Seite 1 Hirschmann Automation and Control GmbH EAGLE40-07 HiSecOS Rel. 04300 Referenz-Handbuch Grafische Benutzeroberfläche Anwender-Handbuch Konfiguration...
Seite 2: Grafische Benutzeroberfläche Industrial Security Router
Referenz-Handbuch Grafische Benutzeroberfläche Industrial Security Router EAGLE40-07 RM GUI EAGLE40-07 Technische Unterstützung Release 4.3 03/2022 https://hirschmann-support.belden.com...
Seite 3 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2022 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 4: Inhaltsverzeichnis
Inhalt Inhalt Sicherheitshinweise............7 Über dieses Handbuch .
Seite 5 Inhalt Paketfilter ..............103 4.3.1 Routed-Firewall-Modus .
Seite 6 Inhalt Routing ..............291 Routing Global .
Seite 7 Inhalt Diagnose ..............417 Statuskonfiguration .
Seite 8: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 9 Sicherheitshinweise RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 10: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 11: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 12: Hinweise Zur Grafischen Benutzeroberfläche
Hinweise zur grafischen Benutzeroberfläche Banner Hinweise zur grafischen Benutzeroberfläche Voraussetzung für den Zugriff auf die grafische Benutzeroberfläche des Geräts ist ein Webbrowser mit HTML5-Unterstützung. Die responsive grafische Benutzeroberfläche passt sich automatisch an die Größe Ihres Bild- schirms an. Demzufolge können Sie auf einem großen, hochauflösenden Bildschirm mehr Details sehen als auf einem kleinen Bildschirm.
Seite 13 Hinweise zur grafischen Benutzeroberfläche Banner Wenn Sie die Schaltfläche klicken, öffnet sich die Online-Hilfe in einem neuen Fenster. Wenn Sie die Schaltfläche klicken, zeigt ein Tooltip die folgenden Informationen: • Die Zusammenfassung des Rahmens Geräte-Status. Siehe Dialog Grundeinstellungen > System. •...
Seite 14: Menübereich
Hinweise zur grafischen Benutzeroberfläche Menübereich Menübereich Die grafische Benutzeroberfläche blendet den Menübereich aus, wenn das Fenster des Webbrow- sers zu schmal ist. Um den Menübereich anzuzeigen, klicken Sie im Banner auf die Schaltfläche Der Menübereich ist wie folgt unterteilt: Symbolleiste ...
Seite 15 Hinweise zur grafischen Benutzeroberfläche Menübereich Menübaum Der Menübaum enthält einen Eintrag für jeden Dialog in der grafischen Benutzeroberfläche. Wenn Sie einen Menüeintrag klicken, zeigt der Dialogbereich den zugehörigen Dialog. Sie können die Ansicht des Menübaums ändern, indem Sie die Schaltflächen in der Symbolleiste am oberen Rand klicken.
Seite 16: Dialogbereich
Hinweise zur grafischen Benutzeroberfläche Dialogbereich Dialogbereich Der Dialogbereich zeigt den Dialog, den Sie im Menübaum auswählen, einschließlich seiner Bedienelemente. Hier können Sie abhängig von Ihrer Zugriffsrolle die Einstellungen des Geräts überwachen und ändern. Nachfolgend finden Sie nützliche Informationen zur Bedienung der Dialoge. Bedienelemente ...
Seite 17: Anzeige Aktualisieren
Hinweise zur grafischen Benutzeroberfläche Dialogbereich Verwirft nicht gespeicherte Änderungen im gegenwärtigen Dialog. Aktualisiert die Felder mit den Werten, die im flüchtigen Speicher (RAM) des Geräts gespeichert sind. Einstellungen speichern Das Speichern überträgt die geänderten Einstellungen in den flüchtigen Speicher (RAM) des Geräts. Führen Sie dazu den folgenden Schritt aus: Klicken Sie die Schaltfläche ...
Seite 18: Zeilen Sortieren
Hinweise zur grafischen Benutzeroberfläche Dialogbereich Zeilen filtern Der Filter ermöglicht Ihnen, die Anzahl der angezeigten Tabellenzeilen zu verringern. Zeigt im Tabellenkopf eine zweite Tabellenzeile, die für jede Spalte ein Textfeld enthält. Wenn Sie in ein Feld eine Zeichenfolge einfügen, zeigt die Tabelle lediglich noch die Tabellenzeilen, welche in der betreffenden Spalte diese Zeichenfolge enthalten.
Seite 19 Hinweise zur grafischen Benutzeroberfläche Dialogbereich RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 20: Grundeinstellungen
Grundeinstellungen [ Grundeinstellungen > System ] 1 Grundeinstellungen Das Menü enthält die folgenden Dialoge: System  Netz  Software  Laden/Speichern  Externer Speicher  Port  Neustart  System [ Grundeinstellungen > System ] Dieser Dialog zeigt Informationen zum Betriebszustand des Geräts. Geräte-Status Geräte-Status Zeigt den Geräte-Status und die gegenwärtig vorliegenden Alarme.
Seite 21: Systemdaten
Grundeinstellungen [ Grundeinstellungen > System ] Sicherheits-Status Sicherheits-Status Zeigt den Sicherheits-Status und die gegenwärtig vorliegenden Alarme. Wenn mindestens 1 Alarm vorliegt, ist die Hintergrundfarbe rot. Andernfalls ist die Hintergrundfarbe grün. Die Parameter, die das Gerät überwacht, legen Sie fest im Dialog Diagnose >...
Seite 22 Grundeinstellungen [ Grundeinstellungen > System ] Die folgenden Funktionen verwenden den festgelegten Wert als Hostnamen oder FQDN (Fully Qualified Domain Name). Für die Kompatibilität ist es empfehlenswert, nur Kleinbuchstaben zu verwenden, da manche Systeme zwischen Groß- und Kleinschreibung im FQDN unterscheiden. Vergewissern Sie sich, dass dieser Name im gesamten Netz eindeutig ist.
Seite 23 Grundeinstellungen [ Grundeinstellungen > System ] Mögliche Werte: -99..99 (ganze Zahl)  Wenn die Temperatur im Gerät den festgelegten Wert überschreitet, dann zeigt das Gerät einen Alarm. Untere Temp.-Grenze [°C] Legt den unteren Temperaturschwellwert in °C fest. Weitere Informationen zum Festlegen der Temperaturschwellwerte finden Sie im Anwender-Hand- buch „Installation“.
Seite 24 Grundeinstellungen [ Grundeinstellungen > System ] Power Gerät, das 2 redundante Netzteile unterstützt: Lediglich 1 Versorgungsspannung liegt an. Gerät, das 1 Netzteil unterstützt: Die Versorgungsspannung liegt an. Gerät, das 2 redundante Netzteile unterstützt: Beide Versorgungsspannungen liegen an. Kein externer Speicher angeschlossen. Der externe Speicher ist angeschlossenen, jedoch nicht betriebsbereit.
Seite 25: Netz
Grundeinstellungen [ Grundeinstellungen > Netz ] Netz [ Grundeinstellungen > Netz ] Das Menü enthält die folgenden Dialoge: Global  IPv4  RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 26 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] 1.2.1 Global [ Grundeinstellungen > Netz > Global ] Dieser Dialog ermöglicht Ihnen, die VLAN- und HiDiscovery-Einstellungen festzulegen, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Dieser Rahmen ermöglicht Ihnen, das VLAN festzulegen, in dem das Management des Geräts erreichbar ist.
Seite 27 Grundeinstellungen [ Grundeinstellungen > Netz > Global ] Funktion Schaltet die Funktion HiDiscovery im Gerät ein/aus. Mögliche Werte: (Voreinstellung)  Die Funktion HiDiscovery ist eingeschaltet. Sie haben die Möglichkeit, das Gerät mit der HiDiscovery-Software von Ihrem PC aus zu errei- chen.
Seite 28: Ipv4
Grundeinstellungen [ Grundeinstellungen > Netz > IPv4 ] 1.2.2 IPv4 [ Grundeinstellungen > Netz > IPv4 ] In diesem Dialog legen Sie die IPv4-Einstellungen fest, die für den Zugriff über das Netz auf das Management des Geräts erforderlich sind. Management-Schnittstelle Zuweisung IP-Adresse Legt fest, aus welcher Quelle das Management des Geräts seine IP-Parameter erhält.
Seite 29: Software
Grundeinstellungen [ Grundeinstellungen > Software ] Netzmaske Legt die Netzmaske fest. Mögliche Werte: Gültige IPv4-Netzmaske  Gateway-Adresse Legt die IP-Adresse eines Routers fest, über den das Gerät andere Geräte außerhalb des eigenen Netzes erreicht. Mögliche Werte: Gültige IPv4-Adresse  Wenn das Gerät das festgelegte Gateway nicht verwendet, dann prüfen Sie, ob ein anderes Stan- dard-Gateway festgelegt ist.
Seite 30: Software-Update
Grundeinstellungen [ Grundeinstellungen > Software ] Wiederherstellen Stellt die als Backup gespeicherte Geräte-Software wieder her. Dabei tauscht das Gerät die Gespei- Versionund die der Geräte-Software. cherte Backup-Version Das Gerät lädt die Versionbeim nächsten Neustart. Gespeicherte Bootcode Zeigt Versionsnummer und Erstellungsdatum des Bootcodes. Software-Update Alternativ ermöglicht Ihnen das Gerät, die Geräte-Software durch Rechtsklicken in der Tabelle zu aktualisieren, wenn sich die Image-Datei im externen Speicher befindet.
Seite 31 Grundeinstellungen [ Grundeinstellungen > Software ] Tabelle Datei Ort Zeigt den Speicherort der Geräte-Software. Mögliche Werte:  Flüchtiger Speicher des Geräts flash  Permanenter Speicher (NVM) des Geräts  Externer USB-Speicher (ACA21/ACA22) Index Zeigt den Index der Geräte-Software. Für die der Geräte-Software im Flash hat der Index die folgende Bedeutung: ...
Seite 32: Laden/Speichern
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Laden/Speichern [ Grundeinstellungen > Laden/Speichern ] Dieser Dialog ermöglicht Ihnen, die Einstellungen des Geräts permanent in einem Konfigurations- profil zu speichern. Im Gerät können mehrere Konfigurationsprofile gespeichert sein. Wenn Sie ein alternatives Konfi- gurationsprofil aktivieren, schalten Sie das Gerät auf andere Einstellungen um. Sie haben die Möglichkeit, die Konfigurationsprofile auf Ihren PC oder auf einen Server zu exportieren.
Seite 33: Konfigurations-Verschlüsselung
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Konfigurations-Verschlüsselung Aktiv Zeigt, ob die Konfigurations-Verschlüsselung im Gerät aktiv/inaktiv ist. Mögliche Werte: markiert  Die Konfigurations-Verschlüsselung ist aktiv. Das Gerät lädt ein Konfigurationsprofil aus dem permanenten Speicher (NVM) ausschließlich dann, wenn dieses verschlüsselt ist und das Passwort mit dem im Gerät gespeicherten Pass- wort übereinstimmt.
Seite 34: Konfigurationsänderungen Rückgängig Machen
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Installieren Sie im neuen Gerät den externen Speicher aus dem defekten Gerät.  Starten Sie das neue Gerät neu.  Beim Neustart lädt das Gerät das Konfigurationsprofil mit den Einstellungen des defekten Geräts vom externen Speicher. Das Gerät kopiert die Einstellungen in den flüchtigen Speicher (RAM) und in den permanenten Speicher (NVM).
Seite 35: Ipv4-Adresse (Voreinstellung: 0.0.0.0)
Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Timeout [s] für Wiederherstellung nach Verbindungsabbruch Legt die Zeit in Sekunden fest, nach der das Gerät das „ausgewählte“ Konfigurationsprofil aus dem permanenten Speicher (NVM) lädt, wenn die Verbindung abbricht. Mögliche Werte: 30..600 (Voreinstellung: 600) ...
Seite 36 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Löschen Entfernt das in der Tabelle ausgewählte Konfigurationsprofil aus dem permanenten Speicher (NVM) oder vom externen Speicher. Wenn das Konfigurationsprofil als „ausgewählt“...
Seite 37 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Aktivieren Lädt die Einstellungen des in der Tabelle ausgewählten Konfigurationsprofils in den flüchtigen Speicher (RAM). Das Gerät trennt die Verbindung zur grafischen Benutzeroberfläche. Um wieder auf das Geräte-  Management zuzugreifen, führen Sie die folgenden Schritte aus: Laden Sie die grafische Benutzeroberfläche neu.
Seite 38 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Importieren... Öffnet das Fenster Importieren..., um ein Konfigurationsprofile zu importieren. Voraussetzung ist, dass Sie das Konfigurationsprofil zuvor mit der Schaltfläche Exportieren... oder mit dem Link in Spalte exportiert haben. Profilname Wählen Sie in der Dropdown-Liste Select source aus, woher das Gerät das Konfigurationsprofil ...
Seite 39 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Exportieren... Exportiert das in der Tabelle ausgewählte Konfigurationsprofil und speichert es als XML-Datei auf einem Remote-Server. Um die Datei auf Ihrem PC zu speichern, klicken Sie den Link in Spalte Profilname, um den Spei- cherort zu wählen und den Dateinamen festzulegen.
Seite 40 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] config  Bezeichnung des werksseitig vorhandenen Konfigurationsprofils im permanenten Speicher (NVM). benutzerdefinierter Name  Das Gerät ermöglicht Ihnen, ein Konfigurationsprofil mit benutzerdefiniertem Namen zu spei- chern. Wählen Sie dazu die Tabellenzeile eines vorhandenen Konfigurationsprofils, klicken die Schaltfläche und dann den Eintrag Speichern...
Seite 41 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Verschlüsselung verifiziert Zeigt, ob das Passwort des verschlüsselten Konfigurationsprofils mit dem im Gerät gespeicherten Passwort übereinstimmt. Mögliche Werte: markiert  Die Passwörter stimmen überein. Das Gerät ist imstande, das Konfigurationsprofil zu entschlüs- seln. unmarkiert ...
Seite 42 Grundeinstellungen [ Grundeinstellungen > Laden/Speichern ] Anmerkung: Diese Funktion kennzeichnet Änderungen an den Einstellungen des Konfigurations- profils. Die Funktion bietet keinen Schutz davor, das Gerät mit geänderten Einstellungen zu betreiben. RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 43: Externer Speicher
Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Externer Speicher [ Grundeinstellungen > Externer Speicher ] Dieser Dialog ermöglicht Ihnen, Funktionen zu aktivieren, die das Gerät automatisch in Verbindung mit dem externen Speicher ausführt. Der Dialog zeigt außerdem den Betriebszustand sowie Iden- tifizierungsmerkmale des externen Speichers.
Seite 44 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Automatisches Software-Update Aktiviert/deaktiviert die automatische Aktualisierung der Geräte-Software während des Neustarts. Mögliche Werte: markiert (Voreinstellung)  Das Gerät aktualisiert die Geräte-Software, wenn sich folgende Dateien im externen Speicher befinden: – die Image-Datei der Geräte-Software –...
Seite 45 Grundeinstellungen [ Grundeinstellungen > Externer Speicher ] Revision Zeigt die durch den Speicher-Hersteller vorgegebene Revisionsnummer. Version Zeigt die durch den Speicher-Hersteller vorgegebene Versionsnummer. Name Zeigt die durch den Speicher-Hersteller vorgegebene Produktbezeichnung. Seriennummer Zeigt die durch den Speicher-Hersteller vorgegebene Seriennumer. RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 46 Grundeinstellungen [ Grundeinstellungen > Port ] Port [ Grundeinstellungen > Port ] Dieser Dialog ermöglicht Ihnen, Einstellungen für die einzelnen Ports festzulegen. Der Dialog zeigt außerdem Betriebsmodus, Verbindungszustand, Bitrate und Duplex-Modus für jeden Port. Der Dialog enthält die folgenden Registerkarten: [Konfiguration] ...
Seite 47 Grundeinstellungen [ Grundeinstellungen > Port ] Zustand Zeigt, ob der Port gegenwärtig physikalisch eingeschaltet oder ausgeschaltet ist. Mögliche Werte: markiert  Der Port ist physikalisch eingeschaltet. unmarkiert  Der Port ist physikalisch ausgeschaltet. Power-State (Port aus) Legt fest, ob der Port physikalisch eingeschaltet oder ausgeschaltet ist, wenn Sie den Port mit der Funktion Port an deaktivieren.
Seite 48 Grundeinstellungen [ Grundeinstellungen > Port ] Manuelle Konfiguration Legt den Betriebsmodus des Ports fest, wenn die Funktion ausgeschaltet Automatische Konfiguration ist. Mögliche Werte: 10 Mbit/s HDX  Halbduplex-Verbindung 10 Mbit/s FDX  Vollduplex-Verbindung 100 Mbit/s HDX  Halbduplex-Verbindung 100 Mbit/s FDX ...
Seite 49 Grundeinstellungen [ Grundeinstellungen > Port ] auto-mdix  Das Gerät erkennt das Sende- und Empfangsleitungspaar des angeschlossenen Geräts und stellt sich automatisch darauf ein. Beispiel: Wenn Sie ein Endgerät mit gekreuztem Kabel anschließen, stellt das Gerät den Port automatisch von mdix auf mdi.
Seite 50 Grundeinstellungen [ Grundeinstellungen > Port ] Anzahl der vom Gerät gesendeten Datenpakete/Bytes  – Gesendete Pakete – Gesendete Oktets – Gesendete Unicast-Pakete – Gesendete Multicast-Pakete – Gesendete Broadcast-Pakete Anzahl der vom Gerät erkannten Fehler  – Empfangene Fragmente – Erkannte CRC-Fehler –...
Seite 51: Neustart
Grundeinstellungen [ Grundeinstellungen > Neustart ] Neustart [ Grundeinstellungen > Neustart ] Dieser Dialog ermöglicht Ihnen, das Gerät neu zu starten, Port-Zähler und Adresstabellen zurück- zusetzen sowie Log-Dateien zu löschen. Neustart Kaltstart... Öffnet den Dialog Neustart, um einen Neustart des Geräts auszulösen. Wenn sich das Konfigurationsprofil im flüchtigen Speicher (RAM) und das „ausgewählte“...
Seite 52 Grundeinstellungen [ Grundeinstellungen > Neustart ] Log-Datei löschen Entfernt die protokollierten Einträge aus der Log-Datei. Siehe Dialog Diagnose > Bericht > System-Log. Persistente Log-Datei löschen Entfernt die Log-Dateien vom externen Speicher. Siehe Dialog Diagnose > Bericht > Persistentes Ereignisprotokoll. Firewall-Tabelle leeren Entfernt die Information über offene Kommunikationsverbindungen aus der State-Tabelle der Fire- wall.
Seite 53 Grundeinstellungen 1.7 Neustart RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 54: Zeit
Zeit [ Zeit > Grundeinstellungen ] 2 Zeit Das Menü enthält die folgenden Dialoge: Grundeinstellungen   Grundeinstellungen [ Zeit > Grundeinstellungen ] Nach einem Neustart initialisiert das Gerät seine Uhr auf den 1. Januar, 0.00 Uhr. Stellen Sie die Uhrzeit neu ein, wenn Sie das Netzteil vom Gerät trennen oder das Gerät neu starten.
Seite 55: Global
Zeit [ Zeit > NTP ] Lokaler Offset [min] Legt die Differenz zwischen lokaler Zeit und in Minuten fest: Systemzeit (UTC) Lokaler Offset [min] − Systemzeit Systemzeit (UTC) Mögliche Werte: -780..840 (Voreinstellung: 60)  [ Zeit > NTP ] Das Gerät ermöglicht Ihnen, die Systemzeit im Gerät und im Netz mit dem Network Time Protocol (NTP) zu synchronisieren.
Seite 56 Zeit [ Zeit > NTP > Global ] 2.2.1 Global [ Zeit > NTP > Global ] In diesem Dialog legen Sie fest, ob das Gerät als NTP-Client und -Server oder ausschließlich als NTP-Client arbeitet: Als NTP-Client bezieht das Gerät die koordinierte Weltzeit (UTC) von einem oder mehreren ...
Seite 57: Client Und Server
Zeit [ Zeit > NTP > Global ] Client und Server Das Gerät überträgt die Zeitinformation ohne Authentifizierung im Gerätemanagement-VLAN sowie in Schicht 3 auf den eingerichteten IP-Schnittstellen. Server Schaltet den NTP-Client und den NTP-Server im Gerät ein/aus. Mögliche Werte: ...
Seite 58: Server
Zeit [ Zeit > NTP > Server ] 2.2.2 Server [ Zeit > NTP > Server ] In diesem Dialog legen Sie die NTP-Server fest. Der NTP-Client des Geräts bezieht die Zeitinformation aus den Unicast-Antworten der hier fest-  gelegten Server. Wenn der NTP-Server des Geräts im Modus arbeitet, dann legen Sie hier die am symmetric...
Seite 59 Zeit [ Zeit > NTP > Server ] Mögliche Werte: markiert  burst-Modus ist aktiv. Initial – Das Gerät sendet einmalig mehrere Datenpakete (Burst), wenn der NTP-Server uner- reichbar ist. – Verwenden Sie diese Einstellung ausschließlich dann, wenn Sie als Referenzzeitquelle einen eigenen, nicht-öffentlichen NTP-Server nutzen.
Seite 60 Zeit [ Zeit > NTP > Server ] Status Zeigt den Synchronisierungs-Status. Mögliche Werte: disabled  Kein Server verfügbar. protocolError  notSynchronized  Der Server ist verfügbar. Der Server selbst ist nicht synchronisiert. notResponding  Der Server ist verfügbar. Das Gerät erhält keine Zeitinformation. synchronizing ...
Seite 61 Zeit 2.2.2 Server RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 62: Gerätesicherheit
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] 3 Gerätesicherheit Das Menü enthält die folgenden Dialoge: Benutzerverwaltung  Authentifizierungs-Liste  LDAP  Management-Zugriff  Pre-Login-Banner  Benutzerverwaltung [ Gerätesicherheit > Benutzerverwaltung ] Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 63 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Min. Passwort-Länge Das Gerät akzeptiert das Passwort, wenn es sich aus mindestens so vielen Zeichen zusammen- setzt, wie hier festgelegt. Das Gerät prüft das Passwort gemäß dieser Richtlinie, unabhängig von der Einstellung des Kont- rollkästchens Richtlinien überprüfen.
Seite 64 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Sonderzeichen (min.) Das Gerät akzeptiert das Passwort, wenn es mindestens so viele Sonderzeichen enthält, wie hier festgelegt. Mögliche Werte: 0..16 (Voreinstellung: 1)  Der Wert deaktiviert diese Richtlinie. Tabelle Jeder Benutzer benötigt ein aktives Benutzerkonto, um Zugriff auf das Management des Geräts zu erhalten.
Seite 65: Das Gerät Akzeptiert Die Folgenden Zeichen
Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Passwort Zeigt ***** (Sternchen) anstelle des Passworts, mit dem sich der Benutzer anmeldet. Um das Pass- wort zu ändern, klicken Sie in das betreffende Feld. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 6..64 Zeichen  Das Gerät akzeptiert die folgenden Zeichen: –...
Seite 66 Gerätesicherheit [ Gerätesicherheit > Benutzerverwaltung ] Benutzer gesperrt Entsperrt das Benutzerkonto. Mögliche Werte: markiert  Das Benutzerkonto ist gesperrt. Der Benutzer hat keinen Zugriff auf das Management des Geräts. Das Gerät sperrt einen Benutzer automatisch, wenn dieser zu oft erfolglos versucht, sich anzu- melden.
Seite 67: Authentifizierungs-Liste
Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Authentifizierungs-Liste [ Gerätesicherheit > Authentifizierungs-Liste ] In diesem Dialog verwalten Sie die Authentifizierungs-Listen. In einer Authentifizierungsliste legen Sie fest, welche Methode das Gerät für die Authentifizierung verwendet. Sie haben außerdem die Möglichkeit, den Authentifizierungslisten vordefinierte Anwendungen zuzuweisen. Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden.
Seite 68 Gerätesicherheit [ Gerätesicherheit > Authentifizierungs-Liste ] Löschen Entfernt die ausgewählte Tabellenzeile. Anwendungen zuordnen Öffnet das Fenster Anwendungen zuordnen. Das Fenster zeigt die Anwendungen, die Sie der ausge- wählten Liste zuordnen können. Klicken und wählen Sie einen Eintrag, um diesen der gegenwärtig ausgewählten Liste zuzu- ...
Seite 69: Ldap
Gerätesicherheit [ Gerätesicherheit > LDAP ] reject  Abhängig von der Richtlinie, die Sie zuerst anwenden, akzeptiert das Gerät die Authentifizie- rung oder lehnt die Authentifizierung ab. Mögliche Authentifizierungsszenarios sind: – Wenn die erste Richtlinie in der Authentifizierungsliste ist und das Gerät die Anmel- lokal dedaten des Benutzers akzeptiert, meldet das Gerät den Benutzer an, ohne die anderen Authentifizierungsrichtlinien anzuwenden.
Seite 70: Ldap Konfiguration
Gerätesicherheit [ Gerätesicherheit > LDAP ] Nach erfolgreicher Anmeldung speichert das Gerät die Anmeldeinformationen temporär zwischen. Dies beschleunigt den Anmeldevorgang, wenn sich Benutzer erneut anmelden. In diesem Fall ist keine aufwendige LDAP-Suchoperation notwendig. Das Menü enthält die folgenden Dialoge: LDAP Konfiguration ...
Seite 71: Funktion
Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] 3.3.1 LDAP Konfiguration [ Gerätesicherheit > LDAP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, bis zu 4 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 72 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Client-Cache-Timeout [min] Legt fest, wie viele Minuten die Anmeldeinformation nach erfolgreicher Anmeldung eines Benut- zers gültig bleibt. Wenn ein Benutzer sich innerhalb dieser Zeit erneut anmeldet, ist keine aufwen- dige LDAP-Suchoperation notwendig. Der Anmeldevorgang ist deutlich schneller. Mögliche Werte: (Voreinstellung: 10) 1..1440...
Seite 73 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Default-Domain Legt die Zeichenfolge fest, mit der das Gerät den Benutzernamen sich anmeldender Benutzer ergänzt, sofern der Benutzername kein @-Zeichen enthält. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..64 Zeichen  CA certificate Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: •...
Seite 74 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Fügt eine Tabellenzeile hinzu. Löschen Entfernt die ausgewählte Tabellenzeile. Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Beschreibung Legt die Beschreibung fest.
Seite 75 Gerätesicherheit [ Gerätesicherheit > LDAP > Konfiguration ] Häufig verwendete TCP-Ports: • LDAP: • LDAP over SSL: • Active Directory Global Catalogue: 3268 • Active Directory Global Catalogue SSL: 3269 Verbindungssicherheit Legt das Protokoll fest, das die Kommunikation zwischen Gerät und Authentication-Server verschlüsselt.
Seite 76: Ldap Rollen-Zuweisung
Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] 3.3.2 LDAP Rollen-Zuweisung [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Dieser Dialog ermöglicht Ihnen, bis zu 64 Mappings zu erstellen, um Benutzern eine Zugriffsrolle zuzuweisen. In der Tabelle legen Sie fest, ob das Gerät anhand eines Attributs mit einem bestimmten Wert oder anhand der Gruppenmitgliedschaft dem Benutzer eine Zugriffsrolle zuweist.
Seite 77 Gerätesicherheit [ Gerätesicherheit > LDAP > Rollen-Zuweisung ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. Im Feld legen Sie die Index-Nummer fest. Index ...
Seite 78: Management-Zugriff
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff ] Parameter Legt abhängig von der Einstellung in Spalte eine Gruppe oder ein Attribut mit einem Attributwert fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..255 Zeichen  Das Gerät unterscheidet zwischen Groß- und Kleinschreibung. – Wenn in Spalte der Wert festgelegt ist, dann legen Sie das Attribut in der attribute...
Seite 79: Informationen Zum Anpassen Des Erscheinungsbilds Der Tabelle Finden Sie Unter
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] 3.4.1 Server [ Gerätesicherheit > Management-Zugriff > Server ] Dieser Dialog ermöglicht Ihnen, die Server-Dienste einzurichten, mit denen Benutzer oder Anwen- dungen Management-Zugriff auf das Gerät erhalten. Der Dialog enthält die folgenden Registerkarten: [Information] ...
Seite 80 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] SNMPv3 Zeigt, ob der Server-Dienst, der den Zugriff auf das Gerät mit SNMP Version 3 ermöglicht, aktiv oder inaktiv ist. Siehe Registerkarte SNMP. Mögliche Werte: markiert  Server-Dienst ist aktiv. unmarkiert  Server-Dienst ist inaktiv.
Seite 81 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration SNMPv1 Aktiviert/deaktiviert den Zugriff auf das Gerät per SNMP Version 1. Mögliche Werte: markiert  Zugriff ist aktiviert. unmarkiert (Voreinstellung)  Zugriff ist deaktiviert. Die Community-Namen legen Sie fest im Dialog Gerätesicherheit >...
Seite 82 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Klicken Sie die Schaltfläche , um die gegenwärtigen Änderungen zu speichern.  Starten Sie das Gerät neu.  [SSH] Diese Registerkarte ermöglicht Ihnen, den SSH-Server im Gerät ein-/auszuschalten und die für SSH erforderlichen Einstellungen festzulegen. Der Server arbeitet mit SSH-Version 2. Der SSH-Server ermöglicht den Zugriff auf das Management des Geräts per Fernzugriff mit dem Command Line Interface.
Seite 83 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Konfiguration TCP-Port Legt die Nummer des TCP-Ports fest, auf dem das Gerät SSH-Anfragen von den Clients entgegen- nimmt. Mögliche Werte: (Voreinstellung: 22) 1..65535  Ausnahme: Port ist für interne Funktionen reserviert. 2222 Nach Ändern des Ports startet der Server automatisch neu.
Seite 84 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Erzeugen Erzeugt einen Host-Key auf dem Gerät. Voraussetzung ist, dass der SSH-Server ausgeschaltet ist. Länge des erzeugten Schlüssels: 2048 Bit (RSA)  Damit der SSH-Server den generierten Host-Key verwendet, starten Sie den SSH-Server neu. Alternativ haben Sie die Möglichkeit, einen eigenen Host-Key im PEM-Format auf das Gerät zu kopieren.
Seite 85 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Key-Import Legt Pfad und Dateiname Ihres RSA-Host-Keys fest. Das Gerät akzeptiert den RSA-Schlüssel, wenn dieser die folgende Schlüssellänge aufweist: • 2048 bit (RSA) Das Gerät bietet Ihnen folgende Möglichkeiten, den Schlüssel in das Gerät zu kopieren: Import vom PC ...
Seite 86 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTP server Schaltet für den Webserver das Protokoll ein/aus. HTTP Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTP Der Zugriff auf das Management des Geräts ist möglich über eine unverschlüsselte HTTP- Verbindung.
Seite 87: Zertifikat
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Funktion HTTPS server Schaltet für den Webserver das Protokoll ein/aus. HTTPS Mögliche Werte: (Voreinstellung)  Das Protokoll ist eingeschaltet. HTTPS Der Zugriff auf das Management des Geräts ist möglich über eine verschlüsselte HTTPS-Verbin- dung.
Seite 88 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Erzeugen Generiert ein digitales Zertifikat auf dem Gerät. Bis zum Neustart verwendet der Webserver das vorherige Zertifikat. Damit der Webserver das neu generierte Zertifikat verwendet, starten Sie den Webserver neu. Der Neustart des Webserver ist ausschließlich über das Command Line Interface möglich. Alternativ haben Sie die Möglichkeit, ein eigenes Zertifikat in das Gerät zu kopieren.
Seite 89: Zertifikat-Import
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Server ] Fingerabdruck Hexadezimale Zeichenfolge des vom Server verwendeten digitalen Zertifikats. Wenn Sie die Einstellung im Feld Fingerabdruck-Typ ändern, klicken Sie anschließend die Schaltflä- chen , um die Anzeige zu aktualisieren. Zertifikat-Import Legt Pfad und Dateiname des Zertifikats fest. Zulässig sind Zertifikate mit folgenden Eigenschaften: •...
Seite 90: Ip-Zugriffsbeschränkung
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] 3.4.2 IP-Zugriffsbeschränkung [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Dieser Dialog ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf gewisse IP- Adressbereiche und ausgewählte IP-basierte Anwendungen zu beschränken. Bei ausgeschalteter Funktion ist der Zugriff auf das Management des Geräts von jeder belie- ...
Seite 91: Zeigt Die Index-Nummer, Auf Die Sich Die Tabellenzeile Bezieht
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Wenn Sie eine Tabellenzeile löschen, bleibt eine Lücke in der Nummerierung. Wenn Sie eine neue Tabellenzeile erzeugen, schließt das Gerät die erste Lücke. Mögliche Werte: 1..16 ...
Seite 92 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > IP-Zugriffsbeschränkung ] Aktiviert/deaktiviert den SSH-Zugriff. Mögliche Werte: markiert (Voreinstellung)  Zugriff ist aktiviert für nebenstehenden IP-Adressbereich. unmarkiert  Zugriff ist deaktiviert. Aktiv Aktiviert/deaktiviert die Tabellenzeile. Mögliche Werte: (Voreinstellung) markiert  Die Tabellenzeile ist aktiviert. Das Gerät beschränkt den Zugriff auf das Management des Geräts auf den nebenstehenden IP-Adressbereich und die ausgewählten IP-basierten Anwen- dungen.
Seite 93: Web
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > Web ] 3.4.3 [ Gerätesicherheit > Management-Zugriff > Web ] In diesem Dialog legen Sie Einstellungen für die grafische Benutzeroberfläche fest. Konfiguration Web-Interface Session-Timeout [min] Legt die Timeout-Zeit in Minuten fest. Bei Inaktivität beendet das Gerät nach dieser Zeit die Sitzung des angemeldeten Benutzers.
Seite 94: Command Line Interface
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] 3.4.4 Command Line Interface [ Gerätesicherheit > Management-Zugriff > CLI ] In diesem Dialog legen Sie Einstellungen für das Command Line Interface fest. Weitere Informati- onen zum Command Line Interface finden Sie im Referenzhandbuch „Command Line Interface“. Der Dialog enthält die folgenden Registerkarten: [Global] ...
Seite 95 Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > CLI ] [Login-Banner] In dieser Registerkarte ersetzen Sie den Startbildschirm im Command Line Interface durch einen individuellen Text. In der Voreinstellung zeigt der Startbildschirm Informationen über das Gerät, zum Beispiel die Soft- ware-Version und Geräte-Einstellungen. Mit der Funktion in dieser Registerkarte deaktivieren Sie diese Informationen und ersetzen sie durch einen individuell festgelegten Text.
Seite 96: Snmpv1/V2 Community
Gerätesicherheit [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] 3.4.5 SNMPv1/v2 Community [ Gerätesicherheit > Management-Zugriff > SNMPv1/v2 Community ] In diesem Dialog legen Sie die Community-Namen für SNMPv1/v2-Anwendungen fest. Anwendungen senden Anfragen per SNMPv1/v2 mit einem Community-Namen im SNMP-Daten- paket-Header.
Seite 97: Pre-Login-Banner
Gerätesicherheit [ Gerätesicherheit > Pre-Login-Banner ] Pre-Login-Banner [ Gerätesicherheit > Pre-Login-Banner ] Dieser Dialog ermöglicht Ihnen, Benutzern einen Begrüßungs- oder Hinweistext anzuzeigen, bevor diese sich anmelden. Die Benutzer sehen den Text im Login-Dialog der grafischen Benutzeroberfläche und im Command Line Interface. Benutzer, die sich mit SSH anmelden, sehen den Text – abhängig vom verwendeten Client –...
Seite 98: Netzsicherheit
Netzsicherheit [ Netzsicherheit > Übersicht ] 4 Netzsicherheit Das Menü enthält die folgenden Dialoge: Netzsicherheit Übersicht  RADIUS  Paketfilter  Deep Packet Inspection   Intrusion Detection System  Netzsicherheit Übersicht [ Netzsicherheit > Übersicht ] Dieser Dialog zeigt eine Übersicht über die im Gerät verwendeten Netzsicherheits-Regeln. Übersicht Die oberste Ebene zeigt: •...
Seite 99: Radius Global
Netzsicherheit [ Netzsicherheit > RADIUS ] Klappt den aktuellen Eintrag auf und zeigt die Einträge der nächsttieferen Ebene. Klappt den Eintrag zu und blendet die Einträge der darunter liegenden Ebenen aus. RADIUS [ Netzsicherheit > RADIUS ] Das Gerät ist ab Werk so eingestellt, dass es Benutzer anhand der lokalen Benutzerverwaltung authentifiziert.
Seite 100 Netzsicherheit [ Netzsicherheit > RADIUS > Global ] 4.2.1 RADIUS Global [ Netzsicherheit > RADIUS > Global ] Dieser Dialog ermöglicht Ihnen, grundlegende Einstellungen für RADIUS festzulegen. RADIUS-Konfiguration Schaltflächen Zurücksetzen Löscht die Statistik im Dialog Netzsicherheit > RADIUS > Authentication-Statistiken. Anfragen (max.) Legt fest, wie viele Male das Gerät eine unbeantwortete Anfrage an den Authentication-Server wiederholt, bevor es die Anfrage an einen anderen Authentication-Server sendet.
Seite 101: Radius Authentication-Server
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] 4.2.2 RADIUS Authentication-Server [ Netzsicherheit > RADIUS > Authentication-Server ] Dieser Dialog ermöglicht Ihnen, bis zu 8 Authentication-Server festzulegen. Ein Authentication- Server authentifiziert und autorisiert die Benutzer, wenn das Gerät die Zugangsdaten an ihn weiter- leitet.
Seite 102 Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Server ] Adresse Legt die IP-Adresse des Servers fest. Mögliche Werte: Gültige IPv4-Adresse  Ziel-UDP-Port Legt die Nummer des UDP-Ports fest, auf dem der Server Anfragen entgegennimmt. Mögliche Werte: 0..65535 (Voreinstellung: 1812)  Ausnahme: Port 2222 ist für interne Funktionen reserviert.
Seite 103: Radius Authentication Statistiken
Netzsicherheit [ Netzsicherheit > RADIUS > Authentication-Statistiken ] 4.2.3 RADIUS Authentication Statistiken [ Netzsicherheit > RADIUS > Authentication-Statistiken ] Dieser Dialog zeigt Informationen über die Kommunikation zwischen dem Gerät und dem Authen- tication-Server. Die Tabelle zeigt die Informationen für jeden Server in einer separaten Tabellen- zeile.
Seite 104: Paketfilter
Netzsicherheit [ Netzsicherheit > Paketfilter ] Fehlerhafte Access-Antworten Zeigt, wie viele fehlerhafte Access-Response-Datenpakete das Gerät vom Server empfangen hat (einschließlich Datenpakete mit ungültiger Länge). Fehlerhafter Authentifikator Zeigt, wie viele Access-Response-Datenpakete mit ungültigem Authentifikator das Gerät vom Server empfangen hat. Offene Anfragen Zeigt, wie viele Access-Request-Datenpakete das Gerät an den Server gesendet hat, auf die es noch keine Antwort vom Server empfangen hat.
Seite 105: Global
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] 4.3.1 Routed-Firewall-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus ] In diesem Menü legen Sie die Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Der Routed-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Daten- strom auf seinen Router-Interfaces anwendet. Der Routed-Firewall-Modus-Paketfilter bewertet den Datenstrom statusorientiert und filtert unerwünschte Datenpakete selektiv.
Seite 106 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] 4.3.1.1 Global [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Routed-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters.
Seite 107: Zeigt, Ob Sich Die Auf Den Datenstrom Angewendeten Paketfilter-Regeln Von Den Im Gerät Gespei
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 108: 4.3.1.2 Firewall-Lern-Modus
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] 4.3.1.2 Firewall-Lern-Modus [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Dieser Dialog ermöglicht Ihnen, die Verbindungen festzulegen, für die Sie den Zugriff auf Ihr Netz- werk erlauben. Die maximale Anzahl von Regeln, die Sie mithilfe der FLM-Funktion festlegen können, ist abhängig von der Anzahl der bereits erstellten Regeln im Dialog Regel.
Seite 109 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Information Schaltflächen Start Startet die Lernphase. Das Gerät filtert die Datenpakete an den aktiven Interfaces. Stop Stoppt die Lernphase. Leeren Leert den Speicher. Gelernte Daten können ausschließlich dann gelöscht werden, wenn die Funk- tion gestoppt wird.
Seite 110 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Freier Speicher für Lerndaten [%] Zeigt den prozentualen Anteil des freien Speicherplatzes, der für das Erlernen von Daten verfügbar ist. [Regeln] Diese Registerkarte zeigt den Typ der Daten, welche die ausgewählten Ports passieren. Dies ermöglicht Ihnen, Regeln zur Verwaltung des Datenstroms zu erzeugen, der das Gerät durchquert.
Seite 111 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ausgangs-Interface Zeigt das Interface, welches das Paket gesendet hat. Erstes Vorkommen Zeigt den Zeitpunkt, zu dem das Gerät das Paket zum ersten Mal ermittelt hat. Connections by Rule Set Zeigt die Anzahl der Verbindungen, die mit den in der unten stehenden Tabelle festgelegten Regeln übereinstimmen.
Seite 112 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Gültige IPv4-Adresse  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse an. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Regel auf Datenpakete mit der festgelegten Quelladresse im festgelegten Subnetz an.
Seite 113 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass Sie in Spalte den Wert oder festlegen. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten.
Seite 114 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > FLM ] Eingangs-Interface Zeigt, ob das Gerät die Paketfilter-Regel auf Datenpakete anwendet, die das Gerät über ein Router- Interface sendet oder empfängt. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt.
Seite 115: 4.3.1.3 Paketfilter Regel
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] 4.3.1.3 Paketfilter Regel [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Die hier definierten Regeln können Sie im Dialog Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung gewünschten Ports zuweisen.
Seite 116 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf Datenpakete mit beliebiger Zieladresse an. Gültige IPv4-Adresse ...
Seite 117 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Quell-Port Legt den Quell-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass Sie in Spalte den Wert oder festlegen. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Paketfilter-Regel auf sämtliche Datenpakete an, ohne den Quell-Port zu bewerten.
Seite 118 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Mögliche Werte: none (Voreinstellung)  Sie haben keine zusätzlichen Parameter für diese Regel festgelegt. mac=de:ad:de:ad:be:ef  Diese Regel gilt für Pakete mit der MAC-Quelladresse de:ad:de:ad:be:ef. type=<0..255>  Diese Regel gilt für Pakete mit einem bestimmten ICMP-Typ. Geben Sie genau einen Wert ein (Informationen zur Bedeutung dieser Werte finden Sie in RFC 792).
Seite 119 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] enforce-iec104  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Der Wert ist ausschließlich im Software-Level SU/UN verfügbar. Siehe Merkmalswert Software level im Produktcode. enforce-ethernetip ...
Seite 120: [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ]
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Regel ] Aktiv Aktiviert/deaktiviert die Regel. Um die Änderungen auf den Datenstrom anzuwenden, führen Sie die folgenden Schritte aus: Klicken Sie die Schaltfläche , um die gegenwärtigen Änderungen zu speichern.  Öffnen Sie den Dialog Netzsicherheit >...
Seite 121 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] 4.3.1.4 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces des Geräts eine oder mehrere Paketfilter- Regeln zuzuweisen. Router-Interfaces richten Sie ein im Dialog Routing >...
Seite 122 Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Das Gerät entfernt dabei auch die Zustandsinformationen des Paketfilters. Dies beinhaltet even- tuell vorhandene DCE RPC-Informationen der Funktion Enforcer.
Seite 123: [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ]
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Zuweisung ] Mögliche Werte: 0..4294967295 (Voreinstellung: 1)  Aktiv Aktiviert/deaktiviert die Regel. Um die Änderungen auf den Datenstrom anzuwenden, führen Sie die folgenden Schritte aus: Klicken Sie die Schaltfläche , um die gegenwärtigen Änderungen zu speichern. ...
Seite 124: 4.3.1.5 Paketfilter Übersicht
Netzsicherheit [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] 4.3.1.5 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Routed-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 125: Transparent-Firewall-Modus
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Ziel-Port Zeigt den Ziel-TCP-Port oder Ziel-UDP-Port der Datenpakete, auf die das Gerät die Regel anwendet. Protokoll Zeigt das IP-Protokoll, auf das die Paketfilter-Regel beschränkt ist. Das Gerät wendet die Paketfilter- Regel ausschließlich auf Datenpakete des festgelegten IP-Protokolls an. Parameter Zeigt zusätzliche Parameter für diese Regel.
Seite 126: Paketfilter Global
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus ] Das Gerät bietet Ihnen ein mehrstufiges Konzept für das Einrichten und Anwenden der Paketfilter- Regeln: Regel erzeugen.  Die Regel weisen Sie einem nicht-routenden Port oder VLAN zu.  Bis zu diesem Schritt haben Änderungen keine Auswirkung auf das Verhalten des Geräts und auf den Datenstrom.
Seite 127 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] 4.3.2.1 Paketfilter Global [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] In diesem Dialog legen Sie die globalen Einstellungen für den Transparent-Firewall-Modus-Paketfilter fest. Konfiguration Schaltflächen Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich.
Seite 128: Nicht Angewendete Änderungen Vorhanden
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Global ] Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Paketfilter-Regeln von den im Gerät gespei- cherten Paketfilter-Regeln unterscheiden. Mögliche Werte: markiert  Mindestens eine der im Gerät gespeicherten Paketfilter-Regeln enthält geänderte Einstellungen. Wenn Sie die Schaltfläche klicken, wendet das Gerät die Paketfilter-Regeln auf den Daten- strom an.
Seite 129: 4.3.2.2 Paketfilter Regel
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] 4.3.2.2 Paketfilter Regel [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Dieser Dialog ermöglicht Ihnen, Regeln für den Paketfilter festzulegen. Die hier festgelegten Regeln weisen Sie im Dialog Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung gewünschten nicht-routenden Ports oder VLANs zuweisen.
Seite 130 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] enforce-opc  Das Gerät wendet die in Spalte festgelegte Regel auf die Datenpakete an. Index DPI-Profil Der Wert ist ausschließlich im Software-Level IN/UN verfügbar. Siehe Merkmalswert Software level im Produktcode. enforce-iec104 ...
Seite 131 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] ipv6  ipxold  mplsmcast  mplsucast  netbios  novell  pppoedisc  rarp  pppoesess  ipxnew  profinet  powerlink  ethercat  vlan8021q  Benutzerspezifischer Ethertype-Wert Legt den Ethertype-Wert der MAC-Datenpakete fest, auf die das Gerät die Regel anwendet.
Seite 132 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Quell-IP-Adresse Legt die Quelladresse der IP-Datenpakete fest, auf die das Gerät die Regel anwendet. Vorausset- zung ist, dass Sie in Spalte den Wert festlegen. Ethertype ipv4 Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf IP-Datenpakete mit beliebiger Quelladresse an.
Seite 133 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] TOS-Priorität Legt die IP-Precedence (ToS-Wert) im Header der IP-Datenpakete fest, auf die das Gerät die Regel anwendet. Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf jedes IP-Datenpaket an, ohne den ToS-Wert zu bewerten. 1..255 ...
Seite 134 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Ziel-Port Legt den Ziel-Port der Datenpakete fest, auf die das Gerät die Regel anwendet. Voraussetzung ist, dass Sie in Spalte den Wert oder festlegen. Protokoll Mögliche Werte: (Voreinstellung)  Das Gerät wendet die Regel auf sämtliche Datenpakete an, ohne den Ziel-Port zu bewerten. 1..65535 ...
Seite 135 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Regel ] Einheit Legt die Maßeinheit fest für die in Spalte festgelegte Datentransferrate. Lastbegrenzung Mögliche Werte: (Voreinstellung)  Datenpakete pro Sekunde kbps  kByte pro Sekunde Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Paketfilter-Regel auf ein Datenpaket anwendet.
Seite 136 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] 4.3.2.3 Paketfilter Zuweisung [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Dieser Dialog ermöglicht Ihnen, den nicht-routenden Ports und VLANs des Geräts eine oder mehrere Paketfilter-Regeln zuzuweisen. Information Zuweisungen Zeigt, wie viele Regeln für die nicht-routenden Ports und VLANs aktiv sind.
Seite 137 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Löschen Entfernt die ausgewählte Tabellenzeile. Änderungen anwenden Wendet die im Gerät gespeicherten Regeln auf den Datenstrom an. Anmerkung: Während das Gerät die gespeicherten Regeln aktiviert, ist kein Aufbau einer neuen Kommunikationsverbindung möglich.
Seite 138 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Zuweisung ] Richtung Zeigt, ob das Gerät die Paketfilter-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Paketfilter-Regel auf Datenpakete an, die es auf dem nicht-routenden Ports oder VLAN-Interface empfängt.
Seite 139: 4.3.2.4 Paketfilter Übersicht
Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] 4.3.2.4 Paketfilter Übersicht [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Dieser Dialog bietet Ihnen eine Übersicht über die definierten Paketfilter-Regeln. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 140 Netzsicherheit [ Netzsicherheit > Paketfilter > Transparent-Firewall-Modus > Übersicht ] Ethertype Zeigt das Ethertype-Schlüsselwort der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Benutzerspezifischer Ethertype-Wert Zeigt den Ethertype-Wert der MAC-Datenpakete, auf die das Gerät die Regel anwendet. Voraus- setzung ist, dass Sie in Spalte den Wert festlegen.
Seite 141: Deep Packet Inspection
Netzsicherheit Einheit Zeigt die Maßeinheit für die in Spalte festgelegte Datentransferrate. Lastbegrenzung Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Regel auf ein Datenpaket anwendet. Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Regel auf ein Datenpaket anwendet. Aktiv Zeigt, ob die Regel aktiv oder inaktiv ist.
Seite 142: Nicht Angewendete Änderungen Vorhanden
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] 4.4.1 Deep Packet Inspection - Modbus Enforcer [ Netzsicherheit > DPI > Modbus Enforcer ] Dieser Dialog ermöglicht Ihnen, die Modbus Enforcer-Einstellungen festzulegen und Modbus TCP- spezifische Profile zu definieren. Die Profile spezifizieren Funktionscodes sowie Register- oder Coil-Adressen. Der Funktionscode TCP-Protokoll legt den Zweck der Datenübertragung fest.
Seite 143: Im Feld Index Legen Sie Die Nummer Des Profils Fest
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. Im Feld legen Sie die Nummer des Profils fest. Index ...
Seite 144 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Funktionstyp Legt den Funktionstyp für das Enforcer-Profil fest. Nach dem Klicken der Schaltfläche Modbus weist das Gerät die zugehörigen Typ-IDs zu. Mögliche Werte: (Voreinstellung) read-only  Weist die Funktionscodes für die read-Funktion des Protokolls zu.
Seite 145 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Mögliche Werte: <FC> | <AR>, <FC> | <AR>, …  Das Gerät ermöglicht Ihnen, mehrere Funktionscodes und für manche Funktionscodes einen zusätzlichen Adressbereich festzulegen. Die Bedeutung der Nummern finden Sie im Abschnitt „Bedeutung der Funktionscode-Werte”...
Seite 146 Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 147: Bedeutung Der Funktionscode-Werte
Netzsicherheit [ Netzsicherheit > DPI > Modbus Enforcer ] Entfernt den Eintrag aus dem Feld Funktionscode. Bedeutung der Funktionscode-Werte Bedeutung Adressbe- Adressbe- reich (Lesen) reich (Schreiben) Read Coils <0..65535> Read Discrete Inputs <0..65535> Read Holding Registers <0..65535> Read Input Registers <0..65535>...
Seite 148: Deep Packet Inspection - Opc Enforcer
Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] 4.4.2 Deep Packet Inspection - OPC Enforcer [ Netzsicherheit > DPI > OPC Enforcer ] Dieser Dialog ermöglicht Ihnen, die Enforcer- (OLE for Process Control Enforcer)-Einstel- lungen festzulegen und Enforcer-spezifische Profile zu definieren. OPC ist ein Integrationsprotokoll für industrielle Umgebungen.
Seite 149 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen. Im Feld legen Sie die Nummer des Profils fest. Index ...
Seite 150 Netzsicherheit [ Netzsicherheit > DPI > OPC Enforcer ] Plausibilitätsprüfung Aktiviert/deaktiviert die Plausibilitätsprüfung für Datenpakete. Mögliche Werte: markiert (Voreinstellung)  Die Plausibilitätsprüfung ist aktiv. Das Gerät prüft die Plausibilität der Datenpakete hinsichtlich Format und Spezifikation. Das Gerät blockiert Datenpakete, die gegen die festgelegten Profile verstoßen. unmarkiert ...
Seite 151: Deep Packet Inspection - Dnp3 Enforcer
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer ] 4.4.3 Deep Packet Inspection - DNP3 Enforcer [ Netzsicherheit > DPI > DNP3 Enforcer ] Dieser Dialog ermöglicht Ihnen, die DNP3 Enforcer- (Distributed Network Protocol v3 Enforcer)- Einstellungen festzulegen und DNP3 Enforcer-spezifische Profile zu definieren.
Seite 152: Informationen Zum Anpassen Des Erscheinungsbilds Der Tabelle Finden Sie Unter
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 4.4.3.1 DNP3-Profil [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die DNP3 Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, basierend auf den festgelegten Werten Datenpakete weiterzuleiten oder zu verwerfen. Information Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten...
Seite 153: Öffnet Das Fenster Kopieren, Um Eine Bestehende Tabellenzeile Zu Kopieren. Voraussetzung Ist, Dass Die Tabellenzeile Für Das Zu Kopierende Profil Ausgewählt Ist
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. Im Feld legen Sie eine neue Nummer fest, die das kopierte Profil identifiziert. Index ...
Seite 154 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] 1..317  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- DNP3 gelegte Index-Nummer enthalten. Dieses Feld ermöglicht Ihnen, folgende Optionen festzulegen: – Eine einzelne Index-Nummer mit einem einzelnen numerischen Wert, zum Beispiel 1. –...
Seite 155: Bedeutung Der Funktionscode-Liste-Werte
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] TCP-Reset Aktiviert/deaktiviert das Zurücksetzen der TCP-Verbindung im Falle einer Protokollverletzung oder wenn die Plausibilitätsprüfung einen Fehler erkennt. Mögliche Werte: markiert (Voreinstellung)  Das Zurücksetzen der TCP-Verbindung ist aktiv. Wenn das Gerät eine Protokollverletzung oder einen Fehler bei der Plausibilitätsprüfung erkennt, beendet es die TCP-Verbindung.
Seite 156: Delete File
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Profil ] Bedeutung Direct Operate Direct Operate-No Response Required Freeze Freeze-No Response Required Freeze Clear Freeze Clear-No Response Required Freeze at Time Freeze at Time-No Response Required Cold Restart Warm Restart Initialize Data Initialize Application Start Application...
Seite 157: 4.4.3.2 Dnp3-Objekt
Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] 4.4.3.2 DNP3-Objekt [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Die Funktion DNP3 verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die Funktion DNP3 verwendet Gruppennummern, um den Datentyp zu kategorisieren, und Variationsnummern, um festzulegen, wie die Daten innerhalb der Gruppe kodiert werden.
Seite 158 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Im Funktion-Feld legen Sie den Funktionscode fest. Der Funktionscode kennzeichnet den Zweck  der Nachricht. Voraussetzung ist, dass Sie im Feld einen gültigen Wert festgelegt Variation haben. Mögliche Werte: –...
Seite 159 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Variation Legt die Variation-Nummer fest. Voraussetzung ist, dass Sie im Feld einen gültigen Gruppen-Nr. Wert festgelegt haben. Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete DNP3 an, die den festgelegten Wert enthalten. Die Funktion DNP3 ermöglicht die Auswahl von Kodierungsformaten für den als Variation-Nummer bekannten Typ von Datenpaketen.
Seite 160 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] single_bit_packed  Wenn die Anzahl der Bit-Werte kein Vielfaches von 8 beträgt, dann füllt das Gerät die gepackten Einzelbit-Werte bis zur nächsten Byte-Grenze auf. double_bit_packed  Wenn die Anzahl der Doppelbit-Werte kein Vielfaches von 4 beträgt, dann füllt das Gerät die gepackten Doppelbit-Werte bis zur nächsten Byte-Grenze auf.
Seite 161 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 ASSIGN CLASS 0x00 0x01 0x06 0x17 0x28 READ 0x06 0x07...
Seite 162 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. DIRECT_OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE_NR 0x00 0x01 0x17 0x28 SELECT 0x07 0x08 OPERATE 0x07 0x08 DIRECT_OPERATE 0x07 0x08 DIRECT_OPERATE_NR...
Seite 163 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. FREEZE_CLEAR 0x00 0x01 0x06 0x17 0x28 FREEZE_CLEAR_NR 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME 0x00 0x01 0x06 0x17 0x28 FREEZE_AT_TIME_NR 0x00...
Seite 164 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 0x17 0x28 IMMEDIATE_FREEZE 0x00 0x01 0x06 0x17 0x28...
Seite 165 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x06 0x07 0x08 READ 0x00 0x01 0x06 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 WRITE 0x00...
Seite 166 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 OPERATE 0x00 0x01 0x17 0x28 DIRECT_OPERATE 0x00 0x01 0x17 0x28...
Seite 167 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE 0x00 0x01 0x17 0x28 READ 0x06 READ 0x06 0x07 0x08 ASSIGN_CLASS 0x06 ENABLE_UNSOLICITED...
Seite 168 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x06 0x17 0x28 WRITE QC_5B 0x5B WRITE QC_5B 0x5B READ 0x06 READ 0x00 0x01 0x06 0x17 0x28...
Seite 169 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 1: Request-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. READ 0x00 0x01 0x03 0x04 0x05 0x06 0x17 0x28 WRITE variation 0x00 0x01 0x03 0x04 0x05 0x17 0x28 ACTIVATE_CONFIGURATION variation 0x5B...
Seite 170 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE single_bit_packed 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 171 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x07 0x08 RESPONSE single_bit_packed 0x00 0x01 RESPONSE 0x17...
Seite 172 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17...
Seite 173 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28...
Seite 174 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28...
Seite 175 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 176 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x00 0x01 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE...
Seite 177 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17 0x28 UNSOLICITED_RESPONSE 0x17...
Seite 178 Netzsicherheit [ Netzsicherheit > DPI > DNP3 Enforcer > Objekt ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. RESPONSE 0x00 0x01 0x17 0x28 RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B UNSOLICITED_RESPONSE QC_5B 0x5B RESPONSE QC_5B 0x5B...
Seite 179: Deep Packet Inspection - Iec104 Enforcer
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Tab. 2: Response-Nachrichten (Forts.) Index Gruppe Variation Funktion Funktionsname Länge Qualifier n-Nr. UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 RESPONSE variation 0x00 0x01 0x17 0x28 UNSOLICITED_RESPONSE variation 0x00 0x01 0x17 0x28 4.4.4 Deep Packet Inspection - IEC104 Enforcer [ Netzsicherheit >...
Seite 180: Tabellen" Auf Seite
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Mögliche Werte: markiert  Mindestens eines der aktiven Enforcer-Profile, die im Gerät gespeichert sind, enthält IEC104 geänderte Einstellungen. unmarkiert  Enforcer-Profile, die auf den Datenstrom angewendet werden, stimmen mit den IEC104 Profilen überein, die im Gerät gespeichert sind.
Seite 181: Legt Einen Namen Oder Eine Beschreibung Für Das Profil Fest
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Index Zeigt die fortlaufende Nummer des Profils, auf das sich die Tabellenzeile bezieht. Beschreibung Legt einen Namen oder eine Beschreibung für das Profil fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen ...
Seite 182 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Originator-Adress-Liste Legt die Adressen fest, die den Ursprung der Datenpakete repräsentieren. Voraussetzung ist, dass Sie in Spalte den Wert festlegen. Cause of Transmission Size Mögliche Werte: <leer> (Voreinstellung)  Das Gerät lässt Datenpakete mit beliebiger Originator-Adresse zu. 0..255 ...
Seite 183 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] IEC_60870_5_101 zulassen Aktiviert/deaktiviert die in der IEC101-Spezifikation definierten Type-IDs. Mögliche Werte: markiert  Die in der IEC101-Spezifikation definierten Type-IDs sind aktiv. Das Gerät lässt die Type-ID-Werte zu – 2,4,6,8,10,12,14,16,17,18,19,103,104,105,106 zusammen mit den Type-IDs, die auf den in Spalte oder fest- Funktionstyp...
Seite 184: Bedeutung Der Erweiterte Type-Id-Liste-Werte
Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: markiert  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- IEC104 pakete an. unmarkiert  Das Profil ist inaktiv. [Erweiterte Type-ID-Liste] Erweiterte Type-ID-Liste...
Seite 185 Netzsicherheit [ Netzsicherheit > DPI > IEC104 Enforcer ] Bedeutung Event of protection equipment with time tag M_EP_TA_1 Packed start events of protection equipment with time tag M_EP_TB_1 Packed output circuit information of protection equipment with time tag M_EP_TC_1 Packed single-point information with status change detection M_PS_NA_1 Measured value, normalized value without quality descriptor M_ME_ND_1 Single point information with time tag CP56Time2a M_SP_TB_1 Double point information with time tag CP56Time2a M_DP_TB_1...
Seite 186: Deep Packet Inspection - Amp-Enforcer
Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer ] Bedeutung Parameter activation P_AC_NA_1 File ready F_FR_NA_1 Section ready F_SR_NA_1 Call directory, select file, call file, call section F_SC_NA_1 Last section, last segment F_LS_NA_1 Ack file, Ack section F_AF_NA_1 Segment F_SG_NA_1 F_DR_TA_1 QueryLog –...
Seite 187 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] 4.4.5.1 AMP Global [ Netzsicherheit > DPI > AMP Enforcer > Global ] In diesem Dialog legen Sie die globalen Einstellungen für das Enforcer-Profil fest. Protect-Modus Digitaler Eingang Aktiviert/deaktiviert die Steuerung der Protect-Funktion.
Seite 188: Tabellen" Auf Seite
Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Funktion Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Enforcer-Profile von den im Gerät gespei- cherten Profilen unterscheiden. Mögliche Werte: marked  Mindestens eines der aktiven Enforcer-Profile, die im Gerät gespeichert sind, enthält geän- derte Einstellungen.
Seite 189 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Global ] Taskcode Legt den benutzerdefinierten Taskcode für das Enforcer-Profil fest, repräsentiert durch 2 ASCII-Zeichen. Die Taskcodes sind die Kommando- oder Antwort-Nachrichten, die verknüpft sind mit: • einer Modifikation der Einstellungen, des Anwendungsprogramms oder des Betriebsmodus des Anlagenteils.
Seite 190: 4.4.5.2 Amp-Profil
Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] 4.4.5.2 AMP-Profil [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Dieser Dialog ermöglicht Ihnen, Profile für die Enforcer-Funktion anzulegen. Das Profil ermög- licht Ihnen, Datenpakete weiterzuleiten oder zu verwerfen, basierend auf den eingestellten Werten. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 191 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Protokoll Legt den TCP-Nutzlast-Protokolltyp der Datenpakete fest, auf die das Gerät das Profil anwendet. Das Gerät wendet das Profil ausschließlich auf Datenpakete an, die im Protokoll-Feld den festge- legten Wert enthalten. Mögliche Werte: camp ...
Seite 192 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet das Profil auf jedes Datenpaket an, ohne die Adressklasse zu bewerten. 0000..FFFF  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegten Adressklasse enthalten.
Seite 193 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Mögliche Werte: (Voreinstellung)  Das Gerät wendet das Profil auf jedes Datenpaket an, ohne die Speicheradresse zu bewerten. 0000..FFFF  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegte Spei- cheradresse enthalten.
Seite 194 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Das Gerät ermöglicht Ihnen, mehrere Taskcodes festzulegen. Führen Sie dazu die folgenden Schritte aus: Klicken Sie in die Spalte des betreffenden Profils. Taskcode  Der Dialog zeigt das Fenster Taskcode. Wählen Sie in der Dropdown-Liste den gewünschten Taskcode.
Seite 195 Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Zeichen für Blockprüfung Aktiviert/deaktiviert die Überprüfung der Block check characters, um die Prüfsumme in den CAMP- Datenpaketen zu validieren. Die Voraussetzungen sind: • In Spalte Protokoll ist der Wert camp festgelegt.
Seite 196: Bedeutung Der Taskcode-Werte
Netzsicherheit [ Netzsicherheit > DPI > AMP Enforcer > Profil ] Profil aktiv Aktiviert/deaktiviert das Profil. Mögliche Werte: marked  Das Profil ist aktiv. Das Gerät wendet die in dieser Tabellenzeile festgelegten Enforcer-Profile auf die Daten- pakete an. unmarked  Das Profil ist inaktiv.
Seite 197: Bedeutung Der Message-Typ-Werte
Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] Bedeutung Read Random Read Block Select Number of SF Module Task Codes Per Scan Read Number of SF Module Task Codes Per Scan Write VME Memory Area Block/Random Read VME Memory Area Block/Random Bedeutung der Message-Typ-Werte Bedeutung Module General Query Command...
Seite 198: Enip-Profil
Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer ] • Wildcard Service-Liste • (Programmable Controller Communication Commands) Embedded PCCC zulassen Das Menü enthält die folgenden Dialoge: ENIP-Profil  ENIP-Objekt  RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 199: Wenn Für Das Profil Das Kontrollkästchen Profil Aktiv Markiert Ist, Hindert Das Gerät Sie Daran, Das
Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] 4.4.6.1 ENIP-Profil [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] In diesem Dialog legen Sie die globalen Einstellungen für das ENIP Enforcer-Profil fest. Funktion Nicht angewendete Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten Enforcer-Profile von den im Gerät ENIP...
Seite 200: Wenn Sie Die Werte Im Feld Funktionstyp Geändert Haben, Dann Weist Das Gerät Dem Zugehörigen Profil Die Betreffenden Werte Zu
Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Kopieren Öffnet das Fenster Kopieren, um eine bestehende Tabellenzeile zu kopieren. Voraussetzung ist, dass die Tabellenzeile für das zu kopierende Profil ausgewählt ist. Im Feld legen Sie die neue Nummer des kopierten Profils fest. Index ...
Seite 201 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Embedded PCCC zulassen Aktiviert/deaktiviert DPI für PCCC-Nachrichten, die in Datenpaketen verpackt sind. PCCC-Nach- richten sind innerhalb des ENIP-Protokolls eingebettet. Das Aktivieren dieser Einstellung ist sinn- voll beim Absichern von Netzverkehr von und zu PLC-5- und MicroLogix- Controllern. Mögliche Werte: marked ...
Seite 202 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Profil ] Standard-Objektliste Legt die in der Standard-Objektliste verwenden Index-Nummern fest. Mögliche Werte:  Das Gerät wendet das ENIP Enforcer-Profil auf jedes Datenpaket an, unabhängig von der Index- Nummer. 1..347  Das Gerät wendet das Enforcer-Profil ausschließlich auf Datenpakete an, welche die fest- ENIP...
Seite 203: 4.4.6.2 Enip-Objekt
Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] 4.4.6.2 ENIP-Objekt [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Die ENIP-Funktion verwendet Objekte, um Werte und Informationen zwischen Geräten zu vermit- teln. Die ENIP-Funktion verwendet Class-IDs und Service-Codes, um festzulegen, wie die Daten innerhalb des Objekts codiert sind.
Seite 204 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Legt die benutzerdefinierten Class-IDs für das Enforcer-Profil fest. ENIP Mögliche Werte: 0x00..0xFFFFFFFF  Service-Codes Legt die Service-Codes fest. Mögliche Werte: 0x00..0x7F  Das Gerät wendet das Profil ausschließlich auf Datenpakete an, welche die festgelegten Service-Codes enthalten.
Seite 205 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x05 = Connection 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x11 = Find Next Object Instance 0x4B = Connection Bind 0x4C = Production Application Lookup...
Seite 206 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x0F = Parameter 0x01 = Get Attributes All 0x05 = Reset 0x0D = Apply Attributes 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member 0x4B = Get Enum String...
Seite 207 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x24 = Position Controller 0x0E = Get Attribute Single Supervisor Object 0x10 = Set Attribute Single 0x25 = Position Controller 0x0E = Get Attribute Single Object 0x10 = Set Attribute Single 0x26 = Block Sequencer Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single...
Seite 208 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x2E = Selection Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member 0x1A = Insert Member...
Seite 209 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x37 = File Object 0x06 = Start 0x07 = Stop 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x18 = Get Member...
Seite 210 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x42 = Motion Device Axis 0x03 = Get Attribute List Object 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x1C = GroupSync 0x4B = Get Axis Attributes List 0x4C = Set Axis Attributes List...
Seite 211 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x47 = Device Level Ring 0x01 = Get Attributes All (DLR) Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x4B = Verify Fault Location 0x4C = Clear Rapid Faults 0x4D = Restart Sign On...
Seite 212 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x53 = Power Management 0x01 = Get Attributes All Object 0x03 = Get Attribute List 0x04 = Set Attribute List 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member 0x19 = Set Member 0x4D = Power Management...
Seite 213 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Index Class-ID Service-Codes 0x300 = Module Diagnostics 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x301 = InputIOCnx 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x302 = Local Slaves 0x01 = Get Attributes All 0x0E = Get Attribute Single...
Seite 214 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x06 = Off-Link Connection 0x01 = Get Attributes All Manager 0x0E = Get Attribute Single 0x4C 0x4E = Forward Close 0x52 = Unconnected Send 0x54 = Forward Open 0x56 = Get Connection Data 0x57 = Search Connection Data 0x59...
Seite 215 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x24 = Position Controller 0x0E = Get Attribute Single Supervisor Object 0x25 = Position Controller 0x0E = Get Attribute Single Object 0x26 = Block Sequencer Object 0x0E = Get Attribute Single 0x27 = Command Block Object 0x0E = Get Attribute Single 0x28 = Motor Data Object...
Seite 216 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x42 = Motion Device Axis Object 0x03 = Get Attribute List 0x0E = Get Attribute Single 0x4B = Get Axis Attributes List 0x50 = Get Motor Test Data 0x52 = Get Inertia Test Data 0x54 = Get Hookup Test Data 0x43 = Time Sync Object...
Seite 217 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x54 = RSTP Bridge Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x55 = RSTP Port Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x91 = ANSI Extended Symbol 0x03 Segment...
Seite 218 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x405 = SNTP 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x406 = HSBY 0x01 = Get Attributes All 0x0E = Get Attribute Single [Liste der Class-IDs für den Funktionstyp read-write] Class-ID Service-Codes...
Seite 219 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x06 = Off-Link Connection 0x01 = Get Attributes All Manager 0x02 = Set Attributes All 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x4C 0x4E = Forward Close 0x52 = Unconnected Send 0x54 = Forward Open 0x56 = Get Connection Data...
Seite 220 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x10 = Parameter Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x12 = Group 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x1D = Discrete Input Group 0x01 = Get Attributes All...
Seite 221 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x28 = Motor Data Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x15 = Restore 0x16 = Save 0x29 = Control Supervisor Object 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x05 = Reset 0x2A = AC/DC Drive Object...
Seite 222 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x30 = S-Device Supervisor Object 0x05 = Reset 0x06 = Start 0x07 = Stop 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x4B = Abort 0x4C = Recover 0x4E = Perform Diagnostics 0x31 = S-Analog Sensor Object...
Seite 223 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x38 = S-Partial Pressure Object 0x01 = Get Attributes All 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x4B = Create Range 0x4C = Get Instance List 0x4D = Get Pressures 0x4E = Get All Pressures...
Seite 224 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x44 = Modbus Object 0x0E = Get Attribute Single 0x4B = Read Discrete Inputs 0x4C = Read Coils 0x4D = Read Input Registers 0x4E = Read Holding Registers 0x4F = Write Coils 0x50 = Write Holding Registers 0x51 = Modbus Passthrough...
Seite 225 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x4E = Base Energy Object 0x01 = Get Attributes All 0x03 = Get Attribute List 0x04 = Set Attribute List 0x05 = Reset 0x08 = Create 0x09 = Delete 0x0E = Get Attribute Single 0x10 = Set Attribute Single 0x18 = Get Member...
Seite 226 Netzsicherheit [ Netzsicherheit > DPI > ENIP Enforcer > Objekt ] Class-ID Service-Codes 0x91 = ANSI Extended Symbol 0x03 Segment 0x55 0x6B 0x55 0x6C 0x01 0xAC 0x01 0x4C 0xB2 0x08 0x4E 0x4F 0xF3 = Connection Configuration 0x01 = Get Attributes All Object 0x02 = Set Attributes All 0x08 = Create...
Seite 227: Dos
Netzsicherheit [ Netzsicherheit > DoS ] Class-ID Service-Codes 0x400 = Service Port Control 0x01 = Get Attributes All Object 0x0E = Get Attribute Single 0x401 = Dynamic IO Control Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x402 = Router Diagnostics Object 0x01 = Get Attributes All 0x0E = Get Attribute Single 0x403 = Router Routing Table...
Seite 228 Netzsicherheit [ Netzsicherheit > DoS > Global ] 4.5.1 DoS Global [ Netzsicherheit > DoS > Global ] In diesem Dialog legen Sie die DoS-Einstellungen für die Protokolle TCP/UDP, IP und ICMP fest. TCP/UDP Scanner nutzen Port-Scans, um Angriffe auf das Netz vorzubreiten. Der Scanner verwendet unter- schiedliche Techniken, um aktive Geräte und offene Ports zu ermitteln.
Seite 229 Netzsicherheit [ Netzsicherheit > DoS > Global ] SYN/FIN-Filter Aktiviert/deaktiviert den SYN/FIN-Filter. Das Gerät erkennt eingehende Datenpakete mit gleichzeitig gesetzten TCP-Flags SYN und FIN und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. TCP-Offset-Protection Aktiviert/deaktiviert den TCP-Offset-Schutz.
Seite 230 Netzsicherheit [ Netzsicherheit > DoS > Global ] Min.-Header-Size-Filter Aktiviert/deaktiviert den Minimal-Header-Filter. Der Minimal-Header-Filter vergleicht den TCP-Header von eingehenden Datenpaketen. Wenn der mit 4 multiplizierte Daten-Offset-Wert kleiner ist als die minimale TCP-Header-Größe, dann verwirft der Filter die Datenpakete. Mögliche Werte: markiert ...
Seite 231: Intrusion Detection System
Netzsicherheit [ Netzsicherheit > IDS ] Fragmentierte Pakete filtern Aktiviert/deaktiviert den Filter für fragmentierte ICMP-Pakete. Der Filter erkennt fragmentierte ICMP-Pakete und verwirft diese. Mögliche Werte: markiert  Der Filter ist aktiv. unmarkiert (Voreinstellung)  Der Filter ist inaktiv. Anhand Paket-Größe verwerfen Aktiviert/deaktiviert den Filter für eingehende ICMP-Pakete.
Seite 232: Bezeichnung Des Ports
Netzsicherheit [ Netzsicherheit > IDS ] Der TIV-Server wertet die vom Sensor Lite empfangenen Daten aus. Wenn der TIV-Server eine ungewöhnliche oder potenziell unsichere Aktivität im Datenstrom erkennt, dann zeigt das Dash- board des TIV-Servers Alarmmeldungen basierend auf dem Verhaltensmuster der Datenpakete. Dies hilft dabei, Bedrohungen kontinuierlich und zeitnah zu erkennen.
Seite 233 Netzsicherheit [ Netzsicherheit > IDS ] Benutzer-Details IDS-Benutzername Legt das lokale Benutzerkonto fest, das mit der Funktion verknüpft ist. Die Funktion arbeitet mit den Zugriffsrechten dieses Benutzerkontos. Mögliche Werte: <Name des Benutzerkontos>  Die Dropdown-Liste zeigt die lokalen Benutzerkonten mit der Zugriffsrolle administrator. Wenn Sie dem ausgewählten Benutzerkonto im Dialog eine Gerätesicherheit >...
Seite 234: Virtual Private Network
Virtual Private Network [ Virtual Private Network > Übersicht ] 5 Virtual Private Network Das Menü enthält die folgenden Dialoge: VPN Übersicht  VPN Zertifikate  VPN Verbindungen  VPN Übersicht [ Virtual Private Network > Übersicht ] Virtuelle private Netzwerke (VPN) gewährleisten eine sichere Kommunikation für entfernte Benutzer oder Zweigniederlassungen und bieten ihnen die Möglichkeit, eine Verbindung mit Servern in anderen Zweigniederlassungen oder sogar anderen Unternehmen, die öffentliche Netze nutzen, herzustellen.
Seite 235: Verbindung
Virtual Private Network [ Virtual Private Network > Übersicht ] Verbindung Verbindungen (max.) Zeigt die maximale Anzahl der unterstützten VPN-Tunnel. Das Gerät schränkt die maximale Anzahl von aktiven VPN-Tunneln auf die unter festgelegte Menge ein. Max. Aktive Verbindungen Max. Aktive Verbindungen Zeigt die maximale Anzahl der aktiven VPN-Tunnel, die unterstützt werden.
Seite 236 Virtual Private Network [ Virtual Private Network > Übersicht ] Startup Zeigt die Ausgangsrolle zur Aushandlung des Schlüsselaustauschs für den VPN-Tunnel. Mögliche Werte: initiator  Wenn Sie das Gerät als Initiator für den VPN-Tunnel festlegen, dann initiiert das Gerät aktiv den Internet Key Exchange (IKE) und die Parameterverhandlung.
Seite 237 Virtual Private Network [ Virtual Private Network > Übersicht ] Lokaler Host Zeigt den Namen und/oder die IP-Adresse des lokalen Hosts, den das Gerät mittels IKE erkannt hat. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Ferner Host Zeigt den Namen und/oder die IP-Adresse des entfernten Hosts, die das Gerät mittels IKE erkannt hat.
Seite 238: Zeigt Den Benutzerdefinierten Namen Für Den Vpn-Tunnel
Virtual Private Network [ Virtual Private Network > Übersicht ] [Diagnose] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite VPN index Zeigt den Index der Tabellenzeile zur eindeutigen Identifizierung eines VPN-Tunnels. VPN Beschreibung Zeigt den benutzerdefinierten Namen für den VPN-Tunnel.
Seite 239 Virtual Private Network [ Virtual Private Network > Übersicht ] negotiation  Wenn Sie den VPN-Tunnel für diese Instanz als Initiator festlegen, gibt der Wert an, dass der Schlüsselaustausch und der Verhandlungsalgorithmus laufen. Wenn der VPN-Tunnel für diese Instanz der Responder ist, dann gibt der Wert an, dass der VPN-Tunnel auf den Beginn des Prozesses wartet.
Seite 240 Virtual Private Network [ Virtual Private Network > Übersicht ] Tunnel status Zeigt den gegenwärtigen Betriebsstatus des IPsec-Tunnels. Mögliche Werte: unbekannt  Der IPsec-Vorschlag wird ausgeführt. Für diese IPsec-SA wurden keine Traffic-Selectors oder Sicherheitsparameter ausgehandelt. created  Schlüsselaustausch und Algorithmus für die Aushandlung ist für diese IPsec-SA abge- schlossen, der Tunnel ist jedoch inaktiv.
Seite 241 Virtual Private Network [ Virtual Private Network > Übersicht ] IPsec Tunnel-Input [Pakete] Zeigt die Anzahl der in diesem VPN-Tunnel empfangenen Pakete. IPsec-Daten zuletzt empfangen [s] Zeigt die Zeit in Sekunden, die seit dem letzten Empfang von Daten im VPN-Tunnel vergangen ist. IPsec Tunnel-Output [Byte] Zeigt die Anzahl der in diesen VPN-Tunnel gesendeten Bytes.
Seite 242 Virtual Private Network [ Virtual Private Network > Übersicht ] Letzter Verbindungsfehler Zeigt die letzte für diesen VPN-Tunnel aufgetretene Fehlerbenachrichtigung. Wenn die Verbindung inaktiv ist, hilft Ihnen dieser Wert dabei, erkannte Fehler zu isolieren. Dieser Wert hilft Ihnen, zu bestimmten, ob ein erkannter Fehler im Vorschlagsaustausch oder während des Tunnelaufbaus aufgetreten ist.
Seite 243: Vpn Zertifikate
Virtual Private Network [ Virtual Private Network > Zertifikate ] VPN Zertifikate [ Virtual Private Network > Zertifikate ] Eine Zertifizierungsstelle (CA) stellt Zertifikate zur Authentifizierung der Identität von Geräten aus, die einen VPN-Tunnel anfordern. Sie konfigurieren die Geräte, die einen VPN-Tunnel bilden, dahingehend, dass sie die CA, welche das Zertifikat signiert hat, als vertrauenswürdig einstufen.
Seite 244 Virtual Private Network [ Virtual Private Network > Zertifikate ] Index Zeigt den Index der Tabellenzeile des Zertifikatseintrages. Mögliche Werte: 1..100  Dateiname Zeigt den Namen der auf das Gerät hochgeladenen Datei. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..64 Zeichen  Betreff Zeigt das Betrefffeld des Zertifikats.
Seite 245 Virtual Private Network [ Virtual Private Network > Zertifikate ] pkcs12  Der Wert gibt an, dass die hochgeladene Datei ein p12-Paket ist. encryptedkey  Der Wert gibt an, dass die hochgeladene Datei eine Schlüsseldatei mit Kennwortverschlüsse- lung ist. encryptedpkcs12 ...
Seite 246: Vpn Verbindungen
Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Verbindungen [ Virtual Private Network > Verbindungen ] Dieser Dialog ermöglicht Ihnen das Anlegen, Löschen und Bearbeiten von VPN-Tunneln. Anmerkung: Das Gerät verwendet Software für die Verschlüsselung vom Typ DES- und AES- Galois/Counter-Mode (GCM).
Seite 247: Vpn Index
Virtual Private Network [ Virtual Private Network > Verbindungen ] VPN Beschreibung Legt den benutzerdefinierten Namen für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Traffic selector index Zeigt den Indexwert, der zusammen mit dem Wert in Spalte den Eintrag in der Traffic- VPN index Selektor-Tabelle identifiziert.
Seite 248 Virtual Private Network [ Virtual Private Network > Verbindungen ] Quell-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich der Quellen auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät sendet ausschließlich den fest- gelegten Datentyp durch den VPN-Tunnel. Beispiele: •...
Seite 249 Virtual Private Network [ Virtual Private Network > Verbindungen ] ikev1  Das VPN startet mit dem Protokoll IKEv1 (ISAKMP). ikev2  Das VPN startet mit dem Protokoll IKEv2. Startup Legt fest, ob das Gerät mit dieser Instanz als Responder oder Initiator startet. Wenn Sie den lokalen Peer als Responder festlegen und der entfernte Peer Datenverkehr an einen bestimmten Selektor sendet, versucht das Gerät, als Responder die Verbindung herzustellen.
Seite 250 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. Authentifizierungs-Typ Legt den Authentifizierungstyp fest, den das Gerät verwendet. Mögliche Werte: (Voreinstellung) ...
Seite 251 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE auth. cert. CA Legt den Namen der Zertifizierungsstelle fest, die das Zertifikat ausstellt hat. Das Gerät verwendet dieses Zertifikat zur Zertifizierung der Signatur der lokalen und entfernten Zertifikate. Vorausset- zung um diesen Parameter zu verwenden ist, dass Sie in Spalte Authentifizierungs-Typ den Wert...
Seite 252 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Verschlüsselter Key/PKCS12-Passphrase Legt die Passphrase fest, die das Gerät für die Entschlüsselung des privaten Schlüssels verwendet, der in Spalte oder im pkcs12-Zertifikat-Container festgelegt ist. Encrypted private key Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen...
Seite 253 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: <leer> (Voreinstellung)  Wenn Sie in Spalte den Wert festlegen, dann legen Sie den Wert unter IKE Local-Identifier-Typ Verwendung einer der folgenden Möglichkeiten fest: – Eine IPv4-Adresse oder ein DNS-Hostname –...
Seite 254 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE key agreement Legt fest, welchen Diffie-Hellman- (DH-) Algorithmus zur Schlüsselvereinbarung das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet. Mögliche Werte:  Das Gerät akzeptiert jeden Algorithmus, wenn das Gerät als Responder festgelegt wurde. (Voreinstellung) modp1024 ...
Seite 255 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE encryption Legt den IKE-Verschlüsselungsalgorithmus fest, den das Gerät verwendet. Mögliche Werte:  Wenn Sie das Gerät als Responder festlegen, akzeptiert das Gerät jeden Algorithmus. Wenn Sie das Gerät als Initiator festlegen, verwendet das Gerät verschiedene vordefinierte Algo- rithmen.
Seite 256 Virtual Private Network [ Virtual Private Network > Verbindungen ] Re-authentication Aktiviert/deaktiviert die Peer-Neuauthentifizierung nach einer IKE-SA-Schlüssel-Erzeugung. Wenn Sie in Spalte den Wert festlegen, dann nimmt das Gerät stets die erneute Authenti- Version ikev1 fizierung des VPN-Tunnels vor, selbst wenn Sie die Markierung des Kontrollkästchens aufheben. Mögliche Werte: markiert ...
Seite 257 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt den Algorithmus für die IPsec-Integrität (MAC) fest, den das Gerät für die Instanz verwendet. Um die Dateien im VPN zu sichern, mischt (hasht) der Hash-based Message Authentication Code- (HMAC-) Prozess im sendenden Gerät die Nachrichtendaten mit einem gemeinsamen geheimen Schlüssel.
Seite 258 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128ctr  AES-CTR mit 128 Schlüssel-Bits. aes192ctr  AES-CTR mit 192 Schlüssel-Bits. aes256ctr  AES-CTR mit 256 Schlüssel-Bits. aes128gcm64  Das Gerät verwendet AES-Galois/Counter Mode (GCM) mit einem 64-Bit-ICV (Integrity Check Value) und 128 Schlüssel-Bits.
Seite 259 Virtual Private Network [ Virtual Private Network > Verbindungen ] Log informational entries Aktiviert/deaktiviert Protokolleinträge ausschließlich für die Fehlersuche. Mögliche Werte: markiert  Das Gerät empfängt und verarbeitet die Informationsnachrichten für diesen VPN-Tunnel und trägt die Nachricht in das Ereignisprotokoll ein. (Voreinstellung) unmarkiert ...
Seite 260: Authentifizierung
Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: 1..256  VPN Beschreibung Legt die benutzerdefinierte Beschreibung für den VPN-Tunnel fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Authentifizierung In den folgenden Registerkarten können Sie für jeden VPN-Tunnel die Authentifizierungsmethoden festlegen: Authentifizierung - Pre-shared Key ...
Seite 261: Authentifizierung - Pkcs
Virtual Private Network [ Virtual Private Network > Verbindungen ] Authentifizierung - X.509 IKE auth. cert. local Legt den Namen des im Zertifikat eingetragenen lokalen Peers fest. Das Gerät verwendet dieses Zertifikat zur Authentifizierung des lokalen Peers auf der entfernten Seite. Das Zertifikat bindet die Identität des lokalen Peers an den festgelegten öffentlichen Schlüssel, den die im Feld IKE auth.
Seite 262 Virtual Private Network [ Virtual Private Network > Verbindungen ] verwendet, der im Feld Encrypted private key festgelegt ist. Sie können die Passphrase anzeigen, indem Sie das Symbol klicken. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 0..128 Zeichen  Endpoint and traffic selectors Lokaler Endpunkt Legt den Hostnamen oder die IP-Adresse des lokalen IPsec-VPN-Tunnel-Endpunktes fest.
Seite 263 Virtual Private Network [ Virtual Private Network > Verbindungen ] Add traffic selector Beschreibung Traffic-Selector Legt die benutzerdefinierte Beschreibung für den Traffic-Selektor fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..128 Zeichen  Quell-Adresse (CIDR) Legt IP-Adresse und Netzmaske des Quell-Hosts fest. Wenn das Gerät über einen VPN-Tunnel Pakete weiterleitet, welche diese IP-Quelladresse enthalten, wendet das Gerät die in diesem Feld festgelegten Einstellungen an.
Seite 264: Advanced Configuration
Virtual Private Network [ Virtual Private Network > Verbindungen ] Ziel-Einschränkungen Legt die optionalen Einschränkungen hinsichtlich des Ziels auf der Grundlage von Namen oder Zahlen fest, die für <Protokoll/Port> festgelegt sind. Das Gerät erwartet vom VPN-Tunnel ausschließlich den festgelegten Datentyp. Beispiele: •...
Seite 265 Virtual Private Network [ Virtual Private Network > Verbindungen ] Advanced configuration - IKE/Key-exchange Version Legt die Version des IKE-Protokolls für die VPN-Verbindung fest. Mögliche Werte: auto (Voreinstellung)  Das VPN startet mit dem Protokoll IKEv2 als Initiator und akzeptiert IKEv1/v2 als Responder. ikev1 ...
Seite 266 Virtual Private Network [ Virtual Private Network > Verbindungen ] IKE Local-Identifier-Typ Legt den Typ der lokalen Peer-Kennung fest, die das Gerät für den Parameter IKE local IDver- wendet. Mögliche Werte: default (Voreinstellung)  Das Verhalten ist abhängig von dem Wert, den Sie für die folgenden Authentifizierungsme- thoden festlegen: –...
Seite 267 Virtual Private Network [ Virtual Private Network > Verbindungen ] Ferner Identifier-Typ Legt den Typ der entfernten Peer-Kennung fest, die das Gerät für den Parameter Remote-IDver- wendet. Mögliche Werte: (Voreinstellung)  Das Gerät akzeptiert jede empfangene Kennung ohne weitergehende Überprüfung. address ...
Seite 268 Virtual Private Network [ Virtual Private Network > Verbindungen ] Mögliche Werte: main (Voreinstellung)  Der Hauptmodus für Phase 1 bietet Identitätsschutz. aggressive  Zur Reduzierung von Roundtrips verwenden Sie den Aggressive Mode. IKE key agreement Legt fest, welchen Diffie-Hellman- (DH-) Algorithmus zur Schlüsselvereinbarung das Gerät zur Ermittlung des IKE-SA-Sitzungsschlüssels verwendet.
Seite 269 Virtual Private Network [ Virtual Private Network > Verbindungen ] hmacsha384  Das Gerät verwendet SHA-384 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät auf der Grundlage einer kürzeren Version von SHA-512 berechnet. hmacsha512  Das Gerät verwendet SHA-512 (Teil der Version-2-Familie) zur Berechnung der Hash-Funktion, die das Gerät mit 64-Bit-Wörtern berechnet.
Seite 270 Virtual Private Network [ Virtual Private Network > Verbindungen ] IPsec integrity (MAC) Legt den Algorithmus für die IPsec-Integrität (MAC) fest, den das Gerät für die Instanz verwendet. Um die Dateien im VPN zu sichern, mischt (hasht) der Hash-based Message Authentication Code- (HMAC-) Prozess im sendenden Gerät die Nachrichtendaten mit einem gemeinsamen geheimen Schlüssel.
Seite 271 Virtual Private Network [ Virtual Private Network > Verbindungen ] aes128ctr  AES-CTR mit 128 Schlüssel-Bits. aes192ctr  AES-CTR mit 192 Schlüssel-Bits. aes256ctr  AES-CTR mit 256 Schlüssel-Bits. aes128gcm64  AES-GCM mit einem 64-Bit-ICV und 128 Schlüssel-Bits. aes128gcm96  AES-GCM mit einem 96-Bit-ICV und 128 Schlüssel-Bits. aes128gcm128 ...
Seite 272 Virtual Private Network [ Virtual Private Network > Verbindungen ] modp4096  Der Wert stellt einen RSA-Algorithmus mit 4096-Bit-Modulus dar, der zur DH-Gruppe DH- Gruppe 16 gehört. kein  Das Gerät schaltet die Funktion PFS aus. Das Ausschalten der Funktion PFSwird als Verlet- zung der Vertraulichkeit und daher als ein Sicherheitsrisiko betrachtet.
Seite 273 Virtual Private Network 5.3 VPN Verbindungen RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 274: Switching
Switching [ Switching > Global ] 6 Switching Das Menü enthält die folgenden Dialoge: Switching Global  Lastbegrenzer  Filter für MAC-Adressen  QoS/Priority  VLAN  Switching Global [ Switching > Global ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: Aging-Time der Adresstabelle ändern ...
Seite 275 Switching [ Switching > Global ] Die Adresstabelle finden Sie im Dialog Switching > Filter für MAC-Adressen. Im Zusammenhang mit der Router-Redundanz wählen Sie eine Zeit ≥ 30 s. Flusskontrolle Aktiviert/deaktiviert die Flusskontrolle im Gerät. Mögliche Werte: markiert  Die Flusskontrolle ist im Gerät aktiviert. Aktivieren Sie die Flusskontrolle zusätzlich auf den erforderlichen Ports.
Seite 276: Tabellen" Auf Seite
Switching [ Switching > Lastbegrenzer ] Lastbegrenzer [ Switching > Lastbegrenzer ] Das Gerät ermöglicht Ihnen, den Datenverkehr an den Ports zu begrenzen, um auch bei hohem Datenverkehr einen stabilen Betrieb zu ermöglichen. Wenn der Verkehr an einem Port den einge- gebenen Grenzwert überschreitet, dann verwirft das Gerät die Überlast auf diesem Port.
Seite 277 Switching [ Switching > Lastbegrenzer ] Broadcast-Grenzwert Legt den Grenzwert für empfangene Broadcasts auf diesem Port fest. Mögliche Werte: 0..14880000 (Voreinstellung: 0)  Der Wert deaktiviert die Lastbegrenzerfunktion auf diesem Port. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Grenzwert Einheit Prozent ...
Seite 278 Switching [ Switching > Lastbegrenzer ] Unicast-Grenzwert Legt den Grenzwert für empfangene Unicasts mit unbekannter Zieladresse auf diesem Port fest. Mögliche Werte: 0..14880000 (Voreinstellung: 0)  Der Wert deaktiviert die Lastbegrenzerfunktion auf diesem Port. Wenn Sie in Spalte den Wert auswählen, dann geben Sie einen Grenzwert Einheit Prozent...
Seite 279: Filter Für Mac-Adressen
Switching [ Switching > Filter für MAC-Adressen ] Filter für MAC-Adressen [ Switching > Filter für MAC-Adressen ] Dieser Dialog ermöglicht Ihnen, Adressfilter für die Adresstabelle anzuzeigen und zu bearbeiten. Adressfilter legen die Vermittlungsweise der Datenpakete im Gerät anhand der Ziel-MAC-Adresse fest.
Seite 280: Qos/Priority
Switching [ Switching > QoS/Priority ] VLAN-ID Zeigt die ID des VLANs, für das die Tabellenzeile gilt. Das Gerät lernt die MAC-Adressen für jedes VLAN separat (Independent VLAN Learning). Status Zeigt, auf welche Weise das Gerät den Adressfilter eingerichtet hat. Mögliche Werte: learned ...
Seite 281: Qos/Priority Global
Switching [ Switching > QoS/Priority ] Anmerkung: Wenn Sie die Funktionen in diesem Menü nutzen, dann schalten Sie die Flusskont- rolle aus. Die Flusskontrolle ist ausgeschaltet, wenn im Dialog Global, Rahmen Switching > Konfigu- ration, das Kontrollkästchen unmarkiert ist. Flusskontrolle Das Menü...
Seite 282 Switching [ Switching > QoS/Priority > Global ] 6.4.1 QoS/Priority Global [ Switching > QoS/Priority > Global ] Das Gerät ermöglicht Ihnen, auch in Situationen mit großer Netzlast Zugriff auf das Management des Geräts zu behalten. In diesem Dialog legen Sie die dazu notwendigen QoS-/Priorisierungsein- stellungen fest.
Seite 283: Qos/Priorität Port-Konfiguration
Switching [ Switching > QoS/Priority > Port-Konfiguration ] 6.4.2 QoS/Priorität Port-Konfiguration [ Switching > QoS/Priority > Port-Konfiguration ] In diesem Dialog legen Sie für jeden Port fest, wie das Gerät empfangene Datenpakete anhand ihrer QoS-/Prioritätsinformation verarbeitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 284: D/P Zuweisung
Switching [ Switching > QoS/Priority > 802.1D/p Zuweisung ] 6.4.3 802.1D/p Zuweisung [ Switching > QoS/Priority > 802.1D/p Zuweisung ] Das Gerät vermittelt Datenpakete mit VLAN-Tag anhand der enthaltenen QoS-/Priorisierungsinfor- mation mit hoher oder mit niedriger Priorität. In diesem Dialog sehen Sie, welche VLAN-Priorität welcher Verkehrsklasse zugewiesen ist. Die Verkehrsklassen sind den Warteschlangen der Ports (Prioritäts-Queues) fest zugewiesen.
Seite 285: Network Control
Switching [ Switching > VLAN ] VLAN-Priorität Inhaltskennzeichnung gemäß IEEE 802.1D Verkehrsklasse Video Bildübertragung mit Verzögerungen und Jitter < 100 ms Voice Sprachübertragung mit Verzögerungen und Jitter < 10 ms Network Control Daten für Netzmanagement und Redundanzmechanismen VLAN [ Switching > VLAN ] Mit VLAN (Virtual Local Area Network) verteilen Sie den Datenverkehr im physischen Netz auf logi- sche Teilnetze.
Seite 286: Vlan Global
Switching [ Switching > VLAN > Global ] 6.5.1 VLAN Global [ Switching > VLAN > Global ] Dieser Dialog ermöglicht Ihnen, sich allgemeine VLAN-Parameter des Geräts anzusehen. Konfiguration Schaltflächen VLAN-Einstellungen zurücksetzen Versetzt die VLAN-Einstellungen des Geräts in den Voreinstellung. Beachten Sie, dass Sie Ihre Verbindung zum Gerät trennen, wenn Sie im Dialog die VLAN-ID für das Management des Geräts geändert haben.
Seite 287: Vlan Konfiguration
Switching [ Switching > VLAN > Konfiguration ] 6.5.2 VLAN Konfiguration [ Switching > VLAN > Konfiguration ] In diesem Dialog verwalten Sie die VLANs. Um ein VLAN einzurichten, erzeugen Sie eine weitere Tabellenzeile. Dort legen Sie für jeden Port fest, ob er Datenpakete des betreffenden VLANs vermittelt und ob die Datenpakete ein VLAN-Tag enthalten.
Seite 288 Switching [ Switching > VLAN > Konfiguration ] Erstellungszeit Zeigt, seit wann das VLAN eingerichtet ist. Das Feld zeigt den Zeitstempel der Betriebszeit (System Uptime). Name Legt die Bezeichnung des VLANs fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  <Port-Nummer>...
Seite 289: Vlan Port
Switching [ Switching > VLAN > Port ] 6.5.3 VLAN Port [ Switching > VLAN > Port ] In diesem Dialog legen Sie fest, wie das Gerät empfangene Datenpakete behandelt, die kein VLAN-Tag haben oder deren VLAN-Tag von der VLAN-ID des Ports abweicht. Dieser Dialog ermöglicht Ihnen, den Ports ein VLAN zuzuweisen und damit die Port-VLAN-ID fest- zulegen.
Seite 290 Switching [ Switching > VLAN > Port ] Ingress-Filtering Aktiviert/deaktiviert die Eingangsfilterung. Mögliche Werte: markiert (Voreinstellung)  Die Eingangsfilterung ist aktiv. Das Gerät vergleicht die im Datenpaket enthaltene VLAN-ID mit den VLANs, in denen der Port Mitglied ist. Siehe Dialog Konfiguration.
Seite 291 Switching 6.5.3 VLAN Port RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 292: Routing
Routing [ Routing > Global ] 7 Routing Das Menü enthält die folgenden Dialoge: Routing Global  Routing-Interfaces   Open Shortest Path First  Routing-Tabelle  Tracking  L3-Relay  Loopback-Interface  L3-Redundanz   Routing Global [ Routing > Global ] Das Menü...
Seite 293 Routing [ Routing > Global ] ICMP-Filter Im Rahmen haben Sie die Möglichkeit, die Übertragung von ICMP-Nachrichten auf den ICMP-Filter eingerichteten Router-Interfaces zu begrenzen. Eine Begrenzung ist aus mehreren Gründen sinn- voll: • Eine große Anzahl von „ICMP error message“-Nachrichten belastet die Leistung des Routers und reduziert die verfügbare Bandbreite im Netz.
Seite 294: Routing-Interfaces
Routing [ Routing > Interfaces ] Mögliche Werte: 0..2147483647 (Voreinstellung: 1000)  Rate limit burst size Zeigt die maximale Anzahl von ICMP-Datenpaketen, die das Gerät während eines Bursts an jeden Empfänger sendet. Mögliche Werte:  Information Default-TTL Zeigt den fest eingestellten TTL-Wert 64, den das Gerät in IP-Pakete einfügt, die das Management des Geräts sendet.
Seite 295: Informationen Zum Anpassen Des Erscheinungsbilds Der Tabelle Finden Sie Unter
Routing [ Routing > Interfaces > Konfiguration ] 7.2.1 Routing-Interfaces Konfiguration [ Routing > Interfaces > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Einstellungen für die Router-Interfaces festzulegen. Um ein Port-basiertes Router-Interface einzurichten, bearbeiten Sie die Tabellenzeilen. Um ein VLAN-basiertes Router-Interface einzurichten, verwenden Sie das Fenster Wizard. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 296: Aktiviert/Deaktiviert Den Port
Routing [ Routing > Interfaces > Konfiguration ] Port an Aktiviert/deaktiviert den Port. Mögliche Werte: markiert (Voreinstellung)  Der Port ist aktiv. unmarkiert  Der Port ist inaktiv. Der Port sendet und empfängt keine Daten. Status Port Zeigt den Betriebszustand des Ports. Mögliche Werte: ...
Seite 297: Mögliche Werte: Markiert
Routing [ Routing > Interfaces > Konfiguration ] Mögliche Werte: markiert  Die Funktion ist aktiv. Routing – Beim Port-basierten Routing wandelt das Gerät den Port in ein Router-Interface um. Das Aktivieren der Funktion entfernt den Port aus den VLANs, in denen er bisher Routing Mitglied war.
Seite 298: Vlan Erstellen Oder Auswählen
Routing [ Routing > Interfaces > Konfiguration ] ICMP redirects Zeigt, ob auf dem Router-Interface das Senden von „ICMP Redirect“-Nachrichten aktiv ist. Mögliche Werte: markiert  Das Router-Interface sendet „ICMP Redirect“-Nachrichten. unmarkiert (Voreinstellung)  Das Router-Interface sendet keine „ICMP Redirect“-Nachrichten. [Wizard: VLAN-Router-Interface einrichten] Das Fenster...
Seite 299: Virtuellen Router-Port Einrichten
Routing [ Routing > Interfaces > Konfiguration ] <Port-Nummer> Zeigt die Nummer des Ports. Member Aktiviert/deaktiviert die Mitgliedschaft des Ports im VLAN. Als Mitglied des VLANs gehört der Port zum einzurichtenden Router-Interface. Diese Einstellung überschreibt die im Dialog Switching > VLAN >...
Seite 300 Routing [ Routing > Interfaces > Konfiguration ] Primäre Adresse Adresse Legt die primäre IP-Adresse für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Netzmaske Legt die primäre Netzmaske für das Router-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0) ...
Seite 301 Routing [ Routing > Interfaces > Sekundäre Interface-Adressen ] 7.2.2 Routing-Interfaces Sekundäre Interface-Adressen [ Routing > Interfaces > Sekundäre Interface-Adressen ] Dieser Dialog ermöglicht Ihnen, den Router-Interfaces weitere IP-Adressen zuzuweisen. Verwenden Sie diese Funktion, um ein Router-Interface an mehrere Subnetze anzubinden. Das Gerät ermöglicht Ihnen, für ein Router-Interface bis zu 2 IP-Adressen (1 primäre, 1 weitere) und insgesamt bis zu 64 IP-Adressen einzurichten.
Seite 302: Arp
Routing [ Routing > ARP ] Netzmaske Zeigt die primäre Netzmaske des Router-Interfaces. Siehe Dialog Routing > Interfaces > Konfigura- tion. Weitere IP-Adresse Zeigt weitere IP-Adressen, die dem Router-Interface zugewiesen sind. Weitere Netzmaske Zeigt weitere Netzmasken, die dem Router-Interface zugewiesen sind. [ Routing >...
Seite 303 Routing [ Routing > ARP > Global ] 7.3.1 ARP Global [ Routing > ARP > Global ] Dieser Dialog ermöglicht Ihnen, die ARP-Parameter einzustellen und statistische Größen zu betrachten. Konfiguration Aging-Time [s] Legt die durchschnittliche Zeit in Sekunden fest, nach der das Gerät einen Eintrag aus der ARP- Tabelle entfernt.
Seite 304 Routing [ Routing > ARP > Global ] Einträge (max.) Zeigt, wie viele Einträge die ARP-Tabelle maximal enthalten kann. Spitzenwert Zeigt, wie viele Einträge die ARP-Tabelle bereits maximal enthalten hat. Um den Zähler auf den Wert zurückzusetzen, klicken Sie im Dialog Routing >...
Seite 305: Arp Aktuell
Routing [ Routing > ARP > Aktuell ] 7.3.2 ARP Aktuell [ Routing > ARP > Aktuell ] Dieser Dialog ermöglicht Ihnen, die ARP-Tabelle einzusehen und die dynamisch eingerichteten Einträge zu löschen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 306 Routing [ Routing > ARP > Aktuell ] statisch  Statisch eingerichteter Eintrag. Der Eintrag bleibt erhalten, wenn Sie mit der Schaltfläche die dynamisch eingerichteten Adressen aus der ARP-Tabelle entfernen. lokal  Kennzeichnet die IP/MAC-Adresszuweisung des Router-Interfaces. invalid  Ungültiger Eintrag. RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 307: Arp Statisch
Routing [ Routing > ARP > Statisch ] 7.3.3 ARP Statisch [ Routing > ARP > Statisch ] Dieser Dialog ermöglicht Ihnen, selbst festgelegte IP/MAC-Adresszuweisungen in die ARP-Tabelle einzufügen. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 308: Arp-Tabelle Bearbeiten
Routing [ Routing > ARP > Statisch ] [Wizard: ARP Das Fenster ermöglicht Ihnen, die IP/MAC-Adresszuweisungen in die ARP-Tabelle einzu- Wizard fügen. Voraussetzung ist, dass mindestens 1 Router-Interface eingerichtet ist. ARP-Tabelle bearbeiten Führen Sie die folgenden Schritte aus: Legen Sie die IP-Adresse und die zugeordnete MAC-Adresse fest. ...
Seite 309: Open Shortest Path First
Routing [ Routing > OSPF ] IP-Adresse Legt die IP-Adresse des statischen ARP-Eintrags fest. Mögliche Werte: Gültige IPv4-Adresse  MAC-Adresse Legt die MAC-Adresse fest, die das Gerät beim Antworten auf eine ARP-Anfrage der IP-Adresse zuweist. Mögliche Werte: Gültige MAC-Adresse  Open Shortest Path First [ Routing >...
Seite 310: Ospf Global
Routing [ Routing > OSPF ] Das Menü enthält die folgenden Dialoge: OSPF Global  OSPF Areas  OSPF Stub Areas  OSPF Not So Stubby Areas  OSPF Interfaces  OSPF Virtual Links  OSPF Ranges  OSPF Diagnose ...
Seite 311: Ospf Global
Routing [ Routing > OSPF > Global ] 7.4.1 OSPF Global [ Routing > OSPF > Global ] Dieser Dialog ermöglicht Ihnen, die Grundeinstellungen für OSPF festzulegen. Das Menü enthält die folgenden Dialoge: [Allgemein]  [Konfiguration]  [Redistribution]  [Allgemein] Diese Registerkarte ermöglicht Ihnen, im Gerät einzuschalten und die Netzparameter fest- OSPF...
Seite 312 Routing [ Routing > OSPF > Global ] Konfiguration Router-ID Legt die eindeutige Kennung für den Router im autonomen System (AS) fest. Es beeinflusst die Wahl der Designated Router (DR) und der Backup Designated Router (BDR). Verwenden Sie idea- lerweise die IP -Adresse eines Router-Interfaces im Gerät. Mögliche Werte: (Voreinstellung: 0.0.0.0) <IP-Adresse eines Interfaces>...
Seite 313 Routing [ Routing > OSPF > Global ] Standard-Metrik Legt den voreingestellten Metrik-Wert für die Funktion fest. OSPF Mögliche Werte: (Voreinstellung)  Die Funktion OSPF weist aus externen Routen gelernten Quellen (statisch oder direkt verbunden) automatisch Kosten von 20 zu. 1..16777214 ...
Seite 314 Routing [ Routing > OSPF > Global ] Information ASBR status Zeigt, ob das Gerät als Autonomous System Boundary Router (ASBR) arbeitet. Mögliche Werte: markiert  Der Router ist ein ASBR. unmarkiert  Der Router funktioniert in einer anderen Rolle als in der Rolle eines ASBR. ABR status Zeigt, ob das Gerät als Area Border Router (ABR) arbeitet.
Seite 315: Rfc 1583 Kompatibilität
Routing [ Routing > OSPF > Global ] RFC 1583 Kompatibilität Die Network Working Group entwickelt und verbessert die Funktion stetig weiter und fügt OSPF Parameter hinzu. Dieser Router stellt Parameter gemäß RFC 2328 bereit. Über die Parameter in diesem Dialog stellen Sie die Kompatibilität des Routers mit gemäß RFC 1583 entwickelten Routern her.
Seite 316 Routing [ Routing > OSPF > Global ] Präferenz (intra) Legt die „Administrative Distanz“ zwischen Routern innerhalb derselben Area (Intra-Area-OSPF- Routen) fest. Mögliche Werte: 1..255 (Voreinstellung: 110)  Präferenz (inter) Legt die „Administrative Distanz“ zwischen Routern in unterschiedlichen Areas (Inter-Area-OSPF- Routen) fest.
Seite 317 Routing [ Routing > OSPF > Global ] Mögliche Werte: markiert  Der Router meldet stets die Standard-Route 0.0.0.0/0. (Voreinstellung) unmarkiert  Das Gerät verwendet die im Parameter festgelegten Einstellungen. Advertise Metrik Legt die Metrik der Standard-Route fest, die Funktion OSPF meldet, wenn diese von anderen Proto- kollen gelernt wurde.
Seite 318 Routing [ Routing > OSPF > Global ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Quelle Zeigt das Quellprotokoll, aus dem die Funktion die Routen neu verteilt. Dieses Objekt dient OSPF außerdem als Bezeichner für die Tabellenzeile.
Seite 319 Routing [ Routing > OSPF > Global ] Etikett Legt einen Tag für Routen fest, die in die Funktion neu verteilt werden. OSPF Wenn Sie einen Routen-Tag setzen, weist die Funktion OSPF den Wert zu jeder neu verteilten Route dieses Quellprotokolls zu. Diese Funktion ist nützlich, wenn 2 oder mehr Border Router ein Autonomous System mit einem externen Netz verbinden.
Seite 320 Routing [ Routing > OSPF > Areas ] 7.4.2 OSPF Areas [ Routing > OSPF > Areas ] OSPF unterstützt die Aufteilung von Netzen in Bereiche (Areas) und reduziert so den Aufwand zur Verwaltung des Netzes. Die am Netz teilnehmenden Router kennen und verwalten ausschließlich ihre eigene Area, indem sie Link State Advertisements (LSAs) in die Area fluten.
Seite 321 Routing [ Routing > OSPF > Areas ] SPF runs Zeigt, wie oft der Router die Intra-Area-Routing-Tabelle berechnet hat, welche die Link-Status- Datenbank dieser Area verwendet. Der Router verwendet den Dijkstra-Algorithmus für die Routen- Berechnung. Area-Border-Router Zeigt die Gesamtzahl der ABR, die innerhalb dieser Area erreichbar sind. Die Anzahl der erreich- baren Router ist initial auf 0 eingestellt.
Seite 322: Ospf Stub Areas
Routing [ Routing > OSPF > Stub Areas ] 7.4.3 OSPF Stub Areas [ Routing > OSPF > Stub Areas ] OSPF ermöglicht Ihnen, bestimmte Areas als Stub-Areas festzulegen. Der Area Border Router (ABR) einer Stub-Area trägt die von externen AS-LSAs gelernten Informationen in seine Daten- bank ein, ohne die AS-External-LSAs über die Stub-Area hinweg zu fluten.
Seite 323 Routing [ Routing > OSPF > Stub Areas ] External type 1  Der ABR meldet die Metrik als 1, der den Kosten der internen OSPF-Metrik External type plus der externen Metrik des ASBR entspricht. External type 2  Der ABR meldet die Metrik als 2, der den Kosten der externen Metrik des ASBR External type entspricht.
Seite 324: Ospf Not So Stubby Areas
Routing [ Routing > OSPF > NSSA ] 7.4.4 OSPF Not So Stubby Areas [ Routing > OSPF > NSSA ] NSSAs ähneln der OSPF-Stub-Area. NSSAs verfügen jedoch über eine zusätzliche Funktion zum Importieren von begrenzten AS-External-Routen. Der ABR sendet externe Routen aus der NSSA aus, indem der ABR Type-7-AS-External-LSAs in Type-5-AS-External-LSAs umwandelt.
Seite 325 Routing [ Routing > OSPF > NSSA ] Standard-Metrik Legt die im Type-7-Default-LSA gemeldete Metrik fest. Mögliche Werte: 1..16777214 (Voreinstellung: 10)  Standard-Metrik-Typ Legt den im Type-7-Default-LSA gemeldeten Metrik-Typ fest. Mögliche Werte: ospfMetric  Der Router meldet die Metrik als OSPF-intern, das den Kosten einer Intra-Area-Route zum ABR entspricht.
Seite 326 Routing [ Routing > OSPF > NSSA ] Translator-Stability-Intervall [s] Legt die Anzahl von Sekunden fest, in denen der Router die Übersetzung von Type-7-LSAs in Type-5-LSAs fortsetzt, nachdem der Router eine Übersetzungsauswahl verloren hat. Mögliche Werte: 0..65535 (Voreinstellung: 40)  Translator events Zeigt die Anzahl von Übersetzer-Statusänderungen seit dem letzten Start.
Seite 327: Ospf Interfaces
Routing [ Routing > OSPF > Interfaces ] 7.4.5 OSPF Interfaces [ Routing > OSPF > Interfaces ] Dieser Dialog ermöglicht Ihnen, die OSPF-Parameter im Router-Interface festzulegen, zu akti- vieren und anzuzeigen. Das Gerät ermöglicht Ihnen, bis zu 64 OSPF-Router-Interfaces zu aktivieren. Um Informationen zur Erreichbarkeit zwischen den Routern auszutauschen, verwendet das Gerät das OSPF-Routing-Protokoll.
Seite 328 Routing [ Routing > OSPF > Interfaces ] Priorität Legt die Priorität dieses Interfaces fest. In Multi-Access-Netzen verwendet der Router den Wert im Algorithmus für die Auswahl der Desig- nated Router. Wenn der gleiche Wert auf mehreren Routern festgelegt ist, entscheidet die Router- ID.
Seite 329 Routing [ Routing > OSPF > Interfaces ] Mögliche Werte: 1..65535 (Voreinstellung: 40)  Legen Sie einen niedrigeren Wert fest, um einen Nachbarn in abgeschaltetem Zustand schneller zu erkennen. Anmerkung: Kleinere Werte sind anfällig für Interoperatibilitätsprobleme. Status Zeigt den Zustand des OSPF-Interfaces. Mögliche Werte: (Voreinstellung) down...
Seite 330 Routing [ Routing > OSPF > Interfaces ] Netzwerktyp Legt den OSPF-Netztyp des autonomen Systems fest. Mögliche Werte: broadcast  Verwenden Sie diesen Wert für Broadcast-Netze wie Ethernet und IEEE 802.5. Die Funktion führt eine Auswahl von DR und BDR durch, mit denen die nicht-designierten Router eine OSPF Adjacency herstellen.
Seite 331 Routing [ Routing > OSPF > Interfaces ] Auth key ID Legt für die Authentifizierungsschlüssel-ID den Wert fest. Die Option zur verschlüsselten Authentifizierung unterstützt Sie dabei, Ihr Netz gegen passive Angriffe zu schützen, und bietet einen wesentlichen Schutz gegen aktive Angriffe. Voraussetzung für das Ändern dieses Wertes ist, dass Sie in Spalte den Wert fest-...
Seite 332: Ospf Virtual Links
Routing [ Routing > OSPF > Virtual Links ] 7.4.6 OSPF Virtual Links [ Routing > OSPF > Virtual Links ] Die Funktion OSPF erfordert, dass Sie jede Area mit der Backbone-Area verbinden. Der physische Standort lässt häufig keine direkte Verbindung zum Backbone zu. Virtuelle Datenverbindungen bieten Ihnen die Möglichkeit, physisch getrennte Areas über eine Transit-Area mit der Backbone- Area zu verbinden.
Seite 333 Routing [ Routing > OSPF > Virtual Links ] Mögliche Werte: 0..3600 (Voreinstellung: 1)  Retrans-Intervall [s] Legt die Anzahl von Sekunden zwischen Übertragungswiederholungen von Link State Advertise- ments für Adjacencys fest, die zu diesem Interface gehören. Sie verwenden diesen Wert ebenfalls, wenn Sie die Datenbank-Beschreibung (DD) und die Link- Status-Request-Pakete erneut übertragen.
Seite 334 Routing [ Routing > OSPF > Virtual Links ] Auth Typ Legt den Authentifizierungstyp für eine virtuelle Datenverbindung fest. Wenn Sie simple oder festlegen, ist es für diesen Router erforderlich, dass andere Router einen Authentifizierungsprozess durchlaufen, bevor dieser Router die betreffenden Router als Nachbarn akzeptiert.
Seite 335: Ospf Ranges
Routing [ Routing > OSPF > Ranges ] 7.4.7 OSPF Ranges [ Routing > OSPF > Ranges ] In großen Areas reduzieren OSPF-Nachrichten, die ins Netzwerk geflutet werden, die verfügbare Bandbreite und vergrößern die Routing-Tabelle. Eine große Routing-Tabelle erhöht den Grad der CPU-Verarbeitung, die der Router zum Eintragen der Informationen in die Routing-Tabelle benö- tigt.
Seite 336 Routing [ Routing > OSPF > Ranges ] LSDB Typ Zeigt, welche Route-Informationen durch den Adressbereich zusammengefasst sind. Mögliche Werte: summaryLink  Der Area-Bereich fasst Type-5-Routen-Informationen zusammen. nssaExternalLink  Der Area-Bereich fasst Type-7- Routen-Informationen zusammen. Netzwerk Zeigt die IP-Adresse für das Subnetz der Area. Netzmaske Zeigt die Netzmaske für das Subnetz der Area.
Seite 337: Ospf Diagnose
Routing [ Routing > OSPF > Diagnose ] 7.4.8 OSPF Diagnose [ Routing > OSPF > Diagnose ] Um ordnungsgemäß zu funktionieren, basiert die Funktion OSPF auf 2 grundlegenden Prozessen. Herstellen von Adjacencys  Nach dem Herstellen von Adjacencys tauschen die benachbarten Router Informationen aus ...
Seite 338: Funktion
Routing [ Routing > OSPF > Diagnose ] Type-2-LSAs sind Netz-LSAs. Der DR erstellt eine Netz-LSA auf der Grundlage von Informati-  onen, die über die Type-1-LSAs empfangen wurden. Der DR erzeugt in seiner eigenen Area eine Netz-LSA für jedes Broadcast- und NBMA-Netz, mit dem der DR verbunden ist. Die LSA beschreibt jeden Router, der an das Netz angeschlossen ist –...
Seite 339 Routing [ Routing > OSPF > Diagnose ] LS-Request-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-Link-Status-Request-Pakete, die seit dem Zurücksetzen der Zähler übertragen wurden. LS-Update-Pakete empfangen Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler empfangen wurden. LS-Update-Pakete gesendet Zeigt die Gesamtzahl der OSPFv2-LS-Update-Pakete, die seit dem Zurücksetzen der Zähler über- tragen wurden.
Seite 340 Routing [ Routing > OSPF > Diagnose ] Typ-5 (external) LSAs empfangen Zeigt die Anzahl der externen Type-5-LSAs, die seit dem Zurücksetzen der Zähler empfangen wurden. [Link-State-Datenbank] Ein Router führt eine separate Link-Status-Datenbank für jede Area, zu der er gehört. Der Router fügt der Datenbank in den folgenden Fällen LSAs hinzu: Wenn der Router ein LSA empfängt, zum Beispiel beim Fluten.
Seite 341 Routing [ Routing > OSPF > Diagnose ] asSummaryLink  Der Router hat die Informationen von einem ABR empfangen, der Type-4-LSA zur Beschrei- bung von Routen zu ASBR verwendet. Bevor ABR die Routing-Informationen an andere Areas senden, stellen ABR von Type-1-LSAs und Type-2-LSAs gelernte Informationen zusammen, die von den angeschlossenen Areas empfangen wurden.
Seite 342 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 343 Routing [ Routing > OSPF > Diagnose ] Status Zeigt den Status der Beziehung zu dem in dieser Instanz aufgeführten Nachbarn. Ein Ereignis bewirkt eine Statusänderung, wie der Empfang eines Hello-Pakets. Dieses Ereignis hat abhängig vom gegenwärtigen Status des Nachbarn verschiedene Auswirkungen. Außerdem lösen die Router abhängig vom Status der Änderung des Nachbarn eine DR-Auswahl aus.
Seite 344 Routing [ Routing > OSPF > Diagnose ] [Virtuelle Nachbarn] Die Funktion erfordert eine kontinuierliche Verbindung der Autonomous-System-Backbone- OSPF Area. Außerdem erfordert die Funktion OSPF, dass jede Area über eine Verbindung zur Backbone- Area verfügt. Der physische Standort von Routern lässt häufig nicht zu, dass eine Area direkt an die Backbone-Area angeschlossen wird.
Seite 345 Routing [ Routing > OSPF > Diagnose ] Der Router unterstützt 4 Optionen, indem die folgenden Bits im Feld „Optionen“ abhängig von den Funktionsmerkmalen des Routers entweder auf einen hohen oder einen niedrigen Wert gesetzt werden. Das Feld zeigt den Wert, indem die folgenden Options-Bits addiert werden. Sie lesen die Felder vom niedrigstwertigen zum höchstwertigen Bit.
Seite 346 Routing [ Routing > OSPF > Diagnose ] init  Der Router hat kürzlich ein Hello-Paket vom Nachbarn erkannt. Der Router hat ausschließlich eine unidirektionale Kommunikation mit dem Nachbarn aufgebaut. So fehlt beispielsweise die Router-ID dieses Routers im Hello-Paket des Nachbarn. Das angeschlossene Interface führt beim Senden von Hello-Paketen Nachbarn mit diesem Status oder einem höheren Status auf.
Seite 347 Routing [ Routing > OSPF > Diagnose ] [Externe Link-State-Datenbank] Die Tabelle zeigt den Inhalt der externen Link-Status-Datenbank, wobei für jede eindeutige Link- Status-ID ein Eintrag existiert. Externe Datenverbindungen ermöglichen der Area, eine Verbindung zu Zielen außerhalb des autonomen Systems herstellen. Router geben Informationen zu den externen Datenverbindungen im gesamten Netz in Form von Link-Status-Updates weiter.
Seite 348 Routing [ Routing > OSPF > Diagnose ] Checksumme Zeigt den Inhalt der Prüfsumme. Das Feld ist eine Prüfsumme für den gesamten Inhalt der LSA, mit Ausnahme des Feldes „Alter“. Der Wert im Feld „Alter“ der Verbindungsstatusmeldung steigt während der Übertragung der Nach- richt im Netz durch die Router.
Seite 349: Routing-Tabelle
Routing [ Routing > Routing-Tabelle ] nssa-type1  Diese Routen wurden von einem Autonomous System Boundary Router (ASBR) in die Not-So- Stub-Area importiert. Diese Routen verwenden die Kosten in Bezug auf die Verbindung zwischen dem ASBR und der Route (einschließlich dieses Geräts). nssa-type2 ...
Seite 350 Routing [ Routing > Routing-Tabelle ] Im Feld Netzmaske legen Sie die Netzmaske fest, die den Netzpräfix in der Adresse des Ziel-  netzes kennzeichnet. Mögliche Werte: – Gültige IPv4-Netzmaske Im Feld legen Sie IP-Adresse des nächsten Routers auf dem Pfad ins Ziel- Next-Hop IP-Adresse ...
Seite 351 Routing [ Routing > Routing-Tabelle ] Zeigt den Typ der Route. Mögliche Werte: lokal  Das Router-Interface ist mit dem Zielnetz direkt verbunden. Extern  Das Router-Interface ist mit dem Zielnetz über einen Router (Next-Hop IP-Adresse) verbunden. reject  Das Gerät verwirft an das Zielnetz adressierte IP-Pakete und informiert den Absender. other ...
Seite 352: Tracking
Routing [ Routing > Tracking ] Metrik Zeigt die Metrik der Route. Das Gerät vermittelt die Datenpakete über die Route mit dem kleinsten Wert. Letztes Update [s] Zeigt die Zeit in Sekunden, seit der die gegenwärtigen Einstellungen der Route in der Routing- Tabelle eingetragen sind.
Seite 353: Tracking Konfiguration
Routing [ Routing > Tracking ] Sobald Sie die Tracking-Objekte im Dialog Tracking Konfiguration eingerichtet haben, können Sie Applikationen mit den Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing > Routing-Tabelle, Spalte Track-Name. • Virtuelle Router verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 354 Routing [ Routing > Tracking > Konfiguration ] 7.6.1 Tracking Konfiguration [ Routing > Tracking > Konfiguration ] In diesem Dialog richten Sie die Tracking-Objekte ein. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Schaltflächen Hinzufügen Öffnet das Fenster Erzeugen, um eine Tabellenzeile hinzuzufügen.
Seite 355: Alphanumerische Ascii-Zeichenfolge Mit 0
Routing [ Routing > Tracking > Konfiguration ] Track-ID Legt die Identifikationsnummer des Tracking-Objektes fest. Mögliche Werte: 1..256  Dieser Bereich steht jedem Typ (interface, ping und logical) zur Verfügung. Track-Name Zeigt den aus zusammensetzten Namen des Tracking-Objekts. Track-ID Aktiv Aktiviert/deaktiviert die Überwachung des Tracking-Objekts.
Seite 356 Routing [ Routing > Tracking > Konfiguration ] Änderungen Zeigt die Anzahl der Zustandsänderungen, seitdem das Tracking-Objekt aktiv ist. Letzte Änderung Zeigt den Zeitpunkt der letzten Zustandsänderung. Trap senden Aktiviert/deaktiviert das Senden eines SNMP-Traps, wenn jemand das Tracking-Objekt aktiviert oder deaktiviert. Mögliche Werte: markiert ...
Seite 357 Routing [ Routing > Tracking > Konfiguration ] Link-Aggregation-, LRE- und VLAN-Router-Interfaces haben ein negatives Überwachungser- gebnis, wenn die Verbindung jedes aggregierten Ports unterbrochen ist. Ein VLAN-Router-Interface hat ein negatives Überwachungsergebnis, wenn die Verbindung zu jedem physischen Port und Link-Aggregation-Interface, das Mitglied im VLAN ist, unterbrochen ist. Ping-Port Legt für Tracking-Objekte des Typs das Router-Interface fest, über welches das Gerät die...
Seite 358 Routing [ Routing > Tracking > Konfiguration ] Ankommende Ping-Antworten Legt fest, nach wie vielen empfangenen Antworten das Gerät das Überwachungsergebnis als positiv erkennt. Wenn das Gerät nacheinander sooft wie hier festgelegt eine Antwort auf gesendete Ping-Request-Pakete empfängt, zeigt Spalte Status den Wert up.
Seite 359 Routing [ Routing > Tracking > Konfiguration ] Logischer Operand A Legt für Tracking-Objekte des Typs den ersten Operanden der logischen Verknüpfung logical fest. Mögliche Werte: Eingerichtete Tracking-Objekte  –  Kein Tracking-Objekt des Typs logical. Logischer Operand B Legt für Tracking-Objekte des Typs logical den zweiten Operanden der logischen Verknüpfung fest.
Seite 360: Tracking Applikationen
Routing [ Routing > Tracking > Applikationen ] 7.6.2 Tracking Applikationen [ Routing > Tracking > Applikationen ] In diesem Dialog sehen Sie, welche Applikationen mit den Tracking-Objekten verknüpft sind. Die folgenden Applikationen lassen sich mit Tracking-Objekten verknüpfen: • Statische Routen verknüpfen Sie mit einem Tracking-Objekt im Dialog Routing >...
Seite 361: L3-Relay
Routing [ Routing > L3-Relay ] L3-Relay [ Routing > L3-Relay ] Clients in einem Subnetz senden BOOTP/DHCP-Broadcast-Nachrichten an DHCP-Server, um Konfigurationsinformationen wie IP-Adressen anzufordern. Router grenzen Broadcast-Domänen ein, sodass BOOTP/DHCP-Anfragen innerhalb des lokalen Subnetzes bleiben. Die Schicht-3- Relay-Funktion (L3-Relay) fungiert als Proxy für Clients, die Information von einem BOOTP/DHCP- Server in einem anderen Netz anfordern.
Seite 362: Mögliche Werte: - Interface
Routing [ Routing > L3-Relay ] Mögliche Werte: markiert  Das Gerät fügt die Circuit-ID des DHCP-Relay-Agenten zu den Suboptionen für Client-Anfragen hinzu. (Voreinstellung) unmarkiert  Das Gerät entfernt die DHCP-Relay-Agent-Circuit-ID-Suboptionen aus den Client-Anfragen. BOOTP/DHCP Wartezeit (min.) Legt die Mindestzeit fest, die das Gerät wartet, bevor es BOOTP/DHCP-Anfragen weiterleitet. Die Endgeräte senden Broadcast-Anfragen in das lokale Netz.
Seite 363 Routing [ Routing > L3-Relay ] Empfangene UDP-Nachrichten Zeigt die Anzahl der vom Gerät empfangenen UDP-Requests der Clients. Weitergeleitete UDP-Nachrichten Zeigt die Anzahl der UDP-Requests, die das Gerät an die in der Tabelle festgelegten Server weiter- geleitet hat. Pakete mit abgelaufener TTL Zeigt die Anzahl der vom Gerät empfangenen UDP-Pakete mit abgelaufenem TTL-Wert.
Seite 364 Routing [ Routing > L3-Relay ] Treffer Zeigt die gegenwärtige Anzahl an Paketen, die das Interface an den festgelegten UDP-Port sendet. Status Zeigt, ob der zum betreffenden Port hinzugefügte Eintrag für IP-Helper-Adresse und UDP-Port aktiv ist. Erzeugen Port Legt das Interface fest, für welches die Tabellenzeile gilt. Konfigurationen von Interfaces haben Vorrang vor globalen Konfigurationen.
Seite 365 Routing [ Routing > L3-Relay ] nameserver  Entspricht dem UDP-Port 42. Das Gerät leitet Anfragen für Windows Internet Name Service weiter. Den Port verwenden Sie, um die NetBIOS-Namenstabelle von einem Windows-Server auf einen anderen zu kopieren. netbios-dgm  Entspricht dem UDP-Port 138. Das Gerät leitet Anfragen für NetBIOS-Datagramm-Services weiter.
Seite 366 Routing [ Routing > Loopback-Interface ] Loopback-Interface [ Routing > Loopback-Interface ] Ein Loopback-Interface ist ein virtuelles Netz-Interface ohne Bezug zu einem physischen Port. Loopback-Interfaces sind ständig verfügbar, solange das Gerät in Betrieb ist. Das Gerät ermöglicht Ihnen, Router-Interfaces auf Grundlage von Loopback-Interfaces einzu- richten.
Seite 367 Routing [ Routing > Loopback-Interface ] IP-Adresse Legt die IP-Adresse für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Subnet-Maske Legt die Netzmaske für das Loopback-Interface fest. Mögliche Werte: Gültige IPv4-Netzmaske (Voreinstellung: 0.0.0.0)  Beispiel: 255.255.255.255 Aktiv Zeigt, ob das Loopback-Interface aktiv oder inaktiv ist. Mögliche Werte: markiert (Voreinstellung)
Seite 368: L3-Redundanz
Routing L3-Redundanz Das Menü enthält die folgenden Dialoge: VRRP  7.9.1 VRRP [ Routing > L3-Redundanz > VRRP ] Das Virtual Router Redundancy Protocol(VRRP) ist ein Verfahren, das es dem System ermöglicht, auf den Ausfall eines Routers zu reagieren. VRRP findet seine Anwendung in Netzen mit Endgeräten, die ausschließlich einen Eintrag für das Standard-Gateway unterstützen.
Seite 369 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] 7.9.1.1 VRRP Konfiguration [ Routing > L3-Redundanz > VRRP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, folgende Einstellungen festzulegen: bis zu 8 virtuelle Router pro Router-Interface  bis zu 2 Adressen pro virtuellem Router ...
Seite 370 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es ein VRRP-Paket mit Authentifizierungsinforma- tion empfängt. unmarkiert (Voreinstellung)  Das Senden von SNMP-Traps ist inaktiv. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 371 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Aktiv Aktiviert/deaktiviert die in dieser Tabellenzeile festgelegte VRRP-Instanz. Mögliche Werte: markiert  Die VRRP-Instanz ist aktiv. unmarkiert (Voreinstellung)  Die VRRP-Instanz ist inaktiv. Betriebszustand Zeigt den Status der Tabellenzeile. Der Betriebsmodus des entsprechenden virtuellen Routers bestimmt den Status einer gegenwärtig aktiven Tabellenzeile.
Seite 372 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Priorität Zeigt den Wert für die VRRP-Priorität. Die Priorität legen Sie fest im Dialog Routing > OSPF > Inter- faces. Der Router mit dem höchsten Wert für die Priorität übernimmt die Master-Router-Rolle. Wenn die IP-Adresse des virtuellen Routers mit der IP-Adresse eines Router-Interfaces übereinstimmt, dann ist der Router der Inhaber der IP-Adresse.
Seite 373: Vrrp-Router-Instanz Einrichten
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Master IP-Adresse Zeigt die gegenwärtige IP-Adresse des Master-Router-Interfaces. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  VRRP-Router-Instanz einrichten Das Gerät ermöglicht Ihnen, bis zu 8 virtuelle Router pro Router-Interface einzurichten. Bevor Sie eine VRRP-Router-Instanz einrichten, vergewissern Sie sich, dass das Netz.Routing ordnungsgemäß...
Seite 374: Vrrp-Router-Instanz Löschen
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] VRRP-Router-Instanz löschen Führen Sie den folgenden Schritt aus: Wählen Sie im Dialog eine Tabellenzeile und Routing > L3-Redundanz > VRRP > Konfiguration  klicken Sie die Schaltfläche [Wizard: VRRP-Konfiguration] Das Fenster hilft Ihnen beim Einrichten einer VRRP-Router-Instanz.
Seite 375: Eintrag Bearbeiten
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Eintrag bearbeiten Mit den folgenden Registerkarten können Sie die Parameter für jede Instanz festlegen: Eintrag bearbeiten - VRRP  Eintrag bearbeiten - VRRP Funktion Schaltet die VRRP-Redundanz für die gegenwärtige Instanz ein/aus. Mögliche Werte: ...
Seite 376 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Preempt-Modus Aktiviert/deaktiviert den Preempt-Modus. Diese Einstellung legt fest, ob dieser Router als Backup- Router einem Master-Router mit niedrigerer VRRP-Priorität die Rolle als Master-Router entzieht. Mögliche Werte: markiert (Voreinstellung)  ist aktiv. Der Router übernimmt die Master-Router-Rolle von einem Router Preempt-Modus mit niedrigerer VRRP-Priorität, ohne dass ein Auswahlprozess stattfindet.
Seite 377: Das Gerät Überwacht Den Link-Status Seiner Physischen Ports, Link-Aggregation-, Lre- Oder
Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Tracking Aktuelle Track-Einträge Zeigt die im Gerät verfügbaren Tracking-Objekte. Tracking-Objekte richten Sie ein im Dialog Konfiguration. Wählen Sie einen Eintrag, um fortzufahren. Alternativ wählen Sie Routing > Tracking > ein Tracking-Objekt im Feld Track-Name unten.
Seite 378 Routing [ Routing > L3-Redundanz > VRRP > Konfiguration ] Hinzufügen Erzeugt im Feld einen Eintrag basierend auf den in den Feldern Zugewiesene Track-Einträge Track- festgelegten Werten. Name Dekrement Virtuelle IP-Adressen IP-Adresse Zeigt die primäre IP-Adresse des Router-Interfaces. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0) ...
Seite 379: Vrrp Statistiken
Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] 7.9.1.2 VRRP Statistiken [ Routing > L3-Redundanz > VRRP > Statistiken ] Der Dialog zeigt die Anzahl der Zähler, die für die Funktion VRRP relevante Ereignisse erfassen. Information Prüfsummenfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit falscher Prüfsumme. Versionsfehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit unbekannter oder nicht unterstützter Versionsnummer.
Seite 380 Routing [ Routing > L3-Redundanz > VRRP > Statistiken ] Authentifizierungs-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Authentifizierungsfehler. IP-TTL-Fehler Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit einer IP-TTL ungleich 255. Null-Prioritätspakete empfangen Zeigt die Anzahl der empfangenen VRRP-Nachrichten mit Priorität gleich 0. Null-Prioritätspakete gesendet Zeigt die Anzahl der VRRP-Nachrichten, die das Gerät mit der Priorität gesendet hat.
Seite 381: 7.9.1.3 Vrrp Tracking
Routing [ Routing > L3-Redundanz > VRRP > Tracking ] 7.9.1.3 VRRP Tracking [ Routing > L3-Redundanz > VRRP > Tracking ] VRRP-Tracking ermöglicht Ihnen, Aktionen eines bestimmten Objektes zu überwachen und auf eine Änderung des Objektstatus zu reagieren. Die Funktion wird periodisch über das überwachte Objekt informiert und zeigt Änderungen in der Tabelle.
Seite 382: Nat
Routing Dekrement Legt den Wert fest, um den die VRRP-Instanz die Priorität des virtuellen Routers reduziert, wenn das Überwachungsergebnis negativ ist. Mögliche Werte: 1..253 (Voreinstellung: 20)  Anmerkung: Wenn im Dialog der Wert in Spalte Routing > L3-Redundanz > VRRP > Konfiguration Prio- gleich ist, dann ist der virtuelle Router der Inhaber der IP-Adresse.
Seite 383 Routing [ Routing > NAT > NAT Global ] 7.10.1 NAT Global [ Routing > NAT > NAT Global ] Network Address Translation (NAT) umfasst mehrere Verfahren, die automatisiert die IP-Adressin- formation im Datenpaket verändern. Angewendet auf dem Gerät ermöglicht die Funktion Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen Netzen.
Seite 384 Routing [ Routing > NAT > NAT Global ] 1:1-NAT-Änderungen vorhanden Zeigt, ob sich die auf den Datenstrom angewendeten 1:1-NAT-Regeln von den gespeicherten 1:1- NAT-Regeln unterscheiden. Um die noch ausstehenden Regeln auf den Datenstrom anzuwenden, klicken Sie die Schaltfläche Mögliche Werte: markiert ...
Seite 385: 1:1-Nat
Routing [ Routing > NAT > 1:1-NAT ] Mögliche Werte: markiert  Mindestens eine gespeicherte Double-NAT-Regel enthält geänderte Einstellungen. unmarkiert  Das Gerät wendet die gespeicherten Double-NAT-Regeln auf den Datenstrom an. 7.10.2 1:1-NAT [ Routing > NAT > 1:1-NAT ] Die Funktion 1:1-NAT ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin-...
Seite 386: 1:1-Nat Regel
Routing [ Routing > NAT > 1:1-NAT ] Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs- Eingangs- Modifikation Modifikation Routing/ Paket- Paket- Regeln 1:1 NAT Switching Masquerading NAT Filter Filter Destination NAT Double NAT Double NAT Netz 1 Netz 2...
Seite 387 Routing [ Routing > NAT > 1:1-NAT > Regel ] 7.10.2.1 1:1-NAT Regel [ Routing > NAT > 1:1-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die 1:1-NAT-Regeln und weisen Router-Interfaces zu, auf die das Gerät die 1:1-NAT-Regeln anwendet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 388 Routing [ Routing > NAT > 1:1-NAT > Regel ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..255  Regelname Zeigt den Namen der 1:1-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betreffende Feld.
Seite 389 Routing [ Routing > NAT > 1:1-NAT > Regel ] Ausgangs-Interface Weist der 1:1-NAT-Regel das Router-Interface zu, auf dem das Gerät die modifizierten Datenpakete vermittelt. Im hier angeschlossenen Netz ist das Ziel-Endgerät tatsächlich erreichbar. Mögliche Werte: <Interface-Nummer>  Das Gerät vermittelt die modifizierten Datenpakete auf diesem Router-Interface. no Port ...
Seite 390: Destination-Nat
Routing [ Routing > NAT > Destination-NAT ] Aktiv Aktiviert/deaktiviert die 1:1-NAT-Regel. Mögliche Werte: markiert  Die Regel ist aktiv. unmarkiert (Voreinstellung)  Die Regel ist inaktiv. 7.10.3 Destination-NAT [ Routing > NAT > Destination-NAT ] Die Funktion Destination-NAT ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Kommunikationsverbindungen auf einen oder über einen Server umzuleiten.
Seite 391 Routing [ Routing > NAT > Destination-NAT ] Um die Funktion zu nutzen, richten Sie für jedes Netz ein Router-Interface ein und schalten Sie die Routing-Funktion im Gerät ein. Die Datenpakete durchlaufen die Filter-Funktionen des Geräts in folgender Reihenfolge: Betriebssystem Zieladress- Quelladress- Ausgangs-...
Seite 392 Routing [ Routing > NAT > Destination-NAT > Regel ] 7.10.3.1 Destination-NAT Regel [ Routing > NAT > Destination-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Destination-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Destination-NAT-Regel im Dialog Routing >...
Seite 393 Routing [ Routing > NAT > Destination-NAT > Regel ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..255  Regelname Zeigt den Namen der Destination-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betref- fende Feld.
Seite 394 Routing [ Routing > NAT > Destination-NAT > Regel ] Ziel-Adresse Legt die Zieladresse der Datenpakete fest, auf die das Gerät die Destination-NAT-Regel anwendet. Das Gerät vermittelt Datenpakete mit dieser Zieladresse an die in Spalte festge- Neue Ziel-Adresse legte Zieladresse. Mögliche Werte: ...
Seite 395 Routing [ Routing > NAT > Destination-NAT > Regel ] Neuer Ziel-Port Legt den Port des Ziel-Endgeräts fest. Das Gerät vermittelt die Datenpakete an den hier festge- legten Ziel-Port. Mögliche Werte:  Das Gerät behält im Datenpaket den ursprünglichen Ziel-Port bei. 1..65535 ...
Seite 396 Routing [ Routing > NAT > Destination-NAT > Regel ] Trap Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Destination-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es die Destination-NAT-Regel auf ein Datenpaket anwendet.
Seite 397: Destination-Nat Regel
Routing [ Routing > NAT > Destination-NAT > Zuweisung ] 7.10.3.2 Destination-NAT Zuweisung [ Routing > NAT > Destination-NAT > Zuweisung ] In diesem Dialog weisen Sie die Destination-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 398 Routing [ Routing > NAT > Destination-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Destination-NAT-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: kommend  Das Gerät wendet die Destination-NAT-Regel auf Datenpakete an, die es auf dem Router-Inter- face empfängt.
Seite 399: 7.10.3.3 Destination-Nat Übersicht
Routing [ Routing > NAT > Destination-NAT > Übersicht ] 7.10.3.3 Destination-NAT Übersicht [ Routing > NAT > Destination-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Destination-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Destination-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 400 Routing [ Routing > NAT > Destination-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Destination-NAT-Regel auf ein Daten- paket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. unmarkiert  Das Gerät sendet keinen SNMP-Trap. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 401: Masquerading-Nat
Routing [ Routing > NAT > Masquerading-NAT ] 7.10.4 Masquerading-NAT [ Routing > NAT > Masquerading-NAT ] Die Funktion Masquerading-NAT versteckt beliebig viele Endgeräte hinter der IP-Adresse des NAT- Routers und verbirgt somit die Struktur eines Netzes vor anderen Netzen. Dazu ersetzt der NAT- Router im Datenpaket die Absenderadresse durch seine eigene IP-Adresse.
Seite 402 Routing [ Routing > NAT > Masquerading-NAT > Regel ] 7.10.4.1 Masquerading-NAT Regel [ Routing > NAT > Masquerading-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Masquerading-NAT-Regeln. Ein Router-Interface weisen Sie der betreffenden Masquerading-NAT-Regel im Dialog Routing >...
Seite 403 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Gültige IPv4-Adresse  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, welche die hier festgelegte Quelladresse enthalten. Gültige IPv4-Adresse und Netzmaske in CIDR-Notation  Das Gerät wendet die Masquerading-NAT-Regel ausschließlich auf Datenpakete an, die eine Quelladresse im hier festgelegten Subnetz enthalten.
Seite 404 Routing [ Routing > NAT > Masquerading-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System- Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der Masquerading-NAT-Regel auf ein Datenpaket in der Log-Datei.
Seite 405: Masquerading-Nat Regel
Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] 7.10.4.2 Masquerading-NAT Zuweisung [ Routing > NAT > Masquerading-NAT > Zuweisung ] In diesem Dialog weisen Sie die Masquerading-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 406 Routing [ Routing > NAT > Masquerading-NAT > Zuweisung ] Richtung Zeigt, ob das Gerät die Masquerading-NAT-Regel auf empfangene oder zu sendende Datenpakete anwendet. Mögliche Werte: gehend  Das Gerät wendet die Masquerading-NAT-Regel auf Datenpakete an, die es auf dem Router- Interface sendet.
Seite 407: 7.10.4.3 Masquerading-Nat Übersicht
Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] 7.10.4.3 Masquerading-NAT Übersicht [ Routing > NAT > Masquerading-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Masquerading-NAT-Regel welchem Router-Inter- face zugewiesen ist. Die Masquerading-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 408 Routing [ Routing > NAT > Masquerading-NAT > Übersicht ] Protokolliere Zeigt, ob das Gerät in der Log-Datei protokolliert, wenn es die Masquerading-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät protokolliert das Anwenden der Masquerading-NAT-Regel auf ein Datenpaket in der Log-Datei.
Seite 409: Double-Nat
Routing [ Routing > NAT > Double-NAT ] 7.10.5 Double-NAT [ Routing > NAT > Double-NAT ] Die Funktion Double-NAT ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 410: Double-Nat Regel
Routing [ Routing > NAT > Double-NAT ] Das Menü enthält die folgenden Dialoge: Double-NAT Regel  Double-NAT Zuweisung  Double-NAT Übersicht  RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 411 Routing [ Routing > NAT > Double-NAT > Regel ] 7.10.5.1 Double-NAT Regel [ Routing > NAT > Double-NAT > Regel ] In diesem Dialog erzeugen und bearbeiten Sie die Double-NAT-Regeln. Die Router-Interface weisen Sie der betreffenden Double-NAT-Regel im Dialog Routing >...
Seite 412: Zeigt Die Index-Nummer, Auf Die Sich Die Tabellenzeile Bezieht
Routing [ Routing > NAT > Double-NAT > Regel ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..255  Regelname Zeigt den Namen der Double-NAT-Regel. Um den Namen zu ändern, klicken Sie in das betreffende Feld.
Seite 413 Routing [ Routing > NAT > Double-NAT > Regel ] Protokolliere Aktiviert/deaktiviert die Protokollierung in der Log-Datei. Siehe Dialog Diagnose > Bericht > System- Log. Mögliche Werte: markiert  Die Protokollierung ist aktiviert. Das Gerät protokolliert das Anwenden der Double-NAT-Regel auf ein Datenpaket in der Log- Datei.
Seite 414: 7.10.5.2 Double-Nat Zuweisung
Routing [ Routing > NAT > Double-NAT > Zuweisung ] 7.10.5.2 Double-NAT Zuweisung [ Routing > NAT > Double-NAT > Zuweisung ] In diesem Dialog weisen Sie die Double-NAT-Regeln einem Router-Interface zu. Klicken Sie dazu die Schaltfläche Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 415 Routing [ Routing > NAT > Double-NAT > Zuweisung ] gehend  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface sendet. beide  Das Gerät wendet die Double-NAT-Regel auf Datenpakete an, die es auf dem Router-Interface empfängt oder sendet.
Seite 416: 7.10.5.3 Double-Nat Übersicht
Routing [ Routing > NAT > Double-NAT > Übersicht ] 7.10.5.3 Double-NAT Übersicht [ Routing > NAT > Double-NAT > Übersicht ] In diesem Dialog finden Sie eine Übersicht, welche Double-NAT-Regel welchem Router-Interface zugewiesen ist. Die Double-NAT-Regeln erzeugen und bearbeiten Sie im Dialog Routing >...
Seite 417 Routing [ Routing > NAT > Double-NAT > Übersicht ] Trap Zeigt, ob das Gerät einen SNMP-Trap sendet, wenn es die Double-NAT-Regel auf ein Datenpaket anwendet. Mögliche Werte: markiert  Das Gerät sendet einen SNMP-Trap. unmarkiert  Das Gerät sendet keinen SNMP-Trap. Voraussetzung für das Senden von SNMP-Traps ist, dass Sie die Funktion im Dialog Diagnose >...
Seite 418: Diagnose
Diagnose [ Diagnose > Statuskonfiguration ] 8 Diagnose Das Menü enthält die folgenden Dialoge: Statuskonfiguration  System  Syslog  Ports  LLDP  Bericht  Statuskonfiguration [ Diagnose > Statuskonfiguration ] Das Menü enthält die folgenden Dialoge: Gerätestatus  Sicherheitsstatus ...
Seite 419: Gerätestatus
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] 8.1.1 Gerätestatus [ Diagnose > Statuskonfiguration > Gerätestatus ] Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen.
Seite 420 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: (Voreinstellung) markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 421: Informationen Zum Anpassen Des Erscheinungsbilds Der Tabelle Finden Sie Unter
Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Externen Speicher entfernen Aktiviert/deaktiviert die Überwachung des aktiven externen Speichers. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn Sie den aktiven externen Speicher Geräte-Status aus dem Gerät entfernen.
Seite 422 Diagnose [ Diagnose > Statuskonfiguration > Gerätestatus ] Verbindungsfehler melden Aktiviert/deaktiviert die Überwachung des Links auf dem Port/Interface. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf dem ausgewählten Geräte-Status Port/Interface abbricht.
Seite 423: Sicherheitsstatus
Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] 8.1.2 Sicherheitsstatus [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Dieser Dialog gibt einen Überblick über den Zustand der sicherheitsrelevanten Einstellungen im Gerät. Das Gerät zeigt seinen gegenwärtigen Status als oder im Rahmen Sicherheits-Status. Das error Gerät bestimmt diesen Status anhand der einzelnen Überwachungsergebnisse.
Seite 424 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Traps Trap senden Aktiviert/deaktiviert das Senden von SNMP-Traps, wenn das Gerät eine Änderung an einer über- wachten Funktion erkennt. Mögliche Werte: markiert  Das Senden von SNMP-Traps ist aktiv. Das Gerät sendet einen SNMP-Trap, wenn es an den überwachten Funktionen eine Änderung erkennt.
Seite 425 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Passwort-Richtlinien deaktiviert Aktiviert/deaktiviert die Überwachung der Passwort-Richtlinien-Einstellungen. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn für mindestens eine der Sicherheits-Status folgenden Richtlinien ein Wert kleiner als festgelegt ist.
Seite 426 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] SNMP unverschlüsselt Aktiviert/deaktiviert die Überwachung des SNMP-Servers. Mögliche Werte: markiert (Voreinstellung)  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn mindestens eine der Sicherheits-Status folgenden Bedingungen zutrifft: – Die Funktion ist eingeschaltet.
Seite 427 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert  Die Überwachung ist aktiv. Der Wert im Rahmen wechselt auf error, wenn der Link auf einem aktiven Sicherheits-Status Port abbricht.
Seite 428 Diagnose [ Diagnose > Statuskonfiguration > Sicherheitsstatus ] [Port] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Port Zeigt die Nummer des Ports. Verbindungsabbruch auf eingeschalteten Ports Aktiviert/deaktiviert die Überwachung des Links auf den aktiven Ports. Mögliche Werte: markiert ...
Seite 429: Alarme (Traps)
Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] 8.1.3 Alarme (Traps) [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Das Gerät ermöglicht Ihnen, als Reaktion auf bestimmte Ereignisse einen SNMP-Trap zu senden. In diesem Dialog legen Sie die Trap-Ziele fest, an die das Gerät die SNMP-Traps sendet. Die Ereignisse, bei denen das Gerät einen SNMP-Trap auslöst, legen Sie zum Beispiel in den folgenden Dialogen fest: im Dialog...
Seite 430 Diagnose [ Diagnose > Statuskonfiguration > Alarme (Traps) ] Name Legt die Bezeichnung des Trap-Ziels fest. Mögliche Werte: Alphanumerische ASCII-Zeichenfolge mit 1..32 Zeichen  Adresse Legt die IP-Adresse und die Port-Nummer des Trap-Ziels fest. Mögliche Werte: <Gültige IPv4-Adresse>:<Port-Nummer>  Aktiv Aktiviert/deaktiviert das Senden von SNMP-Traps an dieses Trap-Ziel.
Seite 431: System
Diagnose [ Diagnose > System ] System [ Diagnose > System ] Das Menü enthält die folgenden Dialoge: Systeminformationen  Konfigurations-Check   Selbsttest  RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 432: Systeminformationen
Diagnose [ Diagnose > System > Systeminformationen ] 8.2.1 Systeminformationen [ Diagnose > System > Systeminformationen ] Dieser Dialog zeigt den gegenwärtigen Betriebszustand einzelner Komponenten im Gerät. Die angezeigten Werte sind ein Schnappschuss, sie repräsentieren den Betriebszustand zum Zeit- punkt, zu dem der Dialog die Seite geladen hat. Schaltflächen Systeminformationen speichern Öffnet die HTML-Seite in einem neuen Web-Browser-Fenster oder -Tab.
Seite 433: Konfigurations-Check
Diagnose [ Diagnose > System > Konfigurations-Check ] 8.2.2 Konfigurations-Check [ Diagnose > System > Konfigurations-Check ] Das Gerät ermöglicht Ihnen, die Einstellungen im Gerät mit den Einstellungen seiner Nachbarge- räte zu vergleichen. Dazu verwendet das Gerät die Informationen, die es mittels Topologie-Erken- nung (LLDP) von seinen Nachbargeräten empfangen hat.
Seite 434 Diagnose [ Diagnose > System > Konfigurations-Check ] Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Zeigt detaillierte Informationen über die erkannten Abweichungen im Bereich unterhalb der Tabel- lenzeile. Um die detaillierten Informationen wieder auszublenden, klicken Sie die Schaltfläche Wenn Sie das Symbol in der Kopfzeile der Tabelle klicken, blenden Sie die detaillierten Informati- onen für jede Tabellenzeile ein oder aus.
Seite 435: Arp
Diagnose [ Diagnose > System > ARP ] 8.2.3 [ Diagnose > System > ARP ] Dieser Dialog zeigt die MAC- und IP-Adressen der Nachbargeräte, die mit dem Management des Geräts verbunden sind. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 436: Selbsttest
Diagnose [ Diagnose > System > Selbsttest ] 8.2.4 Selbsttest [ Diagnose > System > Selbsttest ] Dieser Dialog ermöglicht Ihnen, Folgendes zu tun: Während des Systemstarts das Wechseln in den System-Monitor ermöglichen/unterbinden.  Festlegen, wie sich das Gerät im Fehlerfall verhält. ...
Seite 437 Diagnose [ Diagnose > System > Selbsttest ] Tabelle In dieser Tabelle legen Sie fest, wie sich das Gerät im Fehlerfall verhält. Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen” auf Seite Ursache Fehlerursachen, auf die das Gerät reagiert. Mögliche Werte: task ...
Seite 438: Syslog
Diagnose [ Diagnose > Syslog ] Syslog [ Diagnose > Syslog ] Das Gerät ermöglicht Ihnen, ausgewählte Ereignisse abhängig vom Schweregrad des Ereignisses an unterschiedliche Syslog-Server zu melden. In diesem Dialog legen Sie die Einstellungen dafür fest und verwalten bis zu 8 Syslog-Server. Funktion Funktion Schaltet das Senden von Ereignissen an die Syslog-Server ein/aus.
Seite 439: Mögliche Werte
Diagnose [ Diagnose > Syslog ] Mögliche Werte: 1..8  IP-Adresse Legt die IP-Adresse des Syslog-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Hostname  Ziel-UDP-Port Legt den UDP-Port fest, auf dem der Syslog-Server die Log-Einträge erwartet. Mögliche Werte: 1..65535 (Voreinstellung: 514) ...
Seite 440: Ports
Diagnose [ Diagnose > Ports ] Ports [ Diagnose > Ports ] Das Menü enthält die folgenden Dialoge:  RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 441 Diagnose [ Diagnose > Ports > SFP ] 8.4.1 [ Diagnose > Ports > SFP ] Dieser Dialog ermöglicht Ihnen, die gegenwärtige Bestückung des Geräts mit SFP-Transceivern und deren Eigenschaften einzusehen. Tabelle Die Tabelle zeigt ausschließlich dann gültige Werte, wenn das Gerät mit SFP-Transceivern bestückt ist.
Seite 442: Lldp
Diagnose [ Diagnose > LLDP ] LLDP [ Diagnose > LLDP ] Das Gerät ermöglicht Ihnen, Informationen über benachbarte Geräte zu sammeln. Dazu nutzt das Gerät Link Layer Discovery Protocol (LLDP). Diese Informationen ermöglichen einer Netzmanage- ment-Station, die Struktur Ihres Netzes darzustellen. Dieses Menü...
Seite 443 Diagnose [ Diagnose > LLDP > Konfiguration ] 8.5.1 LLDP Konfiguration [ Diagnose > LLDP > Konfiguration ] Dieser Dialog ermöglicht Ihnen, die Topologie-Erkennung für jeden Port zu konfigurieren. Funktion Funktion Schaltet die Funktion ein/aus. LLDP Mögliche Werte: (Voreinstellung)  Die Funktion ist eingeschaltet.
Seite 444 Diagnose [ Diagnose > LLDP > Konfiguration ] Benachrichtigungs-Intervall [s] Legt das Intervall in Sekunden für das Senden von LLDP-Benachrichtigungen fest. Mögliche Werte: 5..3600 (Voreinstellung: 5)  Nach Senden eines Benachrichtigungs-Traps wartet das Gerät mindestens die hier festgelegte Zeit, bis es den nächsten Benachrichtigungs-Trap sendet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit...
Seite 445 Diagnose [ Diagnose > LLDP > Konfiguration ] Port-Beschreibung senden Aktiviert/deaktiviert das Senden des TLV (Type-Length-Value) mit der Port-Beschreibung. Mögliche Werte: markiert (Voreinstellung)  Das Senden des TLV ist aktiv. Das Gerät sendet den TLV mit der Port-Beschreibung. unmarkiert  Das Senden des TLV ist inaktiv.
Seite 446: Mögliche Werte
Diagnose [ Diagnose > LLDP > Konfiguration ] Nachbarn (max.) Begrenzt für diesen Port die Anzahl der zu erfassenden benachbarten Geräte. Mögliche Werte: 1..50 (Voreinstellung: 10)  FDB-Modus Legt fest, welche Funktion das Gerät verwendet, um benachbarte Geräte auf diesem Port zu erfassen.
Seite 447: Lldp Topologie-Erkennung
Diagnose [ Diagnose > LLDP > Topologie-Erkennung ] 8.5.2 LLDP Topologie-Erkennung [ Diagnose > LLDP > Topologie-Erkennung ] Geräte in Netzen senden Mitteilungen in Form von Paketen, welche auch unter dem Namen „LLDPDU“ (LLDP-Dateneinheit) bekannt sind. Die über LLDPDUs sendeten und empfangenen Daten sind aus vielen Gründen nützlich.
Seite 448: Bericht
Diagnose [ Diagnose > Bericht ] Nachbar-IP-Adresse Zeigt die IP-Adresse, mit welcher der Zugriff auf das Management des Nachbargeräts möglich ist. Nachbar-Port-Beschreibung Zeigt eine Beschreibung für den Port des Nachbargeräts. Nachbar-Systemname Zeigt den Gerätenamen des Nachbargeräts. Nachbar-Systembeschreibung Zeigt eine Beschreibung für das Nachbargerät. Port-ID Zeigt die ID des Ports, über den das Nachbargerät mit dem Gerät verbunden ist.
Seite 449: Bericht Global
Diagnose [ Diagnose > Bericht > Global ] 8.6.1 Bericht Global [ Diagnose > Bericht > Global ] Das Gerät ermöglicht Ihnen, über die folgenden Ausgaben bestimmte Ereignisse zu protokollieren: auf der Konsole  auf einen oder mehreren Syslog-Servern  auf einer per SSH aufgebauten Verbindung zum Command Line Interface ...
Seite 450: Snmp-Logging
Diagnose [ Diagnose > Bericht > Global ] notice  informational  debug  SNMP-Logging Wenn Sie die Protokollierung von SNMP-Anfragen einschalten, sendet das Gerät diese als Ereig- nisse mit dem voreingestellten Schweregrad notice an die Liste der Syslog-Server. Der voreinge- stellte Mindest-Schweregrad für einen Syslog-Server-Eintrag ist critical.
Seite 451: Mögliche Werte
Diagnose [ Diagnose > Bericht > Global ] Schweregrad Get-Request Legt den Schweregrad des Ereignisses fest, welches das Gerät bei SNMP Get requests protokol- liert. Weitere Informationen finden Sie unter „Bedeutung der Ereignis-Schweregrade” auf Seite 451. Mögliche Werte: emergency  alert ...
Seite 452 Diagnose [ Diagnose > Bericht > Global ] error  warning (Voreinstellung)  notice  informational  debug  CLI-Logging Funktion Schaltet die Funktion ein/aus. CLI-Logging Mögliche Werte:  Die Funktion CLI-Logging ist eingeschaltet. Das Gerät protokolliert jeden Befehl, den es über das Command Line Interface empfängt. (Voreinstellung) ...
Seite 453 Diagnose [ Diagnose > Bericht > Global ] Schweregrad Bedeutung warning Warnung Signifikanter, normaler Zustand notice informational Informelle Nachricht debug Debug-Nachricht RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 454: Persistentes Ereignisprotokoll
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] 8.6.2 Persistentes Ereignisprotokoll [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Das Gerät ermöglicht Ihnen, die Log-Einträge in einer Datei im externen Speicher permanent zu speichern. Somit haben Sie auch nach einem Neustart des Geräts Zugriff auf die Log-Einträge. In diesem Dialog begrenzen Sie die Größe der Log-Datei und legen den Mindest-Schweregrad für zu speichernde Ereignisse fest.
Seite 455: Mögliche Werte
Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Dateien (max.) Legt die Anzahl an Log-Dateien fest, die das Gerät im externen Speicher vorhält. Sobald die festgelegte maximale Anzahl an Dateien erreicht ist, löscht das Gerät die älteste Datei und benennt die verbleibenden Dateien um. Mögliche Werte: 0..25 (Voreinstellung: 4)
Seite 456 Diagnose [ Diagnose > Bericht > Persistentes Ereignisprotokoll ] Index Zeigt die Index-Nummer, auf die sich die Tabellenzeile bezieht. Mögliche Werte: 1..25  Das Gerät legt diese Nummer automatisch fest. Dateiname Zeigt den Dateinamen der Log-Datei im externen Speicher. Mögliche Werte: messages ...
Seite 457: System-Log
Diagnose [ Diagnose > Bericht > System-Log ] 8.6.3 System-Log [ Diagnose > Bericht > System-Log ] Das Gerät protokolliert geräteinterne Ereignisse in einer Log-Datei (System Log). Dieser Dialog zeigt die Log-Datei (System Log). Der Dialog ermöglicht Ihnen, die Log-Datei im HTML-Format auf Ihrem PC zu speichern.
Seite 458: Audit-Trail
Diagnose [ Diagnose > Bericht > Audit-Trail ] 8.6.4 Audit-Trail [ Diagnose > Bericht > Audit-Trail ] Dieser Dialog zeigt die Log-Datei (Audit Trail). Der Dialog ermöglicht Ihnen, die Log-Datei als HTML-Datei auf Ihrem PC zu speichern. Um die Log-Datei nach Suchbegriffen zu durchsuchen, verwenden Sie die Suchfunktion Ihres Web-Browsers.
Seite 459 Diagnose 8.6.4 Audit-Trail RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 460: Erweitert
Erweitert [ Erweitert > DNS ] 9 Erweitert Das Menü enthält die folgenden Dialoge:  Command Line Interface  [ Erweitert > DNS ] Das Menü enthält die folgenden Dialoge: DNS-Client  DNS-Cache  9.1.1 DNS-Client [ Erweitert > DNS > Client ] DNS (Domain Name System) ist ein Dienst im Netz, der Hostnamen in IP-Adressen übersetzt.
Seite 461: Dns-Client Global
Erweitert [ Erweitert > DNS > Client > Global ] 9.1.1.1 DNS-Client Global [ Erweitert > DNS > Client > Global ] In diesem Dialog schalten Sie die Funktion Client ein. Funktion Funktion Schaltet die Funktion ein/aus. Client Mögliche Werte: ...
Seite 462: 9.1.1.2 Dns-Client Aktuell
Erweitert [ Erweitert > DNS > Client > Aktuell ] 9.1.1.2 DNS-Client Aktuell [ Erweitert > DNS > Client > Aktuell ] Dieser Dialog zeigt, an welche DNS-Server das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Tabelle Informationen zum Anpassen des Erscheinungsbilds der Tabelle finden Sie unter „Arbeiten mit Tabellen”...
Seite 463: 9.1.1.3 Dns-Client Statisch
Erweitert [ Erweitert > DNS > Client > Statisch ] 9.1.1.3 DNS-Client Statisch [ Erweitert > DNS > Client > Statisch ] In diesem Dialog legen Sie die DNS-Server fest, an die das Gerät Anfragen zur Auflösung von Hostnamen in IP-Adressen weiterleitet. Das Gerät ermöglicht Ihnen, bis zu 4 IP-Adressen festzulegen.
Seite 464: Dns-Cache
Erweitert [ Erweitert > DNS > Cache ] Adresse Legt die IP-Adresse des DNS-Servers fest. Mögliche Werte: Gültige IPv4-Adresse (Voreinstellung: 0.0.0.0)  Aktiv Aktiviert/deaktiviert die Tabellenzeile. Das Gerät sendet Anfragen an den im der ersten aktiven Tabellenzeile konfigurierten DNS-Server. Erhält das Gerät von diesem Server keine Antwort, sendet es Anfragen an den in der nächsten aktiven Tabellenzeile konfigurierten DNS-Server.
Seite 465: Command Line Interface
Erweitert [ Erweitert > DNS > Cache > Global ] 9.1.2.1 DNS-Cache Global [ Erweitert > DNS > Cache > Global ] In diesem Dialog schalten Sie die Funktion Cache ein. Ist die Funktion Cache eingeschaltet, arbeitet das Gerät als Caching-DNS-Server. Fragt ein nachgeordnetes Gerät die IP-Adresse eines unbekannten Hostnames an, liefert der Caching-DNS-Server die IP-Adresse zurück, wenn er einen passenden Eintrag in seinem Cache findet.
Seite 466: Schaltflächen
Erweitert [ Erweitert > CLI ] Schaltflächen SSH-Verbindung starten Öffnet die SSH-fähige Client-Anwendung. Wenn Sie die Schaltfläche klicken, übergibt die Web-Anwendung den URL des Geräts beginnend mit ssh:// und den Benutzernamen des gegenwärtig angemeldeten Benutzers. Wenn der Web-Browser eine SSH-fähige Client-Anwendung findet, dann stellt der SSH-fähige Client eine Verbindung mit dem SSH-Protokoll zum Gerät her.
Seite 467 Erweitert 9.2 Command Line Interface RM GUI EAGLE40-07 Release 4.3 03/2022...
Seite 468: A Stichwortverzeichnis
Stichwortverzeichnis A Stichwortverzeichnis 1to1-NAT ..............384 802.1D/p-Mapping .
Seite 469 Stichwortverzeichnis Häufig gestellte Fragen ............471 HiDiscovery .
Seite 470 Stichwortverzeichnis Queues ..............281 RADIUS .
Seite 471 Stichwortverzeichnis Zähler-Reset ..............50 Zertifikat .
Seite 472: B Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 473: C Leserkritik
Leserkritik C Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 474 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...
Seite 476 Anwender-Handbuch Konfiguration Industrial Security Router EAGLE40-07 UM Config EAGLE40-07 Technische Unterstützung Release 4.3 03/2022 https://hirschmann-support.belden.com...
Seite 477 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. © 2022 Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt.
Seite 478 Inhalt Inhalt Sicherheitshinweise............9 Über dieses Handbuch .
Seite 479 Inhalt Benutzerverwaltung ............54 3.4.1 Berechtigungen .
Seite 480 Inhalt Software-Update aus dem externen Speicher ........100 7.4.1 Manuell –...
Seite 481 Inhalt 11.3 QoS/Priorität..............164 11.3.1 Behandlung empfangener Prioritätsinformationen.
Seite 482 Inhalt Funktionsdiagnose ............251 14.1 SNMP-Traps senden .
Seite 483 Inhalt Verwendete Abkürzungen ........... . . 292 Stichwortverzeichnis .
Seite 484: Sicherheitshinweise
Sicherheitshinweise Sicherheitshinweise WARNUNG UNKONTROLLIERTE MASCHINENBEWEGUNGEN Um unkontrollierte Maschinenbewegungen aufgrund von Datenverlust zu vermeiden, konfigu- rieren Sie alle Geräte zur Datenübertragung individuell. Nehmen Sie eine Maschine, die mittels Datenübertragung gesteuert wird, erst in Betrieb, wenn Sie alle Geräte zur Datenübertragung vollständig konfiguriert haben. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sach- schäden zur Folge haben.
Seite 485 Sicherheitshinweise UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 486: Über Dieses Handbuch
Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch „Konfiguration“ enthält die Informationen, die Sie zur Inbetriebnahme des Geräts benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. Das Anwender-Handbuch „Installation“...
Seite 487: Legende
Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: Aufzählung  Arbeitsschritt  Verweis Querverweis mit Verknüpfung Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Darstellung eines CLI-Kommandos oder des Feldinhalts in der grafischen Benut- Courier zeroberfläche Auszuführen in der grafische Benutzeroberfläche...
Seite 488: Ersetzen Eines Defekten Geräts
Ersetzen eines defekten Geräts Ersetzen eines defekten Geräts Das Gerät bietet folgende Plug-and-Play-Lösungen, um ein defektes Gerät durch ein Gerät des gleichen Typs zu ersetzen: Das neue Gerät lädt das Konfigurationsprofil des ersetzten Geräts vom externen Speicher.  Siehe „Konfigurationsprofil aus dem externen Speicher laden” auf Seite 91. Bei jeder Lösung erhält das neue Gerät beim Neustart die gleichen IP-Einstellungen, die das ersetzte Gerät zuvor hatte.
Seite 489 Ersetzen eines defekten Geräts UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 490: Benutzeroberflächen
Benutzeroberflächen 1.1 Grafische Benutzeroberfläche 1 Benutzeroberflächen Das Gerät ermöglicht Ihnen, die Einstellungen des Geräts über folgende Benutzeroberflächen fest- zulegen. Tab. 1: Benutzeroberflächen für Zugriff auf das Management des Geräts Benutzeroberfläche Erreichbar über … Voraussetzung Grafische Benutzeroberfläche Ethernet (In-Band) Web-Browser Command Line Interface Ethernet (In-Band) Terminalemulations-Software Serielle Schnittstelle (Out-of-...
Seite 491: Command Line Interface
Benutzeroberflächen 1.2 Command Line Interface Command Line Interface Das Command Line Interface ermöglicht Ihnen, die Funktionen des Gerätes über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zum Konfigurieren von IT-Geräten. Als erfahrener Benutzer oder Administrator verfügen Sie über Wissen zu den Grund- lagen und den Einsatz von Hirschmann-Geräten.
Seite 492 Benutzeroberflächen 1.2 Command Line Interface In das Feld Host Name (or IP address) geben Sie die IP-Adresse Ihres Geräts ein.  Die IP-Adresse besteht aus 4 Dezimalzahlen im Wert von bis 255. Die 4 Dezimalzahlen sind durch einen Punkt getrennt. Um den Verbindungstyp auszuwählen, wählen Sie in der Optionsliste das Opti- Connection type...
Seite 493: Zugriff Auf Das Command Line Interface Über Die Serielle Schnittstelle
Benutzeroberflächen 1.2 Command Line Interface login as: admin admin@192.168.1.5’s password: Copyright (c) 2011-2022 Hirschmann Automation and Control GmbH All rights reserved EAGLE40-07 Release HiSecOS-04.3.00 (Build date 2022-03-12 09:19) System Name EAGLE40-ECE555d5e494 Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 1. Router IP 0.0.0.0 Base MAC EC:E5:55:01:02:03...
Seite 494 Benutzeroberflächen 1.2 Command Line Interface Führen Sie die folgenden Schritte aus: Verbinden Sie das Gerät über die serielle Schnittstelle mit einem Terminal. Alternativ verbinden  Sie das Gerät mit einem COM-Port Ihres PCs mit Terminal-Emulation nach VT100 und drücken Sie eine beliebige Taste. Alternativ erstellen Sie die serielle Datenverbindung zum Gerät über die serielle Schnittstelle mit ...
Seite 495: Modus-Basierte Kommando-Hierarchie
Benutzeroberflächen 1.2 Command Line Interface Copyright (c) 2011-2022 Hirschmann Automation and Control GmbH All rights reserved EAGLE40-07 Release HiSecOS-04.3.00 (Build date 2022-03-12 09:19) System Name EAGLE40-ECE555d5e494 Management IP : 192.168.1.5 Subnet Mask 255.255.255.0 1. Router IP 0.0.0.0 Base MAC EC:E5:55:01:02:03 System Time 2022-03-14 12:30:48 NOTE: Enter '?' for Command Help.
Seite 496 Benutzeroberflächen 1.2 Command Line Interface Die folgende Abbildung zeigt die Modi des Command Line Interfaces. ROOT login logout Die User Exec Kommandos Eingeschränkte sind auch im User Exec Modus Funktion Privileged Exec Modus verfügbar. enable exit Basisfunktionen, Privileged Exec Modus Grundeinstellungen vlan serviceshell...
Seite 497 Benutzeroberflächen 1.2 Command Line Interface Global Config Modus  Der Global Config Modus ermöglicht Ihnen, Modifikationen an der laufenden Konfiguration durchzuführen. In diesem Modus sind allgemeine Setup-Kommandos zusammengefasst. Kommando-Prompt: (EAGLE) (config)# Interface Range Modus  Die Befehle Interface Range Modus wirken sich auf einen bestimmten Port, auf eine ausge- wählte Gruppe von mehreren Ports oder auf alle Ports aus.
Seite 498 Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Kommando Modi, die im jeweiligen Modus sichtbaren Kommando- Prompts (Eingabeaufforderungszeichen) und die Möglichkeit, mit der Sie den Modus beenden. Tab. 2: Kommando-Modi Kommando- Zugriffsmethode Beenden oder nächsten Modus starten modus User Exec Erste Zugriffsebene.
Seite 499: Ausführen Von Kommandos
Benutzeroberflächen 1.2 Command Line Interface Wenn Sie ein Fragezeichen (?) nach dem Prompt eingeben, gibt das Command Line Interface Ihnen die Liste der verfügbaren Kommandos und eine Kurzbeschreibung zu den Kommandos aus. (EAGLE)> Set the CLI preferences. enable Turn on privileged commands. help Display help for various special keys.
Seite 500: Aufbau Eines Kommandos
Benutzeroberflächen 1.2 Command Line Interface Kommandobaum Die Kommandos im Command Line Interface sind in einer Baumstruktur organisiert. Die Kommandos und ggf. die zugehörigen Parameter verzweigen sich so lange weiter, bis das Kommando komplett definiert und damit ausführbar ist. Das Command Line Interface prüft die Eingaben.
Seite 501 Benutzeroberflächen 1.2 Command Line Interface Tab. 3: Parameter- und Kommando-Syntax Eine senkrechte Linie, eingeschlossen in Klammern, zeigt eine [Choice1 | Choice2] Auswahlmöglichkeit. Wählen Sie einen Wert. Durch eine senkrechte Linie getrennte Elemente, eingeschlossen in eckigen Klammern, zeigen eine optionale Auswahlmöglichkeit an (Auswahl1 oder Auswahl2 oder keine Auswahl).
Seite 502: Beispiele Für Kommandos
Benutzeroberflächen 1.2 Command Line Interface Die folgende Tabelle zeigt die Darstellung und den Bereich der Adresstypen: Tab. 5: Format und Bereich von Netzadressen Adresstyp Format Bereich Beispiel IP-Adresse nnn.nnn.nnn.nnn nnn: 0 bis 255 (dezimal) 192.168.11.110 MAC-Adresse mm:mm:mm:mm:mm:mm mm: 00 bis ff (hexadezimale A7:C9:89:DD:A9:B3 Zahlenpaare) Zeichenfolgen (Strings)
Seite 503: Eingabeprompt
Benutzeroberflächen 1.2 Command Line Interface (default: 1812). [msgauth] Enable or disable the message authenticator attribute for this server. [primary] Configure the primary RADIUS server. [status] Enable or disable a RADIUS authentication server entry. [secret] Configure the shared secret for the RADIUS authentication server.
Seite 504: Tastaturkombinationen
Benutzeroberflächen 1.2 Command Line Interface Rautezeichen  Ein Rautezeichen zu Beginn des Eingabeprompts zeigt, dass sich die Boot-Parameter von den Parametern während der Bootphase unterscheiden. (EAGLE)> Ausrufezeichen  Ein Ausrufezeichen zu Beginn des Eingabeprompts zeigt: das Passwort für die Benutzer- konten oder stimmt mit dem Lieferzustand überein.
Seite 505 Benutzeroberflächen 1.2 Command Line Interface Tab. 7: Tastenkombinationen im Command Line Interface Tastaturkombination Beschreibung <STRG> + <F> Ein Zeichen nach vorn gehen <STRG> + <B> Ein Zeichen zurück gehen <STRG> + <D> Nächstes Zeichen löschen <STRG> + <U>, <X> Zeichen bis zum Anfang der Zeile löschen <STRG>...
Seite 506: Eingabehilfen
Benutzeroberflächen 1.2 Command Line Interface 1.2.10 Eingabehilfen Befehlsergänzung Das Command Line Interface ermöglicht Ihnen, die Befehlsvervollständigung (Tab-Completion) zu verwenden, um die Eingabe von Befehlen zu vereinfachen. Damit haben Sie die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Wenn die eingegebenen Buchstaben ein ...
Seite 507: Anwendungsfälle
Benutzeroberflächen 1.2 Command Line Interface 1.2.11 Anwendungsfälle Konfiguration speichern Damit Ihre Password-Einstellungen und Ihre sonstigen Konfigurationsänderungen nach einem Reset des Gerätes oder nach einer Unterbrechung der Spannungsversorgung erhalten bleiben, speichern Sie die Konfiguration. Führen Sie dazu die folgenden Schritte aus: Geben Sie ein, um in den Privileged Exec Modus zu wechseln.
Seite 508: Arbeiten Mit
Benutzeroberflächen 1.2 Command Line Interface 1.2.12 Service Shell Die Service Shell dient ausschließlich zu Service-Zwecken. Die Service Shell ermöglicht Benutzern den Zugriff auf interne Funktionen des Geräts. Wenn Sie beim Zugriff auf Ihr Gerät Unterstützung benötigen, verwendet das Service-Personal die Service Shell, um interne Zustände wie Switch-Register und CPU-Register zu überwachen.
Seite 509: Service Shell Permanent Im Gerät Deaktivieren
Benutzeroberflächen 1.2 Command Line Interface Service Shell-Kommandos anzeigen Voraussetzung ist, dass Sie die Service Shell bereits gestartet haben. Führen Sie die folgenden Schritte aus: Geben Sie ein und drücken die <Enter>-Taste.  help /mnt/fastpath # help Built-in commands: ------------------ . : [ [[ alias bg break cd chdir command continue echo eval exec exit export false fg getopts hash help history jobs kill let local pwd read readonly return set shift source test times trap true type ulimit umask unalias unset wait...
Seite 510 Benutzeroberflächen 1.2 Command Line Interface Geben Sie ein und drücken die <Enter>-Taste.  serviceshell deactivate Um den Aufwand beim Tippen zu reduzieren: – Geben Sie ein und drücken die <Enter>-Taste. – Geben Sie ein und drücken die <Enter>-Taste. Dieser Schritt ist unumkehrbar! ...
Seite 511: System-Monitor
Benutzeroberflächen 1.3 System-Monitor System-Monitor Der System-Monitor ermöglicht Ihnen, vor dem Starten des Betriebssystems grundlegende Betriebsparameter einzustellen. 1.3.1 Funktionsumfang Im System-Monitor erledigen Sie beispielsweise folgende Aufgaben: Betriebssystem verwalten und Software-Image prüfen  Betriebssystem aktualisieren  Betriebssystem starten  Konfigurationsprofile löschen, Gerät auf Lieferzustand zurücksetzen ...
Seite 512 Benutzeroberflächen 1.3 System-Monitor Führen Sie die folgenden Schritte aus: Verbinden Sie mit Hilfe des Terminal-Kabels die serielle Schnittstelle des Geräts mit dem COM-  Port des PCs. Starten Sie die VT100-Terminalemulation auf dem PC.  Legen Sie folgende Übertragungsparameter fest: ...
Seite 513 Benutzeroberflächen 1.3 System-Monitor UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 514: Ip-Parameter Festlegen
IP-Parameter festlegen 2.1 Grundlagen IP Parameter 2 IP-Parameter festlegen Bei der Erstinstallation des Geräts legen Sie die IP-Parameter fest. Das Gerät bietet bei der Erstinstallation die folgenden Möglichkeiten zur Eingabe der IP-Parameter: Eingabe über das Command Line Interface.  Wählen Sie diese „In-Band“-Methode, wenn Sie Ihr Gerät außerhalb seiner Betriebsumgebung vorkonfigurieren oder Sie den Netzzugang („Out-of-Band“) zu dem Gerät wiederherstellen.
Seite 515 IP-Parameter festlegen 2.1 Grundlagen IP Parameter LACNIC (Regional Latin-American and Caribbean IP Address Registry)  Lateinamerika und weitere Karibik-Inseln RIPE NCC (Réseaux IP Européens)  Europa und umliegende Regionen Net ID - 7 bits Host ID - 24 bits Klasse A Net ID - 14 bits Host ID - 16 bits Klasse B...
Seite 516: Beispiel Für Die Anwendung Der Netzmaske
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Beispiel für IP-Adressen mit Subnetzzuordnung gemäß der Netzmaske: Dezimale Darstellung 129.218.65.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.01000001.00010001 Subnetz 1 Netzadresse Dezimale Darstellung 129.218.129.17 128 < 129 191 › Klasse B Binäre Darstellung 10000001.11011010.10000001.00010001 Subnetz 2...
Seite 517: Classless Inter-Domain Routing
IP-Parameter festlegen 2.1 Grundlagen IP Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, dass der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC-Adresse als Quelladresse.
Seite 518: Ip-Parameter Mit Dem Command Line Interface Festlegen
IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen IP-Parameter mit dem Command Line Interface fest- legen 2.2.1 IPv4 Es gibt folgende Möglichkeiten, die IP-Parameter einzugeben: HiDiscovery-Protokoll  Externer Speicher  Command Line Interface über eine serielle Verbindung  Das Gerät ermöglicht Ihnen, die IP-Parameter über das HiDiscovery-Protokoll oder über die seri- elle Schnittstelle mit Hilfe des Command Line Interfaces festzulegen.
Seite 519 IP-Parameter festlegen 2.2 IP-Parameter mit dem Command Line Interface festlegen Geben Sie die IP-Parameter ein.  Lokale IP-Adresse  In der Voreinstellung ist die lokale IP-Adresse 0.0.0.0 Netzmaske  Wenn Sie Ihr Netz in Subnetze aufgeteilt haben und diese mit einer Netzmaske identifi- zieren, geben Sie an dieser Stelle die Netzmaske ein.
Seite 520: Ip-Parameter Mit Hidiscovery Festlegen
Die anderen Parameter konfigurieren Sie komfortabel über die grafische Benutzeroberfläche. Führen Sie die folgenden Schritte aus: Installieren Sie auf Ihrem Rechner das Programm HiDiscovery.  Sie können die Software von https://catalog.belden.com/index.cfm?event=pd&p=PF_HiDisco- very herunterladen. Starten Sie das Programm HiDiscovery.  Abb. 13: HiDiscovery Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das...
Seite 521 IP-Parameter festlegen 2.3 IP-Parameter mit HiDiscovery festlegen Anmerkung: Schalten Sie die Funktion HiDiscovery im Geräts aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben. Anmerkung: Speichern Sie die Einstellungen, sodass die Eingaben nach einem Neustart wieder zur Verfügung stehen. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 522: Ip-Parameter Mit Grafischer Benutzeroberfläche Festlegen
IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen IP-Parameter mit grafischer Benutzeroberfläche fest- legen 2.4.1 IPv4 Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  In diesem Dialog legen Sie das VLAN fest, in dem das Management des Geräts erreichbar ist, und konfigurieren den HiDiscovery-Zugang.
Seite 523 IP-Parameter festlegen 2.4 IP-Parameter mit grafischer Benutzeroberfläche festlegen UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 524: Zugriff Auf Das Gerät
Zugriff auf das Gerät 3.1 Berechtigungen 3 Zugriff auf das Gerät Berechtigungen Die Funktionen des Gerätes, die Ihnen als Benutzer zur Verfügung stehen, hängen von Ihrer Berechtigungsstufe ab. Der Funktionsumfang einer Berechtigungsstufe ist für Sie verfügbar, wenn Sie als Benutzer mit dieser Berechtigungsstufe angemeldet sind. Die Kommandos, die Ihnen als Benutzer zur Verfügung stehen, sind außerdem abhängig vom Modus des Command Line Interface, in welchem Sie sich gerade befinden.
Seite 525: Erste Anmeldung (Passwortänderung)
Passwort zu bestätigen. Melden Sie sich mit Ihrem neuen Passwort erneut an.  Anmerkung: Wenn Sie Ihr Passwort vergessen haben, dann wenden Sie sich an Ihren lokalen Support. Weitere Informationen finden Sie unter hirschmann-support.belden.com. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 526: Authentifizierungs-Listen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Authentifizierungs-Listen Wenn ein Benutzer über eine bestimmte Verbindung auf das Gerät zugreift, verifiziert das Gerät die Anmeldedaten des Benutzers in einer Authentifizierungs-Liste, welche die Richtlinien enthält, die das Gerät für die Authentifizierung anwendet. Voraussetzung für den Zugriff eines Benutzers auf das Management des Geräts ist, dass der Authentifizierungs-Liste derjenigen Anwendung, über die der Zugriff erfolgt, mindestens eine Richt- linie zugeordnet ist.
Seite 527: Einstellungen Anpassen
Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Deaktivieren Sie die Authentifizierungs-Liste für diejenigen Anwendungen, über die kein Zugriff  auf das Gerät erfolgt. Heben Sie in Spalte Aktiv der gewünschten Authentifizierungs-Liste die Markierung des  Kontrollkästchens auf. Speichern Sie die Änderungen zwischen.
Seite 528 Zugriff auf das Gerät 3.3 Authentifizierungs-Listen Die Richtlinien radius, local reject authlists set-policy loginGUI radius local reject reject reject Authentifizierungs-Liste loginGUI zuweisen. Eingerichtete Authentifizierungs-Listen anzeigen. show authlists Authentifizierungs-Liste aktivieren.loginGUI. authlists enable loginGUI Weist der Authentifizierungs-Liste eine Anwendung zu. loginGUI  Öffnen Sie den Dialog .
Seite 529: Benutzerverwaltung
Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerverwaltung Das Gerät ermöglicht Benutzern den Zugriff auf das Management des Geräts, wenn diese sich mit gültigen Zugangsdaten anmelden. Das Gerät authentifiziert die Benutzer entweder anhand der lokalen Benutzerverwaltung oder mit einem RADIUS-Server im Netz. Damit das Gerät auf die Benutzerverwaltung zurückgreift, weisen Sie einer Authentifizierungsliste die Richtlinie local siehe Dialog .
Seite 530 Zugriff auf das Gerät 3.4 Benutzerverwaltung Jedes Benutzerkonto ist mit einer Berechtigung verknüpft, das den Zugriff auf die einzelnen Funk- tionen des Geräts reguliert. Abhängig von der vorgesehenen Tätigkeit des jeweiligen Benutzers weisen Sie ihm eine vordefinierte Berechtigung zu. Das Gerät unterscheidet die folgenden Berech- tigungen.
Seite 531: Der Benutzer Ist Berechtigt, Das Gerät Zu Überwachen
Zugriff auf das Gerät 3.4 Benutzerverwaltung Tab. 10: Berechtigungen für Benutzerkonten (Forts.) Rolle Beschreibung Autorisiert für folgende Tätigkeiten auditor Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff. das Gerät zu überwachen und das Protokoll im Dialog zu speichern. guest Der Benutzer ist berechtigt, Überwachende Tätigkeiten mit Lesezugriff.
Seite 532: Voreinstellung
Zugriff auf das Gerät 3.4 Benutzerverwaltung 3.4.3 Voreinstellung Im Lieferzustand sind die Benutzerkonten im Gerät eingerichtet. admin user Tab. 11: Voreinstellungen der werkseitig eingerichteten Benutzerkonten Parameter Voreinstellung Benutzername admin user private public Passwort administrator guest Rolle Benutzer gesperrt unmarkiert unmarkiert Richtlinien überprüfen unmarkiert unmarkiert...
Seite 533: Neues Benutzerkonto Einrichten
Zugriff auf das Gerät 3.4 Benutzerverwaltung Anmerkung: Das Prüfen des Passworts führt möglicherweise zu einer Meldung, wenn Sie den Sicherheitsstatus anzeigen ( ). Die Einstellungen, die zu dieser show security-status all Meldung führen, legen Sie fest mit dem Kommando security-status monitor pwd-policy-inac- tive Für das Benutzerkonto <user>...
Seite 534: Benutzerkonto Deaktivieren
Zugriff auf das Gerät 3.4 Benutzerverwaltung Für das Benutzerkonto das Prüfen des Pass- USER users password-policy-check USER enable wortes anhand der festgelegten Richtlinien akti- vieren. Damit erzielen Sie eine höhere Komplexität des Passwortes. Für das Benutzerkonto USER das Passwort SECRET users password USER SECRET festlegen.
Seite 535: Richtlinien Für Passwörter Anpassen
Zugriff auf das Gerät 3.4 Benutzerverwaltung Benutzerkonto <user> löschen. users delete <user> Eingerichtete Benutzerkonten anzeigen. show users Einstellungen im permanenten Speicher (nvm) im save „ausgewählten” Konfigurationsprofil speichern. 3.4.7 Richtlinien für Passwörter anpassen Das Gerät ermöglicht Ihnen zu prüfen, ob die Passwörter für die Benutzerkonten der vorgegebenen Richtlinie entsprechen.
Seite 536 Zugriff auf das Gerät 3.4 Benutzerverwaltung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Richtlinie für die Mindestlänge des Passworts fest- passwords min-length 6 legen. Richtlinie für die Mindestanzahl von Kleinbuch- passwords min-lowercase-chars 1 staben im Passwort festlegen. Richtlinie für die Mindestanzahl von Ziffern im passwords min-numeric-chars 1 Passwort festlegen.
Seite 537: Ldap
Zugriff auf das Gerät 3.5 LDAP LDAP Server-Administratoren verwalten Active Directorys, die Benutzeranmelde-Informationen für in Büroumgebungen eingesetzte Anwendungen enthalten. Ein Active Directory weist eine hierarchi- sche Struktur auf und enthält Benutzernamen, Passwörter und die autorisierten Berechtigungs- stufen mit Lese-/Schreibrechten für die einzelnen Benutzer. Um Benutzeranmeldeinformationen und Berechtigungsstufen aus einem Active Directory abzu- rufen, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP).
Seite 538: Beispiel-Konfiguration
Zugriff auf das Gerät 3.5 LDAP 3.5.2 Beispiel-Konfiguration Das Gerät ist in der Lage, eine verschlüsselte Verbindung zu einem lokalen Server ausschließlich über den Server-Namen oder zu einem Server in einem anderen Netz über eine IP-Adresse herzu- stellen. Der Server-Administrator verwendet Attribute zur Identifizierung der Anmeldedaten eines Benutzers und für die Zuordnung von individuellen Berechtigungsstufen und Gruppenberechti- gungsstufen.
Seite 539 Zugriff auf das Gerät 3.5 LDAP Das Gerät ermöglicht Ihnen festzulegen, über welchen Zeitraum das Gerät die Benutzer-  Anmeldedaten im Cache speichert. Um Benutzer-Anmeldedaten für einen Tag im Cache zu speichern, legen Sie im Rahmen Konfiguration, Feld den Wert Client-Cache-Timeout [min] 1440 fest.
Seite 540 Zugriff auf das Gerät 3.5 LDAP Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Geben Sie die vom Server-Administrator erhaltenen Werte für die Zugriffsrolle administ- rator ein. Um die Tabellenzeile zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv. Öffnen Sie den Dialog .
Seite 541: Snmp-Zugriff
Zugriff auf das Gerät 3.6 SNMP-Zugriff SNMP-Zugriff Das Protokoll SNMP ermöglicht Ihnen, mit einem Netzmanagementsystem das Gerät über das Netz zu überwachen und seine Einstellungen zu ändern. 3.6.1 SNMPv1/v2-Zugriff Mit SNMPv1 oder SNMPv2 kommunizieren das Netzmanagementsystem und das Gerät unver- schlüsselt.
Seite 542 Zugriff auf das Gerät 3.6 SNMP-Zugriff Klicken Sie in der Tabellenzeile des betreffenden Benutzerkontos in das Feld SNMP-  Authentifizierung. Wählen Sie die gewünschte Einstellung. Klicken Sie in der Tabellenzeile des betreffenden Benutzerkontos in das Feld SNMP-  Verschlüsselung. Wählen Sie die gewünschte Einstellung. Speichern Sie die Änderungen zwischen.
Seite 543 Zugriff auf das Gerät 3.6 SNMP-Zugriff UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 544: Vpn - Virtuelles Privates Netz
VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security 4 VPN – Virtuelles privates Netz Ein virtuelles privates Netz (VPN) bezeichnet einen Teil eines öffentlichen Netzes, das jemand für seine privaten Zwecke nutzt. Die Besonderheit an einem VPN besteht darin, wie der Name „privat“ schon ausdrückt, dass das VPN die privaten Daten durch ein öffentliches Netz tunnelt.
Seite 545 VPN – Virtuelles privates Netz 4.1 IPsec – Internet Protocol Security Die 2 Endpunkte verhandeln, welche Sicherheitsparameter für die VPN-Verbindung verwendet werden. IPsec stellt 2 Modi für die Verhandlungen bereit Transportmodus  Im Transportmodus authentifizieren sich die 2 Endpunkte gegenseitig und richten dann die zur Signierung und Verschlüsselung erforderlichen Parameter ein.
Seite 546: Ike - Internet Key Exchange
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange IKE – Internet Key Exchange IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zur Authentifizierung, zum Schlüssel- austausch und zur Vereinbarung weiterer Parameter für die Sicherheitsbeziehung einer VPN- Verbindung. 4.2.1 Authentifizierung Verwenden Sie die Authentifizierung im Rahmen der Sicherheitsbeziehung.
Seite 547: Zertifikat Mit Openssl Erzeugen
VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange 4.2.3 Zertifikat mit OpenSSL erzeugen Die Verwendung von OpenSSL ermöglicht Ihnen, ein Serverzertifikat zu erzeugen und zu signieren, das für die VPN-Authentifizierung verwendet wird. Vorraussetzung: Auf einem Windows-System benötigen Sie einen Texteditor, der Unix-Zeilenum- brüche korrekt behandelt, zum Beispiel die Anwendung Notepad++.
Seite 548 VPN – Virtuelles privates Netz 4.2 IKE – Internet Key Exchange Die OpenSSL-Anwendung ermöglicht Ihnen außerdem, andere Zertifikatstypen zu erzeugen. Um die möglichen Zertifikatstypen anzuzeigen, öffnen Sie die Anwendung openssl.exe Verzeichnis c:\OpenSSL\bin, und geben Sie im Fenster das Zeichen ein. Command Prompt Um eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erzeugen und zu ...
Seite 549: Anwendungsbeispiele
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Anwendungsbeispiele Die folgenden Beispiele beschreiben die Besonderheiten in häufig verwendeten Anwendungen. 4.3.1 2 Subnetze miteinander verbinden In einem großen Unternehmensnetz verbindet ein Transfernetz die Subnetze miteinander. Ein VPN verbindet 2 dieser Subnetze, zum Beispiel die Produktionssteuerung und die Produktionshalle. Um die internen IP-Adressen auszublenden, konfigurieren Sie das VPN dahingehend, dass das VPN im Tunnelmodus betrieben wird.
Seite 550 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Führen Sie die folgenden Schritte aus: Erzeugen Sie eine VPN-Verbindung.  Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Die Tabelle zeigt die VPN-Verbindungen, die bereits auf dem Gerät Create or select entry verfügbar sind.
Seite 551 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Legen Sie im Dialog die folgenden Einstellungen fest: Add traffic selector  Den Wert in Spalte Traffic selector index  Das Gerät gibt die Indexnummer ein und ermöglicht Ihnen außerdem, die Index- nummer zu ändern. Den Wert Any Traffic in Spalte...
Seite 552: Vpn Active
VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele Geben Sie die IKE-Schlüsselaustauschparameter ein.  Das Gerät verwendet die im Dialog festgelegten Werte. In diesem Advanced configuration Beispiel ist das Gerät der Initiator und wählt das Protokoll automatisch aus. Im Rahmen lautet die Voreinstellung für das Feld 540 s.
Seite 553 VPN – Virtuelles privates Netz 4.3 Anwendungsbeispiele UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 554: Die Systemzeit Im Netz Synchronisieren
Die Systemzeit im Netz synchronisieren 5.1 Grundeinstellungen 5 Die Systemzeit im Netz synchronisieren Viele Anwendungen sind auf eine möglichst korrekte Zeit angewiesen. Die notwendige Genauig- keit, also die zulässige Abweichung zur Echtzeit, ist abhängig vom Anwendungsgebiet. Anwendungsgebiete sind beispielsweise: Logbucheinträge ...
Seite 555: Automatische Sommerzeitumschaltung
Die Systemzeit im Netz synchronisieren 5.1 Grundeinstellungen Der Wert legt die Zeitdifferenz fest zwischen der lokalen Zeit und der Lokaler Offset [min]  Systemzeit (UTC). Damit das Gerät die Zeitzone Ihres PCs ermittelt, klicken Sie die Schaltfläche Setze Zeit  PC.
Seite 556: Ntp
Die Systemzeit im Netz synchronisieren 5.2 NTP Das Network Time Protocol (NTP) ermöglicht Ihnen, die Systemzeit in Ihrem Netz zu synchroni- sieren. Das Gerät unterstützt die NTP-Client- und die NTP-Server-Funktion. NTP verwendet mehrere Stufen bzw. Rangfolgen von Zeitquellen, die auch als Stratum-Schicht bezeichnet werden.
Seite 557: Ntp-Konfiguration
Die Systemzeit im Netz synchronisieren 5.2 NTP Tab. 12: Einstellungen für das Beispiel Gerät 192.168.1.2 192.168.1.3 192.168.1.4 Rahmen Nur Client Client Modus unicast Rahmen Client und Server Server Modus client-server client-server 192.168.43.17 192.168.1.2 192.168.43.17 ServerAdresse Schalten Sie die Funktion auf denen Geräten ein, deren Zeit Sie mittels NTP einstellen ...
Seite 558 Die Systemzeit im Netz synchronisieren 5.2 NTP Für Switch 2:  Legen Sie in Spalte den Wert fest. Adresse 192.168.1.2 Um die Tabellenzeile zu aktivieren, markieren Sie das Kontrollkästchen in Spalte Aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 559 Die Systemzeit im Netz synchronisieren 5.2 NTP UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 560: Geänderte Einstellungen Erkennen
Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6 Konfigurationsprofile verwalten Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Nach einem Neustart sind diese Einstellungen verloren. Damit die Änderungen einen Neustart überdauern, ermöglicht Ihnen das Gerät, die Einstellungen in einem Konfigurationsprofil im permanenten Speicher (NVM) zu speichern.
Seite 561: Externer Speicher (Aca) Und Nichtflüchtiger Speicher (Nvm)
Konfigurationsprofile verwalten 6.1 Geänderte Einstellungen erkennen 6.1.2 Externer Speicher (ACA) und nichtflüchtiger Speicher (NVM) Sie können erkennen, ob die Einstellungen des „ausgewählten“ Konfigurationsprofils (ACA) im externen Speicher von den Einstellungen des „ausgewählten“ Konfigurationsprofils im perma- nenten Speicher (NVM) abweichen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog .
Seite 562: Einstellungen Speichern
Konfigurationsprofile verwalten 6.2 Einstellungen speichern Einstellungen speichern 6.2.1 Konfigurationsprofil im Gerät speichern Wenn Sie die Einstellungen des Geräts im laufenden Betrieb ändern, dann speichert das Gerät diese Änderungen im flüchtigen Speicher (RAM). Damit die Änderungen einen Neustart überdauern, speichern Sie das Konfigurationsprofil im permanenten Speicher (NVM). Konfigurationsprofil speichern Das Gerät speichert die Einstellungen im „ausgewählten“...
Seite 563: Konfigurationsprofil Auswählen
Konfigurationsprofile verwalten 6.2 Einstellungen speichern Die im permanenten Speicher (nvm) enthaltenen show config profiles nvm Konfigurationsprofile anzeigen. In den Privileged-EXEC-Modus wechseln. enable Aktuelle Einstellungen im Konfigurationsprofil mit copy config running-config nvm profile <string> der Bezeichnung <string> im permanenten Spei- cher (nvm) speichern. Wenn vorhanden, über- schreibt das Gerät ein namensgleiches Konfigurationsprofil.
Seite 564: Konfigurationsprofil Im Externen Speicher Speichern
Konfigurationsprofile verwalten 6.2 Einstellungen speichern 6.2.2 Konfigurationsprofil im externen Speicher speichern Wenn ein externer Speicher angeschlossen ist und Sie ein Konfigurationsprofil speichern, spei- chert das Gerät automatisch eine Kopie im Speicher. In der Voreinstellung ist Ausgewählter externer die Funktion eingeschaltet. Sie können diese Funktion ausschalten. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .
Seite 565 Konfigurationsprofile verwalten 6.2 Einstellungen speichern Exportieren Sie das Konfigurationsprofil auf einen Remote-Server. Führen Sie dazu die folgenden Schritte aus: Klicken Sie die Schaltfläche und dann den Eintrag Exportieren.. Der Dialog zeigt das Fenster Exportieren..Legen Sie im Feld die URL der Datei auf dem Remote-Server fest. ...
Seite 566: Einstellungen Laden
Konfigurationsprofile verwalten 6.3 Einstellungen laden Einstellungen laden Wenn Sie mehrere Konfigurationsprofile im Speicher hinterlegen, haben Sie die Möglichkeit, ein anderes Konfigurationsprofil zu laden. 6.3.1 Konfigurationsprofil aktivieren Der permanente Speicher des Geräts kann mehrere Konfigurationsprofile enthalten. Wenn Sie ein im permanenten Speicher (NVM) hinterlegtes Konfigurationsprofil aktivieren, dann verändern Sie die Einstellungen des Geräts unmittelbar.
Seite 567: Konfigurationsprofil Importieren
Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Vergewissern Sie sich, dass das Gerät beim Neustart ein Konfigurationsprofil aus dem externen  Speicher lädt. In der Voreinstellung ist die Funktion eingeschaltet. Wenn die Funktion ausgeschaltet ist, schalten Sie sie wie folgt wieder ein: Öffnen Sie den Dialog .
Seite 568: Externer Speicher
Konfigurationsprofile verwalten 6.3 Einstellungen laden Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche und dann den Eintrag Importieren.. Der Dialog zeigt das Fenster Importieren..Wählen Sie in der Dropdown-Liste den Speicherort aus, von dem das Gerät Select source ...
Seite 569 Konfigurationsprofile verwalten 6.3 Einstellungen laden In den Privileged-EXEC-Modus wechseln. enable Konfigurationsprofil-Einstellungen von einem copy config remote sftp:// <user name>:<password>@<IP_address>/ SFTP-Server importieren und anwenden. <path>/<file_name> running-config Das Gerät kopiert die Einstellungen in den flüch- tigen Speicher und trennt die Verbindung zum Command Line Interface.
Seite 570: Gerät Auf Lieferzustand Zurücksetzen
Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Gerät auf Lieferzustand zurücksetzen Wenn Sie die Einstellungen im Gerät auf den Lieferzustand zurücksetzen, dann löscht das Gerät die Konfigurationsprofile im flüchtigen Speicher und im permanenten Speicher. Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Spei- cher gespeicherten Konfigurationsprofile.
Seite 571 Konfigurationsprofile verwalten 6.4 Gerät auf Lieferzustand zurücksetzen Um die Werkseinstellungen zu laden, drücken Sie die <Enter>-Taste.  Das Gerät löscht die Konfigurationsprofile im flüchtigen Speicher (RAM) und im permanenten Speicher (NVM). Wenn ein externer Speicher angeschlossen ist, dann löscht das Gerät auch die im externen Speicher gespeicherten Konfigurationsprofile.
Seite 572: Neueste Software Laden
Neueste Software laden 7.1 Frühere Software-Version laden 7 Neueste Software laden Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com.
Seite 573: Software-Update Vom Pc
Neueste Software laden 7.2 Software-Update vom PC Software-Update vom PC Voraussetzung ist, dass die Image-Datei der Geräte-Software auf einem Datenträger gespeichert ist, den Sie von Ihrem PC aus erreichen. Führen Sie die folgenden Schritte aus: Öffnen Sie das Verzeichnis, in dem die Image-Datei der Geräte-Software gespeichert ist. ...
Seite 574: Software-Update Von Einem Server
Neueste Software laden 7.3 Software-Update von einem Server Software-Update von einem Server Für ein Software-Update mit SFTP oder SCP benötigen Sie einen Server, auf dem die Image-Datei der Geräte-Software abgelegt ist. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog . ...
Seite 575: Software-Update Aus Dem Externen Speicher
Neueste Software laden 7.4 Software-Update aus dem externen Speicher Software-Update aus dem externen Speicher 7.4.1 Manuell – durch den Administrator initiiert Das Gerät ermöglicht Ihnen, die Geräte-Software mit wenigen Mausklicks zu aktualisieren. Voraus- setzung ist, dass sich die Image-Datei der Geräte-Software im externen Speicher befindet. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .
Seite 576 Neueste Software laden 7.4 Software-Update aus dem externen Speicher Starten Sie das Gerät neu.  Während des Boot-Vorgangs prüft das Gerät automatisch folgende Kriterien: – Ist ein externer Speicher angeschlossen? – Befindet sich im Hauptverzeichnis des externen Speichers eine Datei startup.txt? –...
Seite 577 Neueste Software laden 7.4 Software-Update aus dem externen Speicher UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 578: Ports Konfigurieren
Ports konfigurieren 8.1 Port ein-/ausschalten 8 Ports konfigurieren Folgende Funktionen für die Port-Konfiguration stehen zur Verfügung: Port ein-/ausschalten  Betriebsart wählen  Hardware-LAN-Bypass  Port ein-/ausschalten In der Voreinstellung ist jeder Port eingeschaltet. Um die Zugriffssicherheit zu erhöhen, deakti- vieren Sie Ports, die nicht angeschlossen sind. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog , Registerkarte Konfiguration.
Seite 579: Betriebsart Wählen
Ports konfigurieren 8.2 Betriebsart wählen Betriebsart wählen In der Voreinstellung befinden sich die Ports im Betriebsmodus Automatische Konfiguration. Anmerkung: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog , Registerkarte Konfiguration. ...
Seite 580: Hardware-Lan-Bypass
Ports konfigurieren 8.3 Hardware-LAN-Bypass Hardware-LAN-Bypass Die Funktion Hardware-LAN-Bypass dient dazu, die Datenkommunikation bei einem Stromausfall oder im Fehlerfall aufrechtzuerhalten. Die Funktion Hardware-LAN-Bypass, wenn aktiv, leitet die Datenpakete zwischen Port und Port weiter. Wenn die Funktion Hardware-LAN-Bypass aktiv ist, trennt das Gerät die Ports von den geräteinternen Ports und verbindet stattdessen die Ports physikalisch miteinander.
Seite 581: Bypass Während Des Betriebs
Ports konfigurieren 8.3 Hardware-LAN-Bypass 8.3.2 Bypass während des Betriebs Der Modus Bypass während des Betriebs ist konfigurierbar und ist in der Voreinstellung ausge- schaltet. Während des Betriebs können Sie den Modus Bypass während des Betriebs willentlich einschalten. Das Gerät leitet zwischen den Ports die Datenpakete kontinuierlich weiter, mit folgenden Einschränkungen: Die LEDs von Port...
Seite 582 Ports konfigurieren 8.3 Hardware-LAN-Bypass Status anzeigen für den Modus Bypass während show hardware by-pass des Betriebs. Run-time hardware Lan By-Pass Information --------------------- Operation State......disabled Einstellungen im permanenten Speicher (NVM) im save „ausgewählten” Konfigurationsprofil speichern. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 583 Ports konfigurieren 8.3 Hardware-LAN-Bypass UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 584: Unterstützung Beim Schutz Vor Unberechtigtem Zugriff
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.1 SNMPv1/v2-Community ändern 9 Unterstützung beim Schutz vor unberechtigtem Zugriff Das Gerät bietet Ihnen Funktionen, die Ihnen helfen, das Gerät vor unberechtigten Zugriffen zu schützen. Führen Sie nach dem Einrichten des Geräts die folgenden Schritte aus, um die Möglichkeit eines unbefugten Zugriffs auf das Gerät zu verringern.
Seite 585: Snmpv1/V2 Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.2 SNMPv1/v2 ausschalten SNMPv1/v2 ausschalten Wenn Sie SNMPv1 oder SNMPv2 benötigen, dann verwenden Sie diese Protokolle ausschließlich in abhörsicheren Umgebungen. SNMPv1 und SNMPv2 verwenden keine Verschlüsselung. Die SNMP-Pakete enthalten die Community im Klartext. Wir empfehlen, im Gerät SNMPv3 zu nutzen und den Zugriff über SNMPv1 und SNMPv2 auszuschalten.
Seite 586: Http Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.3 HTTP ausschalten HTTP ausschalten Der Webserver liefert die grafische Benutzeroberfläche mit dem Protokoll HTTP oder HTTPS aus. HTTP-Verbindungen sind im Gegensatz zu HTTPS-Verbindungen unverschlüsselt. Per Voreinstellung ist das Protokoll HTTP eingeschaltet. Wenn Sie HTTP ausschalten, ist kein unverschlüsselter Zugriff auf die grafische Benutzeroberfläche mehr möglich.
Seite 587: Hidiscovery-Zugriff Ausschalten
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.4 HiDiscovery-Zugriff ausschalten HiDiscovery-Zugriff ausschalten HiDiscovery ermöglicht Ihnen, dem Gerät bei der Inbetriebnahme seine IP-Parameter über das Netz zuzuweisen. HiDiscovery kommuniziert unverschlüsselt und ohne Authentifizierung im Management-VLAN. Wir empfehlen, nach Inbetriebnahme des Geräts HiDiscovery ausschließlich Leserechte zu gewähren oder den HiDiscovery-Zugriff vollständig auszuschalten.
Seite 588: Ip-Zugriffsbeschränkung Aktivieren
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren IP-Zugriffsbeschränkung aktivieren Per Voreinstellung erreichen Sie das Management des Geräts von jeder beliebigen IP-Adresse und über sämtliche unterstützten Protokolle. Die IP-Zugriffsbeschränkung ermöglicht Ihnen, den Zugriff auf das Management des Geräts auf ausgewählte IP-Adressbereiche und auf ausgewählte IP-basierte Protokolle zu beschränken.
Seite 589 Unterstützung beim Schutz vor unberechtigtem Zugriff 9.5 IP-Zugriffsbeschränkung aktivieren Bevor Sie die Funktion einschalten, vergewissern Sie sich, dass mindestens eine aktive Tabellenzeile Ihnen den Zugriff ermöglicht. Andernfalls bricht die Verbindung zum Gerät ab, sobald Sie die Einstellungen ändern. Der Zugriff auf das Management des Geräts ist ausschließlich mit dem Command Line Interface über die serielle Schnittstelle des Geräts möglich.
Seite 590: Session-Timeouts Anpassen
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeouts anpassen Das Gerät ermöglicht Ihnen, bei Inaktivität eines angemeldeten Benutzers die Sitzung automatisch zu beenden. Das Session-Timeout ist die Zeit der Inaktivität nach der letzten Benutzeraktion. Ein Session-Timeout können Sie für folgende Anwendungen festlegen: Command Line Interface: Sessions über eine SSH-Verbindung ...
Seite 591: Session-Timeout Für Die Grafische Benutzeroberfläche
Unterstützung beim Schutz vor unberechtigtem Zugriff 9.6 Session-Timeouts anpassen Session-Timeout für die grafische Benutzeroberfläche Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  Legen Sie im Rahmen Konfiguration, Feld Web-Interface Session-Timeout [min] die Timeout-  Zeit in Minuten fest. Speichern Sie die Änderungen zwischen.
Seite 592: 10 Datenverkehr Kontrollieren
Datenverkehr kontrollieren 10 Datenverkehr kontrollieren Das Gerät prüft die zur Weiterleitung bestimmten Datenpakete nach vorgegebenen Regeln. Wenn Datenpakete diesen Regeln entsprechen, leitet das Gerät die Pakete weiter oder blockiert sie. Wenn Datenpakete keinen Regeln entsprechen, blockiert das Gerät die Pakete. Routing-Ports, denen keine Regeln zugewiesen sind, lassen Pakete passieren.
Seite 593: Paketfilter - Routed-Firewall-Modus
Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus 10.1 Paketfilter – Routed-Firewall-Modus 10.1.1 Beschreibung Der Routed-Firewall-Modus-Paketfilter (Layer 3) enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen routenden Ports anwendet. Die Filterung beinhaltet naturgemäß das Prüfen und Bewerten des Datenstroms. Das Gerät enthält eine Stateful Firewall. Eine Stateful Firewall zeichnet den Status der Verbindungen auf, welche die Firewall durchlaufen.
Seite 594 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Tab. 15: Mögliche Eingaben in Spalte Parameter Eingabe Bedeutung Diese Regel trifft nur auf Pakete mit dem ICMP-Typ 5 zu. type=5 Diese Regel trifft nur auf Pakete zu, bei denen das Flag SYN gesetzt flags=syn ist.
Seite 595: Anwendungsbeispiel
Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Anmerkung: Um die Information aus der State-Tabelle der Firewall zu löschen, klicken Sie im Dialog die Schaltfläche Firewall-Tabelle leeren. 10.1.2 Anwendungsbeispiel Die Abbildung zeigt einen typischen Anwendungsfall: Eine Fertigungssteuerung möchte die Daten von einem Produktionsroboter abfragen. Der Produktionsroboter steht in einer Fertigungszelle, die mit Hilfe einer Firewall vom Firmennetz getrennt ist.
Seite 596 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Legen Sie für die Regel die folgenden Einstellungen fest:  Den Wert oder in Spalte 10.0.2.17 10.0.2.17/32 Quell-Adresse  Den Wert in Spalte Quell-Port  Den Wert 10.0.1.5 oder 10.0.1.5/32 in Spalte Ziel-Adresse  Den Wert in Spalte Ziel-Port...
Seite 597 Datenverkehr kontrollieren 10.1 Paketfilter – Routed-Firewall-Modus Erzeugen Sie Regeln für zu sendende IP-Pakete. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog .  Erzeugen Sie eine Regel drop everything, die jedes IP-Paket verwirft.  Legen Sie für die Regel die folgenden Einstellungen fest: Den Wert drop everything in Spalte...
Seite 598: Paketfilter - Transparent-Firewall-Modus
Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus 10.2 Paketfilter – Transparent-Firewall-Modus 10.2.1 Beschreibung Der Transparent-Firewall-Modus-Paketfilter enthält Regeln, die das Gerät nacheinander auf den Datenstrom auf seinen nicht-routenden Ports oder VLAN-Interfaces anwendet. Der Transparent- Firewall-Modus-Paketfilter wertet jedes Datenpaket, das die Firewall durchläuft, anhand des Verbin- dungsstatus wie unten beschrieben aus: •...
Seite 599: Anwendungsbeispiele
Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus 10.2.2 Anwendungsbeispiele Die folgenden Beispiele beschreiben, wie Sie die Regeln für den Paket- Transparent-Firewall-Modus filter einrichten: Im Beispiel 1 möchte der Administrator des Netzes die Regel auf Grundlage der IP-Adresse der  Geräte einrichten. Im Beispiel 2 möchte der Administrator des Netzes die Regel auf Grundlage der MAC-Adresse ...
Seite 600 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/1. Port/VLAN  Wählen Sie in der Dropdown-Liste den Wert ingress, um die Regel für Richtung ...
Seite 601 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN ...
Seite 602 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Beispiel 2 In diesem Beispiel möchte der Administrator des Netzes die Datenpakete von den Computern B und C zu Computer A auf Grundlage der MAC-Adresse der Geräte akzeptieren. Die Firewall trennt Computer A vom Firmennetz. Die Firewall hilft dabei, Zugriffe zwischen Computer A und dem rest- lichen Firmennetz zu unterbinden.
Seite 603 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste Port/VLAN den Port 1/1.  Wählen Sie in der Dropdown-Liste Richtung den Wert ingress, um die Regel für ...
Seite 604 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Regel für den Transparent-Firewall-Modus-Paketfilter packet-filter l2 rule add 1 action accept src-mac 10:22:33:44:55:66 dest- erzeugen. mac 10:22:33:44:55:99 ethertype • packet-filter l2 rule add 1 vlan8021q vlan 10 description accept Transparent-Firewall-Modus-Paketfilter-Regel mit mac dev b to dev a...
Seite 605 Datenverkehr kontrollieren 10.2 Paketfilter – Transparent-Firewall-Modus Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Wählen Sie in der Dropdown-Liste den Port 1/2. Port/VLAN  Wählen Sie in der Dropdown-Liste den Wert ingress, um die Regel für Richtung ...
Seite 606: Unterstützung Beim Schutz Vor Dos-Attacken
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken 10.3 Unterstützung beim Schutz vor DoS-Attacken DoS ist ein Cyber-Angriff, der darauf abzielt, den Betrieb bestimmter Dienste oder Geräte zu stören. Sowohl Angreifer als auch Netzwerkadministratoren können mit der Port-Scan-Methode offene Ports in einem Netzwerk aufspüren, um verwundbare Geräte zu finden. Die Funktion unter- stützt Sie beim Schutz Ihres Netzes gegen ungültige oder gefälschte Datenpakete, die auf den Ausfall bestimmter Dienste oder Geräte abzielen.
Seite 607: Funktion Xmas-Filter Aktivieren
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken In der Voreinstellung ist die Funktion Null-Scan-Filter ausgeschaltet. Um die Funktion Null-Scan-Filter zu aktivieren, führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  Aktivieren Sie die Funktion Null-Scan-Filter. Markieren Sie dazu im Rahmen TCP/UDP ...
Seite 608: Funktion Syn/Fin-Filter Aktivieren
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken Funktion SYN/FIN-Filter aktivieren Bei der SYN/FIN-Methode sendet die angreifende Station Datenpakete, bei denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind. Das Gerät verwendet die Funktion SYN/FIN-Filter, um empfangene Datenpakete zu verwerfen, in denen die TCP-Flags SYN und FIN gleichzeitig gesetzt sind.
Seite 609: Funktion Tcp-Syn-Protection Aktivieren
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken Funktion TCP-SYN-Protection aktivieren Bei der TCP SYN-Methode sendet die angreifende Station Datenpakete, in denen das TCP-Flag SYN gesetzt ist und bei denen der L4- (Layer 4-) Quell-Port <1024 ist. Das Gerät verwendet die Funktion TCP-SYN-Protection, um eingehende Datenpakete zu verwerfen, in denen das TCP-Flag SYN gesetzt ist und bei denen der L4- (Layer 4-) Quell-Port <1024 ist.
Seite 610: Filter Für Ip-Pakete
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken Funktion Min.-Header-Size-Filter aktivieren Das Gerät verwendet die Funktion Min.-Header-Size-Filter, um den TCP-Header von empfangenen Datenpaketen zu prüfen. Das Gerät verwirft das Datenpaket, wenn (Daten-Offset-Wert × 4) < minimale TCP-Header-Größe ist. Die Funktion erkennt empfangene Datenpakete mit den folgenden Eigen- Min.-Header-Size-Filter schaften:...
Seite 611: Funktion Ip-Source-Route Verwerfen Deaktivieren
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion aktivieren. Land-Attack-Filter dos ip-land enable Funktion deaktivieren. Land-Attack-Filter no dos ip-land disable Funktion IP-Source-Route verwerfen deaktivieren Das Gerät verwendet die Funktion verwerfen, um die empfangenen IP-Datenpakete IP-Source-Route zu filtern, bei denen die Option Strict Source Routing oder Loose Source Routing gesetzt ist.
Seite 612: Funktion Fragmentierte Pakete Filtern Aktivieren
Datenverkehr kontrollieren 10.3 Unterstützung beim Schutz vor DoS-Attacken Funktion Fragmentierte Pakete filtern aktivieren Das Gerät verwendet die Funktion filtern, um das Netzwerk vor angreifenden Fragmentierte Pakete Stationen zu schützen, die fragmentierte ICMP-Pakete senden. Fragmentierte ICMP-Pakete können eine Fehlfunktion des Zielgeräts verursachen, wenn das Zielgerät die fragmentierten ICMP-Pakete falsch verarbeitet.
Seite 613: Deep Packet Inspection
Datenverkehr kontrollieren 10.4 Deep Packet Inspection 10.4 Deep Packet Inspection Die Funktion Deep Packet Inspection (DPI) ermöglicht Ihnen, Datenpakete zu überwachen und zu filtern. Die Funktion unterstützt Sie beim Schutz Ihres Netzes vor unerwünschten Inhalten wie Spam oder Viren. Die Funktion untersucht Datenpakete auf unerwünschte Merkmale und Deep Packet Inspection Protokollverletzungen.
Seite 614: Funktion Deep Packet Inspection - Modbus Enforcer
Datenverkehr kontrollieren 10.5 Funktion Deep Packet Inspection - Modbus Enforcer 10.5 Funktion Deep Packet Inspection - Modbus Enforcer Das Protokoll Modbus ist im Bereich der Automatisierung weit verbreitet. Das Protokoll basiert auf Funktionscode, den Kommandos.  Einige der ermöglichen Ihnen, Register- oder Coil-Adressbereiche festzulegen. Funktionscode ...
Seite 615: Modbus Enforcer-Profil Aktivieren
Datenverkehr kontrollieren 10.5 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil erzeugen Für den im Anwendungsbeispiel beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit Modbus den oben genannten Werten und dem Namen my-modbus. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog . ...
Seite 616: Modbus Enforcer-Profil Auf Den Datenstrom Anwenden
Datenverkehr kontrollieren 10.5 Funktion Deep Packet Inspection - Modbus Enforcer Modbus Enforcer-Profil auf den Datenstrom anwenden Führen Sie den folgenden Schritt aus: Klicken Sie die Schaltfläche  Enforcer-Profile anwenden. Modbus dpi modbus commit UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 617: Funktion Deep Packet Inspection - Dnp3 Enforcer
Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection - DNP3 Enforcer 10.6 Funktion Deep Packet Inspection - DNP3 Enforcer Das Protokoll DNP3 (Distributed Network Protocol v3) umfasst Multiplexing, Fehlerprüfung, Verbin- dungssteuerung, Priorisierung und Layer-2-Adressierungsdienste für die Benutzerdaten. Das Protokoll basiert auf dem Profil, das Funktionscode-Liste, Objekte und Kommandos ...
Seite 618 Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection - DNP3 Enforcer Der Netzadministrator möchte, dass das Gerät Datenpakete vom DNP3-Master an den DNP3- Client (Outstation) weiterleitet. Die Datenpakete enthalten folgende Funktionscodes und Objekte: Funktionscode-Liste:  – 1 (Read) – 2 (Write) –...
Seite 619 Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection - DNP3 Enforcer Erzeugen Sie die Objekte und wenden Sie diese auf das Enforcer-Profil an. Führen DNP3  Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche ...
Seite 620: Dnp3 Enforcer-Profil Aktivieren
Datenverkehr kontrollieren 10.6 Funktion Deep Packet Inspection - DNP3 Enforcer DNP3 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 621: Funktion Deep Packet Inspection - Iec104 Enforcer
Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - IEC104 Enforcer 10.7 Funktion Deep Packet Inspection - IEC104 Enforcer Die Funktion IEC104 Enforcer aktiviert die Deep Pack Inspection (DPI)-Firewall-Fähigkeiten für den IEC104-Datenstrom. Das Protokoll basiert auf einem Profil, das folgende Parameter enthält: Type-IDs ...
Seite 622 Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil erzeugen Für den im Anwendungsbeispiel beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit IEC104 den oben genannten Werten und dem Namen my-iec104. Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog . ...
Seite 623: Iec104 Enforcer-Profil Aktivieren
Datenverkehr kontrollieren 10.7 Funktion Deep Packet Inspection - IEC104 Enforcer IEC104 Enforcer-Profil aktivieren Führen Sie die folgenden Schritte aus: Markieren Sie das Kontrollkästchen in Spalte Profil aktiv.  Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche  aktivieren. IEC104 Enforcer-Profil dpi iec104 enable 1...
Seite 624: Funktion Deep Packet Inspection - Amp-Enforcer
Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer 10.8 Funktion Deep Packet Inspection - AMP-Enforcer 10.8.1 Beschreibung Die Funktion AMP Enforcer unterstützt die Protokolle CAMP (Common ASCII Message Protocol) und NITP (Non-Intelligent Terminal Protocol) unter Verwendung des Protokolls TCP. Die Funktion wendet die Deep Packet Inspection (DPI) auf den CAMP- und NITP-Datenstrom an.
Seite 625: Program And Mode Protect
Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer 10.8.2 Program and Mode Protect Das Gerät verwendet die Funktion Protect, um Datenpakete zu vermitteln oder zu Program and Mode verwerfen, die Taskcodes mit dem Modus enthalten. Die Taskcodes mit dem Modus config config sind Kommando- oder Antwortmeldungen.
Seite 626: Profil Für Datenpakete Einrichten (Camp)
Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer Profil für Datenpakete einrichten (camp) Der Administrator des Netzes möchte, dass das Gerät Datenpakete von der AMP-Leitstelle (Client) an die SPS (Server) weiterleitet. Die Datenpakete enthalten folgende Merkmale: camp Protokoll  Message-Typ: ...
Seite 627: Profil Für Datenpakete Einrichten (Nitp)
Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Enforcer-Profil erzeugen. dpi amp profile add 1 description accept-camp protocol camp message-type • dpi amp profile add 1 04,06 address-class 0001,0004 memory- Enforcer-Profil mit Index = hinzufügen.
Seite 628 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer Zu dem oben beschriebenen Zweck erzeugen Sie das Enforcer-Profil mit den oben genannten Werten und dem Namen accept-nitp. Führen Sie die folgenden Schritte aus: Enforcer-Profil erzeugen.  Öffnen Sie den Dialog . ...
Seite 629 Datenverkehr kontrollieren 10.8 Funktion Deep Packet Inspection - AMP-Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion deaktivieren. Program and Mode Protect no dpi amp protect-mode Einen benutzerspezifischen Taskcode erzeugen. dpi amp task-code add 9B description modify-configuration •...
Seite 630: Funktion Deep Packet Inspection - Enip Enforcer
Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - ENIP Enforcer 10.9 Funktion Deep Packet Inspection - ENIP Enforcer Das Protokoll ENIP ist ein Teil des CIP-Protokolls (Common Industrial Protocol). Das Protokoll CIPdefiniert die Objektstruktur und beschreibt die Nachrichtenübertragung. Die Funktion ENIP wendet die Deep Packet Inspection (DPI) auf den ENIP- und CIP-Datenstrom an.
Seite 631 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - ENIP Enforcer Der Administrator des Netzes möchte, dass das Gerät Datenpakete von der ENIP-Leitstelle (Server) an die SPS (Client) weiterleitet. Die Datenpakete enthalten folgende Merkmale: Funktionstyp advanced  Spalte = markiert Embedded PCCC zulassen ...
Seite 632: Enip Enforcer-Profil Aktivieren
Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - ENIP Enforcer In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Enforcer-Profil erzeugen. ENIP dpi enip profile add 1 description my- enip function-type advanced def-list 6 • dpi enip profile add 1 wildcard-list 0x01 allow-emb-pccc Enforcer-Profil mit Index hinzufügen.
Seite 633 Datenverkehr kontrollieren 10.9 Funktion Deep Packet Inspection - ENIP Enforcer Enforcer-Profile anwenden. ENIP dpi enip profile commit ENIP Enforcer-Profile anzeigen. show dpi enip profiletable Enforcer-Objekte anzeigen. ENIP show dpi enip objecttable UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 634: 11 Netzlaststeuerung
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11 Netzlaststeuerung Das Gerät bietet Ihnen eine Reihe von Funktionen, die Ihnen helfen können, die Netzlast zu redu- zieren: Gezielte Paketvermittlung  Lastbegrenzung  Priorisierung - QoS  Flusskontrolle  11.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung reduziert das Gerät die Netzlast. An jedem seiner Ports lernt das Gerät die Absender-MAC-Adresse empfangener Datenpakete.
Seite 635: Statische Adresseinträge
Netzlaststeuerung 11.1 Gezielte Paketvermittlung 11.1.3 Statische Adresseinträge Ergänzend zum Lernen der Absender-MAC-Adresse bietet Ihnen das Gerät die Möglichkeit, MAC-Adressen von Hand einzurichten. Diese MAC-Adressen bleiben eingerichtet und überdauern das Zurücksetzen der MAC-Adresstabelle (FDB) sowie den Neustart des Geräts. Anhand von statischen Adresseinträgen bietet Ihnen das Gerät die Möglichkeit, Datenpakete gezielt an ausgewählte Ports zu vermitteln.
Seite 636 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure MAC-Adressfilter erzeugen, bestehend aus mac-filter <MAC address> <VLAN ID> MAC-Adresse und VLAN-ID. In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln. Dem Port einen bereits erzeugten MAC-Adress- mac-filter <MAC address>...
Seite 637 Netzlaststeuerung 11.1 Gezielte Paketvermittlung In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln. Auf dem Port die Zuweisung des MAC-Adressfil- no mac-filter <MAC address> <VLAN ID> ters aufheben. In den Konfigurationsmodus wechseln. exit MAC-Adressfilter löschen, bestehend aus no mac-filter <MAC address>...
Seite 638: Lastbegrenzung
Netzlaststeuerung 11.2 Lastbegrenzung 11.2 Lastbegrenzung Die Lastbegrenzer-Funktion sorgt auch bei hohem Verkehrsaufkommen für einen stabilen Betrieb, indem sie den Verkehr auf den Ports begrenzt. Die Lastbegrenzung erfolgt individuell für jeden Port sowie separat für Eingangs- und Ausgangsdatenverkehr. Wenn die Datenrate an einem Port den definierten Grenzwert überschreitet, verwirft das Gerät die Überlast an diesem Port.
Seite 639: Qos/Priorität
Netzlaststeuerung 11.3 QoS/Priorität 11.3 QoS/Priorität QoS (Quality of Service) ist ein in der Norm IEEE 802.1D beschriebenes Verfahren, mit dem Sie die Ressourcen im Netz verteilen. QoS ermöglicht Ihnen, Daten der wichtigsten Anwendungen zu priorisieren. Die Priorisierung vermeidet insbesondere bei starker Netzlast, dass Datenverkehr mit geringerer Priorität verzögerungsempfindlichen Datenverkehr stört.
Seite 640: Priorisierung Einstellen
Netzlaststeuerung 11.3 QoS/Priorität Das Gerät wertet bei Datenpaketen mit VLAN-Tags folgende Informationen aus: Prioritätsinformation  VLAN-Tag, sofern VLANs eingerichtet sind  4 Octets Abb. 30: Aufbau des VLAN-Tag Ein Datenpaket, dessen VLAN-Tag eine Prioritätsinformation, aber keine VLAN-Information (VLAN-Kennung = 0) enthält, bezeichnet man als „Priority Tagged Frame“. Anmerkung: Netzprotokolle und Redundanzmechanismen nutzen die höchste Verkehrsklasse 7.
Seite 641: Vlan-Priorität Einer Verkehrsklasse Zuweisen
Netzlaststeuerung 11.3 QoS/Priorität VLAN-Priorität einer Verkehrsklasse zuweisen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .  Um einer VLAN-Priorität eine Verkehrsklasse zuzuweisen, fügen Sie in Spalte Traffic-  den betreffenden Wert ein. Klasse Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 642: Flusskontrolle
Netzlaststeuerung 11.4 Flusskontrolle 11.4 Flusskontrolle Wenn in der Warteschlange eines Ports sehr viele Datenpakete gleichzeitig eintreffen, dann führt dies möglicherweise zum Überlaufen des Port-Speichers. Dies geschieht zum Beispiel, wenn das Gerät Daten auf einem Gigabit-Port empfängt und diese an einen Port mit niedrigerer Bandbreite weiterleitet.
Seite 643: Halbduplex- Oder Vollduplex-Verbindung
Netzlaststeuerung 11.4 Flusskontrolle 11.4.1 Halbduplex- oder Vollduplex-Verbindung Flusskontrolle bei Halbduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Halbduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet das Gerät Daten zurück an Arbeitsstation 2. Arbeitsstation 2 erkennt eine Kollision und unterbricht den Sendevorgang. Flusskontrolle bei Vollduplex-Verbindung Im Beispiel besteht zwischen der Arbeitsstation 2 und dem Gerät eine Vollduplex-Verbindung.
Seite 644: 12 Vlans
VLANs 12.1 Beispiele für ein VLAN 12 VLANs Ein virtuelles LAN (VLAN) besteht im einfachsten Fall aus einer Gruppe von Netzteilnehmern in einem Netzsegment, die so miteinander kommunizieren, als bildeten sie ein eigenständiges LAN. Komplexere VLANs erstrecken sich über mehrere Netzsegmente und basieren zusätzlich auf logi- schen (statt ausschließlich physischen) Verbindungen zwischen Netzteilnehmern.
Seite 645: Beispiel 1
VLANs 12.1 Beispiele für ein VLAN 12.1.1 Beispiel 1 Das Beispiel zeigt eine minimale VLAN-Konfiguration (Port-basiertes VLAN). Ein Administrator hat an einem Vermittlungsgerät mehrere Endgeräte angeschlossen und diese 2 VLANs zugewiesen. Dies unterbindet wirksam jeglichen Datenverkehr zwischen verschiedenen VLANs; deren Mitglieder kommunizieren ausschließlich innerhalb ihres eigenen VLANs.
Seite 646 VLANs 12.1 Beispiele für ein VLAN Führen Sie die folgenden Schritte aus: VLAN einrichten  Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld den Wert fest. VLAN-ID ...
Seite 647 VLANs 12.1 Beispiele für ein VLAN Legen Sie in Spalte die VLAN-ID des zugehörigen VLANs fest: Port-VLAN-ID  oder Da Endgeräte in der Regel keine Datenpakete mit Tag interpretieren, legen Sie für die  Endgeräte-Ports in Spalte den Wert admitAll fest.
Seite 648: Beispiel 2
VLANs 12.1 Beispiele für ein VLAN 12.1.2 Beispiel 2 Das zweite Beispiel zeigt eine komplexere Konfiguration mit 3 VLANs (1 bis 3). Zusätzlich zu dem schon bekannten Switch aus Beispiel 1 verwenden Sie einen 2. Switch (im Beispiel rechts gezeichnet). VLAN Management Station (optional)
Seite 649 VLANs 12.1 Beispiele für ein VLAN Tab. 20: Ingress-Tabelle Gerät rechts Endgerät Port Port VLAN Identifer (PVID) Uplink Tab. 21: Egress-Tabelle Gerät links VLAN-ID Port Tab. 22: Egress-Tabelle Gerät rechts VLAN-ID Port Die Kommunikationsbeziehungen sind hierbei wie folgt: Endgeräte an Port 1 und 4 des linken Geräts sowie Endgeräte an Port 2 und 4 des rechten Geräts sind Mitglied im VLAN 2 und können somit untereinander kommunizieren.
Seite 650 VLANs 12.1 Beispiele für ein VLAN Klicken Sie die Schaltfläche Ok.  Legen Sie für das VLAN den Namen fest: VLAN2  Doppelklicken Sie in Spalte und legen den Namen fest. Name Ändern Sie für VLAN den Wert in Spalte Default zu VLAN1.
Seite 651 VLANs 12.1 Beispiele für ein VLAN Legen Sie für den Uplink-Port in Spalte den Wert Akzeptierte Datenpakete admitOnlyVlan-  fest. Tagged Markieren Sie für den Uplink-Port das kontrollkästchen in Spalte Ingress-Filtering, um  VLAN-Tags auf diesem Port auszuwerten. Speichern Sie die Änderungen zwischen. Klicken Sie dazu die Schaltfläche ...
Seite 652 VLANs 12.1 Beispiele für ein VLAN In den Konfigurationsmodus wechseln. exit In den Privileged-EXEC-Modus wechseln. exit Details zu VLAN anzeigen. show vlan id 3 VLAN ID......3 VLAN Name....VLAN3 VLAN Type....Static VLAN Creation Time...0 days, 00:07:47 (System Uptime) VLAN Routing....disabled Interface Current Configured Tagging...
Seite 653 VLANs 12.1 Beispiele für ein VLAN UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 654: 13 Routing
Routing 13.1 Konfiguration 13 Routing 13.1 Konfiguration Da die Konfiguration eines Routers stark von den Gegebenheiten Ihres Netzes abhängig ist, finden Sie zunächst eine grobe Aufzählung der einzelnen Schritte zur Konfiguration. Um die Vielzahl der Möglichkeiten optimal abzudecken, finden sie im Anhang Beispiele für Netze, wie Sie in den meisten Fällen in der Industrie vorkommen.
Seite 655: Routing - Grundlagen
Routing 13.2 Routing - Grundlagen 13.2 Routing - Grundlagen Ein Router ist ein Netzknoten zur Vermittlung von Daten auf Schicht 3 des ISO/OSI-Referenzmo- dells. Das ISO/OSI-Referenzmodell verfolgt folgende Ziele: einen Standard für den Informationsaustausch zwischen offenen Systemen zu definieren;  eine gemeinsame Basis für die Entwicklung von weiteren Standards für offene Systeme zur ...
Seite 656: Arp
Routing 13.2 Routing - Grundlagen IP ist ein Protokoll auf Schicht 3. IP bietet die IP-Adresse zur Adressierung von Datenpaketen. Die IP-Adresse vergibt der Netzadministrator. Somit ist er in der Lage, durch die systematische Vergabe von IP-Adressen sein Netz zu strukturieren, das heißt in Teilnetze zu untergliedern (siehe auf Seite 183 „CIDR”).
Seite 657 Routing 13.2 Routing - Grundlagen Befindet sich die IP-Adresse des Geräts in einem anderen Subnetz, dann fragt der PC nach der MAC-Adresse des im PC eingetragenen Gateways. Das Gateway/Router antwortet mit seiner MAC-Adresse. Nun verpackt der PC das IP-Adresse des Geräts, dem endgültigen Ziel, in einen MAC-Rahmen mit der MAC-Zieladresse des Gateways/Router und verschickt die Daten.
Seite 658: Cidr
Routing 13.2 Routing - Grundlagen Anmerkung: Die Funktion 1:1-NAT ermöglicht Ihnen außerdem, die Geräte in ein größeres L3-Netz zu integrieren. 13.2.2 CIDR Die ursprüngliche Klasseneinteilung der IP-Adressen sah nur 3 für Anwender nutzbare Adress- klassen vor. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Tab.
Seite 659: Multinetting
Routing 13.2 Routing - Grundlagen 13.2.3 Multinetting Multinetting ermöglicht Ihnen, mehrere Subnetze an einem Routerport anzuschließen. Multinetting bietet sich als Lösung an, wenn Sie bestehende Subnetze innerhalb eines physischen Mediums mit einem Router verbinden wollen. In diesem Fall können Sie mit Multinetting dem Router-Inter- face, an dem Sie das physische Medium anschließen, mehrere IP-Adressen für die unterschiedli- chen Subnetze zuweisen.
Seite 660: Statisches Routing
Routing 13.3 Statisches Routing 13.3 Statisches Routing Statische Routen sind benutzerdefinierte Routen, mit deren Hilfe der Router Daten von einem Subnetz in ein anderes Subnetz vermittelt. Sie legen fest, an welchen Router (Next-Hop) der lokale Router Daten für ein bestimmtes Subnetz weiterleitet.
Seite 661: Konfiguration Der Router-Interfaces
Routing 13.3 Statisches Routing Konfiguration der Router-Interfaces 10.0.1.5/24 10.0.2.5/24 Interface 2.1 Interface 2.2 IP=10.0.1.1/24 IP=10.0.2.1/24 Abb. 41: Einfachster Fall einer Route Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 2/1 face wechseln.
Seite 662: Vlan-Basiertes Router-Interface
Routing 13.3 Statisches Routing 13.3.2 VLAN-basiertes Router-Interface Kennzeichnend für das VLAN-basierte Router-Interface ist, dass mehrere Geräte eines VLANs an verschiedenen Ports angeschlossen sind. Innerhalb eines VLANs vermittelt der Switch Datenpakete auf Schicht 2. Datenpakete mit Zieladresse in einem anderen Subnetz adressieren die Endgeräte an den Router. Das Gerät vermittelt die Datenpakete auf Schicht 3.
Seite 663 Routing 13.3 Statisches Routing In den Interface-Konfigurationsmodus von Inter- interface 3/1 face wechseln. Port aus VLAN herausnehmen. In der vlan participation exclude 1 Voreinstellung ist jeder Port dem VLAN zuge- wiesen. Port zum Mitglied von VLAN erklären. vlan participation include 2 Die Port-VLAN-ID festlegen.
Seite 664: Konfiguration Einer Statischen Route
Routing 13.3 Statisches Routing Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster ARP. Legen Sie im Feld eine Zahl zwischen 4042 fest. VLAN-ID  Für dieses Beispiel legen Sie den Wert fest. Klicken Sie die Schaltfläche Weiter.
Seite 665: Konfiguration Einer Einfachen Statischen Route
Routing 13.3 Statisches Routing Konfiguration einer einfachen statischen Route Geben Sie für Router A eine statische Route ein, ausgehend von der Konfiguration des Router- Interfaces im vorhergehenden Beispiel. Siehe Abbildung 41 auf Seite 186. Führen Sie dazu die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln.
Seite 666: Konfiguration Einer Redundanten Statischen Route Mit Lastverteilung
Routing 13.3 Statisches Routing Die Funktion an diesem Interface akti- Routing ip routing vieren. In den Konfigurationsmodus wechseln. exit Den statischen Routing-Eintrag für die redundante ip route add 10.0.3.0 255.255.255.0 10.0.4.2 preference 2 Route erzeugen. Der Wert am Ende des Kommandos kennzeichnet den Präferenz-Wert.
Seite 667: Anwendungsbeispiel Zur Funktion Für Statisches Route-Tracking
Routing 13.3 Statisches Routing 13.3.4 Statisches Route-Tracking Beschreibung der Funktion für statisches Routen-Tracking Bestehen beim statischen Routing mehrere Routen zu einem Ziel, wählt der Router die Route mit der höchsten Präferenz. Der Router erkennt eine bestehende Route am Zustand des Router-Inter- faces.
Seite 668 Routing 13.3 Statisches Routing 10.0.1.0/24 10.0.2.0/24 10.0.5.0/24 IF 1/4 IF 1/2 IF 1/3 IF 2/2 IF 1/1 IF 1/2 10.0.4.0/24 Abb. 46: Statisches Route-Tracking konfigurieren Die folgende Liste nennt die Voraussetzungen für die weitere Konfiguration: Die IP-Parameter der Router-Interfaces sind konfiguriert. ...
Seite 669 Routing 13.3 Statisches Routing Für die Quell-Interface-Nummer der Ping- track modify ping 1 interface 1/2 Tracking-Instanz einstellen. Das Tracking-Objekt aktivieren. track enable ping 1 Ein Tracking-Objekt mit der Track-ID erzeugen. track add ping 2 Den Eintrag ping 2 um die IP-Adresse 10.0.4.2 track modify ping 2 address 10.0.4.2 ergänzen.
Seite 670 Routing 13.3 Statisches Routing In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Einen statischen Routing-Eintrag mit der voreinge- ip route add 10.0.5.0 255.255.255.0 10.0.2.53 stellten Präferenz erzeugen. Einen statischen Routing-Eintrag mit der ip route add 10.0.5.0 255.255.255.0 10.0.4.2 preference 2 Präferenz 2 erzeugen.
Seite 671: Nat - Network Address Translation
Routing 13.4 NAT – Network Address Translation 13.4 NAT – Network Address Translation Das Network Address Translation (NAT)-Protokoll beschreibt ein Verfahren, automatisiert und transparent IP-Adressinformationen in Datenpaketen zu verändern und dennoch die Datenpakete zielgenau zu vermitteln. Verwenden Sie NAT, wenn Sie IP-Adressen eines internen Netzes nach außen verstecken möchten.
Seite 672: Anwendungsbeispiel Für 1:1-Nat
Routing 13.4 NAT – Network Address Translation 13.4.2 1:1 NAT Die Funktion ermöglicht Ihnen, innerhalb eines lokalen Netzes Kommunikationsverbin- 1:1-NAT dungen zu Endgeräten aufzubauen, die sich in anderen Netzen befinden. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das öffentliche Netz. Dazu ersetzt der NAT-Router beim Vermitteln im Datenpaket die virtuelle durch die tatsächliche IP-Adresse.
Seite 673 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Sie benötigen 2 NAT-Router.  In jedem Gerät ist die Funktion eingeschaltet. Routing  In jedem Gerät sind 2 Router-Interfaces eingerichtet. Je 1 Router-Interface ist mit dem Firmen- ...
Seite 674 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Ingress-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog .  Markieren Sie auf dem Router-Interface, das mit dem Firmennetz verbunden ist, das Kont- ...
Seite 675: Destination Nat
Routing 13.4 NAT – Network Address Translation 13.4.3 Destination NAT Die Funktion ermöglicht Ihnen, in einem lokalen Netz den Datenstrom ausgehender Destination-NAT Kommunikationsverbindungen auf einen oder über einen Server umzuleiten. Eine spezielle Form der Funktion Destination-NAT ist die Port-Weiterleitung. Die Port-Weiterleitung verwenden Sie, um die Struktur eines Netzes nach außen hin zu verbergen und dennoch Kommu- nikationsverbindungen von außen in das Netz hinein zuzulassen.
Seite 676 Routing 13.4 NAT – Network Address Translation Voraussetzungen für die weitere Konfiguration: Im Gerät ist die Funktion eingeschaltet. Routing  Im Gerät ist ein Router-Interface eingerichtet und mit dem Firmennetz verbunden.  In den Endgeräten in der Produktionszelle sind IP-Adresse und Gateway festgelegt. Als ...
Seite 677 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Regel erzeugen.  Öffnen Sie den Dialog .  Fügen Sie eine Tabellenzeile hinzu. Klicken Sie dazu die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Legen Sie im Feld die IP-Adresse des Servers in der Produktionszelle Neue Ziel-Adresse ...
Seite 678: Masquerading-Nat
Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Wenn sich geänderte Regeln auf bestehende Einträge in der State-Tabelle der Firewall auswirken, hilft es, die State-Tabelle zu löschen. Siehe Schaltfläche Firewall-Tabelle leeren Dialog .
Seite 679: Double-Nat
Routing 13.4 NAT – Network Address Translation 13.4.5 Double-NAT Die Funktion ermöglicht Ihnen, Kommunikationsverbindungen zwischen Endgeräten in Double-NAT unterschiedlichen IP-Netzen aufzubauen, die keine Möglichkeit bieten, ein Standard-Gateway oder eine Standard-Route festzulegen. Der NAT-Router „verschiebt“ die Endgeräte virtuell in das jeweils andere Netz.
Seite 680: Anwendungsbeispiel Für Double-Nat
Routing 13.4 NAT – Network Address Translation Anwendungsbeispiel für Double-NAT Sie möchten das Endgerät links (zum Beispiel eine Workstation im Firmennetz) mit dem Endgerät rechts (zum Beispiel einer Robotersteuerung in der Produktionszelle) verbinden. Die Robotersteu- erung kommuniziert ausschließlich mit Geräten im selben logischen Netz. Der NAT-Router über- setzt die IP-Adressen beim Vermitteln zwischen den Netzen.
Seite 681 Routing 13.4 NAT – Network Address Translation Führen Sie die folgenden Schritte aus: Die Funktion auf den Router-Interfaces einschalten. Proxy-ARP  Öffnen Sie den Dialog .  Markieren Sie auf den Router-Interfaces, die mit dem Firmennetz und mit der Produktions- ...
Seite 682 Routing 13.4 NAT – Network Address Translation Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche Zuweisen.  Wählen Sie im Feld das Router-Interface aus, das mit der Produktionszelle verbunden Port  ist. Wählen Sie im Feld den Wert egress. Richtung ...
Seite 683: Tracking
Routing 13.5 Tracking 13.5 Tracking Die Tracking-Funktion ermöglicht Ihnen, bestimmte Objekte wie die Verfügbarkeit eines Interfaces oder die Erreichbarkeit eines Netzes zu überwachen. Das besondere an dieser Funktion ist die Weiterleitung einer Objekt-Statusänderung an eine Anwendung wie VRRP, die sich zuvor als Interessent für diese Information registriert hat. Das Tracking kann folgende Objekte überwachen: Verbindungsstatus eines Interfaces (Interface-Tracking) ...
Seite 684: Ping-Tracking
Routing 13.5 Tracking Das Einstellen einer Verzögerungszeit ermöglicht Ihnen, die Anwendung verzögert über die Objekt-Statusänderung zu informieren. Ein Interface-Tracking-Objekt nimmt den Zustand „down” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Down-Verzögerung” anhält. Ein Interface-Tracking-Objekt nimmt den Zustand „up” an, sobald die physische Verbindung länger als die Verzögerungszeit „Link-Up-Verzögerung”...
Seite 685: Logical-Tracking
Routing 13.5 Tracking Das Vorgeben einer Anzahl für ausbleibende oder ankommende Ping-Antworten bietet Ihnen die Möglichkeit, die Empfindlichkeit für das Ping-Verhalten des Geräts einzustellen. Das Gerät infor- miert die Anwendung über eine Objekt-Statusänderung. Ping-Tracking ermöglicht Ihnen, die Erreichbarkeit definierter Geräte zu überwachen. Sobald ein überwachtes Gerät nicht mehr erreichbar ist, kann das Gerät über die Anwendung einen alterna- tiven Pfad wählen.
Seite 686: Interface-Tracking Konfigurieren
Routing 13.5 Tracking Interface-Tracking konfigurieren Interface-Tracking auf dem Port mit einer Link-Down-Verzögerung von Sekunden und  einer Link-Up-Verzögerung von Sekunden einrichten. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog .  Klicken Sie die Schaltfläche  Der Dialog zeigt das Fenster Erzeugen. Typ auswählen: Geben Sie die gewünschten Werte ein, zum Beispiel: ...
Seite 687 Routing 13.5 Tracking Führen Sie die folgenden Schritte aus: Ping-Tracking auf dem Port zur IP-Adresse mit den vorhandenen Parametern 10.0.2.53  einrichten. Öffnen Sie den Dialog .  Um eine Tabellenzeile hinzuzufügen, klicken Sie die Schaltfläche  Typ auswählen: Geben Sie die gewünschten Werte ein, zum Beispiel: ...
Seite 688: Anwendungsbeispiel Für Logical-Tracking
Routing 13.5 Tracking In den Privileged-EXEC-Modus wechseln. exit Die konfigurierten Tracks anzeigen. show track Ping Tracking Instance ----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 689 Routing 13.5 Tracking Voraussetzungen für die weitere Konfiguration: Die Ping-Tracking-Objekte für die Operanden 1 und 2 sind konfiguriert (siehe auf Seite 211  „Anwendungsbeispiel für Ping-Tracking”). PC B PC A Abb. 55: Überwachen der Erreichbarkeit eines Geräts in einem redundanten Ring Ein Logical-Tracking-Objekt als ODER-Verknüpfung einrichten.
Seite 690 Routing 13.5 Tracking Ping Tracking Instance----------------------------------- Name...........ping-21 Interface Number of outgoing ping packets..1/2 Target router network address....10.0.2.53 Interval of missed repl. the state is down..3 Interval of received repl. the state is up..2 Maximal roundtrip-time ......100 Time-To-Live for a transmitted ping request..128 Ifnumber which belongs to the best route..
Seite 691 Routing 13.5 Tracking Erst die ODER-Verknüpfung beider Ping-Tracking-Objekte liefert das präzise Ergebnis, dass der Router A keine Verbindung zum Ring hat. Zwar könnte ein Ping-Tracking-Objekt zum Gerät S3 auch auf eine unterbrochene Verbindung zum redundanten Ring hinweisen, aber in diesem Fall könnte auch aus einem anderen Grund die Ping- Antwort von Gerät S3 ausbleiben.
Seite 692 Routing 13.5 Tracking Die Parameter für dieses Tracking-Objekt fest- track modify logical 31 ping-21 or ping- legen. Das Tracking-Objekt aktivieren. track enable logical 31 Tracking ID logical-31 created Logical Instance ping-21 included Logical Instance ping-22 included Logical Operator set to or Tracking ID 31 activated In den Privileged-EXEC-Modus wechseln.
Seite 693: Vrrp
Routing 13.6 VRRP 13.6 VRRP Üblicherweise ermöglichen Endgeräte, ein Standard-Gateway zum Vermitteln von Datenpaketen in externe Subnetze festzulegen. An dieser Stelle bezieht sich die Bezeichnung „Gateway” auf einen Router, über den Endgeräte mit anderen Subnetzen kommunizieren. Beim Ausfall dieses Routers kann das Endgerät keine Daten mehr in externe Subnetze senden. In diesem Fall bietet das Virtual-Router-Redundancy-Protokoll (VRRP) Unterstützung.
Seite 694 Routing 13.6 VRRP VRRP legt die virtuelle MAC-Adresse fest mit:00:00:5e:00:01:<VRID>. Die ersten 5 Oktetts bilden laut RFC 3768 den festen Bestandteil. Das letzte Oktett ist die Kennung des virtuellen Routers (VRID, Virtual Router Identification). Die VRID ist eine Zahl zwischen 1 und 255.
Seite 695: Konfiguration Von Vrrp
Routing 13.6 VRRP VRRP-Priorität  Die VRRP-Priorität ist eine Zahl zwischen 1 und 255. VRRP verwendet die Prioritätszahl, um den Master-Router festzulegen. VRRP reserviert den Prioritätswert 255 für den Inhaber der IP-Adresse. VRID  Die Kennung des virtuellen Routers (VRID) identifiziert einen virtuellen Router eindeutig. Die VRID definiert das letzte Oktett der MAC-Adresse des virtuellen Routers.
Seite 696: Vrrp Mit Lastverteilung
Routing 13.6 VRRP Schalten Sie den virtuellen Router ein.  Weisen Sie die VRRP-Priorität zu.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Funktion Routing global einschalten. ip routing VRRP global einschalten. ip vrrp operation In den Interface-Konfigurationsmodus von Inter- interface 1/3 face wechseln.
Seite 697: Vrrp Mit Multinetting
Routing 13.6 VRRP Weisen Sie dem 2. virtuellen Router eine niedrigere Priorität zu als dem 1. virtuellen Router.  Vergewissern Sie sich beim Konfigurieren des Backup-Routers, dass Sie dem 2. virtuellen  Router eine höhere Priorität zuweisen als dem 1. virtuellen Router. Weisen Sie den Endgeräten eine der IP-Adressen des virtuellen Routers als Standard-Gateway ...
Seite 698 Routing 13.7 OSPF 13.7 OSPF Open Shortest Path First (OSPF) ist ein dynamisches Routing-Protokoll auf Basis des Link-State- Algorithmus. Dieser Algorithmus beruht auf den Verbindungszuständen (Link-States) zwischen den beteiligten Routern. Maßgebliche Metrik in OSPF sind die „OSPF-Kosten“, die sich aus der verfügbaren Bitrate eines Links berechnen.
Seite 699: 13.7 Ospf
Routing 13.7 OSPF OSPF ist ein Routing-Protokoll auf Basis der Zustände der Verbindungen zwischen den Routern. Mit Hilfe der von jedem Router gesammelten Verbindungszustände und des Shortest-Path-First- Algorithmus erstellt ein OSPF-Router dynamisch seine Routing-Tabelle. 13.7.1 OSPF-Topologie Um den Umfang der auszutauschenden OSPF-Informationen in großen Netzen gering zu halten, ist OSPF hierarchisch aufgebaut.
Seite 700 Routing 13.7 OSPF In den Konfigurationsmodus wechseln. configure Router-ID zuweisen, zum Beispiel 192.168.1.2. ip ospf router-id 192.168.1.2 Funktion global einschalten. OSPF ip ospf operation Areas Zunächst erstellt jede Area ihre eigene Datenbank über die Verbindungszustände innerhalb der Area. Der hierzu benötigte Datenaustausch bleibt innerhalb der Area. Jede Area tritt über einen Area-Border-Router (ABR) mit anderen Areas in Verbindung.
Seite 701 Routing 13.7 OSPF Stub-Area:  Eine Area definieren Sie als Stub-Area, wenn externe LSAs nicht in die Area geflutet werden sollen. Extern heißt außerhalb des autonomen Systems. Das sind die gelben und orangefar- benen Verbindungen (siehe Abbildung 62 auf Seite 226).
Seite 702: Virtuelle Verbindung (Virtual Link)
Routing 13.7 OSPF Virtuelle Verbindung (Virtual Link) OSPF setzt voraus, dass die Backbone-Area mit jeder Area verbunden ist. Ist das aber in der Realität nicht möglich, bietet OSPF eine virtuelle Verbindung (VL) an, um Teile der Backbone-Area miteinander zu verbinden. Eine VL ermöglicht Ihnen außerdem eine Area anzubinden, die über eine andere Area mit der Backbone Area verbunden ist.
Seite 703: Link State Advertisement
Routing 13.7 OSPF Area Border Router (ABR)  ABRs besitzen OSPF-Interfaces in mehreren Areas, darunter auch in der Backbone-Area. ABRs partizipieren somit in mehreren Areas. Wenn möglich, fassen Sie mehrere Routen zusammen und senden Sie „Summary-LSAs“ in die Backbone-Area. Autonomous System Area Border Router (ASBR): ...
Seite 704: Prinzipielle Arbeitsweise Von Ospf
Routing 13.7 OSPF 13.7.2 Prinzipielle Arbeitsweise von OSPF OSPF wurde speziell auf die Bedürfnisse von größeren Netzen zugeschnitten und bietet eine schnelle Konvergenz sowie eine minimale Verwendung von Protokollnachrichten. Das Konzept von OSPF basiert auf der Erzeugung, Aufrechterhaltung und Verteilung der soge- nannten Link-State-Database.
Seite 705 Routing 13.7 OSPF Aus Sicherheitsgründen sieht OSPF noch die Wahl eines Backup-Designated-Routers (BDR) vor, der beim Ausfall des DR dessen Aufgaben übernimmt. Der OSPF-Router mit der höchsten Router- Priorität wird DR. Die Router-Priorität legt der Administrator fest. Wenn Router die gleiche Priorität haben, dann wird der Router mit der höheren Router-ID gewählt.
Seite 706: Synchronisation Der Lsdb
Routing 13.7 OSPF Die folgende Liste enthält die Status der Adjacencies: Noch keine Hello-Pakete empfangen Down Hello-Pakete empfangen Init Bidirektionale Kommunikation, Ermittlung des DR und BDR 2-way Aushandeln von Master/Slave für LSA-Austausch Exstart LSAs werden ausgetauscht bzw. geflutet Exchange Abschluss des LSA-Austauschs. Loading Datenbasis komplett und in der Area einheitlich.
Seite 707: Routenberechnung
Routing 13.7 OSPF 13.7.5 Routenberechnung Nach dem Lernen der LSDs und und dem Übergang der Nachbarschaftbeziehungen in den "Full State", berechnet jeder Router einen Pfad zu jedem Ziel mit Hilfe des Shortest Path First (SPF) Algorithmus. Nachdem der optimale Weg zu jedem Ziel ermittelt wurde, werden diese Routen in die Routing-Tabelle eingetragen.
Seite 708 Routing 13.7 OSPF Konfigurieren Sie die OSPF-Funktionen. Führen Sie dazu die folgenden Schritte aus: Router Interfaces konfigurieren – IP-Adresse und Netzmaske zuweisen.  Funktion auf dem Port aktivieren. OSPF  Funktion global einschalten. OSPF  Routing global einschalten (falls nicht schon geschehen). ...
Seite 709: Konfiguration Für Router B
Routing 13.7 OSPF Konfiguration für Router B Führen Sie die folgenden Schritte aus: In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure In den Interface-Konfigurationsmodus von Inter- interface 2/2 face wechseln. Dem Port die IP-Parameter zuweisen. ip address primary 10.0.3.1 255.255.255.0 Routing auf diesem Port aktivieren.
Seite 710 Routing 13.7 OSPF OSPF Admin Mode........ enabled Router ID........10.0.2.2 ASBR Mode........enabled RFC 1583 Compatibility......enabled ABR Status........disabled Exit Overflow Interval......0 External LSA Count......0 External LSA Checksum......0 New LSAs Originated......0 LSAs Received........0 External LSDB Limit......no limit SFP delay time.........
Seite 711: Verteilung Der Routen Mit Acl Einschränken
Routing 13.7 OSPF Neighbor ID IP Address Interface State Dead Time ------------ ----------- ----------- ------ ---------- 10.0.2.1 10.0.2.1 Full Routing-Tabelle anzeigen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active --------------- -------- --- ------- ----------- ---- ------...
Seite 712 Routing 13.7 OSPF Router A Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Erstes Router-Interface 10.0.1.1/24 einrichten.  Routing aktivieren. Die Funktion OSPF auf den Router-Interfaces aktivieren. In den Interface-Konfigurationsmodus von Inter- interface 1/1 face wechseln.
Seite 713 Routing 13.7 OSPF Statische Route über Gateway 8.1.2.0 10.0.2.2 ip route add 8.1.2.0 255.255.255.0 10.0.2.2 einrichten. Statische Route 8.1.4.0 über Gateway 10.0.2.4 ip route add 8.1.4.0 255.255.255.0 10.0.2.4 einrichten. Eingerichtete Routen in die Funktion OSPF ip ospf re-distribute static subnets enable verteilen.
Seite 714 Routing 13.7 OSPF Router B Routing global einschalten.  In den Privileged-EXEC-Modus wechseln. enable In den Konfigurationsmodus wechseln. configure Routing global einschalten. ip routing Router-Interface 10.0.1.2/24 einrichten.  Routing aktivieren. Die Funktion OSPF auf den Router-Interfaces aktivieren. In den Interface-Konfigurationsmodus von Inter- interface 2/2 face wechseln.
Seite 715: Route Mit Permit-Regel Explizit Freigeben
Routing 13.7 OSPF Um eine Route mit einer permit-Regel explizit freizugeben, lesen Sie weiter im Abschnitt „Route mit permit-Regel explizit freigeben” auf Seite 240. Um eine Route mit einer deny-Regel explizit zu sperren, lesen Sie weiter im Abschnitt „Route mit deny-Regel explizit sperren”...
Seite 716 Routing 13.7 OSPF Router A Access-Control-Liste mit expliziter permit-Regel einrichten.  Access-Control-Liste erstellen. Eine OSPF-rule ip access-list extended name OSPF-rule permit src 8.1.2.0-0.0.0.0 dst permit-Regel für das Subnetz 8.1.2.0 einrichten. 255.255.255.0-0.0.0.0 proto ip • src 8.1.2.0-0.0.0.0 = Adresse des Ziel- netzes und inverse Maske •...
Seite 717: Route Mit Deny-Regel Explizit Sperren
Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 718 Routing 13.7 OSPF Router A permit-Regel löschen.  Diese Schritte sind ausschließlich dann notwendig, wenn Sie wie im Abschnitt permit beschrieben eine „Route mit permit-Regel explizit freigeben” auf Seite 240-Regel eingerichtet haben. Access-Control-Liste OSPF-rule von der Funktion no ip ospf distribute-list out static OSPF-rule trennen.
Seite 719 Routing 13.7 OSPF Router A Explizite permit-Regel in Access-Control-Liste einfügen.  Eine permit-Regel für sämtliche Subnetze in die ip access-list extended name OSPF-rule permit src any dst any proto ip Access-Control-Liste OSPF-rule einfügen. Eingerichtete Regeln prüfen.  Eingerichtete Access-Control-Listen und Regeln show access-list ip anzeigen.
Seite 720 Routing 13.7 OSPF IP access-list rule detail -------------------------- IP access-list index......1000 IP access-list name......OSPF-rule IP access-list rule index....1 Action........Deny Match every ........False Protocol........IP Source IP address......8.1.4.0 Source IP mask......0.0.0.0 Source L4 port operator.....eq Source port.........-1 Destination IP address......255.255.255.0 Destination IP mask......0.0.0.0 Source L4 port operator.....eq Destination port......-1 Flag Bits........-1...
Seite 721 Routing 13.7 OSPF Router B Verteilung der auf Router A eingerichteten Routen prüfen.  Router A verteilt wegen der eingerichteten Access-Control-Liste ausschließlich die Route für das Subnetz 8.1.2.0/24. Routing-Tabelle prüfen: show ip route all Network Address Protocol Next Hop IP Next Hop If Pref Active...
Seite 722: Ip-Parameter Eingeben
Routing 13.8 IP-Parameter eingeben 13.8 IP-Parameter eingeben siehe OSPF Area 0 siehe “Portbasiertes Router-Interface” siehe “VLAN-basiertes Router-Interface” SN 11 SN 10 VLAN ID 2 SN 12 VRRP SN 13 siehe “VRRP” SN 14 Abb. 67: Netzplan Zur Konfiguration der Funktion auf Schicht 3 benötigen Sie einen Zugang zum Management des Geräts.
Seite 723 Routing 13.8 IP-Parameter eingeben Die Geräte und deren Verbindungen sind installiert.  Redundante Anbindungen sind offen (siehe VRRP). Um Loops während der Konfigurations-  phase zu vermeiden, schließen Sie die redundanten Verbindungen erst nach der Konfigurati- onsphase. IP = 10.0.200.11/24 IP = 10.0.100.10/24 IP = 10.0.11.11/24 Area 0...
Seite 724 Routing 13.8 IP-Parameter eingeben Weisen Sie die IP-Parameter jedem Schicht-2 und Schicht-3-Gerät gemäß Netzplan zu.  Die Geräte der Subnetze 10 bis 14 erreichen Sie wieder, wenn Sie die folgende Router-Konfi- guration abgeschlossen haben. Konfigurieren Sie die Funktion der Schicht-3-Geräte. Routing ...
Seite 725 Routing 13.8 IP-Parameter eingeben UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 726: 14 Funktionsdiagnose
Funktionsdiagnose 14.1 SNMP-Traps senden 14 Funktionsdiagnose Das Gerät bietet Ihnen folgende Diagnosewerkzeuge: SNMP-Traps senden  Gerätestatus überwachen  Ereigniszähler auf Portebene  Erkennen der Nichtübereinstimmung der Duplex-Modi  Auto-Disable  SFP-Zustandsanzeige  Topologie-Erkennung  IP-Adresskonflikte erkennen  Erkennen von Loops ...
Seite 727: Auflistung Der Snmp-Traps
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.1 Auflistung der SNMP-Traps Die folgende Tabelle zeigt mögliche vom Gerät gesendete SNMP-Traps: Tab. 29: Mögliche SNMP-Traps Bezeichnung des SNMP-Traps Bedeutung Wird gesendet, wenn eine Station versucht, unberechtigt auf authenticationFailure einen Agenten zuzugreifen. coldStart Wird nach einem Neustart gesendet. hm2DevMonSenseExtNvmRe- Wird gesendet, wenn der externe Speicher entfernt worden ist.
Seite 728: Snmp-Traps Für Konfigurationsaktivitäten
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.2 SNMP-Traps für Konfigurationsaktivitäten Nachdem Sie eine Konfiguration im Speicher gespeichert haben, sendet das Gerät einen hm2Con- figurationSavedTrap. Dieser SNMP-Trap enthält die Statusvariablen des nichtflüchtigen Spei- chers (NVM) und des externen Speichers (ENVM), die angeben, ob die aktuelle Konfiguration mit dem nichtflüchtigen Speicher und dem externen Speicher übereinstimmt.
Seite 729: Icmp-Messaging
Funktionsdiagnose 14.1 SNMP-Traps senden 14.1.4 ICMP-Messaging Das Gerät ermöglicht Ihnen, das Internet Control Message Protocol (ICMP) für Diagnoseanwen- dungen zu verwenden, zum Beispiel Ping und Traceroute. Das Gerät verwendet außerdem ICMP für Time-to-Live und das Verwerfen von Nachrichten, in denen das Gerät eine ICMP-Nachricht zurück an das Quellgerät des Paketes weiterleitet.
Seite 730: Gerätestatus Überwachen
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Geräts. Viele Prozessvisuali- sierungssysteme erfassen den Gerätestatus eines Geräts, um dessen Zustand grafisch darzu- stellen. Das Gerät zeigt seinen gegenwärtigen Status als error oder im Rahmen Geräte-Status.
Seite 731: Gerätestatus Konfigurieren
Funktionsdiagnose 14.2 Gerätestatus überwachen 14.2.2 Gerätestatus konfigurieren Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog , Registerkarte Global.  Markieren Sie für die zu überwachenden Parameter das Kontrollkästchen in Spalte Über-  wachen. Um einen SNMP-Trap an die Management-Station zu senden, aktivieren Sie die Funktion ...
Seite 732: Gerätestatus Anzeigen
Funktionsdiagnose 14.2 Gerätestatus überwachen Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog , Registerkarte Global.  Markieren Sie für den Parameter das Kontrollkästchen in Spalte Verbindungsfehler Überwa-  chen. Öffnen Sie den Dialog , Registerkarte Port.  Markieren Sie für den Parameter das Kontrollkästchen in der Verbindungsfehler melden ...
Seite 733 Funktionsdiagnose 14.3 Sicherheitsstatus 14.3 Sicherheitsstatus Der Sicherheitsstatus gibt Überblick über die Gesamtsicherheit des Geräts. Viele Prozesse dienen als Hilfsmittel für die Systemvisualisierung, indem sie den Sicherheitsstatus des Geräts erfassen und anschließend seinen Zustand in grafischer Form darstellen. Das Gerät zeigt den Gesamtsi- cherheitsstatus im Dialog , Rahmen Sicherheits-Status.
Seite 734: 14.3 Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus Tab. 31: Sicherheitsstatus-Ereignisse (Forts.) Name Bedeutung Zugriff mit HiDiscovery möglich Aktivieren Sie diese Funktion, um zu überwachen, ob die Funk- tion HiDiscovery Schreibzugriff auf das Gerät hat. Das Gerät überwacht die Sicherheitseinstellungen für das Unverschlüsselte Konfiguration vom Laden der Konfiguration aus dem externen Speicher.
Seite 735: Anzeigen Des Sicherheitsstatus
Funktionsdiagnose 14.3 Sicherheitsstatus SNMP-Server überwachen. security-status monitor snmp-unsecure Der Wert im Rahmen wechselt Sicherheits-Status auf error, wenn mindestens eine der folgenden Bedingungen zutrifft: • Die Funktion SNMPv1 ist eingeschaltet. • Die Funktion SNMPv2 ist eingeschaltet. • Die Verschlüsselung für SNMPv3 ist ausge- schaltet.
Seite 736 Funktionsdiagnose 14.3 Sicherheitsstatus In den Privileged-EXEC-Modus wechseln. enable Gerätestatus und Einstellung zur Ermittlung des show security-status all Gerätestatus anzeigen. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 737: Portereignis-Zähler
Funktionsdiagnose 14.4 Portereignis-Zähler 14.4 Portereignis-Zähler Die Port-Statistiktabelle ermöglicht erfahrenen Netzadministratoren, möglicherweise erkannte Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt die Inhalte verschiedener Ereigniszähler. Die Paketzähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Im Dialog können Sie die Ereigniszähler zurück- setzen.
Seite 738: Möglichen Ursachen Für Port-Fehlerereignisse
Funktionsdiagnose 14.4 Portereignis-Zähler Möglichen Ursachen für Port-Fehlerereignisse Die folgende Tabelle nennt die Duplex-Betriebsarten für TX-Ports zusammen mit den möglichen Fehlerereignissen. Die Begriffe in der Tabelle bedeuten: Kollisionen  Im Halbduplexmodus bedeuten Kollisionen Normalbetrieb. Duplex-Problem  Nicht übereinstimmende Duplex-Modi.  Elektromagnetische Interferenz. Netzausdehnung ...
Seite 739: Sfp-Zustandsanzeige
Funktionsdiagnose 14.5 SFP-Zustandsanzeige 14.5 SFP-Zustandsanzeige Die SFP-Zustandsanzeige ermöglicht Ihnen, die aktuelle Bestückung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: Modultyp,  Seriennummer des Medien-Moduls  Temperatur in º C,  Sendeleistung in mW,  Empfangsleistung in mW. ...
Seite 740: Topologie-Erkennung
Funktionsdiagnose 14.6 Topologie-Erkennung 14.6 Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht Ihnen die automatische Topologie-Erkennung im lokalen Netz. Geräte mit aktivem LLDP: senden ihre Verbindungs- und Verwaltungsdaten an die angrenzenden Geräte des gemein-  samen LANs.
Seite 741 Funktionsdiagnose 14.6 Topologie-Erkennung Das Aktivieren der Einstellung „FDB Einträge anzeigen“ am unteren Ende der Tabelle ermöglicht Ihnen, Geräte ohne aktive LLDP-Unterstützung in der Tabelle anzuzeigen. Das Gerät nimmt in diesem Fall auch Informationen aus seiner FDB (Forwarding Database) auf. Wenn Sie den Port mit Geräten mit einer aktiven Topologie-Erkennungsfunktion verbinden, tauschen die Geräte LLDP Data Units (LLDPDU) aus, und die Topologie-Tabelle zeigt diese benachbarten Geräte.
Seite 742: Berichte
Funktionsdiagnose 14.7 Berichte 14.7 Berichte Im Folgenden werden die für Diagnosezwecke verfügbaren Berichte und Schaltflächen aufgeführt: System-Log-Datei  Die Logdatei ist eine HTML-Datei, in die das Gerät geräteinterne Ereignisse schreibt. Audit Trail  Protokolliert erfolgreiche Kommandos und Kommentare von Benutzern. Die Datei schließt auch das SNMP-Logging ein.
Seite 743 Funktionsdiagnose 14.7 Berichte Wenn Sie die Protokollierung von SNMP-Anfragen aktivieren, protokolliert das Gerät die Anfragen im Syslog als Ereignisse. Die Funktion protokolliert Benutzeran- Protokolliere SNMP-Get-Requests fragen nach Geräte-Konfigurationsinformationen. Die Funktion Protokolliere SNMP-Set-Requests protokolliert Geräte-Konfigurationsereignisse. Legen Sie die Untergrenze für Ereignisse fest, die das Gerät im Syslog einträgt.
Seite 744: Syslog
Funktionsdiagnose 14.7 Berichte 14.7.2 Syslog Das Gerät ermöglicht Ihnen, Nachrichten zu geräteinternen Ereignissen an einen oder mehrere Syslog-Server (bis zu 8) zu senden. Zusätzlich schließen Sie SNMP-Anfragen des Geräts als Ereignisse in den Syslog ein. Anmerkung: Zum Anzeigen der protokollierten Ereignisse öffnen Sie den Dialog oder den Dialog . Führen Sie die folgenden Schritte aus: Öffnen Sie den Dialog .
Seite 745: System-Log
Funktionsdiagnose 14.7 Berichte Server IP Port Max. Severity Type Status ----- -------------- ----- -------------- ---------- ------- 10.0.1.159 error systemlog active In den Konfigurationsmodus wechseln. configure SNMP-Get-Anfragen protokollieren. logging snmp-requests get operation Der Wert legt den Schweregrad des Ereignisses logging snmp-requests get severity 5 fest, welches das Gerät bei SNMP-GET-Anfragen protokolliert.
Seite 746: Logging Audit-Trail
Funktionsdiagnose 14.7 Berichte Die folgende Liste enthält Protokollereignisse: Änderungen an Konfigurationsparametern  Kommandos (mit Ausnahme der -Kommandos) im Command Line Interface  show Kommando im Command Line Interface, das den Kommentar  logging audit-trail <string> protokolliert Automatische Änderungen der Systemzeit ...
Seite 747 Funktionsdiagnose 14.7 Berichte UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 748: 15 Erweiterte Funktionen Des Geräts
Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden 15 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden Der DNS-Client fordert die DNS-Server dazu auf, die Host-Namen und IP-Adressen von Geräten im Netz aufzulösen. Der DNS-Client konvertiert Namen von Geräten, ähnlich einem Telefonbuch, in IP-Adressen.
Seite 749 Erweiterte Funktionen des Geräts 15.1 Gerät als DNS-Client verwenden UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 750: A Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A Konfigurationsumgebung einrichten SSH-Zugriff vorbereiten Sie können sich über SSH mit dem Gerät verbinden. Führen Sie dazu die folgenden Schritte aus: Erzeugen Sie einen Schlüssel auf dem Gerät.  oder Übertragen Sie Ihren eigenen Schlüssel auf das Gerät. ...
Seite 751 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Das Gerät ermöglicht Ihnen, Ihren eigenen Schlüssel auf das Gerät zu übertragen. Führen Sie dazu die folgenden Schritte aus: Öffnen Sie den Dialog , Registerkarte SSH.  Um den SSH-Server auszuschalten, wählen Sie im Rahmen das Optionsfeld Aus.
Seite 752: A.1.3 Ssh-Client-Programm Vorbereiten
Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten A.1.3 SSH-Client-Programm vorbereiten Das Programm ermöglicht Ihnen, auf das Gerät mit SSH zuzugreifen. Sie können die Soft- PuTTY ware von www.putty.org herunterladen. Führen Sie die folgenden Schritte aus: Starten Sie das Programm mit einem Doppelklick. ...
Seite 753 Konfigurationsumgebung einrichten A.1 SSH-Zugriff vorbereiten Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihr Gerät zuzugreifen. Zum Einrichten der Datenverbindung geben Sie das folgende Kommando ein: ssh admin@10.0.112.53 ist der Benutzername. admin 10.0.112.53 ist die IP-Adresse Ihres Geräts. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 754: Konfigurationsumgebung Einrichten
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat HTTPS-Zertifikat Ihr Web-Browser stellt mit dem HTTPS-Protokoll die Verbindung zum Gerät her. Voraussetzung ist, dass Sie die Funktion im Dialog , Registerkarte einschalten. HTTPS server HTTPS Anmerkung: Software von Drittanbietern wie Web-Browser validieren Zertifikate anhand von Krite- rien wie Verfallsdatum und aktuellen kryptografischen Parameter-Empfehlungen.
Seite 755: A.2.2 Zugang Über Https
Konfigurationsumgebung einrichten A.2 HTTPS-Zertifikat In den Privileged-EXEC-Modus wechseln. enable HTTPS-Zertifikat aus dem externen nichtflüchtigen copy httpscert envm <file name> Speicher kopieren. In den Konfigurationsmodus wechseln. configure Funktion ausschalten. HTTPS no https server Funktion einschalten. https server HTTPS Anmerkung: Um das Zertifikat nach der Erstellung oder Übertragung zu aktivieren, starten Sie das Gerät neu oder starten Sie den HTTPS-Server neu.
Seite 756: B Anhang
TSN – Time-Sensitive Networking (in Deutsch)  Wolfgang Schulte VDE Verlag, 2020 ISBN 978-3-8007-5078-8 Time-Sensitive Networking For Dummies, Belden/Hirschmann Special Edition (in Englisch)  Oliver Kleineberg und Axel Schneider Wiley, 2018 ISBN 978-1-119-52791-6 (Print), ISBN 978-1-119-52799-2 (eBook) Fordern Sie Ihre kostenlose PDF-Kopie an unter https://www.belden.com/resources/know-...
Seite 757: B.2 Wartung
Anhang B.2 Wartung Wartung Hirschmann arbeitet ständig an der Verbesserung und Weiterentwicklung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Software Ihnen weitere Vorteile bietet. Informationen und Software-Downloads finden Sie auf den Hirschmann-Produktseiten im Internet unter www.hirsch- mann.com. UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 758: B.3 Management Information Base (Mib)
Anhang B.3 Management Information BASE (MIB) Management Information BASE (MIB) Die Management Information Base (MIB) ist als abstrakte Baumstruktur angelegt. Die Verzweigungspunkte sind die Objektklassen. Die „Blätter“ der MIB tragen die Bezeichnung generische Objektklassen. Die Instanzierung der generischen Objektklassen, das heißt, die abstrakte Struktur auf die Realität abzubilden, erfolgt zum Beispiel durch die Angabe des Ports oder der Quelladresse (Source Address), soweit dies zur eindeutigen Identifizierung nötig ist.
Seite 759: Anhang
Anhang B.3 Management Information BASE (MIB) 1 iso 3 org 6 dod 1 internet 2 mgmt 4 private 6 snmp V2 1 mib-2 1 enterprises 3 modules 1 system 248 hirschmann 10 Framework 2 interfaces 11 hm2Configuration 11 mpd 12 hm2Platform5 3 at 12 Target 4 ip...
Seite 760: B.4 Liste Der Rfcs
Anhang B.4 Liste der RFCs Liste der RFCs RFC 768 RFC 791 RFC 792 ICMP RFC 793 RFC 826 RFC 1157 SNMPv1 RFC 1155 SMIv1 RFC 1191 Path MTU Discovery RFC 1212 Concise MIB Definitions RFC 1213 MIB2 RFC 1493 Dot1d RFC 1643 Ethernet-like -MIB...
Seite 761 Anhang B.4 Liste der RFCs RFC 3413 Simple Network Management Protocol (SNMP) Applications RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Manage- ment Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3418 Management Information Base (MIB)
Seite 762: B.5 Zugrundeliegende Ieee-Normen
Anhang B.5 Zugrundeliegende IEEE-Normen Zugrundeliegende IEEE-Normen IEEE 802.1AB Station and Media Access Control Connectivity Discovery IEEE 802.1D MAC Bridges (switching function) IEEE 802.1Q Virtual LANs (VLANs, MRP, Spanning Tree) IEEE 802.3 Ethernet IEEE 802.3ac VLAN Tagging IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet UM Config EAGLE40-07...
Seite 763: B.6 Zugrundeliegende Ansi-Normen
Anhang B.6 Zugrundeliegende ANSI-Normen Zugrundeliegende ANSI-Normen ANSI/TIA-1057 Link Layer Discovery Protocol for Media Endpoint Devices, April 2006 UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 764: B.7 Technische Daten
Anhang B.7 Technische Daten Technische Daten 15.1.2 Switching Größe der MAC-Adress-Tabelle 16384 (inkl. statische Filter) Max. Anzahl statisch konfigurierter MAC-Adressfilter Anzahl Warteschlangen 8 Queues Einstellbare Port-Prioritäten 0..7 MTU (max. erlaubte Länge der 1996 Byte Pakete, die ein Port empfangen oder senden kann) 15.1.3 VLAN...
Seite 765: Nat
Anhang B.7 Technische Daten 15.1.6 Max. Anzahl der 1:1-NAT-Regeln Max. Anzahl der Destination-NAT- Regeln Max. Anzahl der Double-NAT-Regeln 255 Max. Anzahl der Masquerading-NAT- Regeln Max. Anzahl der Einträge für Connec- 7768 tion Tracking UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 766: B.8 Copyright Integrierter Software
Anhang B.8 Copyright integrierter Software Copyright integrierter Software Das Produkt enthält unter anderem Open-Source-Software-Dateien, die von Dritten entwickelt und unter einer Open-Source-Software-Lizenz lizenziert wurden. Die Lizenzbedingungen finden Sie in der grafischen Benutzeroberfläche im Dialog . UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 767: B.9 Verwendete Abkürzungen
Anhang B.9 Verwendete Abkürzungen Verwendete Abkürzungen Name des externen Speichers BOOTP Bootstrap Protocol Command Line Interface DHCP Dynamic Host Configuration Protocol Extended Unique Identifier Forwarding Database Graphical User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP...
Seite 768: C Stichwortverzeichnis
Stichwortverzeichnis C Stichwortverzeichnis 1to1-NAT ..............197 ABR .
Seite 769 Stichwortverzeichnis Flüchtiger Speicher (RAM) ........... . . 85 Flusskontrolle .
Seite 770 Stichwortverzeichnis MAC-Adresse ............. . 219 MAC-Adressen-Filter .
Seite 771 Stichwortverzeichnis QoS ..............164 RADIUS .
Seite 772 Stichwortverzeichnis Übertragungssicherheit ............251 Uhrzeit einstellen .
Seite 773 Stichwortverzeichnis UM Config EAGLE40-07 Release 4.3 03/2022...
Seite 774: D Weitere Unterstützung
Die Adressen unserer Vertragspartner finden Sie im Internet unter www.hirschmann.com. Eine Liste von Telefonnummern und E-Mail-Adressen für direkten technischen Support durch Hirschmann finden Sie unter hirschmann-support.belden.com. Sie finden auf dieser Website außerdem eine kostenfreie Wissensdatenbank sowie einen Download-Bereich für Software.
Seite 775: E Leserkritik
Leserkritik E Leserkritik Wie denken Sie über dieses Handbuch? Wir sind stets bemüht, in unseren Handbüchern das betreffende Produkt vollständig zu beschreiben und wichtiges Hintergrundwissen zu vermitteln, um Sie beim Einsatz dieses Produkts zu unterstützen. Ihre Kommentare und Anregungen unterstützen uns, die Qualität und den Informationsgrad dieser Dokumentation noch zu steigern.
Seite 776 Leserkritik Allgemeine Kommentare: Absender: Firma / Abteilung: Name / Telefonnummer: Straße: PLZ / Ort: E-Mail: Datum / Unterschrift: Sehr geehrter Anwender, bitte schicken Sie dieses Blatt ausgefüllt zurück als Fax an die Nummer +49 (0)7127 14-1600 oder  per Post an ...

Belden Hirschmann EAGLE40-07 Referenzhandbuch

Quicklinks

Verwandte Anleitungen für Belden Hirschmann EAGLE40-07

Inhaltszusammenfassung für Belden Hirschmann EAGLE40-07