags=syn|ack|fin  Diese Regel gilt für Pakete, für die Sie das Flag oder gesetzt haben. syn,ack or fin mac=de:ad:de:ad:be:ef,state=new|rel,flags=syn  Diese Regel gilt für Pakete, die von der MAC-Adresse stammen, sich in de:ad:de:ad:be:ef einer neuen oder zugehörigen Verbindung befinden und für die Sie das Flag gesetzt haben.
Seite 120 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Paketfilter-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es die Paketfilter-Regel auf ein Datenpaket anwendet.
Seite 121: 4.3.1.4 Paketfilter Zuweisung
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] 4.3.1.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing >...
Seite 122 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Richtung Zeigt, ob das Gerät die Paketfilter-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt.
Seite 123 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Commit Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen des Enforcers. Das Gerät unterbricht dabei offene Kommunikationsverbindungen.
Seite 124: 4.3.1.5 Paketfilter Übersicht
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] 4.3.1.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Beschreibung Zeigt den Namen oder die Beschreibung der Regel. Die Beschreibung legen Sie fest im Dialog Netzsicherheit >...
Seite 125 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Paketfilter-Regel ausschließlich auf Datenpakete an, die eine Quellad- resse im hier festgelegten Subnetz enthalten. Ein der IP-Adresse vorangestelltes Ausrufezeichen verkehrt den Ausdruck ins Gegenteil.
Seite 126 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] igmp  Internet Group Management Protocol ipip  IP in IP tunneling (RFC 1853)  Transmission Control Protocol (RFC 793)  User Datagram Protocol (RFC 768)  IPsec Encapsulated Security Payload (RFC 2406) ...
Seite 127 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] drop  Das Gerät verwirft die Datenpakete. reject  Das Gerät weist die Datenpakete zurück. enforce-modbus  Das Gerät wendet die Enforcer-Regel auf die Datenpakete an. Modbus enforce-opc  Das Gerät wendet die Enforcer-Regel auf die Datenpakete an.
Seite 128: Transparent-Firewall-Modus
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] 4.3.2 Transparent-Firewall-Modus [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] In diesem Menü legen Sie die Einstellungen für den Transparent-Firewall-Modus-Paketfilter fest. Der Transparent-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Daten- strom auf seinen nicht-routenden Ports oder VLAN-Interfaces anwendet. Der Transparent-Firewall- Modus-Paketfilter wertet jedes Datenpaket, das die Firewall durchläuft, anhand des Verbindungs- status wie unten beschrieben aus:...
Seite 129 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] 4.3.2.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Transparent-Firewall-Modus-Paketfilter fest. Konfiguration Erlaubte L2-Firewall-Regeln (max.) Zeigt die maximale Anzahl erlaubter Firewall-Regeln für Datenpakete. Default-Policy Legt fest, wie die Firewall Datenpakete verarbeitet, wenn keine Regel zutrifft.
Seite 130 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Commit...
Seite 131: 4.3.2.2 Paketfilter Regel
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 4.3.2.2 Paketfilter Regel [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Die hier festgelegten Regeln weisen Sie im Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung gewünschten nicht-routenden Ports oder VLANs zuweisen.
Seite 132 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel-MAC-Adresse Legt die Zieladresse der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf MAC-Datenpakete mit beliebiger Zieladresse an. Gültige MAC-Adresse ...
Seite 133 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 1..5ff  Das Gerät wendet die Regel auf Logical-Link-Control-Datenpakete (LLC) an, deren Längenfeld den festgelegten Wert enthält. Diese Werte sind ausschließlich für Port-basierte Regeln verfügbar. 600..ffff  Das Gerät wendet die Regel ausschließlich auf MAC-Datenpakete an, welche den hier festge- legten Ethertype-Wert enthalten.
Seite 134 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] igmp  Internet Group Management Protocol ipip  IP in IP tunneling (RFC 2003)  Transmission Control Protocol (RFC 793)  User Datagram Protocol (RFC 768)  IPsec Encapsulated Security Payload (RFC 2406) ...
Seite 135 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass Sie in Spalte den Wert oder festlegen. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten. 1..65535 ...
Seite 136 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Einheit Legt die Maßeinheit fest für die in Spalte festgelegte Datentransferrate. Lastbegrenzung Mögliche Werte:  Datenpakete pro Sekunde kbps  kByte pro Sekunde Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Paketfilter-Regel auf ein Datenpaket anwendet.
Seite 137 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 138: 4.3.2.3 Paketfilter Zuweisung
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] 4.3.2.3 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den nicht-routenden Ports und VLANs des Geräts eine oder mehrere Paketfilter-Regeln zuzuweisen. Information Zuweisungen Zeigt, wie viele Regeln für die nicht-routenden Ports und VLANs aktiv sind.
Seite 139 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Port/VLAN Zeigt die Nummer des nicht-routenden Ports oder VLANs, auf welches das Gerät die Regel anwendet. Um die Port-Nummer oder VLAN-ID festzulegen, klicken Sie die Schaltfläche Eintrag erzeugen. Richtung Zeigt, ob das Gerät die Paketfilter-Regel auf empfangene oder zu sendende Datenpakete anwendet.
Seite 140 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um einem nicht-routenden Port oder VLAN eine Regel zuzuweisen. Im Feld Port/VLAN legen Sie die Nummer des nicht-routenden Ports oder die VLAN-ID fest, auf ...
Seite 141: 4.3.2.4 Paketfilter Übersicht
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] 4.3.2.4 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Beschreibung Zeigt den Namen oder die Beschreibung der Regel. Die Beschreibung legen Sie fest im Dialog Netzsicherheit >...
Seite 142 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Ethertype Zeigt das Ethertype-Schlüsselwort der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Benutzerspezifischer Ethertype-Wert Zeigt den Ethertype-Wert der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Voraus- setzung ist, dass Sie in Spalte den Wert festlegen.
Seite 143: Deep Packet Inspection
Netzsicherheit [ Netzsicherheit > DPI ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Regel auf ein Datenpaket anwendet. Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Regel auf ein Datenpaket anwendet. Aktiv Zeigt, ob die Regel aktiv oder inaktiv ist.
Seite 144: Funktion
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.4.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Regeln zu definieren. Die Regeln spezifizieren Funktionscodes sowie Register- oder Coil-Adressen. Der Funktionscode TCP-Protokoll legt den Zweck der Datenübertragung fest.
Seite 145 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Beschreibung Legt einen Namen für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  (Voreinstellung: modbus) Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. Funktionstyp Legt den Funktionstyp für die Enforcer-Regel fest.
Seite 146 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Funktionscode Zeigt die Funktionscodes für die Enforcer-Regel. Das Gerät lässt Datenpakete mit den fest- Modbus gelegten Eigenschaften zu. Die Spalte zeigt unterschiedliche Werte, abhängig von dem in Spalte festgelegten Funktionstyp Wert: •...
Seite 147 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung für Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiv. Das Gerät prüft Datenpakete auf Plausibilität bezüglich Format und Spezifikation. unmarkiert  Die Plausibilitätsprüfung ist inaktiv. Ausnahme Aktiviert/deaktiviert das Senden einer Exception-Antwort im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung Fehler erkennt.
Seite 148 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Nummer der Regel fest. ...
Seite 149 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] [Bearbeiten] Um die Funktionscodes der Regel zuzuweisen, klicken Sie die Schaltfläche Ok. Funktionstyp Legt den Funktionstyp für die Modbus Enforcer-Regel fest. Mögliche Werte: (Voreinstellung) read-only  Weist die Funktionscodes für die Lese-Funktion des Protokolls zu.
Seite 150: Bedeutung Der Funktionscode-Werte
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Funktionscode Zeigt die Nummer und die Bedeutung der verfügbaren Funktionscodes für die Modbus Enforcer- Regel. Die Bedeutung der Nummern finden Sie im Abschnitt „Bedeutung der Funktionscode-Werte” auf Seite 149. Bereich Legt den Register- oder Coil-Adressbereich für bestimmte Funktionscodes fest. Siehe Abschnitt „Bedeutung der Funktionscode-Werte”...
Seite 151 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Bedeutung Adressbe- Adressbe- reich (Lesen) reich (Schreiben) Scan Data Inc. - Expanded Write Holding Registers Unity Programming/OFS 100 Scattered Register Read 125 Schneider Electric - Firmware RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 152: Deep Packet Inspection - Opc Enforcer
Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.4.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Enforcer-Einstellungen (OLE for Process Control Enforcer) festzulegen und die Enforcer-spezifischen Regeln zu definieren. OPC ist ein Integrationsprotokoll für industrielle Umgebungen.
Seite 153 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Beschreibung Legt einen Namen für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  (Voreinstellung: opc) Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung der Datenpakete. Mögliche Werte: (Voreinstellung) markiert...
Seite 154 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Nummer der Regel fest. ...
Seite 155: Deep Packet Inspection - Dnp3 Enforcer
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] 4.4.3 Deep Packet Inspection - DNP3 Enforcer [ Netzsicherheit > DPI > DNP3 Enforcer ] Dieser Dialog ermöglicht Ihnen, die DNP3 Enforcer-Einstellungen (Distributed Network Protocol v3 Enforcer) festzulegen und die DNP3 Enforcer-spezifischen Regeln zu definieren.
Seite 156 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Beschreibung Legt einen Namen für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..32 Zeichen  (Voreinstellung: dnp3) Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. Funktionscode-Liste Zeigt die Funktionscodes für die Enforcer-Regel.
Seite 157 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung für Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiv. Das Gerät prüft Datenpakete auf Plausibilität bezüglich Format und Spezifikation. unmarkiert  Die Plausibilitätsprüfung ist inaktiv. Verkehr von und zur Outstation prüfen Aktiviert/deaktiviert die Prüfung von Datenpaketen, die von einer Outstation stammen.
Seite 158 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Index legen Sie die Nummer der Regel fest. ...
Seite 159 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] < Verschiebt die im Feld markierten Einträge in das Feld Ausgewählte Funktionscodes Verfügbare Funk- tionscodes. << Verschiebt jeden Eintrag aus dem Feld Funktionscodesin das Feld Ausgewählte Verfügbare Funktions- codes. Ausgewählte Funktionscodes Zeigt die Nummer und die Bedeutung der für die DNP3 Enforcer-Regel ausgewählten Funktions-...
Seite 160: Dnp3-Regel Auswählen
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Bedeutung Get File Information Authenticate File Abort File Transfer Active Configuration Authentication Request Authenticate Request-No Acknowledgment Response Unsolicited Response Authentication Response [DNP3 Enforcer - Objekt-Assistent] Mit dem Assistenten können Sie eine DNP3-Regel auswählen und eine benutzerdefinierte Objekt- liste für die ausgewählte DNP3-Regel erstellen.
Seite 161: Objektcode Für Dnp3-Regel Bearbeiten
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Objektcode für DNP3-Regel bearbeiten Die Funktion DNP3 verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die Funktion DNP3 verwendet Gruppennummern, um den Datentyp zu kategorisieren, und Variationsnummern, um festzulegen, wie die Daten innerhalb der Gruppe kodiert werden. Jede Instanz eines kodierten Informationselements, das eine eindeutige Gruppe und Variation in der Nachricht definiert, ist ein DNP3-Objekt.
Seite 162 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Index Legt die Nummer der Regel fest, auf die sich der Tabelleneintrag bezieht. Mögliche Werte: 1..256  Objekt-Typ Legt den Typ der Nachricht fest. Mögliche Werte: 1 - Anfrage  Erzeugt in der Objektliste ein Objekt Request-Nachricht. 2 - Antwort ...
Seite 163 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Funktionscode Der Funktionscode kennzeichnet den Zweck der Nachricht. Voraussetzung ist, dass Sie im Feld einen gültigen Wert festgelegt haben. Das Gerät wendet die Variation-Nr. DNP3 Enforcer-Regel ausschließlich auf Datenpakete an, die den festgelegten Wert enthalten. Mögliche Werte: 0..128 ...
Seite 164: Index Der Standard-Objektliste
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Qualifier-Code Legt den Qualifier-Code für ein Paar der Felder Gruppen-Nr., fest. Der Variation-Nr. Funktionscode Qualifier-Code ist ein 8-Bit-Wert, der den Präfix-Code und den Bereichs-Specifier-Code für das Objekt in einer DNP3-Nachricht definiert. Voraussetzung ist, dass Sie im Feld Funktionscode einen gültigen Wert festgelegt haben.
Seite 165 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code READ 0x00 0x06 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x06...
Seite 166 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 SELECT 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE 0x00...
Seite 167 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code READ 0x00 0x01 0x06 0x17 0x28 IMMEDIATE_FREEZE 0x00 0x01 0x06 0x17 0x28 IMMEDIATE_FREEZE_NR 0x00 0x01 0x06 0x17 0x28...
Seite 168 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code 9-10 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x06 0x07 0x08 READ...
Seite 169 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28...
Seite 170 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code ASSIGN_CLASS 0x00 0x01 0x06 0x17 0x28 SELECT 0x00 0x01 0x17 0x28 SELECT 0x00 0x01 0x17 0x28 SELECT 0x00...
Seite 171 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code DIRECT_OPERATE_NR 0x00 0x01 0x17 0x28 READ 0x06 0x07 0x08 READ 0x06 0x07 0x08 READ 0x07 WRITE 0x07 FREEZE_AT_TIME...
Seite 172 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code READ 0x00 0x01 READ 0x00 0x01 READ 0x00 0x01 READ 0x06 READ 0x00 0x01 0x06 0x17 0x28 WRITE...
Seite 173 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code READ 0x00 0x01 0x03 0x04 0x05 0x06 0x17 0x28 WRITE 0x00 0x01 0x03 0x04 0x05 0x17 0x28 READ...
Seite 174 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code 209-239 129 RESPONSE byte_2 0x00 0x17 RESPONSE byte_2 0x00 0x17 241-243 129 RESPONSE byte_2 0x00 0x17 245-247 129 RESPONSE byte_2...
Seite 175 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE...
Seite 176 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01...
Seite 177 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28...
Seite 178 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01...
Seite 179 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x17 0x18 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 180 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01...
Seite 181 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 182 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code UNSOLICITED_RESPONSE 0x07 RESPONSE 0x07 RESPONSE QC_5B_count_1 0x5B RESPONSE QC_5B_count_1 0x5B UNSOLICITED_RESPONSE QC_5B_count_1 0x5B RESPONSE 0x00 0x01 RESPONSE 0x07...
Seite 183 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Varia- Funkti- Funktionsname Länge Quali- n-Nr. tion-Nr. onscode fier- Code RESPONSE variation 0x00 0x01 0x03 0x04 0x05 0x17 0x28 RESPONSE variation 0x00 0x01 0x03 0x04 0x05 0x17 0x28...
Seite 184: Deep Packet Inspection - Iec104 Enforcer
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] 4.4.4 Deep Packet Inspection - IEC104 Enforcer [ Netzsicherheit > DPI > IEC104 Enforcer ] Dieser Dialog ermöglicht Ihnen, die IEC104 Enforcer-Einstellungen festzulegen und die IEC104 Enforcer-spezifischen Regeln zu definieren. Das IEC104-Protokoll ist ein Kommunikationsprotokoll, das im Bereich der Automatisierung verwendet wird.
Seite 185 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Beschreibung Legt einen Namen für die Regel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  (Voreinstellung: iec104) Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. Funktionstyp Legt den Funktionstyp für die Enforcer-Regel fest.
Seite 186 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Originator-Adress-Liste Legt die Adressen fest, die den Ursprung der Datenpakete repräsentieren. Voraussetzung ist, dass Sie in Spalte den Wert festlegen. Cause of Transmission Size Mögliche Werte: <leer> (Voreinstellung)  Das Gerät lässt Datenpakete mit beliebiger Originator-Adresse zu. 0..255 ...
Seite 187 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] IEC_60870_5_101 zulassen Aktiviert/deaktiviert die in der IEC101-Spezifikation definierten Type-IDs. Mögliche Werte: markiert  Die in der IEC101-Spezifikation definierten Type-IDs sind aktiv. Das Gerät lässt die Type-ID-Werte zu – 2,4,6,8,10,12,14,16,17,18,19,103,104,105,106 zusammen mit den Type-IDs, die auf den in Spalte oder fest- Funktionstyp...
Seite 188 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Profil aktiv Aktiviert/deaktiviert die Regel. Mögliche Werte: markiert  Die Regel ist aktiv. Das Gerät wendet die in diesem Tabelleneintrag festgelegten Regeln auf die IEC104 Enforcer Datenpakete an. unmarkiert  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 189: Bedeutung Der Erweiterte Type-Id-Liste-Werte
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] [Bearbeiten] Verfügbare erweiterte Type-IDs Zeigt die Nummer und die Bedeutung der verfügbaren >Erweiterten Type-IDs für die IEC104 Enforcer-Regel. Die Bedeutung der Nummern finden Sie im Abschnitt „Bedeutung der Erweiterte Type-ID-Liste- Werte” auf Seite 188.
Seite 190 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Bedeutung Measured value, scaled value M_ME_NB_1 Measured value, scaled value with time tag M_ME_TB_1 Measured value, short floating point value M_ME_NC_1 Measured value, short floating point value with time tag M_ME_TC_1 Integrated totals M_IT_NA_1 Integrated totals with time tag M_IT_TA_1 Event of protection equipment with time tag M_EP_TA_1...
Seite 191: Dos
Netzsicherheit [ Netzsicherheit > DoS ] Bedeutung Reset process command C_RP_NC_1 ( IEC 101 ) Delay acquisition command C_CD_NA_1 Test command with time tag CP56Time2a C_TS_TA_1 Parameter of measured value, normalized value P_ME_NA_1 Parameter of measured value, scaled value P_ME_NB_1 Parameter of measured value, short floating point value P_ME_NC_1 Parameter activation P_AC_NA_1 File ready F_FR_NA_1...
Seite 192 Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.5.1 DoS Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. TCP/UDP Scanner nutzen Port-Scans, um Angriffe auf das Netz vorzubreiten. Der Scanner verwendet unter- schiedliche Techniken, um aktive Geräte und offene Ports zu ermitteln.
Seite 193 Netzsicherheit [ Netzsicherheit > DoS > Global ] SYN/FIN-Filter Aktiviert/deaktiviert den SYN/FIN-Filter. Das Gerät erkennt eingehende Datenpakete mit gleichzeitig gesetzten TCP-Flags SYN und FIN und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. TCP-Offset-Protection Aktiviert/deaktiviert den TCP-Offset-Schutz.
Seite 194 Netzsicherheit [ Netzsicherheit > DoS > Global ] Min.-Header-Size-Filter Aktiviert/deaktiviert den Minimal-Header-Filter. Der Minimal-Header-Filter vergleicht den TCP-Header von eingehenden Datenpaketen. Wenn der mit 4 multiplizierte Daten-Offset-Wert kleiner ist als die minimale TCP-Header-Größe, dann verwirft der Filter die Datenpakete. Mögliche Werte: markiert ...
Seite 195: Intrusion Detection System
Netzsicherheit [ Netzsicherheit > IDS ] Fragmentierte Pakete filtern Aktiviert/deaktiviert den Filter für fragmentierte ICMP-Pakete. Der Filter erkennt fragmentierte ICMP-Pakete und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. Anhand Paket-Größe verwerfen Aktiviert/deaktiviert den Filter für eingehende ICMP-Pakete.
Seite 196 Netzsicherheit [ Netzsicherheit > IDS ] Anmerkung: Voraussetzung für die Verwendung der Funktion im Gerät ist, dass der Betreiber eine Lizenz des TIV-Servers besitzt. Der Remote Dissector ist im Gerät eingebaut. Das Gerät verwendet den Remote Dissector, um an den Ports Datenpakete abzufangen. Die Ports wählen Sie im Dashboard des TIV-Servers aus. Der Remote Dissector untersucht die Datenpakete und sendet die komprimierten Daten an den TIV- Server.
Seite 197 Netzsicherheit [ Netzsicherheit > IDS ] Status IDS-Status Zeigt den Betriebszustand des Remote Dissectors im Gerät. Mögliche Werte: markiert  Der Remote Dissector im Gerät ist aktiv. unmarkiert  Der Remote Dissector im Gerät ist inaktiv. Benutzer-Details IDS-Benutzername Legt das lokale Benutzerkonto fest, das mit der Funktion verknüpft ist.
Seite 198: Virtual Private Network
Virtual Private Network [ Virtual Private Network > Übersicht ] 5 Virtual Private Network Das Menü enthält die folgenden Dialoge: VPN Übersicht  VPN Zertifikate  VPN Verbindungen  VPN Übersicht [ Virtual Private Network > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 199: Verbindung
Virtual Private Network [ Virtual Private Network > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter festgelegte Menge ein. Max. Aktive Verbindungen Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 200 Virtual Private Network [ Virtual Private Network > Übersicht ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung.
Seite 201 Virtual Private Network [ Virtual Private Network > Übersicht ] Lokaler Host Zeigt den Namen und/oder die IP-Adresse des lokalen Hosts, den das Gerät mittels IKE erkannt hat. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat.
Seite 202 Virtual Private Network [ Virtual Private Network > Übersicht ] [Diagnose] Tabelle VPN index Zeigt den Zeilenindex für die eindeutige Kennung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. VPN active Zeigt, ob der VPN-Tunnel aktiv/inaktiv ist. Das Gerät beschränkt die maximale Anzahl von konfigurierten VPN-Tunneln auf den im Feld Verbindungen (max.) gezeigten Wert.
Seite 203 Virtual Private Network [ Virtual Private Network > Übersicht ] negotiation  Wenn Sie den VPN-Tunnel für diese Instanz als den Initiator festlegen, gibt der Wert an, dass der Schlüsselaustausch und der Verhandlungsalgorithmus laufen. Wenn der VPN-Tunnel für diese Instanz als „Responder“ (Antwortende) fungiert, dann gibt der Wert an, dass der VPN- Tunnel auf den Beginn des Prozesses wartet.
Seite 204 Virtual Private Network [ Virtual Private Network > Übersicht ] Tunnel status Zeigt den gegenwärtigen Betriebsstatus des IPsec-Tunnels. Mögliche Werte: unknown  Der IPsec-Vorschlag wird ausgeführt. Für diese IPsec-SA wurden keine Traffic-Selectors oder Sicherheitsparameter ausgehandelt. created  Schlüsselaustausch und Algorithmus für die Aushandlung ist für diese IPsec-SA abge- schlossen, der Tunnel ist jedoch inaktiv.
Seite 205 Virtual Private Network [ Virtual Private Network > Übersicht ] IPsec Tunnel-Input [Pakete] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Pakete. IPsec-Daten zuletzt empfangen [s] Zeigt die Zeit in Sekunden, die seit dem letzten Empfang von Daten im VPN-Tunnel vergangen ist. IPsec Tunnel-Output [Byte] Zeigt die Anzahl der in diesen VPN-Tunnel gesendeten Bytes.
Seite 206 Virtual Private Network [ Virtual Private Network > Übersicht ] Letzter Verbindungsfehler Zeigt die letzte für diesen VPN-Tunnel aufgetretene Fehlerbenachrichtigung. Wenn die Verbindung inaktiv ist, hilft Ihnen dieser Wert dabei, erkannte Fehler zu isolieren. Dieser Wert hilft Ihnen, zu bestimmten, ob ein erkannter Fehler im Vorschlagsaustausch oder während des Tunnelaufbaus aufgetreten ist.
Seite 207: Vpn Zertifikate
Virtual Private Network [ Virtual Private Network > Zertifikate ] VPN Zertifikate [ Virtual Private Network > Zertifikate ] Eine Zertifizierungsstelle (CA) stellt Zertifikate zur Authentifizierung der Identität von Geräten aus, die einen VPN-Tunnel anfordern. Sie konfigurieren die Geräte, die einen VPN-Tunnel bilden, dahingehend, dass sie die CA, welche das Zertifikat signiert hat, als vertrauenswürdig einstufen.
Seite 208 Virtual Private Network [ Virtual Private Network > Zertifikate ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Aussteller Zeigt den Aussteller des Zertifikats. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  Gültig ab Zeigt Beginndatum und -uhrzeit für das Zertifikat. Mögliche Werte: Datums- und Zeitstempel ...
Seite 209 Virtual Private Network [ Virtual Private Network > Zertifikate ] Hochgeladen am Zeigt Datum und die Uhrzeit des letzten Zertifikat-Uploads. Mögliche Werte: Datums- und Zeitstempel  Private key status Zeigt den Status des privaten Schlüssels im Peer-Zertifikat. Verwenden Sie ein Peer-Zertifikat mit einem privaten Schlüssel.
Seite 210 Virtual Private Network [ Virtual Private Network > Zertifikate ] Mögliche Werte: 0..256  Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Hochladen Öffnet das Fenster Zertifikat hochladen, um der Tabelle ein Zertifikat hinzuzufügen. Im Feld Passphrase (privater Schlüssel) fügen Sie die in diesem Zertifikat verwendete Passphrase ...
Seite 211: Vpn Verbindungen
Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Verbindungen [ Virtual Private Network > Verbindungen ] Dieser Dialog ermöglicht Ihnen das Anlegen, Löschen und Bearbeiten von VPN-Tunneln. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM).
Seite 212 Virtual Private Network [ Virtual Private Network > Verbindungen ] Beschreibung Traffic-Selector Legt den Namen des Traffic-Selektors fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Quell-Adresse (CIDR) Legt IP-Adresse und Netzmaske des Quell-Hosts fest. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, die diese IP-Quelladresse enthalten, wendet das Gerät die in dieser Zeile fest- gelegten Einstellungen an.
Seite 213 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ziel-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich des Ziels auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät erwartet vom VPN-Tunnel ausschließlich den festgelegten Datentyp. Beispiele: tcp/http entspricht...
Seite 214 Virtual Private Network [ Virtual Private Network > Verbindungen ] DPD-Timeout [s] Legt die Zeitüberschreitung in Sekunden fest, nach welcher der lokale Peer den entfernten Peer als inaktiv erklärt, wenn der inaktive Peer nicht antwortet. Mögliche Werte: 0..86400 (Voreinstellung: 120) ...
Seite 215 Virtual Private Network [ Virtual Private Network > Verbindungen ] Pre-shared key Legt den vorinstallierten Schlüssel („Pre-shared Key“) fest. Das Gerät ermöglicht Ihnen außerdem, vorinstallierte geheime Schlüssel als Hexadezimal- oder Base64-kodierte Binärwerte anzulegen. Das Gerät interpretiert eine Zeichenfolge, die mit beginnt, als Folge aus Hexadezimalziffern.
Seite 216 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Encrypted private key Legt den Dateinamen für den privaten Schlüssel fest. Dieser Wert ist ausschließlich der Dateiname für den privaten Schlüssel. Geben Sie unter die Passphrase Verschlüsselter Key/PKCS12 Passphrase ein.
Seite 217 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE local ID Legt die Peer-Kennung fest, die das Gerät an das entfernte Gerät im Rahmen der ID-Nutzlast während der Phase-1-Verhandlungen sendet. Die Geräte verwenden die ID-Nutzlast zur Identifi- zierung des Initiators der Security Association (SA). Der Responder verwendet die Identität zur Ermittlung der korrekten Anforderung im Zusammenhang mit den Host-Systemrichtlinien für die Security Association.
Seite 218 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer>  Wenn Sie in Spalte Ferner Identifier-Typ den Wert festlegen, sind die folgenden Werte möglich:  – eine IPv4-Adresse oder DNS-Host-Name – Ein zuvor definierter Schlüsselbezeichner, der Daten festlegt, die das Gerät zur Weitergabe von herstellerspezifischen Informationen verwendet.
Seite 219 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet. hmacsha512  Das Gerät verwendet SHA-512 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 64-Bit-Wörtern berechnet.
Seite 220 Virtual Private Network [ Virtual Private Network > Verbindungen ] Gültige IPv4-Adresse und Netzmaske  Wenn Sie festlegen, dass das Gerät für diesen VPN-Tunnel als Responder fungiert, akzeptiert das Gerät während der IKE-SA-Einrichtung ein Netz in CIDR-Notation. Hostname  Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen Wenn Sie einen Hostnamen festlegen, dann stellt das Gerät den VPN-Tunnel zurück, bis das Gerät eine IP-Adresse für den Hostnamen empfängt.
Seite 221 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt fest, was das Gerät für den IPsec Integrity (MAC)-Algorithmus verwendet. Um die Dateien im VPN sicher aufzubewahren, mischt der HMAC (Hash-based Message Authen- tication Code) einen gemeinsamen geheimen Schlüssel mit den Nachrichtendaten. Das Gerät vermischt die Ergebnisse (Hash-Wert) erneut mit dem geheimen Schlüssel und wendet anschlie- ßend die Hash-Funktion ein 2.
Seite 222 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128gcm64  Das Gerät verwendet AES-Galois/Counter Mode (GCM) mit einem 64-Bit-ICV (Integrity Check Value) und 128 Schlüssel-Bits. aes128gcm96  AES-GCM mit einem 96-Bit-ICV und 128 Schlüssel-Bits. aes128gcm128  AES-GCM mit einem 128-Bit-ICV und 128 Schlüssel-Bits. aes192gcm64 ...
Seite 223: Schaltflächen
Virtual Private Network [ Virtual Private Network > Verbindungen ] Log unhandled messages Aktiviert/deaktiviert die Nachrichtenverarbeitung für Nachrichten, die strongSwan nicht bekannt sind, ausschließlich im Rahmen der Fehlersuche. Mögliche Werte: markiert  Das Gerät trägt die für diese Verbindung empfangenen Nachrichten, die nicht von strongSwan stammen, in das Ereignisprotokoll ein.
Seite 224 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel. Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen ...
Seite 225 Virtual Private Network [ Virtual Private Network > Verbindungen ] Authentifizierungs-Typ Zeigt den Authentifizierungstyp, den das Gerät verwendet. Mögliche Werte: (Voreinstellung)  Wählen Sie diesen Wert aus, damit das Gerät einen zuvor angelegten und auf den entfernten und lokalen Geräten gespeicherten Schlüssel verwendet. individualx509 ...
Seite 226 Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Beschreibung Legt die benutzerdefinierte Beschreibung für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  [VPN-Konfiguration (Wizard) – Authentifizierung] Authentifizierungs-Typ Authentifizierungs-Typ Legt den Authentifizierungstyp fest, den das Gerät verwendet. Mögliche Werte: (Voreinstellung) ...
Seite 227: Zertifikat
Virtual Private Network [ Virtual Private Network > Verbindungen ] Bestätigen Legen Sie zur Bestätigung denselben Schlüssel fest, den Sie in im Feld festgelegt Pre-shared key haben. Wenn der Schlüssel vom zuvor in das Feld eingetragenen Schlüssel Pre-shared key abweicht, dann bleibt die Schaltfläche Weiter grau.
Seite 228 Virtual Private Network [ Virtual Private Network > Verbindungen ] Voraussetzung für das Aktivieren der Schaltfläche Choose... ist, dass Sie in der Dropdown-Liste den Eintrag auswählen. Authentifizierungs-Typ individualx509 Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Zertifizierungsstelle Zeigt den Namen der Zertifizierungsstelle, die das Zertifikat ausstellt hat. Das Gerät verwendet dieses Zertifikat zur Zertifizierung der Signatur der lokalen und entfernten Zertifikate.
Seite 229 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: markiert (Voreinstellung)  Aktiviert die Felder und Bestätigen, wodurch Sie die Möglichkeit Passphrase (privater Schlüssel) erhalten, eine neue Passphrase einzugeben und zu bestätigen. unmarkiert  Die Felder sind inaktiv. Passphrase (privater Schlüssel) Bestätigen [VPN-Konfiguration (Wizard) –...
Seite 230 Virtual Private Network [ Virtual Private Network > Verbindungen ] Add traffic selector Traffic selector index Zeigt den Traffic-Selektor-Index des VPN-Tunnels. Das Gerät ermöglicht Ihnen, eine verfügbare Nummer innerhalb des angegebenen Bereiches festzulegen. Mögliche Werte: 1..16  Beschreibung Traffic-Selector Zeigt die benutzerdefinierte Beschreibung für den Traffic-Selektor. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen ...
Seite 231 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ziel-Adresse (CIDR) Zeigt IP-Adresse und Netzmaske des Ziels. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, die diese IP-Zieladresse enthalten, wendet das Gerät die in dieser Zeile festgelegten Einstellungen an. Außerdem wendet das Gerät für jedes weitergeleitete IP-Paket mit dieser Adresse die zugehörigen IPsec- und IKE-SA-Einstellungen an.
Seite 232: Allgemein
Virtual Private Network [ Virtual Private Network > Verbindungen ] Im Feld Ziel-Adresse (CIDR) legen Sie die IP-Adresse des Ziels fest.  Mögliche Werte: – Gültige IPv4-Adresse und Netzmaske in CIDR-Notation Im Feld legen Sie optionale Einschränkungen für die Quelle fest. Ziel-Einschränkungen ...
Seite 233 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: initiator  Wenn Sie festlegen, dass das Gerät als Initiator startet, dann beginnt das Gerät einen IKE mit dem Responder. responder  Wenn Sie festlegen, dass das Gerät als Responder startet, dann wartet das Gerät darauf, dass der Initiator einen IKE und die Aushandlung der Parameter beginnt.
Seite 234 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer> (Voreinstellung)  Wenn Sie in Spalte IKE Local-Identifier-Typ den Wert festlegen, sind die folgenden Werte  möglich: – eine IPv4-Adresse oder DNS-Host-Name – Ein zuvor definierter Schlüsselbezeichner, der Daten festlegt, die das Gerät zur Weitergabe von herstellerspezifischen Informationen verwendet.
Seite 235 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE Exchange-Modus Legt die Verwendung des Exchange Mode Phase 1 für IKEv1 fest. Die IKE-Phase 1 dient dem Aufbau eines sicheren authentifizierten Kommunikationskanals. Um einen geheimen gemeinsamen Schlüssel (Shared Key) zu generieren, verwendet das Gerät den Diffie-Hellman-Algorithmus für den Schlüsselaustausch.
Seite 236 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha256  Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet. hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet.
Seite 237 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPSec/Data-exchange IPsec key agreement Legt den Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung fest, den das Gerät zur Ermittlung des IPsec-SA-Sitzungsschlüssels verwendet. Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 238 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha1 (Voreinstellung)  Das Gerät verwendet den Secure Hash Algorithm Version 1 (SHA-1) zur Berechnung der Hash- Funktion. hmacsha256  Das Gerät verwendet SHA-256 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 32-Bit-Wörtern berechnet.
Seite 239 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes256gcm96  AES-GCM mit einem 96-Bit-ICV und 256 Schlüssel-Bits. aes256gcm128  AES-GCM mit einem 128-Bit-ICV und 256 Schlüssel-Bits. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Zurück Zeigt die vorherige Seite an.
Seite 240: Switching
Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global  Lastbegrenzer  Filter für MAC-Adressen  QoS/Priority  VLAN  Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: Aging-Time der Adresstabelle ändern ...
Seite 241 Switching [ Switching > Global ] Die Adresstabelle finden Sie im Dialog Switching > Filter für MAC-Adressen. Im Zusammenhang mit der Router-Redundanz wählen Sie eine Zeit ≥ 30 s. Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert  Die Flusskontrolle ist im Gerät aktiviert. Aktivieren Sie die Flusskontrolle zusätzlich auf den erforderlichen Ports.
Seite 242: Lastbegrenzer
Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, den Datenverkehr an den Ports zu begrenzen, um auch bei hohem Datenverkehr einen stabilen Betrieb zu ermöglichen. Wenn der Verkehr an einem Port den einge- gebenen Grenzwert überschreitet, dann verwirft das Gerät die Überlast auf diesem Port.
Seite 243 Switching [ Switching > Lastbegrenzer ] Broadcast-Grenzwert Legt den Grenzwert für empfangene Broadcasts auf diesem Port fest. Mögliche Werte: 0..14880000 (Voreinstellung: 0)  Der Wert deaktiviert die Lastbegrenzerfunktion auf diesem Port. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Grenzwert Einheit Prozent ...
Seite 244 Switching [ Switching > Lastbegrenzer ] Unicast-Grenzwert Legt den Grenzwert für empfangene Unicasts mit unbekannter Zieladresse auf diesem Port fest. Mögliche Werte: 0..14880000 (Voreinstellung: 0)  Der Wert deaktiviert die Lastbegrenzerfunktion auf diesem Port. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Grenzwert Einheit Prozent...
Seite 245: Filter Für Mac-Adressen
Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die Adresstabelle anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 246: Qos/Priority
Switching [ Switching > QoS/Priority ] learned  Der Port vermittelt Datenpakete an die Zieladresse. Das Gerät hat den Filter anhand empfan- gener Datenpakete automatisch eingerichtet. unicast static  Der Port vermittelt Datenpakete an die Zieladresse. Ein Benutzer hat den Filter erzeugt. multicast static ...
Seite 247: Qos/Priority Global
Switching [ Switching > QoS/Priority ] Anmerkung: Wenn Sie die Funktionen in diesem Menü nutzen, dann schalten Sie die Flusskont- rolle aus. Die Flusskontrolle ist ausgeschaltet, wenn im Dialog Global, Rahmen Switching > Konfigu- ration, das Kontrollkästchen ist. Flusskontrolleunmarkiert Das Menü enthält die folgenden Dialoge: QoS/Priority Global ...
Seite 248 Switching [ Switching > QoS/Priority > Global ] 6.4.1 QoS/Priority Global [ Switching > QoS/Priority > Global ] Das Gerät ermöglicht Ihnen, auch in Situationen mit großer Netzlast Zugriff auf das Management des Geräts zu behalten. In diesem Dialog legen Sie die dazu notwendigen QoS-/Priorisierungsein- stellungen fest.
Seite 249: Qos/Priorität Port-Konfiguration
Switching [ Switching > QoS/Priority > Port-Konfiguration ] 6.4.2 QoS/Priorität Port-Konfiguration [ Switching > QoS/Priority > Port-Konfiguration ] In diesem Dialog legen Sie für jeden Port fest, wie das Gerät empfangene Datenpakete anhand ihrer QoS-/Prioritätsinformation verarbeitet. Tabelle Port Zeigt die Nummer des Ports. Port-Priorität Legt fest, welche VLAN-Prioritätsinformation das Gerät in ein Datenpaket schreibt, wenn das Datenpaket keine Prioritätsinformation enthält.
Seite 250: D/P Zuweisung
Switching [ Switching > QoS/Priority > 802.1D/p Zuweisung ] 6.4.3 802.1D/p Zuweisung [ Switching > QoS/Priority > 802.1D/p Zuweisung ] Das Gerät vermittelt Datenpakete mit VLAN-Tag anhand der enthaltenen QoS-/Priorisierungsinfor- mation mit hoher oder mit niedriger Priorität. In diesem Dialog sehen Sie, welche VLAN-Priorität welcher Verkehrsklasse zugewiesen ist. Die Verkehrsklassen sind den Warteschlangen der Ports (Prioritäts-Queues) fest zugewiesen.
Seite 251: Network Control
Switching [ Switching > VLAN ] VLAN-Priorität Traffic Class Inhaltskennzeichnung gemäß IEEE 802.1D Video Bildübertragung mit Verzögerungen und Jitter < 100 ms Voice Sprachübertragung mit Verzögerungen und Jitter < 10 ms Network Control Daten für Netzmanagement und Redundanzmechanismen VLAN [ Switching > VLAN ] Mit VLAN (Virtual Local Area Network) verteilen Sie den Datenverkehr im physischen Netz auf logi- sche Teilnetze.
Seite 252: Vlan Global
Switching [ Switching > VLAN > Global ] 6.5.1 VLAN Global [ Switching > VLAN > Global ] Dieser Dialog ermöglicht Ihnen, sich allgemeine VLAN-Parameter des Geräts anzusehen. Konfiguration Größte VLAN-ID Größtmögliche ID, die Sie einem VLAN zuweisen können. Siehe Dialog Switching >...
Seite 253: Vlan Konfiguration
Switching [ Switching > VLAN > Konfiguration ] 6.5.2 VLAN Konfiguration [ Switching > VLAN > Konfiguration ] In diesem Dialog verwalten Sie die VLANs. Um ein VLAN einzurichten, erzeugen Sie in der Tabelle eine weitere Zeile. Dort legen Sie für jeden Port fest, ob er Datenpakete des betreffenden VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten.
Seite 254 Switching [ Switching > VLAN > Konfiguration ] Name Legt die Bezeichnung des VLANs fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  <Port-Nummer> Legt fest, ob der betreffende Port Datenpakete des VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten. Mögliche Werte: (Voreinstellung) ...
Seite 255: Vlan Port
Switching [ Switching > VLAN > Port ] 6.5.3 VLAN Port [ Switching > VLAN > Port ] In diesem Dialog legen Sie fest, wie das Gerät empfangene Datenpakete behandelt, die kein VLAN-Tag haben oder deren VLAN-Tag von der VLAN-ID des Ports abweicht. Dieser Dialog ermöglicht Ihnen, den Ports ein VLAN zuzuweisen und damit die Port-VLAN-ID fest- zulegen.
Seite 256 Switching [ Switching > VLAN > Port ] Ingress-Filtering Aktiviert/deaktiviert die Eingangsfilterung. Mögliche Werte: markiert (Voreinstellung)  Die Eingangsfilterung ist aktiv. Das Gerät vergleicht die im Datenpaket enthaltene VLAN-ID mit den VLANs, in denen der Port Mitglied ist. Siehe Dialog Konfiguration.
Seite 257 Switching 6.5.3 VLAN Port RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 258: Routing
Routing [ Routing > Global ] 7 Routing Das Menü enthält die folgenden Dialoge: Routing Global  Routing-Interfaces   Open Shortest Path First  Routing-Tabelle  Tracking  L3-Relay  Loopback-Interface  L3-Redundanz   Routing Global [ Routing > Global ] Das Menü...
Seite 259 Routing [ Routing > Global ] ICMP-Filter Im Rahmen haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den ICMP-Filter eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von „ICMP error message“-Nachrichten belastet die Leistung des Routers und reduziert die verfügbare Bandbreite im Netz.
Seite 260: Routing-Interfaces
Routing [ Routing > Interfaces ] Mögliche Werte: 0..2147483647 (Voreinstellung: 1000)  Rate limit burst size Zeigt die maximale Anzahl von ICMP-Datenpaketen, die das Gerät während eines Bursts an jeden Empfänger sendet. Mögliche Werte:  Information Default-TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet.
Seite 261 Routing [ Routing > Interfaces > Konfiguration ] 7.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein portbasiertes Router-Interface einzurichten, bearbeiten Sie die Einträge in der Tabelle. Um ein VLAN-basiertes Router-Interfaces einzurichten, verwenden Sie das Fenster Wizard.
Seite 262 Routing [ Routing > Interfaces > Konfiguration ] IP-Adresse Legt die IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: •...
Seite 263 Routing [ Routing > Interfaces > Konfiguration ] MTU-Wert Legt die maximal zulässige Größe der IP-Pakete auf dem Router-Interface in Byte fest. Mögliche Werte:  Stellt den voreingestellten Wert (1500) wieder her. 68..1500 (Voreinstellung: 1500)  Voraussetzung ist, dass Sie auf den Ports, die zum Router-Interface gehören, die zulässige Größe der Ethernet-Pakete um mindestens 18 Byte größer als hier festlegen.
Seite 264: Bereich Unter Der Tabelle
Routing [ Routing > Interfaces > Konfiguration ] [VLAN-Router-Interface einrichten (Wizard) – VLAN erstellen oder auswählen] Tabelle VLAN-ID Zeigt die ID der im Gerät eingerichteten VLANs. Name Zeigt den Namen der im Gerät eingerichteten VLANs. Bereich unter der Tabelle VLAN-ID Legt die ID eines VLANs fest, das das Fenster für Sie festlegt.
Seite 265 Routing [ Routing > Interfaces > Konfiguration ] Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog für den Port festgelegte Einstellung. Switching > VLAN > Konfiguration Mögliche Werte: markiert ...
Seite 266 Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) ...
Seite 267: Routing-Interfaces Sekundäre Interface-Adressen
Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 7.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Seite 268: Arp
Routing [ Routing > ARP ] Vergewissern Sie sich, dass das IP-Subnetz des Router-Interfaces sich nicht mit einem Subnetz überschneidet, das mit einem anderen Interface des Gerätes verbunden ist: • Management-Port • Router-Interface • Loopback-Interface [ Routing > ARP ] Das Address Resolution Protocol(ARP) lernt zu einer IP-Adresse die zugehörige MAC-Adresse.
Seite 269 Routing [ Routing > ARP > Global ] 7.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 270 Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Wenn Sie die ARP-Tabelle zurücksetzen, wird der Zähler auf den Wert zurückgesetzt.
Seite 271: Arp Aktuell
Routing [ Routing > ARP > Aktuell ] 7.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Port Zeigt das Router-Interface, an dem das Gerät die IP/MAC-Adresszuweisung gelernt hat. IP-Adresse Zeigt die IP-Adresse des Geräts, das auf eine ARP-Anfrage auf diesem Router-Interface geant- wortet hat.
Seite 272 Routing [ Routing > ARP > Aktuell ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite ARP-Tabelle zurücksetzen Entfernt aus der ARP-Tabelle die dynamisch eingerichteten Adressen. RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 273: Arp Statisch
Routing [ Routing > ARP > Statisch ] 7.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle IP-Adresse Zeigt die IP-Adresse, für die Sie ARP statisch einrichten möchten. MAC-Adresse Zeigt die MAC-Adresse, die das Gerät der IP-Adresse beim Beantworten einer ARP-Anfrage zuweist.
Seite 274: Open Shortest Path First
Routing [ Routing > OSPF ] [ARP (Wizard)] Das Fenster ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP- Wizard Tabelle einzufügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. [ARP (Wizard) – ARP-Tabelle bearbeiten] Führen Sie die folgenden Schritte aus: Legen Sie in den Feldern unter der Tabelle die IP-Adresse und die zugehörige MAC-Adresse ...
Seite 275 Routing [ Routing > OSPF ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des gesamten Netzes (OSPF-Domäne). Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 276: Ospf Global
Routing [ Routing > OSPF > Global ] 7.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein]  [Konfiguration]  [Redistribution]  [Allgemein] Diese Registerkarte ermöglicht Ihnen, OSPF im Gerät einzuschalten und die Netzparameter fest- zulegen.
Seite 277 Routing [ Routing > OSPF > Global ] Konfiguration Router-ID Legt die eindeutige Kennung für den Router im autonomen System (AS) fest. Es beeinflusst die Wahl der Designated Router (DR) und der Backup Designated Router (BDR). Verwenden Sie idea- lerweise die IP -Adresse eines Router-Interfaces im Gerät. Mögliche Werte: (Voreinstellung: 0.0.0.0) <IP-Adresse eines Interfaces>...
Seite 278 Routing [ Routing > OSPF > Global ] Standard-Metrik Legt den voreingestellten Metrik-Wert für OSPF fest. Mögliche Werte: (Voreinstellung)  OSPF weist aus externen Routen gelernten Quellen (statisch oder direkt verbunden) automa- tisch Kosten von 20 zu. 1..16777214  Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einem OSPF-Parameter erkennt.
Seite 279 Routing [ Routing > OSPF > Global ] Information ASBR status Zeigt, ob das Gerät als Autonomous System Boundary Router (ASBR) arbeitet. Mögliche Werte: markiert  Der Router ist ein ASBR. unmarkiert  Der Router funktioniert in einer anderen Rolle als in der Rolle eines ASBR. ABR status Zeigt, ob das Gerät als Area Border Router (ABR) arbeitet.
Seite 280: Rfc 1583 Kompatibilität
Routing [ Routing > OSPF > Global ] RFC 1583 Kompatibilität Die Network Working Group entwickelt und verbessert die Funktion stetig weiter und fügt OSPF Parameter hinzu. Dieser Router stellt Parameter gemäß RFC 2328 bereit. Über die Parameter in diesem Dialog stellen Sie die Kompatibilität des Routers mit gemäß RFC 1583 entwickelten Routern her.
Seite 281 Routing [ Routing > OSPF > Global ] Präferenz (intra) Legt die „Administrative Distanz“ zwischen Routern innerhalb derselben Area (Intra-Area-OSPF- Routen) fest. Mögliche Werte: 1..255 (Voreinstellung: 110)  Präferenz (inter) Legt die „Administrative Distanz“ zwischen Routern in unterschiedlichen Areas (Inter-Area-OSPF- Routen) fest.
Seite 282 Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert  Der Router meldet stets die Default-Route 0.0.0.0/0. (Voreinstellung) unmarkiert  Das Gerät verwendet die im Parameter festgelegten Einstellungen. Advertise Metrik Legt die Metrik der Default-Route fest, die OSPF meldet, wenn diese von anderen Protokollen gelernt wurde.
Seite 283 Routing [ Routing > OSPF > Global ] Tabelle Quelle Zeigt das Quellprotokoll, aus dem OSPF die Routen neu verteilt. Dieses Objekt dient außerdem als Bezeichner für den Tabelleneintrag. Das Aktivieren einer Zeile ermöglicht dem Gerät, Routen aus dem betreffenden Quellprotokoll in OSPF weiterzuverteilen.
Seite 284 Routing [ Routing > OSPF > Global ] Mögliche Werte: 0..4294967295 (Voreinstellung: 0)  Subnetze Aktiviert/deaktiviert die Routen-Neuverteilung für Subnetze in OSPF. OSPF verteilt ausschließlich Netzklassen in die OSPF-Domäne um. Um die Subnetz-Routen in OSPF neu zu verteilen, aktivieren Sie den Subnetz-Parameter. Mögliche Werte: markiert (Voreinstellung)
Seite 285: Ospf Areas
Routing [ Routing > OSPF > Areas ] 7.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 286 Routing [ Routing > OSPF > Areas ] Area-LSA Checksumme Zeigt die Gesamtzahl der LS-Prüfsummen, die in der LS-Datenbank dieser Area enthalten sind. Diese Summe schließt Type-5-External-LSAs aus. Sie verwenden die Summe, um zu bestimmen, ob eine Änderung in einer LS-Datenbank eines Routers stattgefunden hat, und um die LS-Daten- bank mit anderen Routern abzugleichen.
Seite 287: Ospf Stub Areas
Routing [ Routing > OSPF > Stub Areas ] 7.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 288 Routing [ Routing > OSPF > Stub Areas ] Totally stub Aktiviert/deaktiviert den Import von Summary-LSAs in die Stub-Areas. Mögliche Werte: markiert  Der Router importiert keine Area-Summarys. Die Stub-Area basiert vollständig auf der Default- Route. Dadurch wird die Default-Route zu einer Totally-Stubby-Area. (Voreinstellung) unmarkiert ...
Seite 289: Ospf Not So Stubby Areas
Routing [ Routing > OSPF > NSSA ] 7.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type-7-AS-External-LSAs in Type-5-AS-External-LSAs umwandelt.
Seite 290 Routing [ Routing > OSPF > NSSA ] Standard-Metrik Legt die im Type-7-Default-LSA gemeldete Metrik fest. Mögliche Werte: 1..16777214 (Voreinstellung: 10)  Standard-Metrik-Typ Legt den im Type-7-Default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric  Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 291 Routing [ Routing > OSPF > NSSA ] Translator-Stability-Intervall [s] Legt die Anzahl von Sekunden fest, in denen der Router die Übersetzung von Type-7-LSAs in Type-5-LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: 0..65535 (Voreinstellung: 40)  Translator events Zeigt die Anzahl von Übersetzer-Statusänderungen seit dem letzten Start.
Seite 292: Ospf Interfaces
Routing [ Routing > OSPF > Interfaces ] 7.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 293 Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router. Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router- ID.
Seite 294 Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: 1..65535 (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: (Voreinstellung) down...
Seite 295 Routing [ Routing > OSPF > Interfaces ] Netzwerktyp Legt den OSPF-Netztyp des autonomen Systems fest. Mögliche Werte: broadcast  Verwenden Sie diesen Wert für Broadcast-Netze wie Ethernet und IEEE 802.5. OSPF führt eine Auswahl von DR und BDR durch, mit denen die nicht-designierten Router eine Adjacency herstellen.
Seite 296 Routing [ Routing > OSPF > Interfaces ] Auth key ID Legt für die Authentifizierungsschlüssel-ID den Wert fest. Die Option zur verschlüsselten Authentifizierung unterstützt Sie dabei, Ihr Netz gegen passive Angriffe zu schützen, und bietet einen wesentlichen Schutz gegen aktive Angriffe. Voraussetzung für das Ändern dieses Wertes ist, dass Sie in Spalte den Wert fest-...
Seite 297 Routing [ Routing > OSPF > Interfaces ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 298: Ospf Virtual Links
Routing [ Routing > OSPF > Virtual Links ] 7.4.6 OSPF Virtual Links [ Routing > OSPF > Virtual Links ] OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone-Area zu verbinden.
Seite 299 Routing [ Routing > OSPF > Virtual Links ] Mögliche Werte: 0..3600 (Voreinstellung: 5)  Dead-Intervall [s] Legt die Anzahl an Sekunden zwischen empfangenen Hello-Paketen fest, bevor ein Router den Nachbar-Router als „down“ deklariert. Legen Sie den Wert als Vielfaches von [s]fest.
Seite 300 Routing [ Routing > OSPF > Virtual Links ] Mögliche Werte: kein (Voreinstellung)  Die Netz-Authentifizierung ist deaktiviert. simple  Der Router verwendet Klartext-Authentifizierung. In diesem Fall übermitteln Router die Pass- wörter als Klartext.  Der Router verwendet die MD5-Authentifizierung über den Message-Digest-Algorithmus. Dieser Authentifizierungstyp unterstützt Sie dabei, Ihr Netz sicherer zu machen.
Seite 301: Ospf Ranges
Routing [ Routing > OSPF > Ranges ] 7.4.7 OSPF Ranges [ Routing > OSPF > Ranges ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 302 Routing [ Routing > OSPF > Ranges ] Effekt Legt die externe Verbindungsstatusmeldung der Subnetz-Bereiche fest. Mögliche Werte: advertiseMatching (Voreinstellung)  Der Router meldet den Bereich in anderen Areas. doNotAdvertiseMatching  Der Router hält Bereichs-Verbindungsstatusmeldungen an andere externe Areas zurück. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 303: Ospf Diagnose
Routing [ Routing > OSPF > Diagnose ] 7.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert OSPF auf 2 grundlegenden Prozessen. Herstellen von Adjacencys  Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus ...
Seite 304: Funktion
Routing [ Routing > OSPF > Diagnose ] Type-2-LSAs sind Netz-LSAs. Der DR erstellt eine Netz-LSA auf der Grundlage von Informati-  onen, die über die Type-1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Netz-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 305 Routing [ Routing > OSPF > Diagnose ] LS-Request-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-Link-Status-Request-Pakete, die seit dem Zurücksetzen der Zähler übertragen wurden. LS-Update-Pakete empfangen Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler empfangen wurden. LS-Update-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler über- tragen wurden.
Seite 306 Routing [ Routing > OSPF > Diagnose ] Typ-5 (external) LSAs empfangen Zeigt die Anzahl der externen Type-5-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [Link-State-Datenbank] Ein Router führt eine separate Link-Status-Datenbank für jede Area, zu der er gehört. Der Router fügt der Datenbank in den folgenden Fällen LSAs hinzu: Wenn der Router ein LSA empfängt, zum Beispiel beim Fluten.
Seite 307 Routing [ Routing > OSPF > Diagnose ] asSummaryLink  Der Router hat die Informationen von einem ABR empfangen, der Type-4-LSA zur Beschrei- bung von Routen zu ASBR verwendet. Bevor ABR die Routing-Informationen an andere Areas senden, stellen ABR von Type-1-LSAs und Type-2-LSAs gelernte Informationen zusammen, die von den angeschlossenen Areas empfangen wurden.
Seite 308 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 309 Routing [ Routing > OSPF > Diagnose ] Status Zeigt den Status der Beziehung zu dem in dieser Instanz aufgeführten Nachbarn. Ein Ereignis bewirkt eine Statusänderung, wie der Empfang eines Hello-Pakets. Dieses Ereignis hat abhängig vom gegenwärtigen Status des Nachbarn verschiedene Auswirkungen. Außerdem lösen die Router abhängig vom Status der Änderung des Nachbarn eine DR-Auswahl aus.
Seite 310 Routing [ Routing > OSPF > Diagnose ] [Virtuelle Nachbarn] OSPF erfordert eine kontinuierliche Verbindung der Autonomous-System-Backbone-Area. Außerdem erfordert OSPF, dass jede Area über eine Verbindung zur Backbone-Area verfügt. Der physische Standort von Routern lässt häufig nicht zu, dass eine Area direkt an die Backbone-Area angeschlossen wird.
Seite 311 Routing [ Routing > OSPF > Diagnose ] Der Router unterstützt 4 Optionen, indem die folgenden Bits im Feld „Optionen“ abhängig von den Funktionsmerkmalen des Routers entweder auf einen hohen oder einen niedrigen Wert gesetzt werden. Das Feld zeigt den Wert, indem die folgenden Options-Bits addiert werden. Sie lesen die Felder vom niedrigstwertigen zum höchstwertigen Bit.
Seite 312 Routing [ Routing > OSPF > Diagnose ] init  Der Router hat kürzlich ein Hello-Paket vom Nachbarn erkannt. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das angeschlossene Interface führt beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 313 Routing [ Routing > OSPF > Diagnose ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [Externe Link-State-Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen.
Seite 314 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 315: Routing-Tabelle
Routing [ Routing > Routing-Tabelle ] nssa-type1  Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die Not-So- Stub-Area importiert. Diese Routen verwenden die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). nssa-type2 ...
Seite 316 Routing [ Routing > Routing-Tabelle ] Netz-Adresse Zeigt die Adresse des Zielnetzes. Netzmaske Zeigt die Netzmaske. Next-Hop IP-Adresse Zeigt die IP-Adresse des nächsten Routers auf dem Pfad ins Zielnetz. Zeigt den Typ der Route. Mögliche Werte: lokal  Das Router-Interface ist mit dem Zielnetz direkt verbunden. Extern ...
Seite 317 Routing [ Routing > Routing-Tabelle ] Mögliche Werte:  Reserviert für Routen, die das Gerät beim Einrichten der Router-Interfaces erzeugt. Diese Routen haben in Spalte den Wert lokal. Protokoll 1..254  Bei der Routing-Entscheidung bevorzugt das Gerät die Route mit dem kleinsten Wert. ...
Seite 318: Tracking
Routing [ Routing > Tracking ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um eine statische Route zu erzeugen. Im Feld Netz-Adresse legen Sie die Adresse des Zielnetzes fest.  Mögliche Werte: –...
Seite 319: Tracking Konfiguration
Routing [ Routing > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Tracking Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. • Virtuelle Router verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 320 Routing [ Routing > Tracking > Konfiguration ] 7.6.1 Tracking Konfiguration [ Routing > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Legt den Typ des Tracking-Objekts fest. Mögliche Werte: interface  Das Gerät überwacht den Link-Status seiner physischen Ports, Link-Aggregation-, LRE- oder VLAN-Router-Interfaces.
Seite 321 Routing [ Routing > Tracking > Konfiguration ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Status Zeigt das Überwachungsergebnis des Tracking-Objekts. Mögliche Werte:  Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. oder –...
Seite 322 Routing [ Routing > Tracking > Konfiguration ] Link-Up-Verzögerung [s] Legt die Zeit in Sekunden fest, nach der das Gerät das Überwachungsergebnis als positiv erkennt. Wenn der Link auf dem Interface länger als die hier festgelegte Zeit aktiv ist, zeigt Spalte Status Wert up.
Seite 323 Routing [ Routing > Tracking > Konfiguration ] Ping-Intervall [ms] Legt das Intervall in Millisekunden fest, in welchem das Gerät periodisch Ping-Request-Pakete sendet. Mögliche Werte: 100..20000 (Voreinstellung: 1000)  Wenn Sie einen Wert <1000 festlegen, können Sie maximal 16 Tracking-Objekte des Typs ping einrichten.
Seite 324 Routing [ Routing > Tracking > Konfiguration ] Mögliche Werte: –  Kein Tracking-Objekt des Typs ping. (Voreinstellung: 128) 1..255  Best route Zeigt die Nummer des Router-Interfaces, über das die beste Route zum zu überwachenden Router oder Endgerät führt. Mögliche Werte: <Port-Nummer>...
Seite 325 Routing [ Routing > Tracking > Konfiguration ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld legen Sie den Typ des Tracking-Objekts fest. ...
Seite 326: Tracking Applikationen
Routing [ Routing > Tracking > Applikationen ] 7.6.2 Tracking Applikationen [ Routing > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 327: L3-Relay
Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Subnetz senden BOOTP/DHCP-Broadcast-Nachrichten an DHCP-Server, um Konfigurationsinformationen wie IP-Adressen anzufordern. Router grenzen Broadcast-Domänen ein, sodass BOOTP/DHCP-Anfragen innerhalb des lokalen Subnetzes bleiben. Die Schicht-3- Relay(L3-Relay)-Funktion fungiert als Proxy für Clients, die Information von einem BOOTP/DHCP- Server in einem anderen Netz anfordern.
Seite 328 Routing [ Routing > L3-Relay ] Mögliche Werte: markiert  Das Gerät fügt die Circuit-ID des DHCP-Relay-Agenten zu den Suboptionen für Client-Anfragen hinzu. (Voreinstellung) unmarkiert  Das Gerät entfernt die DHCP-Relay-Agent-Circuit-ID-Suboptionen aus den Client-Anfragen. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit fest, die das Gerät wartet, bevor es BOOTP/DHCP-Anfragen weiterleitet. Die Endgeräte senden Broadcast-Anfragen in das lokale Netz.
Seite 329 Routing [ Routing > L3-Relay ] Empfangene UDP-Nachrichten Zeigt die Anzahl der vom Gerät empfangenen UDP-Requests der Clients. Weitergeleitete UDP-Nachrichten Zeigt die Anzahl der UDP-Requests, die das Gerät an die in der Tabelle festgelegten Server weiter- geleitet hat. Pakete mit abgelaufener TTL Zeigt die Anzahl der vom Gerät empfangenen UDP-Pakete mit abgelaufenem TTL-Wert.
Seite 330 Routing [ Routing > L3-Relay ] Erzeugen Port Legt das Interface fest, für welches der Tabelleneintrag gilt. Konfigurationen von Interfaces haben Vorrang vor globalen Konfigurationen. Wenn der Ziel-UDP- Port für ein Paket mit jedem Eintrag in einem Eingangs-Interface übereinstimmt, behandelt das Gerät das Paket entsprechend der Konfiguration des Interfaces.
Seite 331 Routing [ Routing > L3-Relay ]  Entspricht dem UDP-Port 123. Das Gerät leitet Anfragen für Network Time Protocol weiter. Verwenden Sie diesen Wert für die Peer-to-Peer-Synchronisation, bei der sich beide Endpunkte gegenseitig als Zeitquelle betrachten. pim-auto-rp  Entspricht dem UDP-Port 496. Das Gerät leitet Anfragen an Protocol-Independent-Multicast-Automatic-Rendezvous-Points weiter.
Seite 332: Loopback-Interface
Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist ein virtuelles Netz-Interface ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 333 Routing [ Routing > Loopback-Interface ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet den Dialog Erzeugen, um ein Loopback-Interface zu erzeugen. Im Feld Index legen Sie die Nummer fest, die das Loopback-Interface eindeutig identifiziert. ...
Seite 334: L3-Redundanz
Routing [ Routing > L3-Redundanz ] L3-Redundanz [ Routing > L3-Redundanz ] Das Menü enthält die folgenden Dialoge: VRRP  7.9.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol(VRRP) ist ein Verfahren, das es dem System ermöglicht, auf den Ausfall eines Routers zu reagieren.
Seite 335 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 7.9.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: bis zu 8 virtuelle Router pro Router-Interface  bis zu 2 Adressen pro virtuellem Router ...
Seite 336 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt. unmarkiert (Voreinstellung)  Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 337 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Zustand Zeigt den VRRP-Zustand. Mögliche Werte: initialize  VRRP initialisiert sich gerade, die Funktion ist inaktiv, oder der Master-Router ist noch unbe- nannt. backup  Der Router beobachtet die Möglichkeit, Master-Router zu werden. master ...
Seite 338 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Virtuelle IP-Adresse Zeigt die virtuelle IP-Adresse im Subnetz der primären IP-Adresse auf dem Interface. Wenn keine Übereinstimmung gefunden wird, gibt das Gerät eine unbestimmte virtuelle Adresse aus. Wenn keine virtuelle Adresse konfiguriert ist, wird 0.0.0.0 ausgegeben.
Seite 339: Vrrp-Router-Instanz Einrichten
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] VRRP-Router-Instanz einrichten Das Gerät ermöglicht Ihnen, bis zu 8 virtuelle Router pro Router-Interface einzurichten. Bevor Sie eine VRRP-Router-Instanz einrichten, vergewissern Sie sich, dass das Netz.Routing ordnungsgemäß funktioniert, und geben Sie die IP-Adressen auf den für die VRRP-Instanzen verwendeten Router-Interfaces ein.
Seite 340: Vrrp-Router-Instanz Löschen
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] VRRP-Router-Instanz löschen Führen Sie den folgenden Schritt aus: Markieren Sie im Dialog eine Zeile und klicken Sie Routing > L3-Redundanz > VRRP > Konfiguration  die Schaltfläche [VRRP-Konfiguration (Wizard)] Das Fenster hilft Ihnen beim Einrichten einer VRRP-Router-Instanz.
Seite 341 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Bereich unter der Tabelle Port Legt die Router-Interface-Nummer fest, auf die sich der Tabelleneintrag bezieht. Mögliche Werte: <verfügbare Router-Interfaces>  VRID Legt den Virtual Router Identifier fest. Ein virtueller Router verwendet 00-00-5E-00-01-XX als seine MAC-Adresse.
Seite 342 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Konfiguration Basis Priorität Legt die Priorität des virtuellen Routers fest. Der Wert weicht ab von Priorität, wenn überwachte Objekte inaktiv sind oder der virtuelle Router Inhaber der IP-Adresse ist. Mögliche Werte: (Voreinstellung: 100) 1..254 ...
Seite 343 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Advertisement-Intervall [s] Legt den zeitlichen Abstand zwischen Nachrichten des Master-Routers in Sekunden fest. Mögliche Werte: 1..255 (Voreinstellung: 1)  Anmerkung: Je länger das Nachrichtenintervall ist, desto größer wird der Zeitraum, über den Backup-Router auf eine Nachricht des Master-Routers warten, bevor die Backup-Router einen neuen Auswahlprozess starten (Master-Down-Intervall).
Seite 344: Aktuelle Track-Einträge
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: Gültige IP-Adresse (Voreinstellung: 0.0.0.0)  [VRRP-Konfiguration (Wizard) – Tracking] Aktuelle Track-Einträge Zeigt den Typ des Tracking-Objekts. Mögliche Werte: interface  Das Gerät überwacht den Link-Status seiner physischen Ports, Link-Aggregation-, LRE- oder VLAN-Router-Interfaces.
Seite 345 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dekrement Legt den Wert fest, um den die VRRP-Instanz die Priorität des virtuellen Routers reduziert, wenn das Überwachungsergebnis negativ ist. Mögliche Werte: 1..253 (Voreinstellung: 20)  Anmerkung: Wenn im Dialog der Wert in Spalte Routing >...
Seite 346: 7.9.1.2 Vrrp Statistiken
Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 7.9.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die Funktion VRRP relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 347 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] IP-TTL-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Seite 348: 7.9.1.3 Vrrp Tracking
Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 7.9.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Seite 349: Nat
Routing [ Routing > NAT ] Status Zeigt das Überwachungsergebnis des Tracking-Objekts. Mögliche Werte: notReady  Das Tracking-Objekt ist nicht aktiv.  Das Überwachungsergebnis ist positiv: – Der Link-Status ist aktiv. oder – Der entfernte Router oder das Endgerät ist erreichbar. down ...
Seite 350 Routing [ Routing > NAT ] Masquerading-NAT  Double-NAT  RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 351: Nat Global
Routing [ Routing > NAT > NAT Global ] 7.10.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Angewendet auf dem Gerät ermöglicht die Funktion Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen Netzen.
Seite 352 Routing [ Routing > NAT > NAT Global ] Destination-NAT-Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Destination-NAT-Regeln von den gespei- cherten Destination-NAT-Regeln unterscheiden. Um die noch ausstehenden Regeln auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche und dann den Eintrag Änderungen anwenden.
Seite 353: 1:1-Nat
Routing [ Routing > NAT > 1:1-NAT ] Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich. 7.10.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- 1:1-NAT dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden.
Seite 354: 1:1-Nat Regel
Routing [ Routing > NAT > 1:1-NAT ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Routing/ Paket- Paket- Regeln 1:1 NAT Switching Masquerading NAT Filter Filter Destination NAT Double NAT Double NAT Netz 1 Netz 2...
Seite 355 Routing [ Routing > NAT > 1:1-NAT > Regel ] 7.10.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die 1:1-NAT-Regeln und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Tabelle Index Zeigt die Index-Nummer, auf die sich der Tabelleneintrag bezieht.
Seite 356 Routing [ Routing > NAT > 1:1-NAT > Regel ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die 1:1-NAT-Regel anwendet. Das Gerät vermittelt Datenpakete mit dieser Zieladresse an die in Spalte festgelegte Neue Ziel-Adresse Zieladresse. Mögliche Werte: Gültige IPv4-Adresse ...
Seite 357 Routing [ Routing > NAT > 1:1-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System- Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der 1:1-NAT-Regel auf ein Datenpaket in der Log-Datei. unmarkiert (Voreinstellung) ...
Seite 358: Destination-Nat
Routing [ Routing > NAT > Destination-NAT ] 7.10.3 Destination-NAT [ Routing > NAT > Destination-NAT ] Die Funktion Destination-NAT ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form der Funktion ist die Port-Weiterleitung (Port-Forwarding).
Seite 359: Destination-Nat Regel
Routing [ Routing > NAT > Destination-NAT ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Routing/ Paket- Paket- Regeln 1:1 NAT Switching Masquerading NAT Filter Filter Destination NAT Double NAT Double NAT Netz 1 Netz 2...
Seite 360 Routing [ Routing > NAT > Destination-NAT > Regel ] 7.10.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Destination-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing >...
Seite 361 Routing [ Routing > NAT > Destination-NAT > Regel ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Destination-NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen. 1..65535  Das Gerät wendet die Destination-NAT-Regel ausschließlich auf Datenpakete an, die den festge- legten Quell-Port enthalten.
Seite 362 Routing [ Routing > NAT > Destination-NAT > Regel ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Destination-NAT-Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Destination-NAT-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu berücksichtigen.
Seite 363 Routing [ Routing > NAT > Destination-NAT > Regel ]  User Datagram Protocol (RFC 768)  IPsec Encapsulated Security Payload (RFC 2406)  IPsec Authentication Header (RFC 2402) icmpv6  Internet Control Message Protocol for IPv6 (Voreinstellung)  Das Gerät wendet die Destination-NAT-Regel auf sämtliche Datenpakete an, ohne das IP-Proto- koll zu berücksichtigen.
Seite 364 Routing [ Routing > NAT > Destination-NAT > Regel ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Neue Ziel-Adresse legen Sie die IP-Adresse des Ziel-Endgeräts fest. Das Gerät vermittelt ...
Seite 365: 7.10.3.2 Destination-Nat Zuweisung
Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 7.10.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 366 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Destination-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 367: 7.10.3.3 Destination-Nat Übersicht
Routing [ Routing > NAT > Destination-NAT > Übersicht ] 7.10.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 368 Routing [ Routing > NAT > Destination-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Destination-NAT-Regel auf ein Datenpaket in der Log- Datei.
Seite 369: Masquerading-Nat
Routing [ Routing > NAT > Masquerading-NAT ] 7.10.4 Masquerading-NAT [ Routing > NAT > Masquerading-NAT ] Die Funktion Masquerading-NAT versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 370 Routing [ Routing > NAT > Masquerading-NAT > Regel ] 7.10.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Masquerading-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Masquerading-NAT-Regel im Dialog Routing >...
Seite 371 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Quell-Port Legt den Quell-Port der Datenpakete fest, auf die das Gerät die Masquerading-NAT-Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Masquerading-NAT-Regel auf sämtliche Datenpakete an, ohne den Quell- Port zu berücksichtigen.
Seite 372 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Masquerading-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es die Masquerading-NAT-Regel auf ein Datenpaket anwendet.
Seite 373: 7.10.4.2 Masquerading-Nat Zuweisung
Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] 7.10.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading-NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 374 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Masquerading-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 375: 7.10.4.3 Masquerading-Nat Übersicht
Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] 7.10.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 376 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Masquerading-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Masquerading-NAT-Regel auf ein Datenpaket in der Log-Datei.
Seite 377: Double-Nat
Routing [ Routing > NAT > Double-NAT ] 7.10.5 Double-NAT [ Routing > NAT > Double-NAT ] Die Funktion Double-NAT ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Default Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 378: Double-Nat Regel
Routing [ Routing > NAT > Double-NAT ] Das Menü enthält die folgenden Dialoge: Double-NAT Regel  Double-NAT Zuweisung  Double-NAT Übersicht  RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 379 Routing [ Routing > NAT > Double-NAT > Regel ] 7.10.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Double-NAT-Regeln. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing >...
Seite 380 Routing [ Routing > NAT > Double-NAT > Regel ] Ferne interne IP-Adresse Legt für das im zweiten Netz platzierte Endgerät die tatsächliche IP-Adresse fest. Mögliche Werte: Gültige IPv4-Adresse  Das Gerät wendet die Double-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten.
Seite 381 Routing [ Routing > NAT > Double-NAT > Regel ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite Öffnet das Fenster Erzeugen, um der Tabelle einen neuen Eintrag hinzuzufügen. Im Feld Lokale interne IP-Adresse legen Sie für das im ersten Netz platzierte Endgerät die tatsäch- ...
Seite 382: 7.10.5.2 Double-Nat Zuweisung
Routing [ Routing > NAT > Double-NAT > Zuweisung ] 7.10.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche und dann den Eintrag Zuweisen. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 383 Routing [ Routing > NAT > Double-NAT > Zuweisung ] Mögliche Werte: 1..6500 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Double-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 384: 7.10.5.3 Double-Nat Übersicht
Routing [ Routing > NAT > Double-NAT > Übersicht ] 7.10.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 385 Routing [ Routing > NAT > Double-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Double-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. unmarkiert  Das Gerät sendet keinen SNMP-Trap. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 386: Diagnose
Diagnose [ Diagnose > Statuskonfiguration ] 8 Diagnose Das Menü enthält die folgenden Dialoge: Statuskonfiguration  System  Syslog  Ports  LLDP  Bericht  Statuskonfiguration [ Diagnose > Statuskonfiguration ] Das Menü enthält die folgenden Dialoge: Gerätestatus  Sicherheitsstatus ...
Seite 387: Gerätestatus
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 8.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 388 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: (Voreinstellung) markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 389 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externen Speicher entfernen Aktiviert/deaktiviert die Überwachung des aktiven externen Speichers. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den aktiven externen Speicher Geräte-Status aus dem Gerät entfernen.
Seite 390 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Verbindungsfehler melden Aktiviert/deaktiviert die Überwachung des Links auf dem Port/Interface. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf dem ausgewählten Geräte-Status Port/Interface abbricht.
Seite 391: Sicherheitsstatus
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 8.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 392 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 393 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Passwort-Richtlinien deaktiviert Aktiviert/deaktiviert die Überwachung der Passwort-Richtlinien-Einstellungen. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn für mindestens eine der Sicherheits-Status folgenden Richtlinien ein Wert kleiner als festgelegt ist.
Seite 394 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] SNMP unverschlüsselt Aktiviert/deaktiviert die Überwachung des SNMP-Servers. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn mindestens eine der Sicherheits-Status folgenden Bedingungen zutrifft: – Die Funktion ist eingeschaltet.
Seite 395 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf einem aktiven Sicherheits-Status Port abbricht.
Seite 396 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite [Port] Tabelle Port Zeigt die Nummer des Ports. Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert ...
Seite 397 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 398: Alarme (Traps)
Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] 8.1.3 Alarme (Traps) [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Das Gerät ermöglicht Ihnen, als Reaktion auf bestimmte Ereignisse einen SNMP-Trap zu senden. In diesem Dialog legen Sie die Trap-Ziele fest, an die das Gerät die SNMP-Traps sendet. Die Ereignisse, bei denen das Gerät einen SNMP-Trap auslöst, legen Sie zum Beispiel in den folgenden Dialogen fest: im Dialog...
Seite 399 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Tabelle Name Legt die Bezeichnung des Trap-Ziels fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  Adresse Legt die IP-Adresse und die Port-Nummer des Trap-Ziels fest. Mögliche Werte: <Gültige IPv4-Adresse>:<Port-Nummer>  Aktiv Aktiviert/deaktiviert das Senden von SNMP-Traps an dieses Trap-Ziel.
Seite 400: System
Diagnose [ Diagnose > System ] System [ Diagnose > System ] Das Menü enthält die folgenden Dialoge: Systeminformationen  Konfigurations-Check   Selbsttest  RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 401: Systeminformationen
Diagnose [ Diagnose > System > Systeminformationen ] 8.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 402: Konfigurations-Check
Diagnose [ Diagnose > System > Konfigurations-Check ] 8.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 403 Diagnose [ Diagnose > System > Konfigurations-Check ] Tabelle Sobald Sie in der Tabelle eine Zeile auswählen, zeigt das Gerät im darunterliegenden Bereich weitere Informationen. Zeigt die Regel-ID der aufgetretenen Abweichungen. Der Dialog fasst mehrere Abweichungen mit der gleichen Regel-ID unter einer Regel-ID zusammen. Level Zeigt den Grad der Abweichung zwischen den Einstellungen dieses Geräts und den Einstellungen der erkannten Nachbargeräte.
Seite 404: Arp
Diagnose [ Diagnose > System > ARP ] 8.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Port Zeigt die Nummer des Ports. IP-Adresse Zeigt die IPv4-Adresse eines benachbarten Geräts.
Seite 405: Selbsttest
Diagnose [ Diagnose > System > Selbsttest ] 8.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden.  Festlegen, wie sich das Gerät im Fehlerfall verhält. ...
Seite 406 Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät im Fehlerfall verhält. Ursache Fehlerursachen, auf die das Gerät reagiert. Mögliche Werte: task  Das Gerät erkennt Fehler in ausgeführten Anwendungen, zum Beispiel wenn eine Task abbricht oder nicht verfügbar ist.
Seite 407: Syslog
Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 408 Diagnose [ Diagnose > Syslog ] Ziel-UDP-Port Legt den UDP-Port fest, auf dem der Syslog-Server die Log-Einträge erwartet. Mögliche Werte: 1..65535 (Voreinstellung: 514)  Min. Schweregrad Legt den Mindest-Schweregrad der Ereignisse fest. Das Gerät sendet einen Log-Eintrag für Ereig- nisse mit diesem Schweregrad und mit dringlicheren Schweregraden an den Syslog-Server. Mögliche Werte: emergency ...
Seite 409: Ports
Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge:  RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 410 Diagnose [ Diagnose > Ports > SFP ] 8.4.1 [ Diagnose > Ports > SFP ] Dieser Dialog ermöglicht Ihnen, die gegenwärtige Bestückung des Geräts mit SFP-Transceivern und deren Eigenschaften einzusehen. Tabelle Die Tabelle zeigt ausschließlich dann gültige Werte, wenn das Gerät mit SFP-Transceivern bestückt ist.
Seite 411: Lldp
Diagnose [ Diagnose > LLDP ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät Link Layer Discovery Protocol (LLDP). Mit diesen Informationen ist eine Netzmanagement- Station in der Lage, die Struktur Ihres Netzes darzustellen.
Seite 412 Diagnose [ Diagnose > LLDP > Konfiguration ] 8.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port zu konfigurieren. Funktion Funktion Schaltet die Funktion ein/aus. LLDP Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet.
Seite 413 Diagnose [ Diagnose > LLDP > Konfiguration ] Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: 5..3600 (Voreinstellung: 5)  Nach Senden eines Benachrichtigungs-Traps wartet das Gerät mindestens die hier festgelegte Zeit, bis es den nächsten Benachrichtigungs-Trap sendet. Tabelle Port Zeigt die Nummer des Ports.
Seite 414 Diagnose [ Diagnose > LLDP > Konfiguration ] Systemname senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit dem Gerätenamen. Mögliche Werte: markiert (Voreinstellung)  Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit dem Gerätenamen. unmarkiert  Das Senden des TLV ist inaktiv.
Seite 415: Autodetect
Diagnose [ Diagnose > LLDP > Konfiguration ] macOnly  Das Gerät verwendet gelernte MAC-Adressen, um benachbarte Geräte auf diesem Port zu erfassen. Das Gerät verwendet die MAC-Adresse ausschließlich dann, wenn kein weiterer Eintrag in der Adresstabelle (FDB, Forwarding Database) für diesen Port vorhanden ist. both ...
Seite 416: Lldp Topologie-Erkennung
Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 8.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs sendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Seite 417: Bericht
Diagnose [ Diagnose > Bericht ] Nachbar-Port-Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts. Nachbar-Systemname Zeigt den Gerätenamen des Nachbargeräts. Nachbar-Systembeschreibung Zeigt eine Beschreibung für das Nachbargerät. Port-ID Zeigt die ID des Ports, über den das Nachbargerät mit dem Gerät verbunden ist. Autonegotiation-Unterstützung Zeigt, ob der Port des Nachbargeräts Auto-Negotiation unterstützt.
Seite 418: Bericht Global
Diagnose [ Diagnose > Bericht > Global ] 8.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: auf der Konsole  auf einen oder mehreren Syslog-Servern  auf einer per SSH aufgebauten Verbindung zum Command Line Interface ...
Seite 419 Diagnose [ Diagnose > Bericht > Global ] Buffered-Logging Das Gerät puffert protokollierte Ereignisse in 2 getrennten Speicherbereichen, damit die Log- Einträge für dringliche Ereignisse erhalten bleiben. Dieser Rahmen ermöglicht Ihnen, den Mindest-Schweregrad für Ereignisse festzulegen, die das Gerät im höher priorisierten Speicherbereich puffert. Schweregrad Legt den Mindest-Schweregrad für die Ereignisse fest.
Seite 420: Warning  Notice
Diagnose [ Diagnose > Bericht > Global ] Protokolliere SNMP-Get-Requests Schaltet die Protokollierung von SNMP Get requests ein/aus. Mögliche Werte:  Die Protokollierung ist eingeschaltet. Das Gerät protokolliert SNMP Get requests als Ereignis im Syslog. Den Schweregrad für dieses Ereignis wählen Sie in der Dropdown-Liste Schweregrad Get- aus.
Seite 421 Diagnose [ Diagnose > Bericht > Global ] informational  debug  CLI-Logging Funktion Schaltet die Funktion ein/aus. CLI-Logging Mögliche Werte:  Die Funktion CLI-Logging ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung) ...
Seite 422: Bedeutung Der Ereignis-Schweregrade
Diagnose [ Diagnose > Bericht > Global ] Bedeutung der Ereignis-Schweregrade Schweregrad Bedeutung Gerät nicht betriebsbereit emergency alert Sofortiger Bedienereingriff erforderlich critical Kritischer Zustand Fehlerhafter Zustand error Warnung warning notice Signifikanter, normaler Zustand informational Informelle Nachricht debug Debug-Nachricht RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 423: Persistentes Ereignisprotokoll
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 8.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher permanent zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 424 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: 0..25 (Voreinstellung: 4)
Seite 425 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateiname Zeigt den Dateinamen der Log-Datei im externen Speicher. Mögliche Werte: messages  messages.X  Datei-Größe [Byte] Zeigt die Größe der Log-Datei im externen Speicher in Bytes. Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen”...
Seite 426: System-Log
Diagnose [ Diagnose > Bericht > System-Log ] 8.6.3 System-Log [ Diagnose > Bericht > System-Log ] Das Gerät protokolliert geräteinterne Ereignisse in einer Log-Datei (System Log). Dieser Dialog zeigt die Log-Datei (System Log). Der Dialog ermöglicht Ihnen, die Log-Datei im HTML-Format auf Ihrem PC zu speichern.
Seite 427: Audit-Trail
Diagnose [ Diagnose > Bericht > Audit-Trail ] 8.6.4 Audit-Trail [ Diagnose > Bericht > Audit-Trail ] Dieser Dialog zeigt die Log-Datei (Audit Trail). Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Web-Browsers.
Seite 428: Erweitert
Erweitert [ Erweitert > DNS ] 9 Erweitert Das Menü enthält die folgenden Dialoge:  Command Line Interface  [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client  DNS-Cache  9.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Seite 429: Dns-Client Global
Erweitert [ Erweitert > DNS > Client > Global ] 9.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Funktion Client ein. Funktion Funktion Schaltet die Funktion ein/aus. Client Mögliche Werte: ...
Seite 430: 9.1.1.2 Dns-Client Aktuell
Erweitert [ Erweitert > DNS > Client > Aktuell ] 9.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Index Zeigt die fortlaufende Nummer des DNS-Servers.
Seite 431: 9.1.1.3 Dns-Client Statisch
Erweitert [ Erweitert > DNS > Client > Statisch ] 9.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, bis zu 4 IP-Adressen festzulegen.
Seite 432: Dns-Cache
Erweitert [ Erweitert > DNS > Cache ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite 9.1.2 DNS-Cache [ Erweitert > DNS > Cache ] Die Funktion Cache befähigt das Gerät, auf Anfragen zur Auflösung von Hostnamen in IP-Adressen selbst zu antworten.
Seite 433: Command Line Interface
Erweitert [ Erweitert > DNS > Cache > Global ] 9.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Funktion Cache ein. Ist die Funktion Cache eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnames an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 434 Erweitert [ Erweitert > CLI ] Schaltflächen Die Beschreibung der Standard-Schaltflächen finden Sie im Abschnitt „Schaltflächen” auf Seite SSH-Verbindung starten Öffnet die SSH-fähige Client-Anwendung. Wenn Sie die Schaltfläche klicken, übergibt die Web-Anwendung den URL des Geräts beginnend mit ssh:// und den Benutzernamen des gegenwärtig angemeldeten Benutzers. Wenn der Web-Browser eine SSH-fähige Client-Anwendung findet, dann stellt der SSH-fähige Client eine Verbindung mit dem SSH-Protokoll zum Gerät her.
Seite 435 Erweitert 9.2 Command Line Interface RM GUI EAGLE40-07 Release 4.1.01 05/2021...
Seite 436: A Stichwortverzeichnis
Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............352 802.1D/p-Mapping .
Seite 437 Stichwortverzeichnis Häufig gestellte Fragen ............439 HiDiscovery .
Seite 438 Stichwortverzeichnis Passwort ............58, 391, 392 Passwort-Länge .
Seite 439 Stichwortverzeichnis Verschlüsselung ............. 28 Virtual Local Area Network .
Seite 440: B Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 441: C Leserkritik
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 442 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...
Seite 444 Reference Manual Command Line Interface (CLI) Industrial Security Router EAGLE40-07 RM CLI EAGLE40-07 Technical Support Release 04.1.01 05/2021 https://hirschmann-support.belden.eu.com...
Seite 445 The naming of copyrighted trademarks in this manual, even when not specially indicated, should not be taken to mean that these names may be considered as free in the sense of the trademark and tradename protection law and hence that they may be freely used by anyone. ©...
Seite 446 Contents Cont e nt s Sa fe t y inst ruc t ions First login (Pa ssw ord c ha nge ) About t his M a nua l Applic a t ion List s appllists 1.1.1 appllists set-authlist 1.1.2 appllists enable 1.1.3 appllists disable show 1.2.1 show appllists...
Seite 447 Contents config 6.2.1 config watchdog admin-state 6.2.2 config watchdog timeout 6.2.3 config encryption password set 6.2.4 config encryption password clear 6.2.5 config envm auto-update 6.2.6 config envm config-save 6.2.7 config envm load-priority 6.2.8 config profile select 6.2.9 config profile delete 6.2.10 config fingerprint verify nvm profile 6.2.11 config fingerprint verify nvm num 6.2.12 config fingerprint verify envm profile...
Seite 448 Contents 8.1.6 security-status monitor snmp-unsecure 8.1.7 security-status monitor sysmon-enabled 8.1.8 security-status monitor extnvm-upd-enabled 8.1.9 security-status monitor no-link-enabled 8.1.10 security-status monitor hidisc-enabled 8.1.11 security-status monitor extnvm-load-unsecure 8.1.12 security-status monitor https-certificate 8.1.13 security-status trap security-status 8.2.1 security-status no-link show 8.3.1 show security-status monitor 8.3.2 show security-status state 8.3.3 show security-status no-link 8.3.4 show security-status trap...
Seite 449 Contents 11.1.18dpi iec104 delete 11.1.19dpi iec104 enable 11.1.20dpi iec104 disable 11.1.21dpi iec104 copy 11.1.22dpi dnp3 profile add 11.1.23dpi dnp3 profile modify 11.1.24dpi dnp3 profile delete 11.1.25dpi dnp3 profile enable 11.1.26dpi dnp3 profile disable 11.1.27dpi dnp3 profile commit 11.1.28dpi dnp3 profile copy 11.1.29dpi dnp3 object add 11.1.30dpi dnp3 object delete 11.2 show...
Seite 450 Contents H T T P Se c ure (H T T PS) 16.1 https 16.1.1 https server 16.1.2 https port 16.1.3 https fingerprint-type 16.1.4 https certificate 16.2 copy 16.2.1 copy httpscert remote 16.2.2 copy httpscert envm 16.3 show 16.3.1 show https I nt e rfa c e 17.1 shutdown 17.1.1 shutdown...
Seite 451 Contents I nt rusion De t e c t ion Syst e m (I DS) 20.1 ids 20.1.1 ids operation 20.1.2 ids user 20.2 show 20.2.1 show ids global Ope n Short e st Pa t h First (OSPF) 21.1 ip 21.1.1 ip ospf area 21.1.2 ip ospf trapflags all 21.1.3 ip ospf operation...
Seite 452 Contents 22.2.2 ip vrrp modify 22.2.3 ip vrrp delete 22.2.4 ip vrrp enable 22.2.5 ip vrrp disable 22.2.6 ip vrrp virtual-address add 22.2.7 ip vrrp virtual-address delete 22.2.8 ip vrrp track add 22.2.9 ip vrrp track modify 22.2.10ip vrrp track delete 22.3 show 22.3.1 show ip vrrp interface 22.3.2 show ip vrrp global...
Seite 453 Contents Link La ye r Disc ove ry Prot oc ol (LLDP) 26.1 lldp 26.1.1 lldp operation 26.1.2 lldp config chassis admin-state 26.1.3 lldp config chassis notification-interval 26.1.4 lldp config chassis tx-hold-multiplier 26.1.5 lldp config chassis tx-interval 26.2 show 26.2.1 show lldp global 26.2.2 show lldp port 26.2.3 show lldp remote-data 26.3 lldp...
Seite 454 Contents 28.2 show 28.2.1 show network management access global 28.2.2 show network management access rules N e t w ork Addre ss T ra nsla t ion (N AT ) 1 0 6 29.1 nat 29.1.1 nat dnat commit 29.1.2 nat dnat add 29.1.3 nat dnat modify 29.1.4 nat dnat delete 29.1.5 nat dnat logtrap...
Seite 455 Contents 31.1.1 packet-filter l3 commit 31.1.2 packet-filter l3 defaultpolicy 31.1.3 packet-filter l3 checksum-validation 31.1.4 packet-filter l3 addrule 31.1.5 packet-filter l3 modifyrule 31.1.6 packet-filter l3 delrule 31.1.7 packet-filter l3 enablerule 31.1.8 packet-filter l3 disablerule 31.1.9 packet-filter l3 logmode 31.1.10packet-filter l3 addif 31.1.11packet-filter l3 delif 31.1.12packet-filter l3 enableif 31.1.13packet-filter l3 disableif...
Seite 456 Contents 34.1 ldap 34.1.1 ldap operation 34.1.2 ldap cache-timeout 34.1.3 ldap flush-user-cache 34.1.4 ldap role-policy 34.1.5 ldap basedn 34.1.6 ldap search-attr 34.1.7 ldap bind-user 34.1.8 ldap bind-passwd 34.1.9 ldap default-domain 34.1.10ldap client server add 34.1.11ldap client server delete 34.1.12ldap client server enable 34.1.13ldap client server disable 34.1.14ldap client server modify 34.1.15ldap mapping add...
Seite 457 Contents 39.1.1 snmp access version v1 39.1.2 snmp access version v2 39.1.3 snmp access version v3 39.1.4 snmp access port 39.2 show 39.2.1 show snmp access SN M P Com m unit y 1 4 2 40.1 snmp 40.1.1 snmp community ro 40.1.2 snmp community rw 40.2 show 40.2.1 show snmp community...
Seite 458 Contents 44.1 snmp 44.1.1 snmp trap operation 44.1.2 snmp trap mode 44.1.3 snmp trap delete 44.1.4 snmp trap add 44.2 show 44.2.1 show snmp traps U nic a st Rout ing 1 5 2 45.1 ip 45.1.1 ip routing 45.1.2 ip proxy-arp max-delay 45.2 show 45.2.1 show ip global 45.3 show...
Seite 459 Contents V irt ua l LAN (V LAN ) 1 6 1 47.1 name 47.1.1 name 47.2 vlan 47.2.1 vlan add 47.2.2 vlan delete 47.3 vlan 47.3.1 vlan acceptframe 47.3.2 vlan ingressfilter 47.3.3 vlan priority 47.3.4 vlan pvid 47.3.5 vlan tagging 47.3.6 vlan participation include 47.3.7 vlan participation exclude 47.3.8 vlan participation auto...
Seite 460 49.1.10users password-policy-check 49.2 show 49.2.1 show users Furt he r support 1 7 4 Re a de rs’ Com m e nt s 1 7 5 RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 461: Sa Fe T Y Inst Ruc T Ions
Sa fe t y inst ruc t ions WARN I N G UNCONTROLLED MACHINE ACTIONS To avoid uncontrolled machine actions caused by data loss, configure all the data transmission devices individually. Before you start any machine which is controlled via data transmission, be sure to complete the configuration of all data transmission devices.
Seite 462: First Login (Pa Ssw Ord Cha Nge )
 The device prompts you to confirm your new password.  Log on to the device again with your new password. Note: If you lost your password, then use the System Monitor to reset the password. For further information see: hirschmann-support.belden.com. RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 463: About T His M A Nua L
About t his M a nua l The “Installation” user manual contains a device description, safety instructions, a description of the display, and the other information that you need to install the device. The “Configuration” user manual contains the information you need to start operating the device. It takes you step by step from the first startup operation through to the basic settings for operation in your environment.
Seite 464: Applic At Ion List S
Applic at ion List s 1 .1 a ppllist s Configure an application list. 1 .1 .1 a ppllist s se t -a ut hlist Set an authentication list reference that shall be used by given application.  Mode: Global Config Mode ...
Seite 465: Aut He Nt Ic At Ion List S
Aut he nt ic at ion List s 2 .1 a ut hlist s Configure an authentication list. 2 .1 .1 a ut hlist s a dd Create a new login authentication list.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 466: Authlists Disable
2 .1 .5 a ut hlist s disa ble Deactivate a login authentication list.  Mode: Global Config Mode  Privilege Level: Administrator  Format: authlists disable <P-1> Parameter Value Meaning string <authlist_name> Name of an authentication list. 2 .2 show Display device options and settings.
Seite 467: Cla Ss Of Se Rvic E
Cla ss Of Se r vic e 3 .1 cla ssofse r vic e Class of service configuration. 3 .1 .1 c la ssofse rvic e dot 1 p-m a pping Enter a VLAN priority and the traffic class it should be mapped to. ...
Seite 468: Com M A Nd Line I Nt E Rfa C E (Cli )
Com m a nd Line I nt e rfa c e (CLI ) 4 .1 Set the CLI preferences. 4 .1 .1 c li se ria l-t im e out Set login timeout for serial line connection to CLI. Setting to 0 will disable the timeout. The value is active after next login.
Seite 469: Show
4 .2 show Display device options and settings. 4 .2 .1 show c li globa l Display the CLI preferences.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show cli global 4 .2 .2 show c li c om m a nd-t re e Display a list of every command.
Seite 470: Clock
Clock 5 .1 clock Configure local and DST clock settings. 5 .1 .1 c loc k se t Edit current local time.  Mode: Global Config Mode  Privilege Level: Administrator  Format: clock set <P-1> <P-2> Parameter Value Meaning YYYY-MM-DD Local date (range: 2004-01-01 - 2037-12-31).
Seite 471: Configurat Ion
Configurat ion 6 .1 save Save the configuration to the specified destination. 6 .1 .1 sa ve profile Save the configuration to the specific profile.  Mode: All Privileged Modes  Privilege Level: Operator  Format: save profile <P-1> Parameter Value Meaning string Enter a user-defined text, max.
Seite 472: Config Envm Auto-Update
6 .2 .5 c onfig e nvm a ut o-upda t e Allow automatic firmware updates with this memory device.  Mode: Global Config Mode  Privilege Level: Administrator  Format: config envm auto-update <P-1> Parameter Value Meaning USB Storage Device ...
Seite 473: Config Fingerprint Verify Nvm Profile
6 .2 .1 0 c onfig finge rprint ve rify nvm profile Select the name of a profile to be verified.  Mode: Global Config Mode  Privilege Level: Administrator  Format: config fingerprint verify nvm profile <P-1> <P-2> Parameter Value Meaning string Filename.
Seite 474: Copy Firmware Remote
system: Copy a firmware image to the device from external non-volatile memory. Parameter Value Meaning string Filename. 6 .3 .4 c opy firm w a re re m ot e Copy a firmware image to the device from a server. ...
Seite 475: Clear
6 .4 cle a r Clear several items. 6 .4 .1 c le a r c onfig Clear the running configuration.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: clear config 6 .4 .2 c le a r fa c t ory Set the device back to the factory settings (use with care).
Seite 476: Show Config Profiles
6 .6 .5 show c onfig profile s Display the configuration profiles.  Mode: Command is in all modes available.  Privilege Level: Administrator  Format: show config profiles <P-1> [<P-2>] Parameter Value Meaning non-volatile memory envm external non-volatile memory device 1..20 Index of the profile entry.
Seite 477: Devic E M Onit Oring
Devic e M onit oring 7 .1 devic e -st at us Configure various device conditions to be monitored. 7 .1 .1 de vic e -st a t us m onit or link -fa ilure Enable or disable monitor state of network connection(s). ...
Seite 478: Device-Status Trap
 no de vic e -st a t us m onit or pow e r-supply Disable the option  Mode: Global Config Mode  Privilege Level: Administrator  Format: no device-status monitor power-supply <P-1> 7 .1 .6 de vic e -st a t us t ra p Configure the device to send a trap when the device status changes.
Seite 479: Show Device-Status Events
7 .3 .4 show de vic e -st a t us e ve nt s Display occurred device status events.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show device-status events 7 .3 .5 show de vic e -st a t us link -a la rm Display the monitor configurations of the network ports.
Seite 480: Devic E Se C Urit Y
Devic e Se c urit y 8 .1 se c urit y-st at us Configure the security status settings. 8 .1 .1 se c urit y-st a t us m onit or pw d-c ha nge Sets the monitoring of default password change for 'user' and 'admin'. ...
Seite 481: Security-Status Monitor Snmp-Unsecure
8 .1 .5 se c urit y-st a t us m onit or ht t p-e na ble d Sets the monitoring of the activation of http on the switch.  Mode: Global Config Mode  Privilege Level: Administrator  Format: security-status monitor http-enabled ...
Seite 482: Security-Status Monitor Hidisc-Enabled
8 .1 .1 0 se c urit y-st a t us m onit or hidisc -e na ble d Sets the monitoring of HiDiscovery.  Mode: Global Config Mode  Privilege Level: Administrator  Format: security-status monitor hidisc-enabled  no se c urit y-st a t us m onit or hidisc -e na ble d Disable the option ...
Seite 483: Show
 no se c urit y-st a t us no-link Disable the option  Mode: Interface Range Mode  Privilege Level: Administrator  Format: no security-status no-link 8 .3 show Display device options and settings. 8 .3 .1 show se c urit y-st a t us m onit or Display the security status monitoring settings.
Seite 484: Dom A In N A M E Syst E M (Dn S)
Dom a in N a m e Syst e m (DN S) 9 .1 Set DNS parameters. 9 .1 .1 dns c lie nt se rve rs a dd Add a new DNS server.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 485: Show
9 .2 show Display device options and settings. 9 .2 .1 show dns c lie nt info Display the DNS Client related information.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show dns client info 9 .2 .2 show dns c lie nt se rve rs Display the DNS Client servers.
Seite 486: 1 0 Dos M It Igat Ion
1 0 DoS M it igat ion 1 0 .1 Manage DoS Mitigation 1 0 .1 .1 dos t c p-null Enables TCP Null scan protection - all TCP flags and TCP sequence number zero.  Mode: Global Config Mode ...
Seite 487: Dos Icmp Payload-Check
 no dos ic m p-fra gm e nt e d Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no dos icmp-fragmented 1 0 .1 .6 dos ic m p pa yloa d-c he c k Enables ICMP max payload size protection for IPv4 and IPv6.
Seite 488: 11Dos Tcp-Syn
1 0 .1 .1 1 dos t c p-syn Enables TCP source port smaller than 1024 protection.  Mode: Global Config Mode  Privilege Level: Operator  Format: dos tcp-syn  no dos t c p-syn Disable the option  Mode: Global Config Mode ...
Seite 489: 1 De E P Pa Cke T I Nspe C T Ion (Dpi )
1 1 De e p Pa cke t I nspe c t ion (DPI ) 1 1 .1 Creation and configuration of DPI profiles. 1 1 .1 .1 dpi m odbus c om m it Writes all changes made in the DPI MODBUS profiles to the enforcer. ...
Seite 490: Dpi Modbus Modifyprofile
Parameter Value Meaning 1..255 Function codes 1 - 255 1|0-65535 Function code read coils, coil address range 0 - 65535 2|0-65535 Function code read discrete inputs, input address range 0 - 65535 3|0-65535 Function code read holding registers, register address range 0 - 65535 4|0-65535 Function code read input registers, register address range 0 - 65535 5|0-65535...
Seite 491: Dpi Modbus Copyprofile
Parameter Value Meaning readonly Read only function codes for function code list readwrite Read write function codes for function code list programming Programming function codes for function code list All possible function codes for function code list (allow any function code) advanced Keeps the function code list from the previous selection and makes it editable by the user...
Seite 492: Dpi Modbus Enableprofile
1 1 .1 .6 dpi m odbus e na ble profile Enables a profile in the DPI MODBUS profile table. A profile can only be activated when all required parameters are set. After activation modifications no longer possible.  Mode: Global Config Mode ...
Seite 493: 11Dpi Opc Copyprofile
1 1 .1 .1 1 dpi opc c opyprofile Copies a profile to another DPI OPC profile.  Mode: Global Config Mode  Privilege Level: Operator  Format: dpi opc copyprofile <P-1> <P-2> Parameter Value Meaning 1..32 Profile source index 1 - 32 1..32 Profile destination index 1 - 32 1 1 .1 .1 2 dpi opc de lprofile...
Seite 494 Parameter Value Meaning string Profile description/name readonly Read only type IDs for type ID list. readwrite Read write type IDs for type ID list. common Common type IDs for type ID list. All possible type IDs for type ID list (allow any type ID). advanced Lets the user specify customized type IDs for type ID list.
Seite 495: 17Dpi Iec104 Modify
Parameter Value Meaning Parameter of measured value, short floating point value p-me-nc-1 Parameter activation p-ac-na-1 File ready f-fr-na-1 Section ready f-sr-na-1 Call directory, select file, call file, call section f-sc-na-1 Last section, last segment f-ls-na-1 Ack file, Ack section f-af-na-1 Segment f-sg-na-1 f-dr-ta-1 QueryLog - Request archive file f-sc-nb-1...
Seite 496 Parameter Value Meaning 1..255 Comma separated type ID e.g 1,2,3. Single point information m-sp-na-1 Single point information with time tag m-sp-ta-1 Double point information m-dp-na-1 Double point information with time tag m-dp-ta-1 Step position information m-st-na-1 Step position information with time tag m-st-ta-1 Bit string of 32 bit m-bo-na-1 Bit string of 32 bit with time tag m-bo-ta-1 Measured value, normalized value m-me-na-1...
Seite 497: 18Dpi Iec104 Delete
Parameter Value Meaning Segment f-sg-na-1 f-dr-ta-1 QueryLog - Request archive file f-sc-nb-1 128..135 Reserved for routing of messages Type ID from 136-255 and undefined type IDs are reserved for special use 1..2 Specify the cause-of-transmission size. 0..255 Set originator address. 0..255 Set list of originator address with comma seperated e.g 1,5.
Seite 498: 22Dpi Dnp3 Profile Add
1 1 .1 .2 2 dpi dnp3 profile a dd Adds a profile to the DPI DNP3 profile table.  Mode: Global Config Mode  Privilege Level: Operator  Format: dpi dnp3 profile add <P-1> [description <P-2>] [function-code-list <P-3>] [default-object-list <P-4>] [sanity-check <P-5>] [crc-check <P-6>] [outstation- packets-check <P-7>] [reset-tcp-check <P-8>] [description]: Profile description/name for the DPI DNP3 profile.
Seite 499: 23Dpi Dnp3 Profile Modify
Parameter Value Meaning enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 1 1 .1 .2 3 dpi dnp3 profile m odify Modifies a profile to the DPI DNP3 profile table.  Mode: Global Config Mode ...
Seite 500: 24Dpi Dnp3 Profile Delete
Parameter Value Meaning 1..317 Comma separated index values e.g 1,2,3. 1..317 Comma separated index and range of index values e.g 1-10,120-300. none 'none' to exclude all default object list entries. 'all' to include all default object list entries. enable Enable the option. disable Disable the option.
Seite 501: 30Dpi Dnp3 Object Delete
group-number: Group number for DNP3 object ranging 0-255. variation-number: Variation number could either be any integer between 0-255 or a range from 0-255. function-code: Function code for DNP3 object. [function-name]: Function name for DNP3 object. [function-length]: Function length for DNP3 Object. [qualifier-code-list]: Qualifier code list, hexadecimal numbers separated by a comma(e.g numbers ranging between 0x00 to 0xFF).
Seite 502: Show Dpi Iec104 Profiletable
1 1 .2 .5 show dpi ie c 1 0 4 profile t a ble Display the DPI IEC104 profile table.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show dpi iec104 profiletable 1 1 .2 .6 show dpi ie c 1 0 4 pe nding Display whether uncommitted changes for DPI IEC104 enforcer exist.
Seite 503: 2 Filt E Ring Dat A Ba Se (Fdb)
1 2 Filt e ring Dat a ba se (FDB) 1 2 .1 m a c -filt e r 1 2 .1 .1 m a c -filt e r Static MAC filter configuration.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 504: Show
1 2 .5 show Display device options and settings. 1 2 .5 .1 show m a c -a ddr-t a ble Display the MAC address table.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show mac-addr-table [<P-1>] Parameter Value Meaning a:b:c:d:e:f...
Seite 505: 3 Fire W A Ll Le A Rning M Ode (Flm )
1 3 Fire w a ll Le a r ning M ode (FLM ) 1 3 .1 Configure the firewall learning mode. 1 3 .1 .1 flm ope ra t ion Enable/disable the firewall learning mode.  Mode: Global Config Mode ...
Seite 506: Show Flm Interface
1 3 .2 .2 show flm int e rfa c e Display the interfaces selected for the firewall learning mode  Mode: Command is in all modes available  Privilege Level: Guest  Format: show flm interface RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 507: 4 H Idisc Ove Ry
1 4 H iDisc ove r y 1 4 .1 ne t w ork Configure the inband and outband connectivity. 1 4 .1 .1 ne t w ork hidisc ove ry ope ra t ion Enable/disable the HiDiscovery protocol on this device. ...
Seite 508: 5 H Ype R T Ex T Tra Nsfe R Prot Oc Ol (H T T P)
1 5 H ype r t ex t Tra nsfe r Prot oc ol (H T T P) 1 5 .1 ht t p Set HTTP parameters. 1 5 .1 .1 ht t p port Set the HTTP port number. ...
Seite 509: 6 H T T P Se C Ure (H T T Ps)
1 6 H T T P Se c ure (H T T PS) 1 6 .1 ht t ps Set HTTPS parameters. 1 6 .1 .1 ht t ps se rve r Enable or disable the HTTPS server.  Mode: Global Config Mode ...
Seite 510: Copy Httpscert Envm
1 6 .2 .2 c opy ht t psc e rt e nvm Copy X509/PEM certificate from external non-volatile memory to the specified destination.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: copy httpscert envm <P-1> nvm nvm: Copy X509/PEM certificate from external non-volatile memory to the device.
Seite 511: 7 I Nt E Rfa C E
1 7 I nt e rfa c e 1 7 .1 shut dow n 1 7 .1 .1 shut dow n Enable or disable the interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: shutdown  no shut dow n Disable the option ...
Seite 512: Linktraps
Parameter Value Meaning The port does not use the crossover mode. mdix The port uses the crossover mode. auto-mdix The port uses the auto crossover mode. 1 7 .5 link t ra ps 1 7 .5 .1 link t ra ps Enable/disable link up/down traps on the interface.
Seite 513: Show
 no pow e r-st a t e Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no power-state 1 7 .9 show Display device options and settings. 1 7 .9 .1 show port Display the interface parameters. ...
Seite 514: 1 8 I Nt E Rfa C E St At Ist Ic S
1 8 I nt e rfa c e St at ist ic s 1 8 .1 cle a r Clear several items. 1 8 .1 .1 c le a r port -st a t ist ic s Clear all statistics counter. ...
Seite 515: 1 9 I Nt E R N
1 9 I nt e r n 1 9 .1 he lp Display the help text for various special keys.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: help 1 9 .2 logout Exit this session. ...
Seite 516: Reboot
1 9 .6 reboot Reset the device (cold start).  Mode: All Privileged Modes  Privilege Level: any  Format: reboot 1 9 .7 ping Send ICMP echo packets to a specified host or IP address. 1 9 .7 .1 ping sourc e Source address for ping command.
Seite 517: 0 I Nt Rusion De T E C T Ion Syst E M (I Ds)
2 0 I nt rusion De t e c t ion Syst e m (I DS) 2 0 .1 Configure the Intrusion Detection System feature. 2 0 .1 .1 ids ope ra t ion Enable/disable Intrusion Detection System feature.  Mode: Global Config Mode ...
Seite 518: 1 Ope N Short E St Pa T H First (Ospf)
2 1 Ope n Shor t e st Pat h First (OSPF) 2 1 .1 Set IP parameters. 2 1 .1 .1 ip ospf a re a Administer the OSPF areas. An area is a sub-division of an OSPF autonomous system. You identify an area by an area-id.
Seite 519 delete: Delete a NSSA. modify: Modify the parameters of a NSSA. translator: Configure the NSSA translator related parameters. role: Configure the NSSA translator role. stability-interval: Configure the translator stability interval for the NSSA, in seconds. summary: Configure the import summary for the specified NSSA. no-redistribute: Configure route redistribution for the specified NSSA.
Seite 520: Ip Ospf Trapflags All
 no ip ospf a re a Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no ip ospf area <P-1> range add modify delete add delete stub add modify summarylsa default-cost delete virtual-link add delete modify authentication type key key-id hello-interval dead-interval transmit-delay retransmit-interval nssa add delete modify translator role stability-interval summary no- redistribute default-info originate [metric] [metric-type]...
Seite 521: Ip Ospf Router-Id
Parameter Value Meaning 1..16777214 Configure the default metric for redistributed routes. 2 1 .1 .6 ip ospf rout e r-id Configure the router ID to uniquely identify this OSPF router in the autonomous system. If a tie occurs during the designated router election, the router with the higher router ID is the designated router.
Seite 522: 13Ip Ospf Distance Intra
Parameter Value Meaning 1..4294967 Configure the auto cost for OSPF calculation. 2 1 .1 .1 3 ip ospf dist a nc e int ra Enter the preference type as intra. Use intra-area routing when the device routes packets solely within an area, such as an internal router.
Seite 523: 18Ip Ospf Default-Info Originate
Parameter Value Meaning Configure as out to re-distribute routes with ACL rules connected Select the source protocol as connected. static Select the source protocol as static.  no ip ospf dist ribut e -list Disable the option  Mode: Global Config Mode ...
Seite 524: Ip Ospf Priority
Parameter Value Meaning broadcast Configure the link-type as broadcast for the interface. In broadcast networks, routers discover their neighbors dynamically using the OSPF hello protocol. nbma Configure the link-type as Non-Broadcast Multi-Access for the interface. The nbma mode, emulates OSPF operation over a broadcast network. The nbma mode is the most efficient way to run OSPF over non-broadcast networks, both in terms of the LSDB size and the amount of routing protocol traffic.
Seite 525: Ip Ospf Cost
2 1 .2 .9 ip ospf c ost Configure the OSPF cost for the interface. The cost of a specific interface indicates the overhead required to send packets across the link. If set to 0, OSPF calculates the cost from the reference bandwidth and the interface speed. ...
Seite 526: Show Ip Ospf Area
2 1 .3 .2 show ip ospf a re a Display the OSPF area related information.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show ip ospf area [<P-1>] Parameter Value Meaning A.B.C.D IP address. 2 1 .3 .3 show ip ospf st ub Display the OSPF stub area related information.
Seite 527: 11Show Ip Ospf Statistics
Parameter Value Meaning slot no./port no. 2 1 .3 .1 1 show ip ospf st a t ist ic s Display the OSPF statistics.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show ip ospf statistics 2 1 .3 .1 2 show ip ospf re -dist ribut e Display the OSPF re-distribute related information ...
Seite 528: Ip Vrrp Operation
2 2 V ir t ua l Rout e r Re dunda ncy Prot oc ol (V RRP) 2 2 .1 Set IP parameters. 2 2 .1 .1 ip vrrp ope ra t ion Enables or disables VRRP globally on the device. ...
Seite 529: Ip Vrrp Modify
2 2 .2 .2 ip vrrp m odify Modify parameters of a VRRP instance.  Mode: Interface Range Mode.  Privilege Level: Operator  Format: ip vrrp modify <P-1> [priority <P-2>] [interval <P-3>] [priority]: Priority of the virtual router [interval]: Advertisement Interval in seconds Parameter Value Meaning 1..255...
Seite 530: Ip Vrrp Track Modify
Parameter Value Meaning string Track instance. 1..253 Enter the decrement value. The priority will be decremented by the configured value. 2 2 .2 .9 ip vrrp t ra c k m odify Modify a tracking object to the vrrp instance. ...
Seite 531: 3 Addre Ss Re Solut Ion Prot Oc Ol (I P Arp)
2 3 Addre ss Re solut ion Prot oc ol (I P ARP) 2 3 .1 Set IP parameters. 2 3 .1 .1 ip a rp a dd Add a static arp entry.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 532: Show
Parameter Value Meaning 1..10 Enter the arp max retries. 2 3 .2 show Display device options and settings. 2 3 .2 .1 show ip a rp info Displays ARP summary information.  Mode: Command is in all modes available.  Privilege Level: Guest ...
Seite 533: 4 L3 Re La Y
2 4 L3 Re la y 2 4 .1 Set IP parameters. 2 4 .1 .1 ip udp-he lpe r ope ra t ion Enable or disable the IP helper and DHCP relay.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 534: Ip Udp-Helper Maxhopcount
2 4 .1 .6 ip udp-he lpe r m a x hopc ount Configure the DHCP relay maximum hop count.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip udp-helper maxhopcount <P-1> Parameter Value Meaning 1..16 Enter a number in the given range. 2 4 .1 .7 ip udp-he lpe r m inw a it t im e Configure DHCP relay minimum wait time in seconds.
Seite 535: Ip Udp-Helper Server Disable
Parameter Value Meaning A.B.C.D IP address. 2 4 .2 .4 ip udp-he lpe r se rve r disa ble Disable a relay agent from processing DHCP client requests and UDP broadcast packets received on a specific interface.  Mode: Interface Range Mode ...
Seite 536: 5 I Nt E Rne T Prot Oc Ol V E Rsion 4 (I Pv4 )
2 5 I nt e r ne t Prot oc ol Ve rsion 4 (I Pv4 ) 2 5 .1 ne t w ork Configure the inband and outband connectivity. 2 5 .1 .1 ne t w ork pa rm s Set network address, netmask and gateway ...
Seite 537: Lldp
2 6 Link La ye r Disc ove r y Prot oc ol (LLDP) 2 6 .1 lldp Configure of Link Layer Discovery Protocol. 2 6 .1 .1 lldp ope ra t ion Enable or disable the LLDP operational state. ...
Seite 538: Show Lldp Global
2 6 .2 .1 show lldp globa l Display the LLDP global configurations.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show lldp global 2 6 .2 .2 show lldp port Display the port specific LLDP configurations. ...
Seite 539: Lldp Notification
2 6 .3 .4 lldp not ific a t ion Enable or disable the LLDP notification operation for interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: lldp notification  no lldp not ific a t ion Disable the option ...
Seite 540  no lldp t lv sys-na m e Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no lldp tlv sys-name <P-1> RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 541: 7 Logging
2 7 Logging 2 7 .1 logging Logging configuration. 2 7 .1 .1 logging a udit -t ra il Add a comment for the audit trail.  Mode: Global Config Mode  Privilege Level: Administrator  Format: logging audit-trail <P-1> Parameter Value Meaning string...
Seite 542: Logging Host Disable
Parameter Value Meaning 1..8 Syslog server entry index 2 7 .1 .6 logging host disa ble Disable a logging host.  Mode: Global Config Mode  Privilege Level: Administrator  Format: logging host disable <P-1> Parameter Value Meaning 1..8 Syslog server entry index 2 7 .1 .7 logging host m odify Modify an existing logging host.
Seite 543: 11Logging Console Operation
Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately. Unrecoverable failure of a component. System failure likely. critical Recoverable failure of a component that may lead to system failure. error Error conditions. Recoverable failure of a component. warning Minor failure, e.g.
Seite 544: Show Logging Buffered
2 7 .2 .1 show logging buffe re d Display the buffered (in-memory) log entries.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show logging buffered [<P-1>] Parameter Value Meaning string <filter> Enter a comma separated list of severity ranges, numbers or enum strings are allowed.
Seite 545: Copy Eventlog Persistent
2 7 .3 .3 c opy e ve nt log pe rsist e nt Copy the persistent logs from the device to an envm or a file server.  Mode: Privileged Exec Mode  Privilege Level: Operator  Format: copy eventlog persistent <P-1> envm <P-2> remote <P-3> envm: Copy the persistent log from the device to external non-volatile memory.
Seite 546: Clear Eventlog
2 7 .4 .3 c le a r e ve nt log Clear the event log entries from memory.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: clear eventlog RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 547: 8 M A Na Ge M E Nt Ac C E Ss 1
2 8 M a na ge m e nt Ac c e ss 2 8 .1 ne t w ork Configure the inband and outband connectivity. 2 8 .1 .1 ne t w ork m a na ge m e nt a c c e ss w e b t im e out Set the web interface idle timeout.
Seite 548: Network Management Access Operation
Parameter Value Meaning enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 2 8 .1 .5 ne t w ork m a na ge m e nt a c c e ss ope ra t ion Enable/Disable operation for RMA.
Seite 549: 9 N E T W Ork Addre Ss T Ra Nsla T Ion (N At ) 1
2 9 N e t w ork Addre ss Tra nslat ion (N AT ) 2 9 .1 Manage NAT rules 2 9 .1 .1 na t dna t c om m it Commit pending changes for DNAT (commits all NAT changes). ...
Seite 550: Nat Dnat Delete
Parameter Value Meaning a.b.c.d Source IP address a.b.c.d/n CIDR mask !a.b.c.d !<a.b.c.d> Everything BUT this address !a.b.c.d/n !<a.b.c.d/n> Everything BUT this CIDR mask any Any number number UDP/TCP Source Port nu-nu nu-nu Port Range nu,nu-nu nu,nu-nu List of ports (or port ranges) any Any port (or protocol without a port) a.b.c.d Destination IP address...
Seite 551: Nat Dnat If Add
2 9 .1 .7 na t dna t if a dd Add Interface  Mode: Global Config Mode  Privilege Level: Operator  Format: nat dnat if add <P-1> <P-2> <P-3> Parameter Value Meaning slot no./port no. 1..255 DNAT rule number 0..4294967295 Priority 2 9 .1 .8...
Seite 552: 12Nat 1To1Nat Delete
2 9 .1 .1 2 na t 1 t o1 na t de le t e Delete the rule from 1:1 NAT  Mode: Global Config Mode  Privilege Level: Operator  Format: nat 1to1nat delete <P-1> Parameter Value Meaning 1..256 1:1 NAT rule number 2 9 .1 .1 3 na t 1 t o1 na t logt ra p...
Seite 553: 18Nat Masq Delete
Parameter Value Meaning 1..128 Masquerading rule number a.b.c.d Source IP address a.b.c.d/n CIDR mask !a.b.c.d !<a.b.c.d> Everything BUT this address !a.b.c.d/n !<a.b.c.d/n> Everything BUT this CIDR mask any Any number number UDP/TCP Source Port nu-nu nu-nu Port Range nu,nu-nu nu,nu-nu List of ports (or port ranges) any Any port (or protocol without a port) Transmission Control Protocol User Datagram Protocol...
Seite 554: 23Nat Masq If Delete
Parameter Value Meaning 0..4294967295 Priority 2 9 .1 .2 3 na t m a sq if de le t e Delete interface  Mode: Global Config Mode  Privilege Level: Operator  Format: nat masq if delete <P-1> <P-2> Parameter Value Meaning slot no./port no.
Seite 555: 29Nat Doublenat State
Parameter Value Meaning Disable SNMP Trap Enable SNMP Trap 2 9 .1 .2 9 na t double na t st a t e Enable/Disable specific Double NAT rule  Mode: Global Config Mode  Privilege Level: Operator  Format: nat doublenat state <P-1> <P-2> Parameter Value Meaning 1..255...
Seite 556: Show Nat Dnat Logtrap
2 9 .2 .3 show na t dna t logt ra p Show Log/Trap settings for DNAT rules  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show nat dnat logtrap [<P-1>] Parameter Value Meaning 1..255 DNAT rule number 2 9 .2 .4...
Seite 557: 11Show Nat Doublenat If
2 9 .2 .1 1 show na t double na t if Show Double NAT interface configuration.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show nat doublenat if RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 558: 0 N E T W Ork T Im E Prot Oc Ol (N T P) 1
3 0 N e t w ork T im e Prot oc ol (N T P) 3 0 .1 nt p Configure NTP settings. 3 0 .1 .1 nt p c lie nt ope ra t ion Enable or disable the NTP client. ...
Seite 559: Ntp Peers Delete
Parameter Value Meaning 1..4 NTP servers index. a.b.c.d IP address. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. enable Enable the option. disable Disable the option. 3 0 .1 .7 nt p pe e rs de le t e Delete a peer.
Seite 560: Packet-Filter L3 Commit
3 1 Pa cke t Filt e r 3 1 .1 pa cke t -filt e r Creation and configuration of Firewall rules. 3 1 .1 .1 pa c k e t -filt e r l3 c om m it Writes all changes made in the L3 firewall configuration to the device ...
Seite 561: Packet-Filter L3 Modifyrule
Parameter Value Meaning accept Accept packets drop Drop packets without notification reject Drop packets and notify source enforce-modbus Accept or drop packets by Modbus TCP/IP enforcer, protocol should be tcp or udp enforce-opc Accept or drop packets by opc enforcer, protocol should be tcp enforce-iec104 Accept or drop packets by IEC104 enforcer, protocol should be tcp enforce-dnp3...
Seite 562: Packet-Filter L3 Disablerule
3 1 .1 .8 pa c k e t -filt e r l3 disa ble rule Disables a rule from L3 rule table  Mode: Global Config Mode  Privilege Level: Operator  Format: packet-filter l3 disablerule <P-1> Parameter Value Meaning 1..2048 Rule index...
Seite 563: 14Packet-Filter L2 Commit
Parameter Value Meaning 1..2048 Rule index 3 1 .1 .1 4 pa c k e t -filt e r l2 c om m it Writes all changes made in the L2 firewall configuration to the device  Mode: Global Config Mode ...
Seite 564: 18Packet-Filter L2 Rule Modify
Parameter Value Meaning string Target IP address/CIDR mask/'any' any Any port/portless protocol string a-b Port Range string a,b Port List (may be longer than two ports) string a-b,c-d List of Port Ranges (may be longer than two ranges) string 1 to 65535 Port Number 0x0600-0xffff value Ethertype appletalk...
Seite 565 [sourceport]: Specify the source L4 port. [dest-ip]: Specify the destination IP address/mask. [destport]: Specify the destination L4 port. [ethertype]: Specify the Ethertype. [proto]: Specify the protocol for L2 firewall rule. [vlan]: Specify the VLAN ID for L2 firewall rule. [description]: Rule description/name for L2 firewall rule. [rate-limit]: Specify the rate limit and burst size.
Seite 566: 19Packet-Filter L2 Rule Delete
Parameter Value Meaning enable P-18 Enable sending a trap when applying the rule disable Do not send a trap when applying the rule  no pa c k e t -filt e r l2 rule m odify Disable the option ...
Seite 567: 24Packet-Filter L2 If Enable
3 1 .1 .2 4 pa c k e t -filt e r l2 if e na ble Enables an interface of a L2 firewall rule.  Mode: Global Config Mode  Privilege Level: Operator  Format: packet-filter l2 if enable <P-1> <P-2> <P-3> <P-4> Parameter Value Meaning port...
Seite 568: Show Packet-Filter L3 Ruletable
3 1 .3 .4 show pa c k e t -filt e r l3 rule t a ble Display the L3 rule table.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show packet-filter l3 ruletable 3 1 .3 .5 show pa c k e t -filt e r l3 ift a ble Display the L3 interface mapping table.
Seite 569: 2 Pa Ssw Ord M A Na Ge M E Nt 1
3 2 Pa ssw ord M a na ge m e nt 3 2 .1 pa ssw ords Manage password policies and options. 3 2 .1 .1 pa ssw ords m in-le ngt h Set minimum password length for user passwords. ...
Seite 570: Show
Parameter Value Meaning Disables the counting. 1..60 Enter a number in the given range. 3 2 .2 show Display device options and settings. 3 2 .2 .1 show pa ssw ords Display the password policies and options.  Mode: Command is in all modes available. ...
Seite 571: 3 Ra Dius 1
3 3 Ra dius 3 3 .1 ra dius Configure RADIUS parameters. 3 3 .1 .1 ra dius se rve r a t t ribut e 4 Specifies the RADIUS client to use the NAS-IP Address attribute in the RADIUS requests. ...
Seite 572: Radius Server Retransmit
Parameter Value Meaning string Enter a user-defined text, max. 128 characters. 3 3 .1 .5 ra dius se rve r re t ra nsm it Configure the retransmit value for the RADIUS server.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 573: Ldap
3 4 Re m ot e Aut he nt ic at ion 3 4 .1 lda p Configure LDAP settings. 3 4 .1 .1 lda p ope ra t ion Enable or disable the remote authentication operation.  Mode: Global Config Mode ...
Seite 574: Ldap Bind-User
3 4 .1 .7 lda p bind-use r Bind-account user name for LDAP query at the external AD server.  Mode: Global Config Mode  Privilege Level: Administrator  Format: ldap bind-user <P-1> Parameter Value Meaning string Enter a user-defined text, max. 255 characters. 3 4 .1 .8 lda p bind-pa ssw d Bind-account user password for LDAP query at the external AD server.
Seite 575: 14Ldap Client Server Modify
Parameter Value Meaning 1..4 Enter a number in the given range. 3 4 .1 .1 4 lda p c lie nt se rve r m odify Modify a LDAP client server connection.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 576: Show
3 4 .2 show Display device options and settings. 3 4 .2 .1 show lda p globa l Display the LDAP configuration parameters and information.  Mode: Command is in all modes available.  Privilege Level: Administrator  Format: show ldap global 3 4 .2 .2 show lda p c lie nt se rve r Display the LDAP client server connections.
Seite 577: 5 Re M Ot E M Onit Oring (Rm On ) 1
3 5 Re m ot e M onit oring (RM ON ) 3 5 .1 show Display device options and settings. 3 5 .1 .1 show rm on st a t ist ic s Show RMON statistics configuration.  Mode: Command is in all modes available. ...
Seite 578: 6 Sc Ript File 1
3 6 Sc ript File 3 6 .1 sc ript CLI Script File. 3 6 .1 .1 sc ript a pply Executes the CLI script file available in the device.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: script apply <P-1>...
Seite 579: Copy Script Remote
3 6 .2 .2 c opy sc ript re m ot e Copy script file from server to specified destination.  Mode: Privileged Exec Mode  Privilege Level: Administrator  Format: copy script remote <P-1> running-config nvm <P-2> running-config: Copy script file from file server to running-config. nvm: Copy script file to non-volatile memory.
Seite 580: 7 Se Lft E St 1
3 7 Se lft e st 3 7 .1 se lft e st Configure the selftest settings. 3 7 .1 .1 se lft e st a c t ion Configure the action that a selftest component should take.  Mode: Global Config Mode ...
Seite 581: Show
3 7 .2 show Display device options and settings. 3 7 .2 .1 show se lft e st a c t ion Display the actions the device takes if an error occurs.  Mode: Command is in all modes available. ...
Seite 582: 8 Sm A Ll Form -Fa C T Or Plugga Ble (Sfp) 1
3 8 Sm a ll For m -fa c t or Plugga ble (SFP) 3 8 .1 show Display device options and settings. 3 8 .1 .1 show sfp Show info about plugged in SFP modules.  Mode: Command is in all modes available. ...
Seite 583: 9 Sim Ple N E T W Ork M A Na Ge M E Nt Prot Oc Ol (Sn M P) 1
3 9 Sim ple N e t w ork M a na ge m e nt Prot oc ol (SN M P) 3 9 .1 snm p Configure of SNMP versions and traps. 3 9 .1 .1 snm p a c c e ss ve rsion v1 Enable or disable SNMP version V1.
Seite 584: Show Snmp Access
3 9 .2 .1 show snm p a c c e ss Display the SNMP access configuration settings.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show snmp access RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 585: 0 Sn M P Com M Unit Y 1
4 0 SN M P Com m unit y 4 0 .1 snm p Configure of SNMP versions and traps. 4 0 .1 .1 snm p c om m unit y ro SNMP v1/v2 read-only community.  Mode: Global Config Mode ...
Seite 586: 1 Sn M P Logging 1
4 1 SN M P Logging 4 1 .1 logging Logging configuration. 4 1 .1 .1 logging snm p-re que st ge t ope ra t ion Enable or disable logging of SNMP GET or SET requests.  Mode: Global Config Mode ...
Seite 587: Show
4 1 .1 .4 logging snm p-re que st se t se ve rit y Define severity level.  Mode: Global Config Mode  Privilege Level: Administrator  Format: logging snmp-request set severity <P-1> Parameter Value Meaning emergency System is unusable. System failure has occurred. alert Action must be taken immediately.
Seite 588: 2 Se C Ure She Ll (Ssh ) 1
4 2 Se c ure She ll (SSH ) 4 2 .1 Set SSH parameters. 4 2 .1 .1 ssh se rve r Enable or disable the SSH server.  Mode: Global Config Mode  Privilege Level: Administrator  Format: ssh server ...
Seite 589: Copy
4 2 .2 c opy Copy different kinds of items. 4 2 .2 .1 c opy sshk e y re m ot e Copy the SSH key from a server to the specified destination.  Mode: Privileged Exec Mode  Privilege Level: Administrator ...
Seite 590: 3 Syst E M 1
4 3 Syst e m 4 3 .1 syst e m Set system related values e.g. name of the device, location of the device, contact data for the person responsible for the device, and pre-login banner text. 4 3 .1 .1 syst e m na m e Edit the name of the device.
Seite 591: System Resources Operation
4 3 .1 .6 syst e m re sourc e s ope ra t ion Enable or disable the measurement operation.  Mode: Global Config Mode  Privilege Level: Administrator  Format: system resources operation  no syst e m re sourc e s ope ra t ion Disable the option ...
Seite 592: Show System Flash-Status
4 3 .3 .4 show syst e m fla sh-st a t us Display the flash memory statistics of the device.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show system flash-status 4 3 .3 .5 show syst e m t e m pe ra t ure lim it s Display the temperature limits.
Seite 593: Snmp
4 4 Tra ps 4 4 .1 snm p Configure of SNMP versions and traps. 4 4 .1 .1 snm p t ra p ope ra t ion Global enable/disable SNMP trap.  Mode: Global Config Mode  Privilege Level: Administrator ...
Seite 594: Show Snmp Traps
4 4 .2 .1 show snm p t ra ps Display the SNMP traps.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show snmp traps RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 595: 5 U Nic A St Rout Ing 1
4 5 U nic a st Rout ing 4 5 .1 Set IP parameters. 4 5 .1 .1 ip rout ing Enables or disables Routing globally on the device.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip routing ...
Seite 596: Ip Proxy-Arp Operation
4 5 .4 IP interface commands. 4 5 .4 .1 ip prox y-a rp ope ra t ion Enables or disables Proxy ARP on the interface.  Mode: Interface Range Mode  Privilege Level: Operator  Format: ip proxy-arp operation ...
Seite 597: Ip Route Add
4 5 .5 Set IP parameters. 4 5 .5 .1 ip rout e a dd Add a static route entry.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip route add <P-1> <P-2> <P-3> [preference <P-4>] [preference]: Change the preference value of a route.show ip entry <P-1> Parameter Value Meaning A.B.C.D...
Seite 598: Ip Default-Route Add
Parameter Value Meaning A.B.C.D IP address. A.B.C.D IP address. A.B.C.D IP address. 4 5 .5 .7 ip de fa ult -rout e a dd Add a static default route entry.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip default-route add <P-1>...
Seite 599: Show
4 5 .5 .1 3 ip ic m p e c ho-re ply Enables or disables the generation of ICMP Echo Reply messages.  Mode: Global Config Mode  Privilege Level: Operator  Format: ip icmp echo-reply  no ip ic m p e c ho-re ply Disable the option ...
Seite 600: Show Ip Route Tracking
4 5 .6 .5 show ip rout e t ra c k ing Display tracking information for static routes.  Mode: Global Config Mode  Privilege Level: Guest  Format: show ip route tracking RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 601: 6 T Ra C K Ing 1
4 6 Tra ck ing 4 6 .1 t ra ck Configure tracking instances on the device. 4 6 .1 .1 t ra c k a dd Create a tracking instance.  Mode: Global Config Mode  Privilege Level: Operator ...
Seite 602: Track Description
 no t ra c k t ra p Disable the option  Mode: Global Config Mode  Privilege Level: Operator  Format: no track trap <P-1> <P-2> 4 6 .1 .6 t ra c k de sc ript ion Set the description for the corresponding tracking instance.
Seite 603: Show
Parameter Value Meaning slot no./port no. string Track instance. AND operator. OR operator. string Track instance. 4 6 .2 show Display device options and settings. 4 6 .2 .1 show t ra c k ove rvie w Display information and settings for tracking instances. ...
Seite 604: Name
4 7 V ir t ua l LAN (V LAN ) 4 7 .1 na m e 4 7 .1 .1 na m e Assign a name to a VLAN  Mode: VLAN Database Mode  Privilege Level: Operator  Format: name <P-1>...
Seite 605: Vlan Priority
 no vla n ingre ssfilt e r Disable the option  Mode: Interface Range Mode  Privilege Level: Operator  Format: no vlan ingressfilter 4 7 .3 .3 vla n priorit y Configure the priority for untagged frames.  Mode: Interface Range Mode ...
Seite 606: Show
4 7 .4 show Display device options and settings. 4 7 .4 .1 show vla n id Display the configuration of a single specified VLAN.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show vlan id <P-1> Parameter Value Meaning 1..4042...
Seite 607: Network Management Priority Ip-Dscp
4 7 .5 .3 ne t w ork m a na ge m e nt priorit y ip-dsc p Configure the management VLAN ip-dscp priority of the switch.  Mode: Privileged Exec Mode  Privilege Level: Operator  Format: network management priority ip-dscp <P-1> Parameter Value Meaning 0..63...
Seite 608: Ipsec
4 8 V ir t ua l Privat e N e t w ork (V PN ) 4 8 .1 ipse c Configure IPsec VPN settings. 4 8 .1 .1 ipse c c e rt ific a t e de le t e Delete a certificate uploaded to the device.
Seite 609: Ipsec Connection Modify
4 8 .1 .4 ipse c c onne c t ion m odify Modify a IPsec VPN connection (index in connection is mandatory).  Mode: Global Config Mode  Privilege Level: Administrator  Format: users ipsec connection modify <P-1> name <P-2> certificate ca add <P-3> clear local <P-4>...
Seite 610 Parameter Value Meaning string Filename. string Enter a user-defined text, max. 128 characters. debug_inform debug informational debug_unhandled debug unhandled Pre-shared key. P-10 x509rsa Individual X.509 RSA certificates. pkcs12 Single PKCS12 file with all certificates (including CA). string Enter a user-defined text, max. 128 characters. P-11 default Local IPv4 address.
Seite 611: Ipsec Connection Status
Virtual Private Network (VPN) 48.1 ipsec Parameter Value Meaning P-31 Accept all algorithms as responder, use default as initiator. des3 Triple-DES aes128 AES with 128 key bits. aes192 AES with 192 key bits. aes256 AES with 256 key bits. aes128ctr AES-COUNTER with 128 key bits.
Seite 612: Ipsec Traffic-Selector
Virtual Private Network (VPN) 48.2 show 4 8 .1 .7 ipse c t ra ffic -se le c t or IPsec VPN traffic selectors.  Mode: Global Config Mode  Privilege Level: Administrator  Format: ipsec traffic-selector <P-1> add <P-2> [name <P-3>] delete <P-4> modify <P5> [name <P-6>] [source-net <P-7>] [source-restriction <P-8>] [dest-net <P-9>][dest- restriction <P-10>] status <P-11>...
Seite 613: Show Ipsec Connections Access
Virtual Private Network (VPN) 48.2 show 4 8 .2 .3 show ipse c c onne c t ions a c c e ss IPsec connection access settings.  Mode: Command is in all modes available.  Privilege Level: Guest  Format: show ipsec connections access <P-1>...
Seite 614 Virtual Private Network (VPN) 48.2 show Parameter Value Meaning 1..100 Certificate Table Index. RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 615: 9 U Se Rs 1
Users 49.1 users 4 9 U se rs 4 9 .1 use rs Manage Users and User Accounts. 4 9 .1 .1 use rs a dd Add a new user.  Mode: Global Config Mode  Privilege Level: Administrator  Format: users add <P-1>...
Seite 616: Users Snmpv3 Encryption
Users 49.2 show 4 9 .1 .7 use rs snm pv3 e nc rypt ion Specify encryption settings for a user.  Mode: Global Config Mode  Privilege Level: Administrator  Format: users snmpv3 encryption <P-1> <P-2> Parameter Value Meaning string <user>...
Seite 617: Further Support
You find the addresses of our partners on the Internet at www.hirschmann.com. A list of local telephone numbers and email addresses for technical support directly from Hirschmann is available at hirschmann-support.belden.com. This site also includes a free of charge knowledge base and a software download section.
Seite 618 Readers’ Comments 49.2 show Re a de rs’ Com m e nt s What is your opinion of this manual? We are constantly striving to provide as comprehensive a description of our product as possible, as well as important information to assist you in the operation of this product. Your comments and suggestions help us to further improve the quality of our documentation.
Seite 619 Readers’ Comments 49.2 show Street: Zip code / City: E-mail: Date / Signature: Dear User, Please fill out and return this page  as a fax to the number +49 (0)7127/14-1600 or  per mail to Hirschmann Automation and Control GmbH Department 01RD-NT Stuttgarter Str.
Seite 620 RM CLI EAGLE40-07 Release 04.1.01 05/2021...
Seite 622 Anwender-Handbuch Konfiguration Industrial Security Router EAGLE40-07 UM Config EAGLE40-07 Technische Unterstützung Release 4.1.01 05/2021 https://hirschmann-support.belden.com...
Seite 623 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2021 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 624 Inhalt Inhalt Sicherheitshinweise............9 Über dieses Handbuch .
Seite 625 Inhalt Benutzerverwaltung ............54 3.4.1 Berechtigungen .
Seite 626 Inhalt Software-Update aus dem externen Speicher ........100 7.3.1 Manuell –...
Seite 627 Inhalt VLANs ..............153 12.1 Beispiele für ein VLAN .
Seite 628 Inhalt 14.3 Sicherheitsstatus ............242 14.3.1 Ereignisse, die überwacht werden können .
Seite 629 Inhalt UM Config 4.1.01 Release Technische Unterstützung 05/2021...
Seite 630: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 631 Sicherheitshinweise UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 632: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 633: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 634: Ersetzen Eines Defekten Geräts
Ersetzen eines defekten Geräts Ersetzen eines defekten Geräts Das Gerät bietet folgende Plug-and-Play-Lösungen, um ein defektes Gerät durch ein Gerät des gleichen Typs zu ersetzen: Das neue Gerät lädt das Konfigurationsprofil des ersetzten Geräts vom externen Speicher.  Siehe „Konfigurationsprofil aus dem externen Speicher laden” auf Seite 91. Bei jeder Lösung erhält das neue Gerät beim Neustart die gleichen IP-Einstellungen, die das ersetzte Gerät zuvor hatte.
Seite 635 Ersetzen eines defekten Geräts UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 636: Benutzeroberflächen
Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Web-Browser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Seite 637: Command Line Interface
Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten.
Seite 638: Zugriff Auf Das Command Line Interface Mit Ssh (Secure Shell)
Benutzeroberflächen 1.2 Command Line Interface Dieses Programm finden Sie auf der Produkt-CD. Installieren Sie auf Ihrem Rechner das Programm PuTTY.  1.2.2 Zugriff auf das Command Line Interface mit SSH (Secure Shell) Im folgenden Beispiel verwenden wir das Programm PuTTY. Eine weitere Möglichkeit, über SSH auf Ihr Gerät zuzugreifen, ist die OpenSSH Suite.
Seite 639 Benutzeroberflächen 1.2 Command Line Interface Klicken Sie die Schaltfläche Open, um die Datenverbindung zu Ihrem Gerät aufzubauen.  Abhängig vom Gerät und vom Zeitpunkt des Konfigurierens von SSH dauert der Verbindungs- aufbau bis zu eine Minute. Bei der 1. Anmeldung zeigt das Programm gegen Ende des Verbindungsaufbaus eine PuTTY Sicherheitswarnmeldung und ermöglicht Ihnen, den Fingerabdruck des Schlüssels zu prüfen.
Seite 640: Zugriff Auf Das Command Line Interface Über Die Serielle Schnittstelle
Benutzeroberflächen 1.2 Command Line Interface login as: admin admin@192.168.1.5’s password: Copyright (c) 2011-2021 Hirschmann Automation and Control GmbH All rights reserved EAGLE40-07 Release HiSecOS-04.1.01 (Build date 2021-05-23 12:49) System Name EAGLE40-ECE555d5e489 Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 1. Router IP 0.0.0.0 Base MAC EC:E5:55:01:02:03...
Seite 641 Benutzeroberflächen 1.2 Command Line Interface Führen Sie die folgenden Schritte aus: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ verbinden  Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken Sie eine beliebige Taste. Alternativ erstellen Sie die serielle Datenverbindung zum Gerät über die serielle Schnittstelle mit ...
Seite 642: Modus-Basierte Kommando-Hierarchie
Benutzeroberflächen 1.2 Command Line Interface Copyright (c) 2011-2021 Hirschmann Automation and Control GmbH All rights reserved EAGLE40-07 Release HiSecOS-04.1.01 (Build date 2021-05-23 12:49) System Name EAGLE40-ECE555d5e489 Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 1. Router IP 0.0.0.0 Base MAC EC:E5:55:01:02:03 System Time 2021-05-25 16:00:57 NOTE: Enter '?' for Command Help.
Seite 643 Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT login logout Die User Exec Kommandos Eingeschränkte sind auch im User Exec Modus Funktion Privileged Exec Modus verfügbar. enable exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen vlan serviceshell...
Seite 644 Benutzeroberflächen 1.2 Command Line Interface Global Config Modus  Der Global Config Modus ermöglicht Ihnen, Modifikationen an der laufenden Konfiguration durchzuführen. In diesem Modus sind allgemeine Setup-Kommandos zusammengefasst. Kommando-Prompt: (EAGLE) (config)# Interface Range Modus  Die Befehle Interface Range Modus wirken sich auf einen bestimmten Port, auf eine ausge- wählte Gruppe von mehreren Ports oder auf alle Ports aus.
Seite 645 Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Kommando Modi, die im jeweiligen Modus sichtbaren Kommando- Prompts (Eingabeaufforderungszeichen) und die Möglichkeit, mit der Sie den Modus beenden. Tab. 2: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus User Exec Erste Zugriffsebene.
Seite 646: Ausführen Von Kommandos
Benutzeroberflächen 1.2 Command Line Interface Wenn Sie ein Fragezeichen (?) nach dem Prompt eingeben, gibt das Command Line Interface Ihnen die Liste der verfügbaren Kommandos und eine Kurzbeschreibung zu den Kommandos aus. (EAGLE)> Set the CLI preferences. enable Turn on privileged commands. help Display help for various special keys.
Seite 647: Aufbau Eines Kommandos
Benutzeroberflächen 1.2 Command Line Interface Kommandobaum Die Kommandos im Command Line Interface sind in einer Baumstruktur organisiert. Die Kommandos und ggf. die zugehörigen Parameter verzweigen sich so lange weiter, bis das Kommando komplett definiert und damit ausführbar ist. Das Command Line Interface prüft die Eingaben.
Seite 648 Benutzeroberflächen 1.2 Command Line Interface Tab. 3: Parameter- und Kommando-Syntax Eine senkrechte Linie, eingeschlossen in Klammern, zeigt eine [Choice1 | Choice2] Auswahlmöglichkeit. Wählen Sie einen Wert. Durch eine senkrechte Linie getrennte Elemente, eingeschlossen in eckigen Klammern, zeigen eine optionale Auswahlmöglichkeit an (Auswahl1 oder Auswahl2 oder keine Auswahl).
Seite 649: Beispiele Für Kommandos
Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Darstellung und den Bereich der Adresstypen: Tab. 5: Format und Bereich von Netzadressen Adresstyp Format Bereich Beispiel IP-Adresse nnn.nnn.nnn.nnn nnn: 0 bis 255 (dezimal) 192.168.11.110 MAC-Adresse mm:mm:mm:mm:mm:mm mm: 00 bis ff (hexadezimale A7:C9:89:DD:A9:B3 Zahlenpaare) Zeichenfolgen (Strings)
Seite 650: Eingabeprompt
Benutzeroberflächen 1.2 Command Line Interface (default: 1812). [msgauth] Enable or disable the message authenticator attribute for this server. [primary] Configure the primary RADIUS server. [status] Enable or disable a RADIUS authentication server entry. [secret] Configure the shared secret for the RADIUS authentication server.
Seite 651: Tastaturkombinationen
Benutzeroberflächen 1.2 Command Line Interface Rautezeichen  Ein Rautezeichen zu Beginn des Eingabeprompts zeigt, dass sich die Boot-Parameter von den Parametern während der Bootphase unterscheiden. (EAGLE)> Ausrufezeichen  Ein Ausrufezeichen zu Beginn des Eingabeprompts zeigt: das Passwort für die Benutzer- konten oder stimmt mit dem Lieferzustand überein.
Seite 652 Benutzeroberflächen 1.2 Command Line Interface Tab. 7: Tastenkombinationen im Command Line Interface Tastaturkombination Beschreibung <STRG> + <F> Ein Zeichen nach vorn gehen <STRG> + <B> Ein Zeichen zurück gehen <STRG> + <D> Nächstes Zeichen löschen <STRG> + <U>, <X> Zeichen bis zum Anfang der Zeile löschen <STRG>...
Seite 653: Eingabehilfen
Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein ...
Seite 654: Anwendungsfälle
Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Führen Sie dazu die folgenden Schritte aus: Wechseln Sie mit in den Privileged Exec Modus.
Seite 655: Arbeiten Mit Der Service Shell
Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Service Shell Die Service Shell dient ausschließlich zu Service-Zwecken. Die Service Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen.
Seite 656: Service Shell Permanent Im Gerät Deaktivieren
Benutzeroberflächen 1.2 Command Line Interface Service Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Fügen Sie ein und drücken die <Enter>-Taste.  help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 657 Benutzeroberflächen 1.2 Command Line Interface Fügen Sie ein und drücken die <Enter>-Taste.  serviceshell deactivate Um den Aufwand beim Tippen zu reduzieren: – Fügen Sie ein und drücken die <Enter>-Taste. – Fügen Sie ein und drücken die <Enter>-Taste. Dieser Schritt ist unumkehrbar! ...
Seite 658: System-Monitor
Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen  Betriebssystem aktualisieren  Betriebssystem starten  Konfigurationsprofile löschen, Gerät auf Lieferzustand zurücksetzen ...
Seite 659 Benutzeroberflächen 1.3 System-Monitor Führen Sie die folgenden Schritte aus: Verbinden Sie mit Hilfe des Terminal-Kabels die serielle Schnittstelle des Geräts mit dem COM-  Port des PCs. Starten Sie die VT100-Terminalemulation auf dem PC.  Legen Sie folgende Übertragungsparameter fest: ...
Seite 660: Ip-Parameter Festlegen
IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts benötigen Sie die IP-Parameter. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface.  Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
Seite 661 IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry)  Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens)  Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 662: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
Seite 663: Classless Inter-Domain Routing
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 664: Ip-Parameter Mit Dem Command Line Interface Festlegen
IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface fest- legen 2.2.1 IPv4 Es gibt folgende Möglichkeiten, die IP-Parameter einzugeben: HiDiscovery-Protokoll  Externer Speicher  Command Line Interface über eine serielle Verbindung  Das Gerät ermöglicht Ihnen, die IP-Parameter über das HiDiscovery-Protokoll oder über die seri- elle Schnittstelle mit Hilfe des Command Line Interfaces festzulegen.
Seite 665 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Fügen Sie die IP-Parameter ein.  Lokale IP-Adresse  In der Voreinstellung ist die lokale IP-Adresse 0.0.0.0 Netzmaske  Wenn Sie Ihr Netz in Subnetze aufgeteilt haben und diese mit einer Netzmaske identifi- zieren, fügen Sie an dieser Stelle die Netzmaske ein.
Seite 666: Ip-Parameter Mit Hidiscovery Festlegen
IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen IP-Parameter mit HiDiscovery festlegen Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Gerät über das Ethernet IP-Parameter zuzu- weisen. Die anderen Parameter konfigurieren Sie komfortabel über die grafische Benutzeroberfläche. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Sie finden die Software auf der Produkt- DVD, die Sie mit dem Gerät erhalten haben.
Seite 667 IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen HiDiscovery ermöglicht das Identifizieren der angezeigten Geräte. Wählen Sie eine Gerätezeile aus.  Um für das ausgewählte Gerät das Blinken der LEDs einzuschalten, klicken Sie in der Werk-  zeugleiste die Schaltfläche Signal. Um das Blinken auszuschalten, klicken Sie noch einmal die Schaltfläche Signal.
Seite 668: Ip-Parameter Mit Grafischer Benutzeroberfläche Festlegen
IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche fest- legen 2.4.1 IPv4 Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Netz > Global.  In diesem Dialog legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist, und konfigurieren den HiDiscovery-Zugang.
Seite 669 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 670: Zugriff Auf Das Gerät
Zugriff auf das Gerät 3.1 Berechtigungen 3 Zugriff auf das Gerät Berechtigungen Die Funktionen des Gerätes, die Ihnen als Benutzer zur Verfügung stehen, hängen von Ihrer Berechtigungsstufe ab. Der Funktionsumfang einer Berechtigungsstufe ist für Sie verfügbar, wenn Sie als Benutzer mit dieser Berechtigungsstufe angemeldet sind. Die Kommandos, die Ihnen als Benutzer zur Verfügung stehen, sind außerdem abhängig vom Modus des Command Line Interface, in welchem Sie sich gerade befinden.
Seite 671: Erste Anmeldung (Passwortänderung)
Passwort zu bestätigen. Melden Sie sich mit Ihrem neuen Passwort erneut an.  Anmerkung: Wenn Sie Ihr Passwort vergessen haben, verwenden Sie den System-Monitor, um das Passwort zurückzusetzen. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 672: Authentifizierungs-Listen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Authentifizierungs-Listen Wenn ein Benutzer über eine bestimmte Verbindung auf das Gerät zugreift, verifiziert das Gerät die Anmeldedaten des Benutzers in einer Authentifizierungs-Liste, die die Richtlinien enthält, die das Gerät für die Authentifizierung anwendet. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Seite 673: Einstellungen Anpassen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Zeigt die eingerichteten Authentifizierungs-Listen. show authlists Deaktivieren Sie die Authentifizierungs-Liste für diejenigen Anwendungen, über die kein Zugriff  auf das Gerät erfolgt. Heben Sie in Spalte Aktiv der gewünschten Authentifizierungs-Liste die Markierung des  Kontrollkästchens auf.
Seite 674 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Weist die Richtlinien radius, local reject authlists set-policy loginGUI radius local reject reject reject der Authentifizierungs-Liste loginGUI Zeigt die eingerichteten Authentifizierungs-Listen. show authlists Aktiviert die Authentifizierungs-Liste loginGUI. authlists enable loginGUI Weist der Authentifizierungs-Liste eine Anwendung zu. loginGUI ...
Seite 675: Benutzerverwaltung
Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie local siehe Dialog...
Seite 676 Zugriff auf das Gerät 3.4 Benutzerverwaltung Jedes Benutzerkonto ist mit einer Berechtigung verknüpft, das den Zugriff auf die einzelnen Funk- tionen des Geräts reguliert. Abhängig von der vorgesehenen Tätigkeit des jeweiligen Benutzers weisen Sie ihm eine vordefinierte Berechtigung zu. Das Gerät unterscheidet die folgenden Berech- tigungen.
Seite 677: Benutzerkonten Verwalten
Zugriff auf das Gerät 3.4 Benutzerverwaltung Tab. 10: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten Auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog Diagnose > Bericht > Audit-Trail zu speichern.
Seite 678: Voreinstellung
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.3 Voreinstellung Im Lieferzustand sind die Benutzerkonten im Gerät eingerichtet. admin user Tab. 11: Voreinstellungen der werkseitig eingerichteten Benutzerkonten Parameter Voreinstellung Benutzername admin user private public Passwort administrator guest Rolle Benutzer gesperrt unmarkiert unmarkiert Richtlinien überprüfen unmarkiert unmarkiert...
Seite 679: Neues Benutzerkonto Einrichten
Zugriff auf das Gerät 3.4 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inac- tive Legt für das Benutzerkonto <user>...
Seite 680: Benutzerkonto Deaktivieren
Zugriff auf das Gerät 3.4 Benutzerverwaltung Legt für das Benutzerkonto das Passwort USER users password USER SECRET fest. Fügen Sie mindestens 6 Zeichen ein. SECRET Weist die Rolle operator dem Benutzerkonto USER users access-role USER operator Aktiviert das Benutzerkonto USER. users enable USER Zeigt die eingerichteten Benutzerkonten.
Seite 681: Richtlinien Für Passwörter Anpassen
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen, die Passwörter der Benutzerkonten auf Einhaltung vorgegebener Richtlinien zu prüfen. Durch Einhaltung der Richtlinien erzielen Sie Passwörter mit höherer Komplexität. Die Benutzerverwaltung des Geräts ermöglicht Ihnen, die Prüfung in jedem Benutzerkonto indivi- duell ein- oder auszuschalten.
Seite 682 Zugriff auf das Gerät 3.4 Benutzerverwaltung Legt die Richtlinie für die Mindestanzahl von passwords min-special-chars 1 Sonderzeichen im Passwort fest. Legt die Richtlinie für die Mindestanzahl von Groß- passwords min-uppercase-chars 1 buchstaben im Passwort fest. Zeigt die eingerichteten Richtlinien. show passwords Speichern der Einstellungen im permanenten Spei- save cher (nvm) im „ausgewählten”...
Seite 683: Ldap
Zugriff auf das Gerät 3.5 LDAP LDAP Server-Administratoren verwalten Active Directorys, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Seite 684: Beispiel-Konfiguration
Zugriff auf das Gerät 3.5 LDAP 3.5.2 Beispiel-Konfiguration Das Gerät ist in der Lage, eine verschlüsselte Verbindung zu einem lokalen Server ausschließlich über den Server-Namen oder zu einem Server in einem anderen Netz über eine IP-Adresse herzu- stellen. Der Server-Administrator verwendet Attribute zur Identifizierung der Anmeldedaten eines Benutzers und für die Zuordnung von individuellen Berechtigungsstufen und Gruppenberechti- gungsstufen.
Seite 685 Zugriff auf das Gerät 3.5 LDAP Das Gerät ermöglicht Ihnen festzulegen, über welchen Zeitraum das Gerät die Benutzer-  Anmeldedaten im Cache speichert. Um Benutzer-Anmeldedaten für einen Tag im Cache zu speichern, legen Sie im Rahmen Konfiguration, Feld den Wert Client-Cache-Timeout [min] 1440 fest.
Seite 686 Zugriff auf das Gerät 3.5 LDAP Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Fügen Sie die vom Server-Administrator erhaltenen Werte für die Rolle administrator ein. Um den Eintrag zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv. Öffnen Sie den Dialog Gerätesicherheit >...
Seite 687: Snmp-Zugriff
Zugriff auf das Gerät 3.6 SNMP-Zugriff SNMP-Zugriff Das Protokoll SNMP ermöglicht Ihnen, mit einem Netzmanagementsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.6.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Seite 688 Zugriff auf das Gerät 3.6 SNMP-Zugriff Klicken Sie in der Zeile des betreffenden Benutzerkontos in das Feld SNMP-Authentifizie-  rung. Wählen Sie die gewünschte Einstellung. Klicken Sie in der Zeile des betreffenden Benutzerkontos in das Feld SNMP-Verschlüsse-  lung. Wählen Sie die gewünschte Einstellung. Speichern Sie die Änderungen zwischen.
Seite 689 Zugriff auf das Gerät 3.6 SNMP-Zugriff UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 690: Vpn - Virtuelles Privates Netz
VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 691 VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus  Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
Seite 692: Ike - Internet Key Exchange
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange IKE – Internet Key Exchange IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
Seite 693: Zertifikat Mit Openssl Erzeugen
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange 4.2.3 Zertifikat mit OpenSSL erzeugen Die Verwendung von OpenSSL ermöglicht Ihnen, ein Serverzertifikat zu erzeugen und zu signieren, das für die VPN-Authentifizierung verwendet wird. Vorraussetzung: Auf einem Windows-System benötigen Sie einen Texteditor, der Unix-Zeilenum- brüche korrekt behandelt, zum Beispiel die Anwendung Notepad++.
Seite 694 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange Die OpenSSL-Anwendung ermöglicht Ihnen außerdem, andere Zertifikatstypen zu erzeugen. Um die möglichen Zertifikatstypen anzuzeigen, öffnen Sie die Anwendung openssl.exe Verzeichnis c:\OpenSSL\bin, und fügen Sie im Fenster das Zeichen ein. Command Prompt Um eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erzeugen und zu ...
Seite 695: Anwendungsbeispiele
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Anwendungsbeispiele Die folgenden Beispiele beschreiben die Besonderheiten in häufig verwendeten Anwendungen. 4.3.1 2 Subnetze miteinander verbinden In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, konfigurieren Sie das VPN dahingehend, dass das VPN im Tunnelmodus betrieben wird.
Seite 696 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Führen Sie die folgenden Schritte aus: Erzeugen Sie eine VPN-Verbindung.  Öffnen Sie den Dialog Virtual Private Network > Verbindungen.  Klicken Sie die Schaltfläche  Die Tabelle zeigt die VPN-Verbindungen, die bereits auf dem Gerät Create or select entry verfügbar sind.
Seite 697 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Legen Sie im Dialog die folgenden Einstellungen fest: Add traffic selector  Den Wert in Spalte Traffic selector index  Das Gerät gibt die Indexnummer ein und ermöglicht Ihnen außerdem, die Index- nummer zu ändern. Den Wert Any Traffic in Spalte...
Seite 698 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Geben Sie die IKE-Schlüsselaustauschparameter ein.  Das Gerät verwendet die im Dialog festgelegten Werte. In diesem Advanced configuration Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen lautet die Voreinstellung für das Feld 540 s.
Seite 699 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 700: Die Systemzeit Im Netz Synchronisieren
Die Systemzeit im Netz synchronisieren 5.1 Grundeinstellungen 5 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: Logbucheinträge ...
Seite 701: Automatische Sommerzeitumschaltung
Die Systemzeit im Netz synchronisieren 5.1 Grundeinstellungen Der Wert legt die Zeitdifferenz fest zwischen der lokalen Zeit und der Lokaler Offset [min]  Systemzeit (UTC). Damit das Gerät die Zeitzone Ihres PCs ermittelt, klicken Sie die Schaltfläche Setze Zeit  PC.
Seite 702: Ntp
Die Systemzeit im Netz synchronisieren 5.2 NTP Das Network Time Protocol (NTP) bietet Ihnen die Möglichkeit, die Systemzeit in Ihrem Netz zu synchronisieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schicht bezeichnet werden.
Seite 703: Ntp-Konfiguration
Die Systemzeit im Netz synchronisieren 5.2 NTP Tab. 12: Einstellungen für das Beispiel Gerät 192.168.1.2 192.168.1.3 192.168.1.4 Rahmen Nur Client Client Modus unicast Rahmen Client und Server Server Modus client-server client-server 192.168.43.17 192.168.1.2 192.168.43.17 ServerAdresse Schalten Sie die Funktion auf denen Geräten ein, deren Zeit Sie mittels NTP einstellen ...
Seite 704 Die Systemzeit im Netz synchronisieren 5.2 NTP Für Switch 2:  Legen Sie in Spalte den Wert fest. Adresse 192.168.1.2 Um den Eintrag zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 705 Die Systemzeit im Netz synchronisieren 5.2 NTP UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 706: Konfigurationsprofile Verwalten
Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 707: Externer Speicher (Aca) Und Nichtflüchtiger Speicher (Nvm)
Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6.1.2 Externer Speicher (ACA) und nichtflüchtiger Speicher (NVM) Sie können auch erkennen, wenn die Kopie im externen Speicher (ACA) vom Konfigurationsprofil im nichtflüchtigen Speicher (NVM) abweicht. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 708: Einstellungen Speichern
Konfigurationsprofile verwalten 6.2 Einstellungen speichern Einstellungen speichern 6.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 709: Konfigurationsprofil Auswählen
Konfigurationsprofile verwalten 6.2 Einstellungen speichern Zeigt die im permanenten Speicher (nvm) enthal- show config profiles nvm tenen Konfigurationsprofile. Wechsel in den Privileged-EXEC-Modus. enable Speichern der aktuellen Einstellungen im Konfigu- copy config running-config nvm profile <string> rationsprofil mit der Bezeichnung <string> permanenten Speicher (nvm).
Seite 710: Konfigurationsprofil Im Externen Speicher Speichern
Konfigurationsprofile verwalten 6.2 Einstellungen speichern 6.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Speicher. In der Voreinstellung ist Ausgewählter externer die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 711 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Exportieren Sie das Konfigurationsprofil auf einen Remote-Server. Führen Sie dazu die folgenden Schritte aus: Klicken Sie die Schaltfläche und dann den Eintrag Exportieren.. Der Dialog zeigt das Fenster Exportieren..Legen Sie im Feld die URL der Datei auf dem Remote-Server fest. ...
Seite 712: Einstellungen Laden
Konfigurationsprofile verwalten 6.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 6.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Seite 713: Konfigurationsprofil Importieren
Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Vergewissern Sie sich, dass das Gerät beim Neustart ein Konfigurationsprofil aus dem externen  Speicher lädt. In der Voreinstellung ist die Funktion eingeschaltet. Wenn die Funktion ausgeschaltet ist, schalten Sie sie wie folgt wieder ein: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 714: Externer Speicher
Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > Laden/Speichern.  Klicken Sie die Schaltfläche und dann den Eintrag Importieren.. Der Dialog zeigt das Fenster Importieren..Wählen Sie in der Dropdown-Liste den Speicherort aus, von dem das Gerät Select source ...
Seite 715 Konfigurationsprofile verwalten 6.3 Einstellungen laden Wechsel in den Privileged-EXEC-Modus. enable Konfigurationsprofil-Einstellungen von einem copy config remote sftp:// <user name>:<password>@<IP_address>/ SFTP-Server importieren und anwenden. <path>/<file_name> running-config Das Gerät kopiert die Einstellungen in den flüch- tigen Speicher und trennt die Verbindung zum Command Line Interface.
Seite 716: Gerät Auf Lieferzustand Zurücksetzen
Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Gerät auf Lieferzustand zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 717 Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste.  Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM). Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Speicher gespeicherten Konfigurationsprofile.
Seite 718: Neueste Software Laden
Neueste Software laden 7.1 Software-Update vom PC 7 Neueste Software laden Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com.
Seite 719 Neueste Software laden 7.1 Software-Update vom PC Außerdem haben Sie die Möglichkeit, die Datei von Ihrem PC per SFTP oder SCP auf das Gerät zu übertragen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie auf Ihrem PC einen SFTP- oder SCP-Client, zum Beispiel WinSCP. ...
Seite 720: Software-Update Von Einem Server
Neueste Software laden 7.2 Software-Update von einem Server Software-Update von einem Server Für ein Software-Update mit SFTP oder SCP benötigen Sie einen Server, auf dem die Image-Datei der Geräte-Software abgelegt ist. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 721: Software-Update Aus Dem Externen Speicher
Neueste Software laden 7.3 Software-Update aus dem externen Speicher Software-Update aus dem externen Speicher 7.3.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software mit wenigen Mausklicks zu aktualisieren. Voraus- setzung ist, dass sich die Image-Datei der Geräte-Software im externen Speicher befindet. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 722 Neueste Software laden 7.3 Software-Update aus dem externen Speicher Starten Sie das Gerät neu.  Während des Boot-Vorgangs prüft das Gerät automatisch folgende Kriterien: – Ist ein externer Speicher angeschlossen? – Befindet sich im Hauptverzeichnis des externen Speichers eine Datei startup.txt? –...
Seite 723: Frühere Software-Version Laden
Neueste Software laden 7.4 Frühere Software-Version laden Frühere Software-Version laden Das Gerät ermöglicht Ihnen, die Geräte-Software durch eine frühere Version zu ersetzen. Nach dem Ersetzen der Geräte-Software bleiben die Grundeinstellungen im Gerät erhalten. Anmerkung: Die Einstellungen von Funktionen, die ausschließlich in der neueren Geräte-Soft- ware-Version zur Verfügung stehen, gehen verloren.
Seite 724: Ports Konfigurieren
Ports konfigurieren 8.1 Port ein-/ausschalten 8 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten  Betriebsart wählen  Hardware-LAN-Bypass  Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen >...
Seite 725: Betriebsart Wählen
Ports konfigurieren 8.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Automatische Konfiguration. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Port, Registerkarte Konfiguration. Grundeinstellungen >...
Seite 726: Hardware-Lan-Bypass
Ports konfigurieren 8.3 Hardware-LAN-Bypass Hardware-LAN-Bypass Die Funktion Hardware-LAN-Bypass dient dazu, die Datenkommunikation bei einem Stromausfall oder im Fehlerfall aufrechtzuerhalten. Die Funktion Hardware-LAN-Bypass, wenn aktiv, leitet die Datenpakete zwischen Port und Port weiter. Wenn die Funktion Hardware-LAN-Bypass aktiv ist, trennt das Gerät die Ports von den geräteinternen Ports und verbindet stattdessen die Ports physikalisch miteinander.
Seite 727: Bypass Während Des Betriebs
Ports konfigurieren 8.3 Hardware-LAN-Bypass 8.3.2 Bypass während des Betriebs Der Modus Bypass während des Betriebs ist konfigurierbar und ist in der Voreinstellung ausge- schaltet. Während des Betriebs können Sie den Modus Bypass während des Betriebs willentlich einschalten. Das Gerät leitet zwischen den Ports die Datenpakete kontinuierlich weiter, mit folgenden Einschränkungen: Die LEDs von Port...
Seite 728 Ports konfigurieren 8.3 Hardware-LAN-Bypass Status anzeigen für den Modus Bypass während show hardware by-pass des Betriebs. Run-time hardware Lan By-Pass Information --------------------- Operation State......disabled Speichern der Einstellungen im permanenten Spei- save cher (NVM) im „ausgewählten” Konfigurationsprofil. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 729 Ports konfigurieren 8.3 Hardware-LAN-Bypass UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 730: Unterstützung Beim Schutz Vor Unberechtigtem Zugriff
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.1 SNMPv1/v2-Community ändern 9 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Seite 731: Snmpv1/V2 Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Seite 732: Http Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Seite 733: Hidiscovery-Zugriff Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Seite 734: 9.5 Ip-Zugriffsbeschränkung Aktivieren
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren IP-Zugriffsbeschränkung aktivieren Per Voreinstellung erreichen Sie das Management des Geräts von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle. Die IP-Zugriffsbeschränkung ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf ausgewählte IP-Adressbereiche und auf ausgewählte IP-basierte Protokolle zu beschränken.
Seite 735 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren Wechsel in den Privileged-EXEC-Modus. enable Zeigt, ob die IP-Zugriffsbeschränkung einge- show network management access global schaltet oder ausgeschaltet ist. Eingerichtete Einträge anzeigen. show network management access rules IP-Zugriffsbeschränkung ausschalten. no network management access operation Eintrag für den Adressbereich des Firmennetzes network management access add 2 erzeugen.
Seite 736: Session-Timeouts Anpassen
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität eines angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: Command Line Interface: Sessions über eine SSH-Verbindung ...
Seite 737: Session-Timeout Für Die Grafische Benutzeroberfläche
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätesicherheit > Management-Zugriff > Web.  Legen Sie im Rahmen Konfiguration, Feld Web-Interface Session-Timeout [min] die Timeout- ...
Seite 738: 10 Datenverkehr Kontrollieren
Datenverkehr kontrollieren 10 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 739: Paketfilter - Routed-Firewall-Modus
Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus 10.1 Paketfilter – Routed-Firewall-Modus 10.1.1 Beschreibung Der Routed-Firewall-Modus-Paketfilter (Layer 3) enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen routenden Ports anwendet. Die Filterung beinhaltet naturgemäß das Prüfen und Bewerten des Datenstroms. Das Gerät enthält eine Stateful Firewall. Eine Stateful Firewall zeichnet den Status der Verbindungen auf, welche die Firewall durchlaufen.
Seite 740 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Tab. 15: Mögliche Eingaben in Spalte Parameter Eingabe Bedeutung Diese Regel trifft nur auf Pakete mit dem ICMP-Typ 5 zu. type=5 Diese Regel trifft nur auf Pakete zu, bei denen das Flag SYN gesetzt flags=syn ist.
Seite 741: Anwendungsbeispiel
Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Anmerkung: Um die Information aus der State-Tabelle der Firewall zu löschen, klicken Sie im Dialog die Schaltfläche Grundeinstellungen > Neustart Firewall-Tabelle leeren. 10.1.2 Anwendungsbeispiel Die Abbildung zeigt einen typischen Anwendungsfall: Eine Fertigungssteuerung möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist.
Seite 742 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Legen Sie für die Regel die folgenden Einstellungen fest:  Den Wert oder in Spalte 10.0.2.17 10.0.2.17/32 Quell-Adresse  Den Wert in Spalte Quell-Port  Den Wert 10.0.1.5 oder 10.0.1.5/32 in Spalte Ziel-Adresse  Den Wert in Spalte Ziel-Port...
Seite 743 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Erzeugen Sie Regeln für zu sendende IP-Pakete. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel.  Erzeugen Sie eine neue Regel drop everything, die jedes IP-Paket verwirft. ...
Seite 744: Paketfilter - Transparent-Firewall-Modus
Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus 10.2 Paketfilter – Transparent-Firewall-Modus 10.2.1 Beschreibung Der Transparent-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen nicht-routenden Ports oder VLAN-Interfaces anwendet. Der Transparent- Firewall-Modus-Paketfilter wertet jedes Datenpaket, das die Firewall durchläuft, anhand des Verbin- dungsstatus wie unten beschrieben aus: •...
Seite 745: Anwendungsbeispiele
Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus 10.2.2 Anwendungsbeispiele Die folgenden Beispiele beschreiben, wie Sie die Regeln für den Paket- Transparent-Firewall-Modus filter einrichten: Im Beispiel 1 möchte der Administrator des Netzes die Regel auf Grundlage der IP-Adresse der  Geräte einrichten. Im Beispiel 2 möchte der Administrator des Netzes die Regel auf Grundlage der MAC-Adresse ...
Seite 746 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/1. Port/VLAN  Wählen Sie in der Dropdown-Liste den Wert ingress, um die Regel für Richtung ...
Seite 747 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste Port/VLAN den Port 1/2.
Seite 748 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Beispiel 2 In diesem Beispiel möchte der Administrator des Netzes die Datenpakete von den Computern B und C zu Computer A auf Grundlage der MAC-Adresse der Geräte akzeptieren. Die Firewall trennt Computer A vom Firmennetz. Die Firewall hilft dabei, Zugriffe zwischen Computer A und dem rest- lichen Firmennetz zu unterbinden.
Seite 749 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Öffnen Sie den Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/1. Port/VLAN  Wählen Sie in der Dropdown-Liste Richtung den Wert ingress, um die Regel für ...
Seite 750 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugen Sie eine Regel für den Transparent-Fire- packet-filter l2 rule add 1 action accept src-mac 10:22:33:44:55:66 dest- wall-Modus-Paketfilter. mac 10:22:33:44:55:99 ethertype • packet-filter l2 rule add 1 vlan8021q vlan 10 description accept Transparent-Firewall-Modus-Paketfilter-Regel mit mac dev b to dev a...
Seite 751 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Wert ingress, um die Regel für Richtung ...
Seite 752: Unterstützung Beim Schutz Vor Denial Of Service (Dos)
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor Denial of Service (DoS) 10.3 Unterstützung beim Schutz vor Denial of Service (DoS) Mit dieser Funktion unterstützt Sie das Gerät beim Schutz gegen ungültigen oder gefälschten Datenpaketen, der auf den Ausfall bestimmter Dienste oder Geräte abzielt. Sie haben die Möglich- keit, Filter festzulegen, die den Datenstrom zum Schutz vor Denial-of-Service-Angriffen begrenzen.
Seite 753: Deep Packet Inspection
Datenverkehr kontrollieren 10.4 Deep Packet Inspection 10.4 Deep Packet Inspection Die Funktion Deep Packet Inspection (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die Funktion untersucht Datenpakete auf unerwünschte Merkmale und Deep Packet Inspection Protokollverletzungen.
Seite 754: Modbus Enforcer-Regeln Erzeugen Und Bearbeiten
Datenverkehr kontrollieren 10.4 Deep Packet Inspection 10.4.3 Modbus Enforcer-Regeln erzeugen und bearbeiten Erzeugen Sie gemäß dem obigen Beispiel eine Regel mit dem Namen my-modbus. Modbus Enforcer-Regel erzeugen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > Modbus Enforcer.
Seite 755: Modbus Enforcer-Regel Aktivieren
Datenverkehr kontrollieren 10.4 Deep Packet Inspection Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Enforcer-Regel erzeugen. Modbus dpi modbus addprofile 1 description my- modbus function-type advanced function- • dpi modbus addprofile 1 code-list 1,2,3,23|128-255|512-1023 Enforcer-Regel mit Index = hinzufügen.
Seite 756: Funktion Deep Packet Inspection - Dnp3 Enforcer
Datenverkehr kontrollieren 10.4 Deep Packet Inspection 10.4.4 Funktion Deep Packet Inspection - DNP3 Enforcer Das Protokoll DNP3 (Distributed Network Protocol v3) ist im Bereich der Automatisierung weit verbreitet. Das Protokoll DNP3 ist darauf ausgelegt, eine zuverlässige Kommunikation zwischen Komponenten in Prozessautomatisierungssystemen zu ermöglichen. Das Protokoll umfasst Multi- plexing, Fehlerprüfung, Verbindungssteuerung, Priorisierung und Layer-2-Adressierungsdienste für die Benutzerdaten.
Seite 757 Datenverkehr kontrollieren 10.4 Deep Packet Inspection Der Netzadministrator möchte, dass das Gerät Datenpakete vom DNP3-Master an den DNP3- Client (Outstation) weiterleitet. Die Datenpakete enthalten folgende Funktionscodes und Objekte: Funktionscodes:  – 1(Read) – 2(Write) – 3(Select) – 23(Delay Measurement) Objekte: ...
Seite 758 Datenverkehr kontrollieren 10.4 Deep Packet Inspection Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  Bearbeiten Sie die Standard-Objektliste. Gehen Sie dazu wie folgt vor:  Öffnen Sie den Dialog Wizard. Klicken Sie dazu die Schaltfläche  Der Dialog zeigt das Fenster DNP3 Enforcer - Objekt-Assistent.
Seite 759: Dnp3 Enforcer-Regel Aktivieren
Datenverkehr kontrollieren 10.4 Deep Packet Inspection DNP3 Enforcer-Regel aktivieren Führen Sie die folgenden Schritte aus: Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  aktivieren. DNP3 Enforcer-Regel dpi dnp3 profile enable 1 Nach dem Aktivieren der Regel können Sie der Regel keine weiteren Objekte hinzufügen.
Seite 760: Anwendungsbeispiel Für Iec104 Enforcer
Datenverkehr kontrollieren 10.4 Deep Packet Inspection IO Address-Größe  IEC101 Type IDs  Das Gerät verwendet die Funktion Inspection, um Datenpakete zu blockieren, die gegen Deep Packet die festgelegten Regeln verstoßen. Wenn das Kontrollkästchen in Spalte markiert ist TCP-Reset und wenn das Gerät eines der folgenden Ereignisse erkennt, trennt es die TCP-Verbindung: Verstoß...
Seite 761 Datenverkehr kontrollieren 10.4 Deep Packet Inspection IEC104 Enforcer-Regel erzeugen Zu dem oben beschriebenen Zweck erzeugen Sie die Regel mit den oben IEC104 Enforcer genannten Werten und dem Namen my-iec104. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Netzsicherheit > DPI > IEC104 Enforcer.
Seite 762: Iec104 Enforcer-Regel Aktivieren
Datenverkehr kontrollieren 10.4 Deep Packet Inspection IEC104 Enforcer-Regel aktivieren Führen Sie die folgenden Schritte aus: Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  aktivieren. IEC104 Enforcer-Regel dpi iec104 enable 1 Nach dem Aktivieren der Regel hilft das Gerät, Änderungen an der Regel zu verhindern.
Seite 763 Datenverkehr kontrollieren 10.4 Deep Packet Inspection UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 764: 11 Netzlaststeuerung
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, die Ihnen helfen können, die Netzlast zu redu- zieren: Gezielte Paketvermittlung  Lastbegrenzung  Priorisierung - QoS  Flusskontrolle  11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete.
Seite 765: Statische Adresseinträge
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (FDB) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 766 Netzlaststeuerung 11.1 Gezielte Paketvermittlung Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Erzeugen des MAC-Adressfilters, bestehend aus mac-filter <MAC address> <VLAN ID> MAC-Adresse und VLAN-ID. Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface 1/1. Weist dem Port einen bereits erzeugten mac-filter <MAC address>...
Seite 767 Netzlaststeuerung 11.1 Gezielte Paketvermittlung Löschen der gelernten MAC-Adressen aus der clear mac-addr-table MAC-Adresstabelle (FDB). UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 768: Lastbegrenzung
Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt auch bei hohem Verkehrsaufkommen für einen stabilen Betrieb, indem sie den Verkehr auf den Ports begrenzt. Die Lastbegrenzung erfolgt individuell für jeden Port sowie separat für Eingangs- und Ausgangsdatenverkehr. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Seite 769: Qos/Priorität
Netzlaststeuerung 11.3 QoS/Priorität 11.3 QoS/Priorität QoS (Quality of Service) ist ein in der Norm IEEE 802.1D beschriebenes Verfahren, mit dem Sie die Ressourcen im Netz verteilen. QoS ermöglicht Ihnen, Daten der wichtigsten Anwendungen zu priorisieren. Die Priorisierung vermeidet insbesondere bei starker Netzlast, dass Datenverkehr mit geringerer Priorität verzögerungsempfindlichen Datenverkehr stört.
Seite 770: Priorisierung Einstellen
Netzlaststeuerung 11.3 QoS/Priorität Das Gerät wertet bei Datenpaketen mit VLAN-Tags folgende Informationen aus: Prioritätsinformation  VLAN-Tag, sofern VLANs eingerichtet sind  4 Octets Abb. 28: Aufbau des VLAN-Tag Ein Datenpaket, dessen VLAN-Tag eine Prioritätsinformation, aber keine VLAN-Information (VLAN-Kennung = 0) enthält, bezeichnet man als „Priority Tagged Frame“. Anmerkung: Netzprotokolle und Redundanzmechanismen nutzen die höchste Verkehrsklasse 7.
Seite 771: Vlan-Priorität Einer Verkehrsklasse Zuweisen
Netzlaststeuerung 11.3 QoS/Priorität VLAN-Priorität einer Verkehrsklasse zuweisen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Switching > QoS/Priority > 802.1D/p Zuweisung.  Um einer VLAN-Priorität eine Verkehrsklasse zuzuweisen, fügen Sie in Spalte Traffic-  den betreffenden Wert ein. Klasse Speichern Sie die Änderungen zwischen.
Seite 772: Flusskontrolle
Netzlaststeuerung 11.4 Flusskontrolle 11.4 Flusskontrolle Wenn in der Warteschlange eines Ports sehr viele Datenpakete gleichzeitig eintreffen, dann führt dies möglicherweise zum Überlaufen des Port-Speichers. Dies geschieht zum Beispiel, wenn das Gerät Daten auf einem Gigabit-Port empfängt und diese an einen Port mit niedrigerer Bandbreite weiterleitet.
Seite 773: Halbduplex- Oder Vollduplex-Verbindung
Netzlaststeuerung 11.4 Flusskontrolle 11.4.1 Halbduplex- oder Vollduplex-Verbindung Flusskontrolle bei Halbduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Halbduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät Daten zurück an Arbeitsstation 2. Arbeitsstation 2 erkennt eine Kollision und unterbricht den Sendevorgang. Flusskontrolle bei Vollduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Vollduplex-Verbindung.
Seite 774: 12 Vlans
VLANs 12.1 Beispiele für ein VLAN 12 VLANs Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basieren zusätzlich auf logi- schen (statt ausschließlich physikalischen) Verbindungen zwischen Netzteilnehmern.
Seite 775: Beispiel 1
VLANs 12.1 Beispiele für ein VLAN 12.1.1 Beispiel 1 Das Beispiel zeigt eine minimale VLAN-Konfiguration (Port-basiertes VLAN). Ein Administrator hat an einem Vermittlungsgerät mehrere Endgeräte angeschlossen und diese 2 VLANs zugewiesen. Dies unterbindet wirksam jeglichen Datenverkehr zwischen verschiedenen VLANs; deren Mitglieder kommunizieren ausschließlich innerhalb ihres eigenen VLANs.
Seite 776 VLANs 12.1 Beispiele für ein VLAN Führen Sie die folgenden Schritte aus: VLAN einrichten  Öffnen Sie den Dialog Switching > VLAN > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld den Wert fest.
Seite 777 VLANs 12.1 Beispiele für ein VLAN Legen Sie in Spalte die VLAN-ID des zugehörigen VLANs fest: Port-VLAN-ID  oder Da Endgeräte in der Regel keine Datenpakete mit Tag interpretieren, legen Sie für die  Endgeräte-Ports in Spalte den Wert admitAll fest.
Seite 778: Beispiel 2
VLANs 12.1 Beispiele für ein VLAN 12.1.2 Beispiel 2 Das zweite Beispiel zeigt eine komplexere Konfiguration mit 3 VLANs (1 bis 3). Zusätzlich zu dem schon bekannten Switch aus Beispiel 1 verwenden Sie einen 2. Switch (im Beispiel rechts gezeichnet). VLAN Management Station (optional)
Seite 779 VLANs 12.1 Beispiele für ein VLAN Tab. 21: Ingress-Tabelle Gerät rechts Endgerät Port Port VLAN Identifer (PVID) Uplink Tab. 22: Egress-Tabelle Gerät links VLAN-ID Port Tab. 23: Egress-Tabelle Gerät rechts VLAN-ID Port Die Kommunikationsbeziehungen sind hierbei wie folgt: Endgeräte an Port 1 und 4 des linken Geräts sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 780 VLANs 12.1 Beispiele für ein VLAN Klicken Sie die Schaltfläche Ok.  Legen Sie für das VLAN den Namen fest: VLAN2  Doppelklicken Sie in Spalte und legen den Namen fest. Name Ändern Sie für VLAN den Wert in Spalte Default zu VLAN1.
Seite 781 VLANs 12.1 Beispiele für ein VLAN Legen Sie für den Uplink-Port in Spalte den Wert Akzeptierte Datenpakete admitOnlyVlan-  fest. Tagged Markieren Sie für den Uplink-Port das kontrollkästchen in Spalte Ingress-Filtering, um  VLAN-Tags auf diesem Port auszuwerten. Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 782 VLANs 12.1 Beispiele für ein VLAN Wechsel in den Konfigurationsmodus. exit Wechsel in den Privileged-EXEC-Modus. exit Details zu VLAN anzeigen. show vlan id 3 VLAN ID......3 VLAN Name....VLAN3 VLAN Type....Static VLAN Creation Time...0 days, 00:07:47 (System Uptime) VLAN Routing....disabled Interface Current Configured Tagging...
Seite 783 VLANs 12.1 Beispiele für ein VLAN UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 784: 13 Routing
Routing 13.1 Konfiguration 13 Routing 13.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten Ihres Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Seite 785: Routing - Grundlagen
Routing 13.2 Routing - Grundlagen 13.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren;  eine gemeinsame Basis für die Entwicklung von weiteren Standards für offene Systeme zur ...
Seite 786: Arp
Routing 13.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist er in der Lage, durch die systematische Vergabe von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 167 „CIDR”).
Seite 787 Routing 13.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und verschickt die Daten.
Seite 788: Cidr
Routing 13.2 Routing - Grundlagen Anmerkung: Die Funktion 1:1-NAT ermöglicht Ihnen außerdem, die Geräte in ein größeres L3-Netz zu integrieren. 13.2.2 CIDR Die ursprüngliche Klasseneinteilung der IP-Adressen sah nur 3 für Anwender nutzbare Adress- klassen vor. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Tab.
Seite 789: Multinetting
Routing 13.2 Routing - Grundlagen 13.2.3 Multinetting Multinetting ermöglicht Ihnen, mehrere Subnetze an einem Routerport anzuschließen. Multinetting bietet sich als Lösung an, wenn Sie bestehende Subnetze innerhalb eines physikalischen Mediums mit einem Router verbinden wollen. In diesem Fall können Sie mit Multinetting dem Router-Inter- face, an dem Sie das physikalische Medium anschließen, mehrere IP-Adressen für die unter- schiedlichen Subnetze zuweisen.
Seite 790: Statisches Routing
Routing 13.3 Statisches Routing 13.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Sie legen fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 791: Konfiguration Der Router-Interfaces
Routing 13.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 39: Einfachster Fall einer Route Führen Sie die folgenden Schritte aus: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 2/1 von Interface 2/1.
Seite 792: Vlan-Basiertes Router-Interface
Routing 13.3 Statisches Routing 13.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 793 Routing 13.3 Statisches Routing Wechsel in den Interface-Konfigurationsmodus interface 3/1 von Interface 3/1. Port aus VLAN herausnehmen. In der vlan participation exclude 1 Voreinstellung ist jeder Port dem VLAN zuge- wiesen. Port zum Mitglied von VLAN erklären. vlan participation include 2 Die Port-VLAN-ID festlegen.
Seite 794: Konfiguration Einer Statischen Route
Routing 13.3 Statisches Routing Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster VLAN-Router-Interface einrichten. Legen Sie im Feld eine Zahl zwischen 4042 fest. VLAN-ID  Für dieses Beispiel legen Sie den Wert fest.
Seite 795: Konfiguration Einer Einfachen Statischen Route
Routing 13.3 Statisches Routing Konfiguration einer einfachen statischen Route Geben Sie für Router A eine statische Route ein, ausgehend von der Konfiguration des Router- Interfaces im vorhergehenden Beispiel ein. (siehe Abbildung 39) Führen Sie dazu die folgenden Schritte aus: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus.
Seite 796: Konfiguration Einer Redundanten Statischen Route Mit Lastverteilung
Routing 13.3 Statisches Routing Die Funktion an diesem Interface akti- Routing ip routing vieren. Wechsel in den Konfigurationsmodus. exit Den statischen Routing-Eintrag für die redundante ip route add 10.0.3.0 255.255.255.0 10.0.4.2 preference 2 Route erzeugen. Der Wert am Ende des Kommandos kennzeichnet den Präferenz-Wert.
Seite 797: Anwendungsbeispiel Zur Funktion Für Statisches Route-Tracking
Routing 13.3 Statisches Routing 13.3.4 Statisches Route-Tracking Beschreibung der Funktion für statisches Routen-Tracking Bestehen beim statischen Routing mehrere Routen zu einem Ziel, wählt der Router die Route mit der höchsten Präferenz. Der Router erkennt eine bestehende Route am Zustand des Router-Inter- faces.
Seite 798 Routing 13.3 Statisches Routing 10.0.1.0/24 10.0.2.0/24 10.0.5.0/24 IF 1/4 IF 1/2 IF 1/3 IF 2/2 IF 1/1 IF 1/2 10.0.4.0/24 Abb. 44: Statisches Route-Tracking konfigurieren Die folgende Liste nennt die Voraussetzungen für die weitere Konfiguration: Die IP-Parameter der Router-Interfaces sind konfiguriert. ...
Seite 799 Routing 13.3 Statisches Routing Das Tracking-Objekt aktivieren. track enable ping 1 Ein Tracking-Objekt mit der Track-ID erzeugen. track add ping 2 Ergänzen Sie den Eintrag ping 2 um die IP- track modify ping 2 address 10.0.4.2 Adresse 10.0.4.2. Stellen Sie für die Quell-Interface-Nummer der track modify ping 2 interface 1/1 Ping-Tracking-Instanz ein.
Seite 800 Routing 13.3 Statisches Routing Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Einen statischen Routing-Eintrag mit der voreinge- ip route add 10.0.5.0 255.255.255.0 10.0.2.53 stellten Präferenz erzeugen. Einen statischen Routing-Eintrag mit der ip route add 10.0.5.0 255.255.255.0 10.0.4.2 preference 2 Präferenz 2 erzeugen.
Seite 801: Nat - Network Address Translation
Routing 13.4 NAT – Network Address Translation 13.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Seite 802: Anwendungsbeispiel Für 1:1-Nat
Routing 13.4 NAT – Network Address Translation 13.4.2 1:1 NAT Die Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- 1:1-NAT dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 803 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Sie benötigen 2 NAT-Router.  In jedem Gerät ist die Funktion eingeschaltet. Routing  In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen- ...
Seite 804 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Ingress-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Markieren Sie auf dem Router-Interface, das mit dem Firmennetz verbunden ist, das Kont- ...
Seite 805: Destination Nat
Routing 13.4 NAT – Network Address Translation 13.4.3 Destination NAT Die Funktion ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Destination-NAT Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form der Funktion Destination-NAT ist die Port-Weiterleitung (Port-Forwarding). Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommunikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 806 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Funktion eingeschaltet. Routing  Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden.  In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als ...
Seite 807 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Regel erzeugen.  Öffnen Sie den Dialog Routing > NAT > Destination-NAT > Regel.  Fügen Sie einen neuen Tabelleneintrag hinzu. Klicken Sie dazu die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen.
Seite 808: Masquerading-Nat
Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog Routing > NAT > NAT Global.  Klicken Sie die Schaltfläche und dann den Eintrag Änderungen anwenden.  Wenn sich geänderte Regeln auf bestehende Einträge in der State-Tabelle der Firewall auswirken, hilft es, die State-Tabelle zu löschen.
Seite 809: Double-Nat
Routing 13.4 NAT – Network Address Translation 13.4.5 Double-NAT Die Funktion ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in Double-NAT unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Default Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 810: Anwendungsbeispiel Für Double-Nat
Routing 13.4 NAT – Network Address Translation Anwendungsbeispiel für Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 811 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Router-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog Routing > Interfaces > Konfiguration.  Markieren Sie auf den Router-Interfaces, die mit dem Firmennetz und mit der Produktions- ...
Seite 812 Routing 13.4 NAT – Network Address Translation Wählen Sie im Feld den Wert egress. Richtung  Wählen Sie im Feld die erzeugte Regel. Regel-Index  Klicken Sie die Schaltfläche Ok.  Zuweisung der Regel zu dem Router-Interface aktivieren.  Markieren Sie das Kontrollkästchen im Feld Aktiv, um die Zuweisung der Regel zu dem ...
Seite 813: Tracking
Routing 13.5 Tracking 13.5 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: Verbindungsstatus eines Interfaces (Interface-Tracking) ...
Seite 814: Ping-Tracking
Routing 13.5 Tracking Das Einstellen einer Verzögerungszeit bietet Ihnen die Möglichkeit, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Seite 815: Logical-Tracking
Routing 13.5 Tracking Das Vorgeben einer Anzahl für ausbleibende oder ankommende Ping-Antworten bietet Ihnen die Möglichkeit, die Empfindlichkeit für das Ping-Verhalten des Geräts einzustellen. Das Gerät infor- miert die Anwendung über eine Objekt-Statusänderung. Ping-Tracking bietet Ihnen die Möglichkeit, die Erreichbarkeit definierter Geräte zu überwachen. Sobald ein überwachtes Gerät nicht mehr erreichbar ist, kann das Gerät über die Anwendung einen alternativen Pfad wählen.
Seite 816: Interface-Tracking Konfigurieren
Routing 13.5 Tracking Interface-Tracking konfigurieren Interface-Tracking auf dem Port mit einer Link-Down-Verzögerung von Sekunden und  einer Link-Up-Verzögerung von Sekunden einrichten. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Routing > Tracking > Konfiguration.  Klicken Sie die Schaltfläche ...
Seite 817: Anwendungsbeispiel Für Ping-Tracking
Routing 13.5 Tracking Anwendungsbeispiel für Ping-Tracking Während das Interface-Tracking die direkt angeschlossene Verbindung überwacht (siehe Abbildung 51), überwacht das Ping-Tracking die gesamte Verbindung bis zum S2 (siehe Abbildung 52). Ping-Tracking auf dem Port zur IP-Adresse 10.0.2.53 mit den vorhandenen Parametern ...
Seite 818: Anwendungsbeispiel Für Logical-Tracking
Routing 13.5 Tracking Wechsel in den Privileged-EXEC-Modus. exit Die konfigurierten Tracks anzeigen. show track Ping Tracking Instance ----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 819 Routing 13.5 Tracking Voraussetzungen für die weitere Konfiguration: Die Ping-Tracking-Objekte für die Operanden 1 und 2 sind konfiguriert (siehe auf Seite 196  „Anwendungsbeispiel für Ping-Tracking”). PC B PC A Abb. 53: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten.
Seite 820 Routing 13.5 Tracking Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 821 Routing 13.5 Tracking Erst die ODER-Verknüpfung beider Ping-Tracking-Objekte liefert das präzise Ergebnis, dass der Router A keine Verbindung zum Ring hat. Zwar könnte ein Ping-Tracking-Objekt zum Gerät S3 auch auf eine unterbrochene Verbindung zum redundanten Ring hinweisen, aber in diesem Fall könnte auch aus einem anderen Grund die Ping- Antwort von Gerät S3 ausbleiben.
Seite 822 Routing 13.5 Tracking Die Parameter für dieses Tracking-Objekt fest- track modify logical 31 ping-21 or ping- legen. Das Tracking-Objekt aktivieren. track enable logical 31 Tracking ID logical-31 created Logical Instance ping-21 included Logical Instance ping-22 included Logical Operator set to or Tracking ID 31 activated Wechsel in den Privileged-EXEC-Modus.
Seite 823: Vrrp
Routing 13.6 VRRP 13.6 VRRP In der Regel ermöglichen Ihnen Endgeräte, ein Standard-Gateway für die Vermittlung von Daten- paketen in fremde Subnetze einzutragen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mit anderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden.
Seite 824 Routing 13.6 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 825: Konfiguration Von Vrrp
Routing 13.6 VRRP VRRP-Priorität  Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den IP-Adressen- Inhaber. VRID  Die Kennung des virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Seite 826: Vrrp Mit Lastverteilung
Routing 13.6 VRRP Schalten Sie den virtuellen Router ein.  Weisen Sie die VRRP-Priorität zu.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Die Funktion Routing global einschalten. ip routing Schaltet VRRP global ein. ip vrrp operation Wechsel in den Interface-Konfigurationsmodus interface 1/3 von Interface 1/3.
Seite 827: Vrrp Mit Multinetting
Routing 13.6 VRRP Weisen Sie dem 2. virtuellen Router eine niedrigere Priorität zu als dem 1. virtuellen Router.  Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen  Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway ...
Seite 828: Ospf
Routing 13.7 OSPF 13.7 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF Kosten“ (OSPF costs), die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 829: Ospf-Topologie
Routing 13.7 OSPF OSPF ist ein Routing-Protokoll auf Basis der Zustände der Verbindungen zwischen den Routern. Mit Hilfe der von jedem Router gesammelten Verbindungszustände und des Shortest-Path-First- Algorithmus erstellt ein OSPF-Router dynamisch seine Routing-Tabelle. 13.7.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut.
Seite 830 Routing 13.7 OSPF Wechsel in den Konfigurationsmodus. configure Router-ID zuweisen, zum Beispiel 192.168.1.2. ip ospf router-id 192.168.1.2 OSPF global einschalten. ip ospf operation Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung.
Seite 831 Routing 13.7 OSPF Stub-Area:  Eine Area definieren Sie als Stub-Area, wenn externe LSAs nicht in die Area geflutet werden sollen. Extern heißt außerhalb des autonomen Systems. Das sind die gelben und orangefar- benen Verbindungen in der Abbildung Siehe Abbildung 60 auf Seite 210..
Seite 832: Virtuelle Verbindung (Virtual Link)
Routing 13.7 OSPF Virtuelle Verbindung (Virtual Link) OSPF setzt voraus, dass die Backbone-Area mit jeder Area verbunden ist. Ist das aber in der Realität nicht möglich, bietet OSPF eine virtuelle Verbindung (VL) an, um Teile der Backbone-Area miteinander zu verbinden Siehe Abbildung 62 auf Seite 211..
Seite 833: Link State Advertisement
Routing 13.7 OSPF Area Border Router (ABR)  ABRs besitzen OSPF-Interfaces in mehreren Areas, darunter auch in der Backbone-Area. ABRs partizipieren somit in mehreren Areas. Wenn möglich, fassen Sie mehrere Routen zusammen und senden Sie „Summary-LSAs“ in die Backbone-Area. Autonomous System Area Border Router (ASBR): ...
Seite 834: Prinzipielle Arbeitsweise Von Ospf
Routing 13.7 OSPF 13.7.2 Prinzipielle Arbeitsweise von OSPF OSPF wurde speziell auf die Bedürfnisse von größeren Netzen zugeschnitten und bietet eine schnelle Konvergenz sowie eine minimale Verwendung von Protokollnachrichten. Das Konzept von OSPF basiert auf der Erzeugung, Aufrechterhaltung und Verteilung der soge- nannten Link-State-Database.
Seite 835 Routing 13.7 OSPF Aus Sicherheitsgründen sieht OSPF noch die Wahl eines Backup-Designated-Routers (BDR) vor, der beim Ausfall des DR dessen Aufgaben übernimmt. Der OSPF-Router mit der höchsten Router- Priorität wird DR. Die Router-Priorität legt der Administrator fest. Wenn Router die gleiche Priorität haben, dann wird der Router mit der höheren Router-ID gewählt.
Seite 836: Synchronisation Der Lsdb
Routing 13.7 OSPF Die folgende Liste enthält die Status der Adjacencies: Noch keine Hello-Pakete empfangen Down Hello-Pakete empfangen Init Bidirektionale Kommunikation, Ermittlung des DR und BDR 2-way Aushandeln von Master/Slave für LSA-Austausch Exstart LSAs werden ausgetauscht bzw. geflutet Exchange Abschluss des LSA-Austauschs. Loading Datenbasis komplett und in der Area einheitlich.
Seite 837: Routenberechnung
Routing 13.7 OSPF 13.7.5 Routenberechnung Nach dem Lernen der LSDs und und dem Übergang der Nachbarschaftbeziehungen in den "Full State", berechnet jeder Router einen Pfad zu jedem Ziel mit Hilfe des Shortest Path First (SPF) Algorithmus. Nachdem der optimale Weg zu jedem Ziel ermittelt wurde, werden diese Routen in die Routing-Tabelle eingetragen.
Seite 838 Routing 13.7 OSPF Konfigurieren Sie die OSPF-Funktionen. Führen Sie dazu die folgenden Schritte aus: Router Interfaces konfigurieren – IP-Adresse und Netzmaske zuweisen.  OSPF auf dem Port aktivieren.  OSPF global einschalten.  Routing global einschalten (falls nicht schon geschehen). ...
Seite 839: Konfiguration Für Router B
Routing 13.7 OSPF Konfiguration für Router B Führen Sie die folgenden Schritte aus: Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface 2/2. Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf dem Port aktivieren.
Seite 840 Routing 13.7 OSPF OSPF Admin Mode........ enabled Router ID........10.0.2.2 ASBR Mode........enabled RFC 1583 Compatibility......enabled ABR Status........disabled Exit Overflow Interval......0 External LSA Count......0 External LSA Checksum......0 New LSAs Originated......0 LSAs Received........0 External LSDB Limit......no limit SFP delay time.........
Seite 841: Verteilung Der Routen Mit Acl Einschränken
Routing 13.7 OSPF Neighbor ID IP Address Interface State Dead Time ------------ ----------- ----------- ------ ---------- 10.0.2.1 10.0.2.1 Full Anzeige der Routing-Tabelle show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active --------------- -------- --- ------- ----------- ---- ------...
Seite 842 Routing 13.7 OSPF Router A Routing global einschalten.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Erstes Router-Interface 10.0.1.1/24 einrichten.  Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 1/1 von Interface 1/1.
Seite 843 Routing 13.7 OSPF Einrichten der statischen Route über 8.1.2.0 ip route add 8.1.2.0 255.255.255.0 10.0.2.2 Gateway 10.0.2.2. Einrichten der statischen Route 8.1.4.0 über ip route add 8.1.4.0 255.255.255.0 10.0.2.4 Gateway 10.0.2.4. Verteilen der eingerichteten Routen in OSPF. ip ospf re-distribute static subnets enable UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 844 Routing 13.7 OSPF Router B Routing global einschalten.  Wechsel in den Privileged-EXEC-Modus. enable Wechsel in den Konfigurationsmodus. configure Routing global einschalten. ip routing Router-Interface 10.0.1.2/24 einrichten.  Routing aktivieren. OSPF auf dem Router-Interface aktivieren. Wechsel in den Interface-Konfigurationsmodus interface 2/2 von Interface 2/2.
Seite 845: Route Mit Permit-Regel Explizit Freigeben
Routing 13.7 OSPF Um eine Route mit einer permit-Regel explizit freizugeben, lesen Sie weiter im Abschnitt „Route mit permit-Regel explizit freigeben” auf Seite 224. Um eine Route mit einer deny-Regel explizit zu sperren, lesen Sie weiter im Abschnitt „Route mit deny-Regel explizit sperren”...
Seite 846 Routing 13.7 OSPF Router A Access-Control-Liste mit expliziter permit-Regel einrichten.  Erstellen der Access-Control-Liste OSPF-rule ip access-list extended name OSPF-rule permit src 8.1.2.0-0.0.0.0 dst Einrichten einer permit-Regel für das Subnetz 255.255.255.0-0.0.0.0 proto ip 8.1.2.0. • src 8.1.2.0-0.0.0.0 = Adresse des Ziel- netzes und inverse Maske •...
Seite 847: Route Mit Deny-Regel Explizit Sperren
Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 848 Routing 13.7 OSPF Router A permit-Regel löschen.  Diese Schritte sind ausschließlich dann notwendig, wenn Sie wie im Abschnitt permit beschrieben eine „Route mit permit-Regel explizit freigeben” auf Seite 224-Regel eingerichtet haben. Trennen der Access-Control-Liste OSPF-rule no ip ospf distribute-list out static OSPF-rule OSPF.
Seite 849 Routing 13.7 OSPF Router A Explizite permit-Regel in Access-Control-Liste einfügen.  Einfügen einer permit-Regel für sämtliche ip access-list extended name OSPF-rule permit src any dst any proto ip Subnetze in die Access-Control-Liste OSPF-rule. Eingerichtete Regeln prüfen.  Anzeige der eingerichteten Access-Control-Listen show access-list ip und Regeln.
Seite 850 Routing 13.7 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 851 Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Prüfen der Routing-Tabelle: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 852: Ip-Parameter Eingeben
Routing 13.8 IP-Parameter eingeben 13.8 IP-Parameter eingeben siehe OSPF Area 0 siehe “Portbasiertes Router-Interface” siehe “VLAN-basiertes Router-Interface” SN 11 SN 10 VLAN ID 2 SN 12 VRRP SN 13 siehe “VRRP” SN 14 Abb. 65: Netzplan Zur Konfiguration der Funktion auf Schicht 3 benötigen Sie einen Zugang zum Management des Geräts.
Seite 853 Routing 13.8 IP-Parameter eingeben Die Geräte und deren Verbindungen sind installiert.  Redundante Anbindungen sind offen (siehe VRRP). Um Loops während der Konfigurations-  phase zu vermeiden, schließen Sie die redundanten Verbindungen erst nach der Konfigurati- onsphase. IP = 10.0.200.11/24 IP = 10.0.100.10/24 IP = 10.0.11.11/24 Area 0...
Seite 854 Routing 13.8 IP-Parameter eingeben Weisen Sie die IP-Parameter jedem Schicht-2 und Schicht-3-Gerät gemäß Netzplan zu.  Die Geräte der Subnetze 10 bis 14 erreichen Sie wieder, wenn Sie die folgende Router-Konfi- guration abgeschlossen haben. Konfigurieren Sie die Funktion der Schicht-3-Geräte. Routing ...
Seite 855 Routing 13.8 IP-Parameter eingeben UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 856: 14 Funktionsdiagnose
Funktionsdiagnose 14.1 SNMP-Traps senden 14 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: SNMP-Traps senden  Gerätestatus überwachen  Port-Zustandsanzeige  Ereigniszähler auf Portebene  Erkennen der Nichtübereinstimmung der Duplex-Modi  Auto-Disable  SFP-Zustandsanzeige  Topologie-Erkennung  IP-Adresskonflikte erkennen  Erkennen von Loops ...
Seite 857: Auflistung Der Snmp-Traps
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.1 Auflistung der SNMP-Traps Die folgende Tabelle zeigt mögliche vom Gerät gesendete SNMP-Traps: Tab. 30: Mögliche SNMP-Traps Bezeichnung des SNMP-Traps Bedeutung Wird gesendet, wenn eine Station versucht, unberechtigt auf authenticationFailure einen Agenten zuzugreifen. coldStart Wird nach einem Neustart gesendet. hm2DevMonSenseExtNvmRe- Wird gesendet, wenn der externe Speicher entfernt worden ist.
Seite 858: Snmp-Traps Für Konfigurationsaktivitäten
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.2 SNMP-Traps für Konfigurationsaktivitäten Nachdem Sie eine Konfiguration im Speicher gespeichert haben, sendet das Gerät einen hm2Con- figurationSavedTrap. Dieser SNMP-Trap enthält die Statusvariablen des nichtflüchtigen Spei- chers (NVM) und des externen Speichers (ENVM), die angeben, ob die aktuelle Konfiguration mit dem nichtflüchtigen Speicher und dem externen Speicher übereinstimmt.
Seite 859: Icmp-Messaging
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.4 ICMP-Messaging Das Gerät ermöglicht Ihnen, das Internet Control Message Protocol (ICMP) für Diagnoseanwen- dungen zu verwenden, zum Beispiel Ping und Traceroute. Das Gerät verwendet außerdem ICMP für Time-to-Live und das Verwerfen von Nachrichten, in denen das Gerät eine ICMP-Nachricht zurück an das Quellgerät des Paketes weiterleitet.
Seite 860: Gerätestatus Überwachen
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen gegenwärtigen Status als error oder im Rahmen Geräte-Status.
Seite 861: Gerätestatus Konfigurieren
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2.2 Gerätestatus konfigurieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätestatus, Registerkarte Global. Diagnose > Statuskonfiguration >  Markieren Sie für die zu überwachenden Parameter das Kontrollkästchen in Spalte Über-  wachen. Um einen SNMP-Trap an die Management-Station zu senden, aktivieren Sie die Funktion ...
Seite 862: Gerätestatus Anzeigen
Funktionsdiagnose 14.2 Gerätestatus überwachen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Gerätestatus, Registerkarte Global. Diagnose > Statuskonfiguration >  Markieren Sie für den Parameter das Kontrollkästchen in Spalte Verbindungsfehler Überwa-  chen. Öffnen Sie den Dialog Diagnose > Statuskonfiguration > Gerätestatus, Registerkarte Port.
Seite 863: Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus 14.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog System, Rahmen Sicherheits-Status.
Seite 864: Konfigurieren Des Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus Tab. 32: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Das Gerät überwacht, wann Sie die Lese-/Schreibfunktion für HiDiscovery einschalten. Das Gerät überwacht die Sicherheitseinstellungen für das Unverschlüsselte Konfiguration vom Laden der Konfiguration aus dem externen Speicher. externen Speicher laden Self-signed HTTPS-Zertifikat Das Gerät überwacht, ob der HTTPS-Server ein selbst...
Seite 865 Funktionsdiagnose 14.3 Sicherheitsstatus Überwacht den HTTP-Server. Der Wert im security-status monitor http-enabled Rahmen wechselt auf error, Sicherheits-Status wenn Sie den HTTP-Server einschalten. Überwacht den SNMP-Server. security-status monitor snmp-unsecure Der Wert im Rahmen Sicherheits-Status wechselt auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: •...
Seite 866: Anzeigen Des Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus 14.3.3 Anzeigen des Sicherheitsstatus Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  Zeigt im EXEC-Privilege-Modus Sicherheitsstatus show security-status all und die Einstellung zur Ermittlung des Geräte- status. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 867: 14.4 Port-Zustandsanzeige
Funktionsdiagnose 14.4 Port-Zustandsanzeige 14.4 Port-Zustandsanzeige Um den Zustand der Ports anzuzeigen, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog Grundeinstellungen > System.  Der Dialog zeigt das Gerät mit der aktuellen Konfiguration. Darüber hinaus zeigt der Dialog den Status der einzelnen Ports mittels eines Symbols.
Seite 868: Portereignis-Zähler
Funktionsdiagnose 14.5 Portereignis-Zähler 14.5 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, möglicherweise erkannte Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog können Sie Grundeinstellungen > Neustart die Ereigniszähler zurücksetzen.
Seite 869: Möglichen Ursachen Für Port-Fehlerereignisse
Funktionsdiagnose 14.5 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Kollisionen  Im Halbduplexmodus bedeuten Kollisionen Normalbetrieb. Duplex-Problem  Nicht übereinstimmende Duplex-Modi.  Elektromagnetische Interferenz. Netzausdehnung ...
Seite 870: Sfp-Zustandsanzeige
Funktionsdiagnose 14.6 SFP-Zustandsanzeige 14.6 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp,  Seriennummer des Medien-Moduls  Temperatur in º C,  Sendeleistung in mW,  Empfangsleistung in mW. ...
Seite 871: Topologie-Erkennung
Funktionsdiagnose 14.7 Topologie-Erkennung 14.7 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht Ihnen die automatische Topologie-Erkennung im lokalen Netz. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein-  samen LANs.
Seite 872 Funktionsdiagnose 14.7 Topologie-Erkennung Das Aktivieren der Einstellung „FDB Einträge anzeigen“ am unteren Ende der Tabelle ermöglicht Ihnen, Geräte ohne aktive LLDP-Unterstützung in der Tabelle anzuzeigen. Das Gerät nimmt in diesem Fall auch Informationen aus seiner FDB (Forwarding Database) auf. Wenn Sie den Port mit Geräten mit einer aktiven Topologie-Erkennungsfunktion verbinden, tauschen die Geräte LLDP Data Units (LLDPDU) aus, und die Topologie-Tabelle zeigt diese benachbarten Geräte.
Seite 873: Berichte
Funktionsdiagnose 14.8 Berichte 14.8 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei  Die Logdatei ist eine HTML-Datei, in die das Gerät geräteinterne Ereignisse schreibt. Audit Trail  Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 874 Funktionsdiagnose 14.8 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion protokolliert Benutzeran- Protokolliere SNMP-Get-Requests fragen nach Geräte-Konfigurationsinformationen. Die Funktion Protokolliere SNMP-Set-Requests protokolliert Geräte-Konfigurationsereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Seite 875: Syslog
Funktionsdiagnose 14.8 Berichte 14.8.2 Syslog Das Gerät bietet Ihnen die Möglichkeit, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog Diagnose >...
Seite 876: System-Log
Funktionsdiagnose 14.8 Berichte Wechsel in den Konfigurationsmodus. configure Protokolliert SNMP-Get-Anfragen. logging snmp-requests get operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests get severity 5 fest, welches das Gerät bei SNMP-GET-Anfragen protokolliert. Der Wert bedeutet notice. Protokolliert SNMP-SET-Anfragen. logging snmp-requests set operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests set severity 5...
Seite 877: Logging Audit-Trail
Funktionsdiagnose 14.8 Berichte Kommando im Command Line Interface, das den Kommentar  logging audit-trail <string> protokolliert Automatische Änderungen der Systemzeit  Watchdog-Ereignisse  Sperren eines Benutzers nach mehreren fehlgeschlagenen Login-Versuchen  Benutzeranmeldung über das Command Line Interface (lokal oder remote) ...
Seite 878: 15 Erweiterte Funktionen Des Geräts
Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden 15 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden Der DNS-Client fordert die DNS-Server dazu auf, die Host-Namen und IP-Adressen von Geräten im Netz aufzulösen. Der DNS-Client konvertiert Namen von Geräten, ähnlich einem Telefonbuch, in IP-Adressen.
Seite 879 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 880: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Sie können sich über SSH mit dem Gerät verbinden. Führen Sie dazu die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät.  oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Seite 881 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog Server, Registerkarte SSH. Gerätesicherheit > Management-Zugriff >  Um den SSH-Server auszuschalten, wählen Sie im Rahmen das Optionsfeld Aus.
Seite 882: Ssh-Client-Programm Vorbereiten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.3 SSH-Client-Programm vorbereiten Das Programm ermöglicht Ihnen, auf das Gerät mit SSH zuzugreifen. Dieses Programm PuTTY finden Sie auf der Produkt-CD. Führen Sie die folgenden Schritte aus: Starten Sie das Programm mit einem Doppelklick.  Abb.
Seite 883 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Einrichten der Datenverbindung fügen Sie das folgende Kommando ein: ssh admin@10.0.112.53 ist der Benutzername. admin 10.0.112.53 ist die IP-Adresse Ihres Geräts. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 884: Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Web-Browser stellt mit dem HTTPS-Protokoll die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion im Dialog HTTPS server Gerätesicherheit > Management-Zugriff > Server, Registerkarte einschalten. HTTPS Anmerkung: Software von Drittanbietern wie Web-Browser validieren Zertifikate anhand von Krite- rien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfehlungen.
Seite 885: Zugang Über Https
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat Wechsel in den Privileged-EXEC-Modus. enable Kopieren des HTTPS-Zertifikats aus dem externen copy httpscert envm <file name> nichtflüchtigen Speicher. Wechsel in den Konfigurationsmodus. configure Ausschalten der Funktion HTTPS. no https server Einschalten der Funktion HTTPS. https server Anmerkung: Um das Zertifikat nach der Erstellung oder Übertragung zu aktivieren, starten Sie das Gerät neu oder starten Sie den HTTPS-Server neu.
Seite 886: B Anhang
TSN – Time-Sensitive Networking (in Deutsch)  Wolfgang Schulte VDE Verlag, 2020 ISBN 978-3-8007-5078-8 Time-Sensitive Networking For Dummies, Belden/Hirschmann Special Edition (in Englisch)  Oliver Kleineberg und Axel Schneider Wiley, 2018 ISBN 978-1-119-52791-6 (Print), ISBN 978-1-119-52799-2 (eBook) Fordern Sie Ihre kostenlose PDF-Kopie an unter https://www.belden.com/resources/know-...
Seite 887: Wartung
Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 888: Management Information Base (Mib)
Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 889: Anhang
Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Seite 890: Liste Der Rfcs
Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 891 Anhang B.4 Liste der RFCs RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3418 Management Information Base (MIB)
Seite 892: Zugrundeliegende Ieee-Normen
Anhang B.5 Zugrundeliegende IEEE-Normen Zugrundeliegende IEEE-Normen IEEE 802.1AB Station and Media Access Control Connectivity Discovery IEEE 802.1D MAC Bridges (switching function) IEEE 802.1Q Virtual LANs (VLANs, MRP, Spanning Tree) IEEE 802.3 Ethernet IEEE 802.3ac VLAN Tagging IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet UM Config EAGLE40-07...
Seite 893: Zugrundeliegende Ansi-Normen
Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 894: B.7 Technische Daten
Anhang B.7 Technische Daten Technische Daten 15.1.2 Switching Größe der MAC-Adress-Tabelle 16384 (inkl. statische Filter) Max. Anzahl statisch konfigurierter MAC-Adressfilter Anzahl Warteschlangen 8 Queues Einstellbare Port-Prioritäten 0..7 MTU (max. erlaubte Länge der 1518 Byte Pakete, die ein Port empfangen oder senden kann) 15.1.3 VLAN...
Seite 895: Nat
Anhang B.7 Technische Daten 15.1.6 Max. Anzahl der 1:1-NAT-Regeln Max. Anzahl der Destination-NAT- Regeln Max. Anzahl der Double-NAT-Regeln 255 Max. Anzahl der Masquerading-NAT- Regeln Max. Anzahl der Einträge für Connec- 7768 tion Tracking UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 896: Copyright Integrierter Software
Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog Hilfe > Lizenzen. UM Config EAGLE40-07 Release 4.1.01 05/2021...
Seite 897: B.9 Verwendete Abkürzungen
Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Extended Unique Identifier Forwarding Database Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP...
Seite 898: C Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............181 ABR .
Seite 899 Stichwortverzeichnis Echtzeit ..............148 Ereignisprotokoll .
Seite 900 Stichwortverzeichnis LACNIC ..............40 Lastverteilung .
Seite 901 Stichwortverzeichnis Paketfilter ..............117 Paketfilter (Routed Firewall Mode) .
Seite 902 Stichwortverzeichnis Schulungsangebote ............283 Secure Shell .
Seite 903 Stichwortverzeichnis Variable Length Subnet Mask ..........207 Verkehrsflussvertraulichkeit .
Seite 904: D Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Down- load-Bereich für Software.
Seite 905: E Leserkritik
Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 906 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...

Belden HIRSCHMANN EAGLE40-07 Referenzhandbuch

Quicklinks

Kapitel

Verwandte Anleitungen für Belden HIRSCHMANN EAGLE40-07

Inhaltszusammenfassung für Belden HIRSCHMANN EAGLE40-07