Seite 1 Industrial Ethernet Switches Web User Interface (Web UI) SINEC Gerätemanagement OS V2.1 Systemadministration Projektierungshandbuch Security Schnittstellenverwaltung IP-Adressvergabe Netzwerkredundanz Netzwerkerkennung und - management Kontrolle und Klassifikation von Datenverkehr Zeiteinstellungen Multicast-Filterung Für SCALANCE XCH-300, XCM-300, XRH-300 und XRM-300 Diagnose Fehlerbehebung 04/2022 C79000-G8900-C497-03...
Seite 2: Qualifiziertes Personal
Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und...
Seite 3: Inhaltsverzeichnis
Inhaltsverzeichnis Vorwort ..............................15 Security-Disclaimer ......................15 Firmware-/Software-Support ....................15 Open Source........................15 Marken ..........................16 Ergänzende Dokumente..................... 16 Schulungsprogramm......................17 Kundendienst ........................18 Einleitung ............................19 Funktionen und Vorteile..................... 19 Security-Empfehlungen...................... 22 Mengengerüst ........................26 Verfügbare Dienste ......................28 Zugriffsrechte ........................
Seite 4 Inhaltsverzeichnis 3.3.1.2 Eine Zeile selektieren ......................44 3.3.1.3 Eine Zeile löschen ......................44 3.3.1.4 Parameter für alle Zeilen einer Spalte gleichzeitig konfigurieren .......... 44 3.3.1.5 Aktionen für alle Zeilen einer Tabelle gleichzeitig ausführen ..........45 3.3.1.6 Editierbare und schreibgeschützte Zellen................45 3.3.1.7 Die Anzahl der angezeigten Einträge festlegen ..............
Seite 5 Inhaltsverzeichnis Gerätemanagement ..........................71 Neustarten und Herunterfahren des Geräts ................ 71 5.1.1 Wissenswertes zum Neustarten und Herunterfahren des Geräts.......... 71 5.1.1.1 Einen Befehl ablehnen ....................... 71 5.1.1.2 Sitzungen beenden ......................71 5.1.1.3 Konfigurationsänderungen berücksichtigen................ 72 5.1.2 Das Gerät neu starten ......................72 Das Gerät auf Default-Einstellungen zurücksetzen ..............
Seite 6 Inhaltsverzeichnis 5.10.1.1 Das Gerät mit dem Taster auf Default-Einstellungen zurücksetzen (In der Anlaufphase)..97 5.10.1.2 Das Gerät mit dem Taster auf Default-Einstellungen zurücksetzen (Im laufenden Betrieb)..98 5.10.1.3 Eine Firmware-Datei über TFTP laden.................. 99 5.10.2 Die Tasterfunktion 'Auf Default-Einstellungen zurücksetzen' aktivieren......100 5.11 Configuration License PLUG....................
Seite 7 Inhaltsverzeichnis 7.2.2.3 Den Zeitraum zwischen fehlgeschlagenen Anmeldeversuchen ändern ......121 7.2.2.4 Die BFA-Prävention aktivieren................... 122 7.2.3 Blockierung von Benutzer oder IP-Adresse aufheben............122 7.2.4 Die BFA-Prävention überwachen..................122 Security-relevante Ereignisse.................... 123 7.3.1 Wissenswertes zu Security-relevanten Ereignissen ............123 7.3.1.1 SIEM-System........................124 7.3.1.2 Aufbau einer Ereignismeldung ..................
Seite 8 Inhaltsverzeichnis 7.5.3 Die RADIUS-Authentifizierung konfigurieren..............156 7.5.3.1 Ein RADIUS-Server-Profil konfigurieren ................156 7.5.3.2 Eine Verbindung zu einem RADIUS-Server prüfen ............. 157 7.5.4 Den Benutzerauthentifizierungs-Modus auswählen............158 7.5.5 Die Benutzerauthentifizierung überwachen ..............158 7.5.5.1 Die RADIUS-Statistiken anzeigen..................158 Schnittstellenverwaltung ........................161 Schnittstellen........................
Seite 9 Inhaltsverzeichnis IP-Adressvergabe ..........................189 Statische IP-Adressvergabe ....................189 9.1.1 Eine statische IPv4-Adresse konfigurieren ................. 189 9.1.2 Die IPv4-Adresskonfiguration anzeigen ................190 Statisches DNS ......................... 190 9.2.1 Wissenswertes zu DNS ..................... 190 9.2.1.1 Grundbegriffe zu DNS ...................... 191 9.2.1.2 DNS-Kommunikation ....................... 192 9.2.2 DNS konfigurieren......................
Seite 10 Inhaltsverzeichnis 10.3.3 DLR überwachen......................216 10.3.4 Konfigurationsbeispiele....................217 10.3.4.1 DLR im VLAN 0 verwenden....................217 Netzwerkerkennung und -management ................... 219 11.1 LLDP ..........................219 11.1.1 Das Senden und Empfangen von LLDPDUs für einen Bridge-Port konfigurieren ....219 11.1.2 Die LLDP-Informationen von Nachbargeräten überwachen..........219 11.2 DCP ..........................
Seite 11 Inhaltsverzeichnis 11.6.1.1 Die SNMP-Versionen konfigurieren, die der SNMP-Agent unterstützt ......... 240 11.6.1.2 Einen Server-Endpunkt für SNMP konfigurieren..............240 11.6.1.3 Einen Server-Endpunkt für SNMP aktivieren..............241 11.6.1.4 Den SNMP-Agent aktivieren ..................... 242 11.6.2 Den Namen einer SNMP-Community ändern ..............242 11.6.3 Die IP-Adresse eines SNMP-Targets ändern................
Seite 12 Inhaltsverzeichnis 12.3.2.2 Einer Traffic-Klasse einen PCP-Wert zuordnen..............272 12.3.2.3 Einer Traffic-Klasse einen DSCP-Wert zuordnen ..............273 12.3.2.4 Den Vertrauensmodus konfigurieren ................273 12.3.2.5 Dem ausgehenden Datenverkehr (Egress) verschiedene Prioritäten zuordnen ....274 12.3.3 Konfigurationsbeispiele....................275 12.3.3.1 Priorisierung aller Frames....................275 12.3.3.2 Ausgewählte Frames priorisieren..................
Seite 13 Inhaltsverzeichnis 14.3.1.3 IGMP-Snooping-Querier ....................295 14.3.1.4 Regeln beim IGMP-Snooping .................... 295 14.3.2 IGMP-Snooping konfigurieren................... 296 14.3.2.1 IGMP-Snooping aktivieren ....................296 14.3.2.2 Die IGMP-Version auswählen.................... 297 14.3.2.3 Den IGMP-Modus auswählen.................... 297 14.3.2.4 Das IGMP-Abfrageintervall konfigurieren ................298 14.3.2.5 Überflutung bei Topologieänderungen aktivieren ............. 298 14.3.2.6 IGMP-Snooping pro VLAN aktivieren.................
Seite 14 Inhaltsverzeichnis 15.5.2.3 SMTP aktivieren ....................... 323 15.5.3 Das SMTP-Konto konfigurieren..................323 15.5.3.1 Die E-Mail-Adresse des Kontos konfigurieren..............324 15.5.3.2 Eine Beschreibung für das Konto hinzufügen ..............324 15.5.4 Einen SMTP-Server konfigurieren..................324 15.5.4.1 Das SMTP-Serverprofil konfigurieren ................. 325 15.5.4.2 Die Verzögerung für SMTP-Antworten konfigurieren ............325 15.5.5 Die SMTP-Authentifizierung konfigurieren.................
Seite 15: Vorwort
Weiterführende Informationen zu möglichen Schutzmaßnahmen im Bereich Industrial Security finden Sie unter folgender Adresse: (http://www.siemens.com/industrialsecurity). Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Produkt-Updates anzuwenden, sobald sie zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-...
Seite 16: Marken
Die aufgeführten Dokumente sind die zur Zeit der Publikation verfügbaren Dokumente. Neuere Versionen dieser Dokumente oder der zugehörigen Produkte sind möglicherweise verfügbar. Weitere Informationen finden Sie in SIOS oder Sie wenden sich an den Siemens-Kundendienst. Produkthinweise Produkthinweise sind online über SIOS (https://support.industry.siemens.com/cs/ww/de/ps/...
Seite 17: Schulungsprogramm
Diagnose und Projektierung mit SNMP" support.industry.siemens.com/cs/ww/de/view/ 103949062) Schulungsprogramm Siemens bietet ein umfangreiches Schulungsprogramm an, das interne Schulungen mit Standardkursen zu den Themen Netzwerke, Ethernet-Switches und -Router sowie individuelle Vor-Ort-Kurse unter Berücksichtigung der Bedürfnisse, Erfahrungen und Anwendungsvoraussetzungen des Kunden umfasst.
Seite 18: Kundendienst
Vorwort 1.7 Kundendienst Kundendienst Der Kundendienst steht allen Siemens-Kunden 24 Stunden am Tag, 7 Tage die Woche zur Verfügung. Für technischen Support oder allgemeine Informationen wenden Sie sich auf eine der folgenden Arten an den Siemens-Kundendienst: Online Besuchen Sie (https://www.siemens.com/automation/support-request), um eine Support-Anfrage (Support Request, SR) abzusenden oder um den Status einer vorhandenen Support-Anfrage anzuzeigen.
Seite 19: Einleitung
Einleitung Willkommen beim SINEC OS Web UI-Konfigurationshandbuch. Dieses Dokument erläutert, wie Sie Ihr Gerät über die Web-Benutzeroberfläche für SINEC OS konfigurieren. Hinweis Die Web-Benutzeroberfläche für SINEC OS bietet beschränkte Konfigurationsoptionen und eine Übersicht ausgewählter Leistungsmerkmale. Vollständige Konfigurations- und Betriebsinformationen sind über das Command Line Interface (CLI) verfügbar. In diesem Dokument werden daher nur die eingeschränkten Funktionen der Web-Benutzeroberfläche beschrieben.
Seite 20 Einleitung 2.1 Funktionen und Vorteile • Command Line Interface (CLI) Ein CLI, das in Verbindung mit einer Remote Shell verwendet wird, ermöglicht automatisierte Datenabfragen, Konfigurationsänderungen und Firmware-Aktualisierungen. Mit einem leistungsstarken CLI nach Telekommunikationsstandard können erfahrene Benutzer jeden verfügbaren Parameter selektiv abfragen oder ändern. •...
Seite 21: Umstellung Der Sommerzeit
Einleitung 2.1 Funktionen und Vorteile • Device Level Ring (DLR) Device Level Ring ist ein Layer 2-Redundanzverfahren für EtherNet/IP. Damit ist es möglich, Ringtopologien mit EtherNet/IP aufzubauen. Bei einer Unterbrechung der Kommunikationskette wird die Kommunikation über einen redundanten Pfad aufrechterhalten. •...
Seite 22: Security-Empfehlungen
(https://www.siemens.com/ global/de/home/unternehmen/themenfelder/zukunft-der-industrie/industrial- security.html). • Prüfen Sie die Benutzerdokumentation anderer Siemens-Produkte, die zusammen mit dem Gerät verwendet werden, auf weitere Security-Empfehlungen. • Sorgen Sie mit Hilfe des Remote-Logging dafür, dass die Systemprotokolle an einen zentralen Logging-Server weitergeleitet werden. Achten Sie darauf, dass der Server sich innerhalb des geschützten Netzwerks befindet, und schauen Sie regelmäßig in den Protokollen nach, ob...
Seite 23 • Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12". • Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit. • Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der Rückkehr des Geräts zerstört werden können.
Seite 24 Einleitung 2.2 Security-Empfehlungen Physischer/Remote-Zugriff • Betreiben Sie die Geräte nur in einem geschützten Netzwerkbereich. Angreifer können von Außen nicht auf interne Daten zugreifen, wenn das interne und externe Netzwerk voneinander getrennt sind. • Beschränken Sie den physischen Zugriff auf das Gerät ausschließlich auf vertrauenswürdiges Personal.
Seite 25 (https://www.siemens.com/global/de/home/unternehmen/ themenfelder/zukunft-der-industrie/industrial-security.html) und ProductCERT Security Advisories (https://www.siemens.com/global/de/home/produkte/services/cert.html). Updates zu den Security Advisories für Siemens-Produkte erhalten Sie, indem Sie sich beim RSS-Feed auf der Webseite ProductCert Security Advisories anmelden oder @ProductCert auf Twitter folgen. • Aktivieren Sie nur die Dienste, die auf dem Gerät verwendet werden, einschließlich physischer Ports.
Seite 26: Mengengerüst
Einleitung 2.3 Mengengerüst • Konfigurationsdateien können vom Gerät heruntergeladen werden. Stellen Sie sicher, dass die Konfigurationsdateien angemessen geschützt sind. Möglichkeiten hierzu sind beispielsweise, die Dateien digital zu signieren und zu verschlüsseln, sie an einem sicheren Ort zu speichern oder Konfigurationsdateien ausschließlich über sichere Kommunikationskanäle zu übertragen.
Seite 27 Einleitung 2.3 Mengengerüst IP-Adressvergabe Funktion Grenzwert Anzahl DNS-Server Anzahl DNS-Domänen DHCP Anzahl der DHCP-Clients Schnittstellenverwaltung Funktion Grenzwert MAC-Adressen Anzahl statischer Unicast-MAC-Filtereinträge MAC-Adressentabelle Anzahl dynamisch gelernter MAC-Adressen 4096 Netzwerkerkennung und -management Funktion Grenzwert SNMP Anzahl Target-Parameter Anzahl Targets Anzahl Benachrichtigungen Anzahl Communities Anzahl Views Anzahl Gruppen Anzahl Benutzer...
Seite 28: Verfügbare Dienste
Einleitung 2.4 Verfügbare Dienste Multicast-Filterung Funktion Grenzwert Allgemein Anzahl im System installierter Multicast-Streams 1023 IGMP Anzahl von Layer 2-IGMP-Gruppenweiterleitungs‐ einträgen Anzahl von Layer 3-IGMP-Gruppenmitgliedschafts‐ 1024 einträgen GMRP Anzahl gelernter Multicast-Gruppen 1024 Diagnose Funktion Grenzwert Systemprotokoll Anzahl Logbuchprotokolleinträge 1000 Anzahl Remote-Syslog-Server SMTP Anzahl SMTP-Server Anzahl E-Mail-Empfänger...
Seite 29: Zugriffsrechte
Einleitung 2.5 Zugriffsrechte Dienst Proto‐ Port- Standard- Konfigurier‐ Konfigurier‐ Authentifizie‐ Verschlüsse‐ koll nummer status barer bare Port‐ rung lung Dienst nummer PROFINET 34964 Offen SNMPv1/v2c Geschlossen ✓ ✓ Konfigurierbar SNMPv3 Geschlossen ✓ ✓ Konfigurierbar Konfigurierbar Offen ✓ ✓ ✓ ✓ SSH/NETCONF Offen ✓...
Seite 30 Einleitung 2.5 Zugriffsrechte Die folgende Tabelle zeigt Abweichungen bei Aktionen. Der Eintrag "-" zeigt an, dass es keine Abweichung zu den grundsätzlichen Zugriffsrechten gibt. Tätigkeit Zugriffsrechte pro Benutzerprofil Admin Guest Mit dem Debug-Benutzerkonto anmelden Eine IP-Adresse/Host pingen (Ping) Den Datenpfad zu einem Host er‐ mitteln (Traceroute) Die folgende Tabelle zeigt Abweichungen bei Konfigurationsdaten.
Seite 31: Gerätekonfiguration
Einleitung 2.6 Gerätekonfiguration Gerätekonfiguration SINEC OS unterstützt ein zweistufiges Konfigurationskonzept, bei dem die laufende Konfiguration auf dem Gerät unverändert bleibt, bis Sie Konfigurationsänderungen bestätigen. Hierzu verfügt SINEC OS über zwei Datenspeicher: • Running-Datenspeicher Im Running-Datenspeicher befindet sich die Konfiguration, mit der das Gerät aktuell läuft. •...
Seite 32: Unterstützte Funktionen
Einleitung 2.7 Unterstützte Funktionen Konfigurationsänderungen bestätigen Um die Konfigurationsänderungen in die laufende Konfiguration zu übernehmen, müssen Sie diese explizit bestätigen. Sie haben verschiedene Möglichkeiten, um die Konfigurationsänderungen zu bestätigen. Für weitere Informationen siehe "Konfigurationsänderungen bestätigen (Commit) (Seite 41)". Bevor Sie die Konfigurationsänderungen bestätigen, können Sie prüfen, ob es zu Konflikten mit der laufenden Konfiguration kommt.
Seite 33 Einleitung 2.7 Unterstützte Funktionen Funktion Web UI Tasterfunktion Configuration License PLUG Passwortrichtlinie Benutzerverwaltung Debug Verhinderung von Brute-Force-Angriffen Schlüssel und Zertifikate Benutzerauthentifizierung Bridge-Ports VLAN-Schnittstellen MAC-Adressentabelle Statische IP-Adressvergabe Statisches DNS DHCP Spanning Tree Protocol Erkennung von Netzwerkschleifen LLDP PROFINET SNMP Begrenzung der Übertragungsgeschwindigkeit VLANs Traffic-Klassen Datum und Systemzeit...
Seite 34: Unterstützte Internet-Browser
Einleitung 2.8 Unterstützte Internet-Browser Funktion Web UI Systemstatus Ereignismanagement Ping Traceroute Systemprotokollierung SMTP Spiegelung von Datenverkehr Kabeldiagnose Unterstützte Internet-Browser Das SINEC OS Web UI wurde mit den folgenden Internet-Browsern getestet: Internet-Browser Version Google Chrome Mozilla Firefox Mozilla Firefox ESR Hinweis Verwendung des Microsoft Internet Explorers ist nicht freigegeben Das SINEC OS Web UI ist nicht für die Verwendung mit dem Microsoft Internet Explorer freigegeben.
Seite 35: Benutzerschnittstelle
Benutzerschnittstelle In diesem Kapitel wird beschrieben, wie Sie das SINEC OS Web User Interface (Web UI) nutzen. Benutzeroberfläche In diesem Abschnitt wird der Aufbau der grafischen Benutzeroberfläche des Web UI beschrieben. 3.1.1 Anmeldeseite Die folgende Grafik zeigt die Anmeldeseite. Bild 3-1 Anmeldeseite des Web UI von SINEC OS Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 36 Für weitere Informationen zur Anmeldung im Web UI siehe "Anmelden (Seite 66)". • Support Wenn Sie auf den Link Support klicken, wird in einem neuen Register die Internetseite des Siemens Industry Online Support geöffnet. Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 37: Startseite
Benutzerschnittstelle 3.1 Benutzeroberfläche 3.1.2 Startseite Wenn Sie sich erfolgreich angemeldet haben, befinden Sie sich auf der Startseite. Am Beispiel der Startseite sehen Sie in der folgenden Grafik die einzelnen Bereiche des Web UI. ① Kopfleiste ② Statusleiste ③ Navigationsleiste ④ Inhaltsbereich ⑤...
Seite 38: Statusleiste
In der Kopfleiste stehen Ihnen folgende Elemente zur Verfügung: • Logo der Siemens AG Wenn Sie auf das SIEMENS-Logo klicken, laden Sie die Startseite des Web UI. • Name des Geräts Der Gerätename zeigt an, mit welchem Gerät Sie verbunden sind. Sie können den Gerätenamen nicht ändern.
Seite 39: Konfigurationstransaktionen
Benutzerschnittstelle 3.2 Konfigurationstransaktionen Bezeichnung Symbol Beschreibung Konfigurationstransak‐ Keine Konfigurations‐ Wenn Sie auf das Symbol klicken, wird vom rechten Rand des tionen änderungen Browser-Fensters der Bereich für Konfigurationstransaktionen im Inhaltsbereich eingeblendet. Die Informations- und Konfigurati‐ (Default) onsseiten sind weiterhin verfügbar. Mit unbestätigten Sobald Sie die aktuelle Konfiguration des Geräts ändern, werden Konfigurationsände‐...
Seite 40: Einen Konfigurationsmodus Wählen
Benutzerschnittstelle 3.2 Konfigurationstransaktionen 3.2.1 Einen Konfigurationsmodus wählen Sie können für die Konfiguration zwischen einem gemeinsam genutzten und exklusiven Konfigurationsmodus wechseln: • Gemeinsam genutzter Konfigurationsmodus Mehrere Benutzer können auf das Gerät zugreifen. Alle Änderungen werden vor anderen Benutzern solange verborgen, bis sie bestätigt sind. Die Änderungen müssen bestätigt werden, damit sie in die aktive Konfiguration übernommen werden.
Seite 41: Konfigurationsänderungen Prüfen
Benutzerschnittstelle 3.2 Konfigurationstransaktionen Parameter Beschreibung Old Value Zeigt den alten Wert vor der Änderung. Validation Zeigt an, ob die Änderung gültig ist. Mögliche Werte: • Blaues Häkchen - Die Änderung wurde erfolgreich gegen den entsprechenden Datentyp geprüft und ist korrekt. •...
Seite 42: Konfigurationsänderungen In Einem Schritt Prüfen Und Bestätigen
Benutzerschnittstelle 3.2 Konfigurationstransaktionen Sie müssen nicht jede Konfigurationsänderung direkt bestätigen. Sie können mehrere Konfigurationsänderungen durchführen und diese gesammelt bestätigen. Wenn Sie Konfigurationsänderungen bestätigen, wird die Bestätigung mit einer Kennung versehen. Über diese Kennung können Sie sich im CLI die Änderungen anzeigen lassen und die vorherige Konfiguration wiederherstellen.
Seite 43: Einzelne Konfigurationsänderungen Löschen
Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.2.6 Einzelne Konfigurationsänderungen löschen Um einzelne Konfigurationsänderungen zu löschen, gehen Sie wie folgt vor: 1. Klicken Sie in der Statusleiste auf die Schaltfläche für Konfigurationstransaktionen. 2. Klicken Sie in der Zeile der Änderung auf das Löschensymbol in der letzten Spalte. 3.2.7 Alle Konfigurationsänderungen verwerfen Um die Konfigurationsänderungen zu verwerfen, gehen Sie wie folgt vor:...
Seite 44: Eine Neue Zeile Hinzufügen
Benutzerschnittstelle 3.3 Grundlegende Bedienung 3.3.1.1 Eine neue Zeile hinzufügen Um eine neue Zeile hinzuzufügen, gehen Sie wie folgt vor: 1. Klicken Sie auf die Schaltfläche Add. 2. [Optional] Konfigurieren Sie die Parameter der Zeile. 3. Bestätigen Sie die Änderungen. 3.3.1.2 Eine Zeile selektieren Um eine Zeile zu selektieren, klicken Sie auf das Häkchen in der ersten Spalte.
Seite 45: Aktionen Für Alle Zeilen Einer Tabelle Gleichzeitig Ausführen
Benutzerschnittstelle 3.3 Grundlegende Bedienung 3. Geben Sie in der ersten Zeile unter Transmission Interval den gewünschten Wert ein. Der Wert wird für alle Bridge-Ports übernommen. In jeder Zeile wird ein blaues Häkchen neben dem Eingabefeld angezeigt. 4. Bestätigen Sie die Änderungen. 3.3.1.5 Aktionen für alle Zeilen einer Tabelle gleichzeitig ausführen Manche Tabellen haben eine erste Zeile mit dem Schlüsselwort All.
Seite 46: Tabellen Mit Mehreren Seiten
Mit dieser Schaltfläche gelangen Sie zur ersten Seite. 3.3.2 Auf die Startseite wechseln Um auf die Startseite zu wechseln, klicken Sie in der Kopfleiste links auf das SIEMENS-Logo. 3.3.3 Mehrfachauswahl in Drop-Down-Listen Es gibt verschiedene Arten von Drop-Down-Listen. In manchen Drop-Down-Listen können Sie nur einen der angezeigten Einträge auswählen, z.
Seite 47: Dateien Über Einen Remote-Server Laden Und Speichern
Benutzerschnittstelle 3.3 Grundlegende Bedienung Die ausgewählten Einträge werden in der ursprünglichen Reihenfolge angezeigt, in der sie aufgelistet sind. Wenn das Feld nicht ausreicht, um alle ausgewählten Einträge anzuzeigen, werden diese mit "..." abgekürzt. Wenn Sie mit dem Mauszeiger über das Feld fahren, werden alle ausgewählten Einträge als Tooltip angezeigt.
Seite 48 Benutzerschnittstelle 3.3 Grundlegende Bedienung • Port Den Port müssen Sie nur angeben, wenn nicht der voreingestellte Port verwendet werden soll: Protokoll Voreingestellter Port TCP-Port 21 SFTP TCP-Port 22 TFTP UDP-Port 69 HTTP TCP-Port 80 • Pfad zur Datei inklusive des Dateinamens Bei dem Protokoll SFTP müssen Sie den gesamten Pfad auf dem Remote-Server bis zu der Datei angeben.
Seite 49: Angabe Einer Zeitdauer
Benutzerschnittstelle 3.3 Grundlegende Bedienung 10.[Optional] Wenn Sie unter File Password ein Passwort vergeben haben, wiederholen Sie das Passwort unter File Password-Confirm. 11.Klicken Sie auf Load bzw. Save. Beim speichern auf einem lokalen Client-PC ist es von den Einstellungen Ihres Internet- Browsers abhängig, ob die Datei direkt in einem vorgegebenen Ordner abgespeichert wird oder ob eine Abfrage erfolgt und Sie zunächst den Speicherort wählen können.
Seite 50: Optische Rückmeldungen
Benutzerschnittstelle 3.3 Grundlegende Bedienung Negative Beispiele Die folgende Tabelle zeigt ungültige Zeitdauern. Zeitdauer Beschreibung Ein leerer Eintrag ist nicht zulässig. 1M2Y Die Reihenfolge der Zeitangaben muss beachtet werden. 1.5m Dezimalstellen sind nur bei Sekunden zulässig. 1Y-6M Das Minuszeichen muss an erster Stelle stehen. 3.3.6 Optische Rückmeldungen Das Web UI liefert folgende optische Rückmeldungen auf Eingaben, Konfigurationen usw.
Seite 51: Die Seitenaufteilung Anpassen
Benutzerschnittstelle 3.3 Grundlegende Bedienung Optische Rückmeldung Beschreibung Hinweis Hinweise werden am unteren rechten Rand des Web UI eingeblendet. Es wird immer nur ein Hinweis angezeigt. Ein neuer Hinweis ersetzt den bestehenden Hinweis. Ein Hinweis wird solange angezeigt, bis Sie auf das Schließensymbol in der oberen rechten Ecke des Hinweises klicken.
Seite 52: Konfiguration Der Benutzerschnittstellen
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Aktion Taste/Tastenkombination Durch die Einträge einer Drop-Down-Liste navigieren Pfeiltasten hoch und runter Auf die zuvor ausgewählte Seite springen [Alt] + [Pfeil links] Auf die danach ausgewählte Seite springen [Alt] + [Pfeil rechts] Markierten Inhalt kopieren [Strg] + [C] Kopierten Inhalt einfügen [Strg] + [V]...
Seite 53: Die Netconf-Benutzerschnittstelle Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen CLI SSH Endpunkt Default Name default Endpunkt aktiviert IP-Adresse 0.0.0.0 Port Web UI HTTP Endpunkt Default Name unsecure Endpunkt aktiviert IP-Adresse 0.0.0.0 Port Web UI HTTPS Endpunkt Default Name secure Endpunkt aktiviert IP-Adresse 0.0.0.0 Port NETCONF SSH Endpunkt Default...
Seite 54: Die Netconf-Benutzerschnittstelle Aktivieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Konfigurieren Sie einen Server-Endpunkt für NETCONF. Für weitere Informationen siehe "Einen Server-Endpunkt für NETCONF konfigurieren (Seite 55)". 4. Aktivieren Sie einen Server-Endpunkt für NETCONF. Für weitere Informationen siehe "Einen Server-Endpunkt für NETCONF aktivieren (Seite 55)". 3.4.2.1 Die NETCONF-Benutzerschnittstelle aktivieren Standardmäßig ist die NETCONF-Benutzerschnittstelle aktiviert.
Seite 55: Einen Server-Endpunkt Für Netconf Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.2.3 Einen Server-Endpunkt für NETCONF konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein Server-Endpunkt NETCONF- Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 56: Die Cli-Benutzerschnittstelle Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen Server-Endpunkt für NETCONF zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter NETCONF ≫ Endpoint werden die verfügbaren Server-Endpunkt für NETCONF angezeigt. 2. Unter Endpoint wählen Sie einen Endpunkt und ändern Sie den Parameter Status in Enabled.
Seite 57: Einen Server-Endpunkt Für Das Cli Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um den Inaktivitäts-Timeout global für CLI-Sitzungen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter CLI ändern Sie den Parameter Idle Timeout. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 58: Einen Server-Endpunkt Für Das Cli Aktivieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter CLI ≫ Endpoint werden die verfügbaren Server-Endpunkt für das CLI angezeigt. 2. Unter Endpoint wählen Sie einen Endpunkt und ändern Sie in der Spalte TCP Port den Port, über den CLI-Anfragen bearbeitet werden.
Seite 59: Die Web-Benutzerschnittstelle Aktivieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3. Konfigurieren Sie einen HTTP-Server-Endpunkt für das Web UI. Für weitere Informationen siehe "Einen HTTP-Server-Endpunkt für das Web UI konfigurieren (Seite 60)". 4. Aktivieren Sie einen HTTP-Server-Endpunkt für das Web UI. Für weitere Informationen siehe "Einen HTTP-Server-Endpunkt für das Web UI aktivieren (Seite 61)".
Seite 60: Einen Http-Server-Endpunkt Für Das Web Ui Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um den Inaktivitäts-Timeout für Web UI-Sitzungen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. 2. Unter WebUI (HTTP/HTTPS) ändern Sie den Parameter Idle Timeout. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 61: Einen Http-Server-Endpunkt Für Das Web Ui Aktivieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen HTTP-Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTP-Server-Endpunkt angezeigt. 2. Unter Endpoint wählen Sie einen HTTP-Server-Endpunkt und ändern Sie in der Spalte TCP Port den Port, über den Web UI-Anfragen bearbeitet werden.
Seite 62: Einen Https-Server-Endpunkt Für Das Web Ui Konfigurieren
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen 3.4.4.5 Einen HTTPS-Server-Endpunkt für das Web UI konfigurieren Konfigurieren Sie die lokale IP-Adresse und den Port, über die ein HTTPS-Server-Endpunkt Web UI-Anfragen bearbeitet. ACHTUNG Konfigurationsrisiko - Gefahr des Verbindungsverlusts Wenn das Gerät seine IP-Adresse dynamisch über DHCP zugewiesen bekommt, beachten Sie Folgendes: Wenn die IP-Adresse, die das Gerät über DHCP erhält, nicht mit der IP-Adresse übereinstimmt, die Sie für den NETCONF-Server-Endpunkt konfigurieren, ist das Gerät über den NETCONF-...
Seite 63: Ein Benutzerdefiniertes Https-Zertifikat Verwenden
Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Um einen HTTPS-Server-Endpunkt für das Web UI zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter WebUI (HTTP/HTTPS) ≫ Endpoint werden die verfügbaren HTTPS-Server-Endpunkt angezeigt. 2. Unter Endpoint wählen Sie einen HTTPS-Server-Endpunkt und ändern Sie den Parameter Status in Enabled.
Seite 64 Benutzerschnittstelle 3.4 Konfiguration der Benutzerschnittstellen Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 65: Erste Schritte
Erste Schritte In diesem Kapitel wird beschrieben, welche grundlegenden Schritte bei der Erstinbetriebnahme des Geräts auszuführen sind. Zu den Aufgaben gehören die Herstellung der Verbindung zu dem Gerät, der Zugriff auf die Benutzeroberfläche und das Konfigurieren eines Basisnetzwerks. Über eine Netzwerkverbindung auf das Web UI zugreifen Um auf das Web UI (Web User Interface) zuzugreifen, stellen Sie zwischen einem Client-PC und einem Gerät eine Remote-Verbindung über das Netzwerk her.
Seite 66: Eine Verbindung Zu Einem Gerät Herstellen
Erste Schritte 4.2 Anmelden Eine Verbindung zu einem Gerät herstellen Um auf das Web UI zuzugreifen, gehen Sie wie folgt vor: 1. Öffnen Sie einen Internet-Browser. 2. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse oder die URL des Geräts ein. 3.
Seite 67 Erste Schritte 4.2 Anmelden 4. Klicken Sie auf Sign In oder drücken Sie die Eingabetaste. Das Gerät prüft die Eingaben. Als optische Rückmeldung erscheint rechts neben den Feldern ein Ladesymbol. – Wenn die Eingaben korrekt sind, erscheinen zwei weitere Eingabefelder. Sie werden aufgefordert, das werkseitig voreingestellte Passwort zu ändern.
Seite 68: Bei Einem Konfigurierten Gerät Anmelden
Erste Schritte 4.4 Grundeinstellungen 4.2.3 Bei einem konfigurierten Gerät anmelden Wenn Sie sich bei einem konfigurierten Gerät anmelden, gehen Sie wie folgt vor: 1. Stellen Sie eine Verbindung zu dem Gerät her und rufen Sie das Web UI auf. Die Anmeldeseite des Web UI wird angezeigt. Für weitere Informationen siehe "Über eine Netzwerkverbindung auf das Web UI zugreifen (Seite 65)".
Seite 69: Den Hostnamen Ändern
Erste Schritte 4.4 Grundeinstellungen 4.4.1.1 Den Hostnamen ändern Der Hostname ist eine Kennzeichnung, die das Gerät im Netzwerk identifiziert. Der Hostname bildet auch die CLI-Eingabeaufforderung (z.B. localhost#). Der Hostname kann entweder eine einzelne Domänenkennzeichnung oder ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) sein. Hinweis Der voreingestellte Hostname hat das Format { Device Family Name }-{ Serial Number}.
Seite 70: Das Default-Gateway Manuell Konfigurieren
Erste Schritte 4.4 Grundeinstellungen 4.4.1.4 Das Default-Gateway manuell konfigurieren An das Default-Gateway werden alle IP-Pakete weitergeleitet, für die keine anderen Routing- Informationen gefunden wurden. Das Default-Gateway leitet alle IP-Pakete weiter, deren Zieladresse sich in einem anderen Subnetz befindet als das Gerät. Die IP-Adresse des Default-Gateways kann für das Gerät manuell oder über ein Netzwerkmanagement-Protokoll (z.
Seite 71: Gerätemanagement
Gerätemanagement In diesem Kapitel wird beschrieben, wie Sie die Gerätehardware verwalten, etwa wie Sie einen Neustart durchführen oder das Gerät herunterfahren, die Firmware verwalten oder die Konfigurationsdateien verwalten. Neustarten und Herunterfahren des Geräts Dieses Kapitel beschreibt, wie Sie das Gerät neu starten und herunterfahren. 5.1.1 Wissenswertes zum Neustarten und Herunterfahren des Geräts In diesem Abschnitt wird beschrieben, welche Auswirkungen ein Neustarten und...
Seite 72: Konfigurationsänderungen Berücksichtigen
Gerätemanagement 5.2 Das Gerät auf Default-Einstellungen zurücksetzen Are you sure you want to restart the device? [no,yes] yes There are 1 other active user session(s) which would be killed. Are you sure you want to continue? [no,yes] yes 5.1.1.3 Konfigurationsänderungen berücksichtigen Wenn ein Benutzer Konfigurationsänderungen bestätigt hat (commit), wird diese Aktion abgeschlossen.
Seite 73 Gerätemanagement 5.2 Das Gerät auf Default-Einstellungen zurücksetzen ACHTUNG Konfigurationsrisiko - Gefahr von Datenverlust Wenn in dem Gerät ein CLP gesteckt ist, wird auch der CLP auf Default-Einstellungen zurückgesetzt. Lizenzen, die auf dem CLP gespeichert sind, bleiben erhalten. Hinweis Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, werden alle Konfigurationen gelöscht, inklusive: •...
Seite 74: Das Gerät Außer Betrieb Nehmen
Gerätemanagement 5.4 Firmware Das Gerät außer Betrieb nehmen Bevor Sie das Gerät aus dem Betrieb herausnehmen – entweder dauerhaft oder für die Instandhaltung durch Dritte –, stellen Sie sicher, dass es vollständig abgeschaltet wurde. Das umfasst auch das Entfernen jeglicher sensibler, proprietärer Informationen. Hinweis Wenn das Gerät zur Entsorgung außer Betrieb genommen wird, beachten Sie für die ordnungsgemäße Entsorgung des Geräts das Installationshandbuch.
Seite 75: Wissenswertes Zur Firmware-Verwaltung
Installierte Version des Bootloaders, der auf dem Gerät läuft 5.4.3 Ein Firmware-Paket beziehen Standardmäßig stehen gültige Firmware-Pakete zum Download im Siemens Industry Online Support (SIOS (https://support.industry.siemens.com/cs/de/de/ps/15296/dl)) zur Verfügung. Alternativ erhalten Sie Firmware-Pakete auch über den Siemens-Kundendienst. Web User Interface (Web UI) SINEC OS V2.1...
Seite 76: Die Firmware Upgraden
Gerätemanagement 5.4 Firmware Um ein Firmware-Paket über SIOS zu beziehen, gehen Sie wie folgt vor: 1. Laden Sie das Firmware-Paket wie in SIOS beschrieben herunter. Das Firmware-Paket wird als ZIP-Datei bereitgestellt und enthält: – Eine Firmware-Datei Der Name der Firmware-Datei gibt die Versionsnummer an (z. B. V02.00.00.00). Die Versionsnummer setzt sich wie folgt zusammen: <Kennbuchstabe><Funktionsstand>.<Ausgabestand>.<Service Pack>.<Hotfix>...
Seite 77: Eine Neuere Firmware-Datei Von Einem Remote-Server Laden
Gerätemanagement 5.4 Firmware Um eine Firmware-Datei von einem lokalen Client-PC zu laden, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Load & Save ≫ Firmware. 2. Unter Load Firmware from Local PC im Feld Firmware File öffnen Sie über die Schaltfläche ein Dialogfenster zum Auswählen einer Datei.
Seite 78: Die Firmware Downgraden
Gerätemanagement 5.4 Firmware Hinweis Sie haben folgende Möglichkeiten, um eine Firmware-Änderung abzubrechen oder rückgängig zu machen: • Wenn Sie das Gerät noch nicht neu gestartet haben, können Sie die geladene Firmware-Datei ablehnen. Für weitere Informationen siehe "Eine geladene Firmware-Datei ablehnen (Seite 81)". •...
Seite 79: Eine Ältere Firmware-Datei Von Einem Lokalen Client-Pc Laden
Gerätemanagement 5.4 Firmware 5.4.5.1 Eine ältere Firmware-Datei von einem lokalen Client-PC laden ACHTUNG Elektrische Gefährdung - Gefahr eines Gerätefehlers durch Verlust der Spannungsversorgung Wenn das Gerät die Spannungsversorgung verliert, während eine Firmware-Datei geladen wird, kann ein Fehlerzustand auftreten. Trennen Sie das Gerät nicht von der Spannungsversorgung, während eine Firmware-Datei geladen wird.
Seite 80: Eine Ältere Firmware-Datei Von Einem Remote-Server Laden
Gerätemanagement 5.4 Firmware 6. Melden Sie sich an. Für weitere Informationen siehe "Bei einem Gerät mit Default-Einstellungen anmelden (Seite 66)". 7. [Optional] Prüfen Sie die Firmware-Version. Für weitere Informationen siehe "Die aktuelle Firmware-Version anzeigen (Seite 75)". 5.4.5.2 Eine ältere Firmware-Datei von einem Remote-Server laden Sie können eine Firmware-Datei von einem Remote-Server laden.
Seite 81: Eine Geladene Firmware-Datei Ablehnen
Gerätemanagement 5.4 Firmware 3. Um die Firmware-Datei zu laden, klicken Sie auf Load. – Während die Firmware geladen wird, wird ein Ladesymbol angezeigt. – Wenn die Firmware erfolgreich geladen wurde, erscheint rechts neben dem Feld ein grünes Häkchen. – Wenn beim Laden der Firmware ein Fehler aufgetreten ist, erscheint rechts neben dem Feld ein rotes Ausrufezeichen und eine Fehlermeldung wird angezeigt.
Seite 82: Gerätehardware
Gerätemanagement 5.5 Gerätehardware In folgenden Fällen können Sie die Backup-Firmware nicht aktivieren: • Wenn Sie nach dem Laden einer Firmware-Datei die Konfiguration ändern und die Konfigurationsänderungen bestätigen. • Wenn Sie eine neue Firmware aktiviert haben, indem Sie das Gerät auf Default-Einstellungen zurückgesetzt haben.
Seite 83: Hardwarekomponenten Auflisten
Gerätemanagement 5.6 Konfigurationsdatei 5.5.1 Hardwarekomponenten auflisten Um die auf Ihrem Gerät installierten Hardwarekomponenten aufzulisten, navigieren Sie zu System ≫ Hardware ≫ Hardware Information. Unter Hardware Information werden die folgenden Informationen angezeigt: Parameter Beschreibung Component Name Ein eindeutiger Name der Komponente Class Der Typ der Komponente Description...
Seite 84: Die Aktuelle Konfiguration Als Datei Auf Einem Lokalen Client-Pc Speichern
Gerätemanagement 5.6 Konfigurationsdatei Wenn Sie die Konfiguration einer ausgefallenen Netzwerkkomponente in ein kompatibles Ersatzgerät laden, übernimmt das Ersatzgerät die Konfiguration sofort. Beachten Sie Folgendes: • Wenn die IP-Konfiguration über DHCP bezogen wird, müssen Sie den DHCP-Server entsprechend umkonfigurieren. • Wenn die Konfiguration Funktionen umfasst, die auf MAC-Adressen basieren, müssen Sie diese entsprechend anpassen.
Seite 85: Die Aktuelle Konfiguration Als Datei Auf Einem Remote-Server Speichern
Gerätemanagement 5.6 Konfigurationsdatei 6. [Optional] Wenn Sie unter File Password ein Passwort vergeben haben, wiederholen Sie das Passwort unter File Password-Confirm. 7. Klicken Sie auf Save. Es ist von den Einstellungen Ihres Internet-Browsers abhängig, ob die Datei direkt in einem vorgegebenen Ordner abgespeichert wird oder ob eine Abfrage erfolgt und Sie zunächst den Speicherort wählen können.
Seite 86: Eine Konfigurationsdatei Von Einem Lokalen Client-Pc Laden
Gerätemanagement 5.6 Konfigurationsdatei 5. Konfigurieren Sie die Einstellungen für den Remote-Server. Für weitere Informationen zum Speichern von Dateien über einen Remote-Server siehe "Dateien über einen Remote-Server laden und speichern (Seite 47)". 6. Klicken Sie auf Save. Hinweis Warten Sie, bis der Speichervorgang vollständig abgeschlossen ist, bevor Sie Änderungen an der Konfiguration des Geräts vornehmen.
Seite 87 Gerätemanagement 5.6 Konfigurationsdatei Hinweis Wenn Sie eine gespeicherte Konfigurationsdatei ändern und wieder in ein Gerät laden, kann dies zu unvorhersehbarem Verhalten oder dem Ausfall der Kommunikation führen. Gespeicherte Konfigurationsdateien sollten nur von erfahrenen Benutzern verändert werden. Um eine Konfigurationsdatei von einem lokalen PC in das Gerät zu laden, gehen Sie wie folgt vor: 1.
Seite 88: Eine Konfigurationsdatei Von Einem Remote-Server Laden
Gerätemanagement 5.6 Konfigurationsdatei 8. Wählen Sie über das Dialogfenster die entsprechende Datei aus und klicken Sie auf Öffnen. 9. Um die Konfigurationsdatei zu laden, klicken Sie auf Load. Hinweis Warten Sie, bis der Ladevorgang vollständig abgeschlossen ist, bevor Sie Änderungen an der Konfiguration des Geräts vornehmen.
Seite 89 Gerätemanagement 5.6 Konfigurationsdatei Hinweis Wenn Sie eine gespeicherte Konfigurationsdatei ändern und wieder in ein Gerät laden, kann dies zu unvorhersehbarem Verhalten oder dem Ausfall der Kommunikation führen. Gespeicherte Konfigurationsdateien sollten nur von erfahrenen Benutzern verändert werden. Um eine Konfigurationsdatei von einem Remote-Server in das Gerät zu laden, gehen Sie wie folgt vor: 1.
Seite 90: Die Header-Informationen Einer Konfigurationsdatei Anzeigen
Gerätemanagement 5.6 Konfigurationsdatei 8. [Optional] Wenn die Konfiguration im geschützten Modus abgespeichert wurde, wurde ein Passwort vergeben. Um die Konfiguration zu laden, benötigen Sie das entsprechende Passwort. Unter File Password geben Sie das Passwort ein. 9. Klicken Sie auf Load. Hinweis Warten Sie, bis der Ladevorgang vollständig abgeschlossen ist, bevor Sie Änderungen an der Konfiguration des Geräts vornehmen.
Seite 91: Beschreibung
Gerätemanagement 5.7 Open Source Software-Informationen Beschreibung Die folgenden Informationen werden angezeigt: Parameter Beschreibung Backup Time Datum und Uhrzeit, zu der die Konfigurationsdatei gespei‐ chert wurde Backup By Benutzer, der die Konfigurationsdatei gespeichert hat Device Type Gerätename Serial Number Seriennummer der Hardware Article Number Artikelnummer (Bestellnummer) Hardware Revision...
Seite 92: Bedienfeld
Gerätemanagement 5.8 Bedienfeld Voraussetzungen • Sie haben einen Server entsprechend konfiguriert. • Es besteht eine Verbindung zwischen dem Gerät und dem Server. • Abhängig von Ihrer Konfiguration müssen Benutzername und Passwort bekannt sein. Die OSS-Informationen speichern Um die OSS-Informationen auf einem Remote-Server zu speichern, gehen Sie wie folgt vor: 1.
Seite 93: Leds "Dm1" Und "Dm2
Gerätemanagement 5.8 Bedienfeld Bedeutung während des Geräteanlaufs LED-Farbe LED-Status Bedeutung während des Geräteanlaufs Der Geräteanlauf wurde fehlerfrei abgeschlossen. Der Geräteanlauf ist noch nicht abgeschlossen. Bedeutung im laufenden Betrieb LED-Farbe LED-Status Bedeutung im laufenden Betrieb Das Gerät läuft fehlerfrei. Das Gerät hat einen Fehler erkannt. 5.8.1.3 LEDs "DM1"...
Seite 94 Gerätemanagement 5.8 Bedienfeld Die Bedeutung der Port-LEDs ist abhängig von dem eingestellten Anzeigemodus, siehe Kapitel "LEDs "DM1" und "DM2" (Seite 93)". Bedeutung im Anzeigemodus A Im Anzeigemodus A können Sie an den Port-LEDs ablesen, ob ein gültiger Link vorhanden ist. LED-Farbe LED-Status Bedeutung...
Seite 95: Taster
Gerätemanagement 5.8 Bedienfeld Bedeutung im Anzeigemodus D In der aktuellen Version zeigt der Anzeigemodus D keine Informationen an. 5.8.1.6 Taster Jedes Gerät verfügt über einen Taster. Ohne direkten Zugang zum Gerät können Sie den Taster mit der Maus über das Bedienfeld im Web UI betätigen. Hinweis Über den simulierten Taster im Web UI können Sie nicht alle Funktionen des Tasters nutzen.
Seite 96: Meldekontakt
Gerätemanagement 5.9 Meldekontakt Meldekontakt 5.9.1 Meldekontakt Der Meldekontakt ist ein ereignis- oder manuell gesteuertes fehlersicheres Alarmrelais. Einzelne Alarme können so konfiguriert werden, dass sie das Relais auslösen, wenn das zugehörige Ereignis eintritt. Das Relais kann außerdem in einem offenen oder geschlossenen Zustand fixiert werden.
Seite 97: Tasterfunktion
Gerätemanagement 5.10 Tasterfunktion 5.10 Tasterfunktion Das Gerät verfügt über einen Taster mit folgenden Funktionen: • Das Gerät auf Default-Einstellungen zurücksetzen Beachten Sie, dass die Tasterfunktion zwischen der Anlaufphase und dem laufenden Betrieb unterscheidet. Für weitere Informationen siehe "Das Gerät mit dem Taster auf Default-Einstellungen zurücksetzen (In der Anlaufphase) (Seite 97)"...
Seite 98: Das Gerät Mit Dem Taster Auf Default-Einstellungen Zurücksetzen (Im Laufenden Betrieb)
Gerätemanagement 5.10 Tasterfunktion Hinweis Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, werden alle Konfigurationen gelöscht, inklusive: • der IP-Adresse • der angelegten Benutzer • der Passwörter • der benutzerdefinierten Schlüssel und Zertifikate Das Gerät ist danach nur über die serielle Schnittstelle erreichbar. Wenn Sie dem Gerät über DHCP oder DCP (z.
Seite 99: Eine Firmware-Datei Über Tftp Laden
Gerätemanagement 5.10 Tasterfunktion Hinweis Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, werden alle Konfigurationen gelöscht, inklusive: • der IP-Adresse • der angelegten Benutzer • der Passwörter • der benutzerdefinierten Schlüssel und Zertifikate Das Gerät ist danach nur über die serielle Schnittstelle erreichbar. Wenn Sie dem Gerät über DHCP oder DCP (z.
Seite 100: Die Tasterfunktion 'Auf Default-Einstellungen Zurücksetzen' Aktivieren
Gerätemanagement 5.10 Tasterfunktion Wenn das Gerät über CLI und Web UI nicht erreichbar ist, können Sie das Gerät neu starten und im Update-Modus über TFTP eine Firmware-Datei in das Gerät laden. Hinweis In diesem Kapitel wird die Vorgehensweise exemplarisch für Microsoft Windows beschrieben. Um eine Firmware-Datei über TFTP in das Gerät zu laden, gehen Sie wie folgt vor: 1.
Seite 101: Configuration License Plug
Austauschen von Daten und Lizenzen. Der CLP verfügt über eine USB Type C-Schnittstelle und kann mit folgenden Geräten verwendet werden, die über eine entsprechende Schnittstelle verfügen: • Siemens-Produkte • Personal Computer (PCs), wie z. B. Desktop-PCs, Tablet-PCs, Laptops oder Smartphones 5.11.1 Wissenswertes zum CLP Der CLP wird zur automatischen Sicherung von Projektierungsdaten verwendet.
Seite 102: Gerätetausch
Gerätemanagement 5.11 Configuration License PLUG 5.11.1.1 Gerätetausch Voraussetzungen für die Übertragung der Konfiguration auf ein Ersatzgerät: • Der CLP wurde von einem kompatiblen Gerätetyp (gleiche Artikelnummer) beschrieben. • Die Firmware-Version auf dem Ersatzgerät ist gleich oder neuer als die Firmware-Version des Geräts, das den CLP zuletzt beschrieben hat.
Seite 103: Betriebsarten
– Die Projektierungsdaten des Geräts werden auf einem gesicherten Speicherbereich des CLPs abgelegt. Dieser gesicherte Speicherbereich kann nur über die Authentifizierung des Siemens-Geräts erreicht werden. – Das Gerät überprüft im Sekundenabstand, ob ein CLP gesteckt ist. Wenn das Gerät feststellt, dass der CLP entfernt wurde, startet es automatisch neu.
Seite 104: Speicherbereiche
Ein angeschlossenes Gerät kann das Dateisystem ändern sowie lesend und schreibend auf Dateien des Speicherbereichs zugreifen. • Gesicherter Speicherbereich Auf den gesicherten Speicherbereich können nur Siemens-Geräte nach einer erfolgreichen Authentifizierung zugreifen. Um einen unberechtigten Zugriff zu verhindern, werden Konfigurationsdaten auf dem gesicherten Speicherbereich abgelegt.
Seite 105: Eine Firmware Auf Dem Clp Speichern
Gerätemanagement 5.11 Configuration License PLUG 5.11.2 Eine Firmware auf dem CLP speichern Sie können konfigurieren, ob die Firmware des Geräts auf dem CLP gespeichert und synchron gehalten werden soll oder nicht. Wenn Sie die Einstellung ändern, reagiert das Gerät direkt. •...
Seite 106: Den Status Des Clp Anzeigen
Gerätemanagement 5.11 Configuration License PLUG Um den CLP auf Default-Einstellungen zurückzusetzen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ CLP. 2. Unter Configuration & License Plug (CLP) klicken Sie auf Restore. 3. Beantworten Sie die Sicherheitsabfrage mit Yes. Das Gerät löscht alle gespeicherten Daten des CLPs und setzen ihn auf Default-Einstellungen zurück.
Seite 107: Systemadministration
Systemadministration In diesem Kapitel wird beschrieben, wie Sie verschiedene administrative Tätigkeiten ausführen, etwa wie Sie Benutzer definieren, Alarme konfigurieren und Systemdateien verwalten. Passwortrichtlinie SINEC OS verwendet eine systemweite Passwortrichtlinie für die lokale Benutzerauthentifizierung. Die Passwortrichtlinie besteht aus konfigurierbaren Bedingungen, die beim Konfigurieren von Passwörtern erfüllt werden müssen. Standardmäßig muss ein Passwort folgende Bedingungen erfüllen: •...
Seite 108: Die Minimale Anzahl An Zeichen Konfigurieren
Systemadministration 6.1 Passwortrichtlinie 6. [Optional] Konfigurieren Sie, dass ein Passwort mindestens 1 Sonderzeichen enthalten muss. Für weitere Informationen siehe "Die Bedingung für Sonderzeichen konfigurieren (Seite 110)". 7. Aktivieren Sie die Passwortrichtlinie. Für weitere Informationen siehe "Die Passwortrichtlinie aktivieren (Seite 110)". 6.1.1.1 Die minimale Anzahl an Zeichen konfigurieren Um die minimale Anzahl an Zeichen zu konfigurieren, gehen Sie wie folgt vor:...
Seite 109: Die Bedingung Für Kleinbuchstaben Konfigurieren
Systemadministration 6.1 Passwortrichtlinie Um zu konfigurieren, ob ein Passwort Ziffern enthalten muss, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter Password Policy im Feld Number konfigurieren Sie, ob ein Passwort Ziffern enthalten muss.
Seite 110: Die Bedingung Für Sonderzeichen Konfigurieren
Systemadministration 6.1 Passwortrichtlinie 6.1.1.6 Die Bedingung für Sonderzeichen konfigurieren Standardmäßig muss ein Passwort keine Sonderzeichen enthalten. Folgende Sonderzeichen sind erlaubt: # $ % & ( ) * + , - . / : < = > @ [ ] ^ _ { } ~ Um zu konfigurieren, ob ein Passwort Sonderzeichen enthalten muss, gehen Sie wie folgt vor: 1.
Seite 111: Benutzerverwaltung
Systemadministration 6.2 Benutzerverwaltung Parameter Beschreibung Special Character Gibt an, ob Sonderzeichen verwendet werden müssen. Lowercase Gibt an, ob Kleinbuchstaben verwendet werden müssen. Uppercase Gibt an, ob Großbuchstaben verwendet werden müssen. Benutzerverwaltung Sie können mehrere Benutzer konfigurieren und jedem Benutzer ein Benutzerprofil zuweisen. In SINEC OS können folgende Benutzerprofile lokal im Gerät konfiguriert werden: •...
Seite 112: Einen Neuen Benutzer Konfigurieren
Systemadministration 6.2 Benutzerverwaltung 6.2.2.1 Einen neuen Benutzer konfigurieren Nur Benutzer mit dem Benutzerprofil Admin können einen neuen Benutzer konfigurieren. Um einen neuen Benutzer anzulegen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt.
Seite 113: Das Passwort Eines Benutzers Ändern
Systemadministration 6.2 Benutzerverwaltung 5. Unter Password vergeben Sie für den Benutzer ein Passwort. Sie können ein Passwort wie folgt eingeben: – Als Hash-Passwort Wenn ein Passwort mit einer der folgenden Zeichenkombinationen beginnt, wird es als Hash-Passwort angesehen und in dieser Form gespeichert: Zeichenkombination Hash-Algorithmus SHA-256...
Seite 114: Benutzer Überwachen
Systemadministration 6.2 Benutzerverwaltung Um das Passwort zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ User Management. 2. Unter User Management in der Spalte Password ändern Sie für den Benutzer das Passwort. Sie können ein Passwort wie folgt eingeben: –...
Seite 115: Benutzerdaten Anzeigen
Das Passwort ist maskiert. Password Confirm Das Gerät für eine Störungsbehebung vorbereiten Um eine Störung zu beheben, benötigt ein Siemens-Servicetechniker vorübergehend Zugriff auf das Gerät (Debug-Benutzerkonto) und/oder Debug-Informationen. In diesem Kapitel wird beschrieben, wie Sie das Gerät in einem Servicefall vorbereiten, sodass Ihr Siemens-Servicetechniker Sie optimal bei der Störungsbehebung unterstützen kann.
Seite 116: Debug-Informationen Auf Einem Lokalen Client-Pc Speichern
6.3 Das Gerät für eine Störungsbehebung vorbereiten Die ZIP-Datei ist durch ein Passwort geschützt. Das Passwort ist gerätespezifisch und nur Ihrem Siemens-Servicetechniker bekannt. Speichern Sie die Debug-Informationen und leiten Sie sie an Ihren Siemens-Servicetechniker weiter. Sie können Debug-Informationen auf einem lokalen Client-PC oder einem Remote-Server speichern.
Seite 117: Das Debug-Benutzerkonto Aktivieren
Fehlermeldung wird angezeigt. Wiederholen Sie die letzten Handlungsschritte. 6.3.2 Das Debug-Benutzerkonto aktivieren Das Debug-Benutzerkonto ermöglicht es Ihrem Siemens-Servicetechniker für eine bestimmte Zeit auf Ihr Gerät zuzugreifen. Nur Benutzer mit dem Benutzerprofil Admin können das Benutzerkonto aktivieren. Das Debug-Benutzerkonto ist solange aktiv, bis das Konto deaktiviert oder das Gerät heruntergefahren oder neu gestartet wird.
Seite 118 Systemadministration 6.3 Das Gerät für eine Störungsbehebung vorbereiten Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 119: Security
Security Security In diesem Kapitel werden die verfügbaren Security-Funktionen beschrieben. Stellen Sie sicher, dass Gerät und Netzwerk angemessen vor bösartigen Angriffen geschützt sind, indem Sie die Standard-Security-Einstellungen überprüfen/aktualisieren. Hinweis Allgemeine Empfehlungen zur Sicherung des Geräts siehe "Security-Empfehlungen (Seite 22)". Verhinderung von Brute-Force-Angriffen SINEC OS verfügt über einen Mechanismus zum Schutz vor lokalen und entfernten Brute-Force- Angriffen (BFAs) über die CLI-, Web-UI-, SNMP- und NETCONF-Benutzerschnittstellen.
Seite 120: Zugehörige Ereignisse
Security 7.2 Verhinderung von Brute-Force-Angriffen Wenn sich ein Benutzer oder Dienst vor Erreichen der maximalen Anzahl fehlgeschlagener Anmeldeversuche erfolgreich anmeldet, werden alle Zähler zurückgesetzt. Benutzer und Dienste, die die maximale Anzahl fehlgeschlagener Anmeldeversuche überschritten haben, werden während eines konfigurierbaren Zeitraums blockiert. Wenn ein blockierter Benutzer/Dienst erneut versucht, sich anzumelden, bevor der Zeitraum abgelaufen ist, wird die Blockierung verlängert und die Zeit zurückgesetzt.
Seite 121: Die Zeit Für Das Automatisches Rücksetzen Ändern
Security 7.2 Verhinderung von Brute-Force-Angriffen 7.2.2.1 Die Zeit für das automatisches Rücksetzen ändern Die Zeit für das automatische Rücksetzen hebt die Blockierung zuvor blockierter Benutzer und IP-Adressen nach einem bestimmten Zeitraum auf. Um den maximalen Zeitraum festzulegen, der zwischen dem Zeitpunkt, zu dem ein Benutzer bzw.
Seite 122: Die Bfa-Prävention Aktivieren
Security 7.2 Verhinderung von Brute-Force-Angriffen Um den Zeitraum zwischen fehlgeschlagenen Anmeldeversuchen zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Security ≫ Brute Force Prevention. 2. Unter Brute Force Prevention konfigurieren Sie Trigger Interval. Bedingungen: – Im Format nYnMnDnhnmns, wobei n eine benutzerdefinierte Zahl ist –...
Seite 123: Security-Relevante Ereignisse
Security 7.3 Security-relevante Ereignisse Getrennte Tabellen für Benutzer und IP-Adressen geben unter Brute Force Prevention - State Information folgende Details an: Parameter Beschreibung Username Der Benutzer- bzw. Community-Name, der gerade überwacht wird. Beachten Sie, dass unbekannte Benutzer, etwa über RADIUS authentifizierte Benutzer, als "Unknown User"...
Seite 124: Siem-System
Security 7.3 Security-relevante Ereignisse Für weitere Informationen zum Systemprotokoll siehe "Systemprotokollierung (Seite 301)". 7.3.1.1 SIEM-System Ein SIEM-System bietet die Möglichkeit Security-relevante Ereignismeldungen zu sammeln, zu analysieren und kritische Ereignisse zu melden. Dies kann für einzelne Geräte oder für ein gesamtes Netzwerk erfolgen. Verwenden Sie ein SIEM-System, um Ereignismeldungen zentral zu erfassen und anhand von zusammenhängenden Ereignissen eine Störung zu erkennen.
Seite 125: Aufbau Einer Ereignismeldung
Security 7.3 Security-relevante Ereignisse Ein SIEM-System verarbeitet Ereignismeldungen wie folgt: 1. Empfangen Ein implementierter Syslog-Server empfängt die Ereignismeldungen von verschiedenen Geräten, Netzkomponenten usw. 2. Parsen Das SIEM-System wertet die Ereignismeldungen aus und verknüpft jede Ereignismeldung mit einem generalisierten SIEM-spezifischen Ereignis. Damit ein SIEM-System Ereignismeldungen verarbeiten kann, muss ihre Syntax bekannt und kompatibel sein.
Seite 126: Variablen In Ereignismeldungen
Security 7.3 Security-relevante Ereignisse Element Beschreibung STRUCTURED-DATA timeQuality Informationen zur Systemzeit Beispiel: [timeQuality tzKnown="0" isSynced="0"] Der Parameter tzKnown gibt an, ob der Sender seine Zeitzone kennt. Mögliche Optionen: • Wert "1" = Die Zeitzone ist bekannt. • Wert "0" = Die Zeitzone ist unbekannt. Der Parameter isSynced gibt an, ob der Sender mit einer zuverlässigen externen Zeitquelle synchronisiert ist, z.
Seite 127 Security 7.3 Security-relevante Ereignisse Variable Beschreibung Beispiel Src port Quell-Port 2345 Wertebereich: 0 ... 65535 Format: %d Dest port Ziel-Port Wertebereich: 0 ... 65535 Format: %d Protocol Bezeichnung des Dienstes, der ein Ereignis ge‐ neriert hat oder des verwendeten Layer 4-Pro‐ tokolls.
Seite 128: Security-Relevante Ereignisse Überwachen
Security 7.3 Security-relevante Ereignisse Variable Beschreibung Beispiel Subject Zeichenkette für den Betreff im Zertifikat (Peter Maier) Wird als Teil der zertifikatbasierten Authentifi‐ zierung verwendet. Die Zeichenkette kann Leerzeichen und Uni‐ code-Zeichen enthalten. Format: (%s) oder (%s %s) Format: (%S) oder (%S %S) bei UTF8-Code Config detail Zeichenkette mit Leerzeichen für die Konfigura‐...
Seite 129 Security 7.3 Security-relevante Ereignisse {Local interface}: User {User name} failed to log in. Beispiel Console: User admin failed to log in. Erläuterung Der Anmeldeversuch eines Benutzers über eine lokale Schnittstelle des SINEC OS- Geräts ist fehlgeschlagen. In dem Beispiel ist der Anmeldeversuch des Benutzers "admin" über die Konsolen- Schnittstelle fehlgeschlagen.
Seite 130 Security 7.3 Security-relevante Ereignisse {Protocol}: User {User name} failed to log in from {IP address}. Beispiel SSH: User admin failed to log in from 192.168.0.1. Erläuterung Der Anmeldeversuch eines Benutzers über eine Netzwerkschnittstelle am SINEC OS- Gerät ist fehlgeschlagen. In dem Beispiel ist der Anmeldeversuch des Benutzers "admin" von der Netzwerk‐ adresse "192.168.0.1"...
Seite 131 Security 7.3 Security-relevante Ereignisse {Local interface}: Service account logged out. Beispiel Console: Service account logged out. Erläuterung Ein Benutzer hat das Debug-Benutzerkonto über eine lokale Schnittstelle des SI‐ NEC OS-Geräts abgemeldet. In dem Beispiel wurde das Debug-Benutzerkonto manuell über die Konsolen- Schnittstelle abgemeldet.
Seite 132: Identifizierung Und Authentifizierung Von Geräten
Security 7.3 Security-relevante Ereignisse {Protocol}: No response from the RADIUS server {IP address}. Beispiel RADIUS: No response from the RADIUS server 192.168.1.105. Erläuterung Kein Zugriff auf einen RADIUS-Server oder ein RADIUS-Server antwortet nicht. In dem Beispiel antwortet der RADIUS-Server mit der IP-Adresse "192.168.1.105" nicht.
Seite 133: Nutzerkontenverwaltung
Security 7.3 Security-relevante Ereignisse {Protocol}: Connection from device {IP address} subject {Subject} failed. Beispiel WBM: Connection from device 192.168.1.105 subject (Peter Maier) failed. Erläuterung Die Geräte-Authentifizierung ist fehlgeschlagen. In dem Beispiel konnte zwischen einem Gerät mit der IP-Adresse "192.168.1.105" und dem SINEC OS-Gerät keine Verbindung aufgebaut werden. Severity Error Facility...
Seite 134: Erfolglose Anmeldeversuche
Security 7.3 Security-relevante Ereignisse {Protocol}: User {User name} deleted user-account {Destination user name}. Beispiel WBM: User admin deleted user-account admin2. Erläuterung Ein Benutzer hat ein vorhandenes Benutzerkonto gelöscht. In dem Beispiel hat der Benutzer "admin" das Benutzerkonto "admin2" gelöscht. Severity Notice Facility local0...
Seite 135: Sitzungssperrung
Security 7.3 Security-relevante Ereignisse {Protocol}: {IP address} is temporarily blocked for {Time second} seconds after {Failed login count} unsuccessful login attempts. Beispiel All: 192.168.1.105 is temporarily blocked for 600 seconds after 11 unsuccessful login attempts. Erläuterung Die BFA-Prävention hat eine IP-Adresse nach zu vielen fehlgeschlagenen Anmelde‐ versuchen für einen bestimmten Zeitraum blockiert.
Seite 136: Konfigurationsänderungen
Security 7.3 Security-relevante Ereignisse 7.3.2.7 Konfigurationsänderungen Die folgenden Ereignismeldungen informieren über Änderungen an der Konfiguration durch einen Benutzer bzw. ein Protokoll. {Protocol}: User {User name} has changed the configuration. Beispiel SSH: User admin has changed the configuration. Erläuterung Ein Benutzer hat die Konfiguration geändert. In dem Beispiel hat der Benutzer "admin"...
Seite 137: Software- Und Informationsintegrität
Security 7.3 Security-relevante Ereignisse {Protocol}: Integrity verification failed. Beispiel Console: Integrity verification failed. Erläuterung Bei der Überprüfung der Kommunikations-Integrität einer Nachricht wurde ein In‐ tegritätsfehler festgestellt. Es ist nur eine zertifikatsbasierende Kommunikation möglich. Severity Error Facility local0 Norm IEC 62443-3-3 Reference: SR 3.1 7.3.2.9 Software- und Informationsintegrität Die folgenden Ereignismeldungen informieren über einen fehlgeschlagenen...
Seite 138: Schutz Von Prüfinformationen
Security 7.3 Security-relevante Ereignisse Facility local0 Norm IEC 62443-3-3 Reference: SR 3.8 7.3.2.12 Schutz von Prüfinformationen Die folgenden Ereignismeldungen informieren über das Löschen des lokalen Logbuchs. {Protocol}: User {User name} has cleared the logging buffer. Beispiel SSH: User admin has cleared the logging buffer. Erläuterung Ein Benutzer hat das lokale Logbuch gelöscht.
Seite 139: Schlüssel Und Zertifikate
Security 7.4 Schlüssel und Zertifikate Facility local0 Norm IEC 62443-3-3 Reference: SR 7.4 {Protocol}: Firmware activation failed. Beispiel WBM: Firmware activation failed. Erläuterung Die Aktivierung der Firmware ist fehlgeschlagen. Severity Error Facility local0 Norm IEC 62443-3-3 Reference: SR 7.4 Schlüssel und Zertifikate In diesem Abschnitt wird beschrieben wie Schlüssel und Zertifikate konfiguriert und verwaltet werden.
Seite 140: Default-Schlüsselpaare
Security 7.4 Schlüssel und Zertifikate Asymmetrische Schlüsselverfahren Asymmetrische Schlüsselverfahren arbeitet mit einem Schlüsselpaar, das aus einem öffentlichen Schlüssel und einem privaten Schlüssel besteht. Diese sind eindeutig und stehen über einen mathematischen Algorithmus in Beziehung zueinander. • Öffentlicher Schlüssel Der öffentliche Schlüssel wird der Öffentlichkeit, also jedem potenziellen Kommunikationspartner, zur Verfügung gestellt.
Seite 141: Zertifikate
Security 7.4 Schlüssel und Zertifikate Für Default-Schlüsselpaare gilt Folgendes: • Die Schlüssel sind für jedes Gerät eindeutig. • Wenn Sie das Gerät auf Default-Einstellungen zurücksetzen, bleiben die vom Hersteller definierten Schlüssel und Zertifikate erhalten. • Wenn ein Default-Schlüsselpaar erneuert wird, erfolgt ein entsprechender Eintrag im Systemprotokoll.
Seite 142: Selbstsignierte Zertifikate
Security 7.4 Schlüssel und Zertifikate 7.4.1.5 Selbstsignierte Zertifikate Selbstsignierte Zertifikate sind Zertifikate, deren Signatur vom Zertifikateinhaber stammt und nicht von einer unabhängigen Zertifizierungsstelle. Beispiele: • Sie können ein Zertifikat erstellen und selbst signieren, um zum Beispiel Nachrichten zu einem Kommunikationspartner zu verschlüsseln. Ein Zertifikateinhaber könnte sein Zertifikat selbst mit seinem privaten Schlüssel signieren.
Seite 143: Signaturen
Security 7.4 Schlüssel und Zertifikate 7.4.1.7 Signaturen Erzeugen Der Aussteller eines Zertifikates erzeugt aus den Daten des Zertifikats mit einem bestimmten Hash-Algorithmus (z.B. SHA-2, Secure Hash Algorithm) einen Hash-Wert (Fingerprint). Aus dem Hash-Wert und seinem privaten Schlüssel erzeugt er dann eine digitale Signatur. Häufig wird dazu das RSA-Signaturverfahren verwendet.
Seite 144: Zugriffsregeln
Security 7.4 Schlüssel und Zertifikate 7.4.1.9 Zugriffsregeln Für den Zugriff auf Schlüssel und Zertifikate gelten folgende Regeln: • Benutzer können herstellerdefinierte Schlüsselpaare und Zertifikate weder ändern noch löschen. • Benutzer können für herstellerdefinierte Schlüsselpaare keine benutzerdefinierten Zertifikate hinzufügen. • Benutzer können private Schlüssel und Schlüsselpaare nicht lesen, unabhängig davon ob sie hersteller- oder benutzerdefiniert sind.
Seite 145 Security 7.4 Schlüssel und Zertifikate Zusätzlich zum privaten Schlüssel kann die Datei ein selbstsigniertes Anwenderzertifikat oder eine Zertifikatskette enthalten, um den öffentlichen Schlüssel zu signieren. Private Schlüssel müssen nicht verschlüsselt sein. Dies gilt auch für private Schlüssel mit dem Format PKCS#12. SINEC OS unterstützt folgende Formate: •...
Seite 146: Ein Schlüsselpaar Von Einem Remote-Server Importieren
Security 7.4 Schlüssel und Zertifikate 6. [Optional] Wenn in einer PKCS#12-Datei ein CA-Zertifikat enthalten ist und dieses im Truststore abgelegt werden soll, geben Sie unter Certificate Bag den Namen der Zertifikate- Mappe und unter Certificate Entry Name den Namen des Zertifikats ein. Bedingung für den Namen der Zertifikate-Mappe: –...
Seite 147 Security 7.4 Schlüssel und Zertifikate SINEC OS unterstützt folgende Formate: • PEM-kodierte Schlüssel – Public-Key Cryptography Standards (PKCS#1, PKCS#8) – Elliptic Curve Cryptography (nach RFC 5915) • PEM-kodierte X.509-Zertifikate • PKCS#12 Hinweis Wenn die Datei mehr als ein Zertifikat enthält, muss die Reihenfolge der Zertifikate der Reihenfolge der Zertifikatskette entsprechen.
Seite 148: Den Truststore Verwalten
Security 7.4 Schlüssel und Zertifikate 6. [Optional] Wenn in einer PKCS#12-Datei ein CA-Zertifikat enthalten ist und dieses im Truststore abgelegt werden soll, geben Sie unter Certificate Bag den Namen der Zertifikate- Mappe und unter Certificate Entry Name den Namen des Zertifikats ein. Bedingung für den Namen der Zertifikate-Mappe: –...
Seite 149: Ein Zertifikat Von Einem Lokalen Client-Pc Importieren
Security 7.4 Schlüssel und Zertifikate 7.4.3.1 Ein Zertifikat von einem lokalen Client-PC importieren Sie können ein Zertifikat von einem lokalen Client-PC in den Truststore laden. SINEC OS unterstützt folgende Formate: • PEM-kodierte X.509-Zertifikate • PEM-kodierte Zertifikate im PKCS#7-Format Hinweis Wenn die Datei mehr als ein Zertifikat enthält, muss die Reihenfolge der Zertifikate der Reihenfolge der Zertifikatskette entsprechen.
Seite 150: Ein Zertifikat Von Einem Remote-Server Importieren
Security 7.4 Schlüssel und Zertifikate 9. Um das Zertifikat zu aktivieren, starten Sie das Gerät neu. Für weitere Informationen siehe "Das Gerät neu starten (Seite 72)". Wenn der Neustart abgeschlossen ist, wird die Anmeldeseite angezeigt. 10.Melden Sie sich an. Für weitere Informationen siehe "Bei einem konfigurierten Gerät anmelden (Seite 68)". 7.4.3.2 Ein Zertifikat von einem Remote-Server importieren Sie können ein Zertifikat von einem Remote-Server in den Truststore laden.
Seite 151: Zertifikate Überwachen
Security 7.4 Schlüssel und Zertifikate 4. Unter Format wählen Sie das Format des Zertifikats aus. Mögiche Optionen: Option Beschreibung Die Datei liegt im PEM-Format vor. PKCS7 Die Datei liegt im PKCS#7-Format vor. 5. Konfigurieren Sie die Einstellungen für den Remote-Server. Für weitere Informationen zum Laden von Dateien über einen Remote-Server siehe "Dateien über einen Remote-Server laden und speichern (Seite 47)".
Seite 152: Zertifikate Im Keystore Anzeigen
Security 7.4 Schlüssel und Zertifikate Parameter Beschreibung Algorithm Zeigt den Hash-Algorithmus an, mit dem der Fingerprint er‐ stellt wurde. Mögliche Werte: • md5 - Bitlänge 128 • sha1 - Bitlänge 160 • sha256 - Bitlänge 256 Fingerprint Zeigt den Fingerprint an. 7.4.4.2 Zertifikate im Keystore anzeigen Um Zertifikate im Keystore anzuzeigen, navigieren Sie zu System ≫...
Seite 153: Known Hosts Anzeigen
Security 7.5 Benutzerauthentifizierung 7.4.4.4 Known Hosts anzeigen Um Known Hosts im Truststore anzuzeigen, navigieren Sie zu System ≫ Security ≫ Keys & Certificates. Unter Truststore - Known Hosts werden folgende Informationen angezeigt: Parameter Beschreibung Public Key Bag Zeigt den Namen der Schlüssel-Mappe an. Public Key Name Zeigt den Namen des Known Hosts an.
Seite 154: Authentifizierungsmodus
Security 7.5 Benutzerauthentifizierung 7.5.1.1 Authentifizierungsmodus Die Optionen für die Authentifizierung können kombiniert werden, um bei Ausfall einer Option eine Rückfalloption bereitzustellen (z. B. die lokalen Anmeldedaten werden nicht gefunden, der externe Dienst kann nicht erreicht werden usw.). Die vollständige Liste der Authentifizierungsmodi umfasst: •...
Seite 155: Die Benutzerauthentifizierung Konfigurieren
Security 7.5 Benutzerauthentifizierung • Einen gemeinsamen geheimen Schlüssel zur Authentifizierung des Geräts gegenüber dem Server • Lieferanten-spezifische Informationen Zu Redundanzzwecken können ein primärer und ein sekundärer RADIUS-Server festgelegt werden. Wenn der primäre Server nicht antwortet, wird die Authentifizierungsanfrage an den sekundären Server weitergeleitet.
Seite 156: Die Radius-Authentifizierung Konfigurieren
Security 7.5 Benutzerauthentifizierung 7.5.3 Die RADIUS-Authentifizierung konfigurieren Um die RADIUS-Authentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Konfigurieren Sie ein Server-Profil für einen RADIUS-Server. Das Server-Profil definiert die Verbindung zum externen Server. Sie können einen primären Server und einen sekundären Server als Backup konfigurieren. Für weitere Informationen siehe "Ein RADIUS-Server-Profil konfigurieren (Seite 156)".
Seite 157: Eine Verbindung Zu Einem Radius-Server Prüfen
Security 7.5 Benutzerauthentifizierung 7. [Optional] Unter Primary geben Sie an, dass dieser Server der primäre Server ist. Wenn ein Server-Profil nicht explizit als primär ausgezeichnet wird, wird das erste Profil, das definiert wurde, automatisch als primär ausgezeichnet. Der Server kann nicht als primärer Server festgelegt werden, wenn das andere Server-Profil bereits als primär festgelegt ist.
Seite 158: Den Benutzerauthentifizierungs-Modus Auswählen
Security 7.5 Benutzerauthentifizierung 7.5.4 Den Benutzerauthentifizierungs-Modus auswählen Der Benutzerauthentifizierungsmodus legt fest, wie Benutzer authentifiziert werden: lokal, durch einen externen Dienst (z. B. RADIUS) oder durch eine Kombination aus beiden Methoden. Um den Authentifizierungsmdous auszuwählen, gehen Sie wie folgt vor: Hinweis Aktivieren Sie die RADIUS-Authentifizierung erst, wenn Sie eine Verbindung zu einem externen RADIUS-Server verifiziert haben.
Seite 159 Security 7.5 Benutzerauthentifizierung Für jeden definierten RADIUS-Server werden die folgenden Informationen angezeigt: Statistik Beschreibung Name Der dem RADIUS-Server zugewiesene Name. Accepted Die Anzahl der RADIUS-Authentifizierungsanfragen, die vom Server an‐ genommen wurden. Rejected Die Anzahl der RADIUS-Authentifizierungsanfragen, die vom Server ab‐ gelehnt wurden.
Seite 160 Security 7.5 Benutzerauthentifizierung Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 161: Schnittstellenverwaltung
Schnittstellenverwaltung In diesem Kapitel wird beschrieben, wie Sie Schnittstellen auf dem Gerät konfigurieren und verwalten. Schnittstellen Jeder physische Port und jedes VLAN wird durch eine Schnittstelle dargestellt. Jede Schnittstelle bietet verschiedene Optionen zum Steuern des eingehenden und ausgehenden Datenverkehrs. In diesem Abschnitt werden die Schnittstellentypen und ihre konfigurierbaren Einstellungen beschrieben.
Seite 162: Konventionen Bei Der Benennung Von Schnittstellen
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.1 Konventionen bei der Benennung von Schnittstellen Schnittstellen werden anhand der folgenden Konventionen benannt: Namenskonventionen Beispiele Beschreibung ethernet{ Steckplatz }/ ethernet0/1, ether‐ Bridge-Ports werden anhand des Steckplatzes, in dem sich der physische { Port } net3/2 Port befindet, und der Portnummer benannt. Wenn das Gerät keine Modulsteckplätze unterstützt, wie dies bei den meisten Geräten mit kleinem Formfaktor der Fall ist, ist die Steckplatz‐...
Seite 163: Duplex-Kommunikation
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.1.3 Duplex-Kommunikation Duplex-Kommunikation ermöglicht Linkpartnern, in beide Richtungen miteinander zu kommunizieren. SINEC OS unterstützt die folgenden Kommunikationskanaltypen: • Vollduplex Im Vollduplex-Modus können beide Linkpartner gleichzeitig in beide Richtungen senden und empfangen. Die Kommunikation über Voice Over Internet Protocol (VOIP) ist eine hervorragende Anwendung für diese Art von Kommunikationskanal.
Seite 164 Schnittstellenverwaltung 8.1 Schnittstellen ① ② ③ Hauptübertragungsweg ④ Reserveübertragungsweg ⑤ Steuerung Bild 8-3 Szenario Wenn der Übertragungsweg von der Steuerung zu S1 fehlschlägt, erzeugt S1 trotzdem ein Linksignal für die Steuerung über den Empfangsweg. Die Steuerung erkennt dennoch den Link mit S1 und wechselt nicht zum Reserveport.
Seite 165: Flusskontrolle
Schnittstellenverwaltung 8.1 Schnittstellen der Steuerung administrativ deaktiviert ist, während der Link mit S1 aktiv ist. S2 muss Frames über S1 an die Steuerung weiterleiten. Hinweis LFI kann nur für Glasfaserports aktiviert werden. Im zuvor beschriebenen Szenario erzeugt S1 kein Link-Integritätssignal mehr, wenn er von der Steuerung kein Linksignal mehr empfängt.
Seite 166: Stecktransceiver-Ports
Funktionalität eines Netzwerks erweitert werden kann. Hinweis Verwenden Sie nur zugelassene Stecktransceiver. Wenn Sie Stecktransceiver verwenden, die nicht von Siemens freigegeben sind, ist eine spezifikationsgemäße Funktion des Geräts nicht sichergestellt. Wenn Sie nicht zugelassene Stecktransceiver verwenden, kann dies zu folgenden Problemen führen:...
Seite 167: Automatische Erkennung
Schnittstelle eventuell falsche Einstellungen konfiguriert. Hinweis Stecktransceiver, die von Siemens freigegeben sind, unterstützen Smart SFP. Stecktransceiver, die Smart SFP nicht unterstützen, können beim Stecken deaktiviert und als Unidentified gekennzeichnet werden. Deaktivieren Sie Smart SFP in diesem Fall und konfigurieren Sie die Schnittstelle manuell.
Seite 168: Bridge-Ports Konfigurieren
Schnittstellenverwaltung 8.1 Schnittstellen Zugehörige Ereignisse Die folgenden Ereignisse werden von Stecktransceivern ausgelöst und direkt im Syslog aufgezeichnet. Ereignis Schweregrad Syslog-Meldung Module-pre‐ Warning Module { Stecktransceiver-Name/-Typ } [ Inserted | Removed ] sence Module-state Warning Unknown SFP module on interface { Stecktransceiver-Schnittstel‐ le } (vendor: { Hersteller }) Rejected SFP module on interface { Stecktransceiver-Schnittstel‐...
Seite 169: Eine Beschreibung Für Einen Bridge-Port Hinzufügen
Schnittstellenverwaltung 8.1 Schnittstellen 4. [Optional] Wählen Sie den Duplexmodus aus. Diese Funktion steuert, wie Linkpartner miteinander kommunizieren. Der Duplexmodus wird typischerweise mit dem Linkpartner automatisch ausgehandelt, muss jedoch bei nicht Gigabit-fähigen Bridge-Ports möglicherweise explizit eingestellt werden. Für weitere Informationen siehe "Den Duplexmodus einstellen (Seite 171)". 5.
Seite 170: Autonegotiation Aktivieren
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.2.2 Autonegotiation aktivieren Um Autonegotiation für einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: ACHTUNG Einschränkungen • Autonegotiation ist nur bei Bridge-Ports der Kategorie 1 Gigabit Ethernet (oder höher) verfügbar. Für Informationen dazu, wie Sie ermitteln, ob ein bestimmter Bridge-Port für Autonegotiation geeignet ist, siehe das SINEC OS CLI-Konfigurationshandbuch.
Seite 171: Den Duplexmodus Einstellen
Schnittstellenverwaltung 8.1 Schnittstellen Um die Geschwindigkeit einzustellen, mit der ein Bridge-Port Frames überträgt, gehen Sie wie folgt vor: ACHTUNG Einschränkungen • Autonegotiation muss für 1-Gigabit-Ethernet-Ports mit Kupfertechnik aktiviert werden, wenn die Geschwindigkeit auf 1 Gb/s eingestellt ist. • Die Geschwindigkeit muss für alle 1-Gigabit-Ethernet-Ports mit Glasfasertechnik auf 1 Gb/s eingestellt werden.
Seite 172: Einschränkung
Schnittstellenverwaltung 8.1 Schnittstellen Um den Duplexmodus für einen Bridge-Port auszuwählen, gehen Sie wie folgt vor: ACHTUNG Konfigurationsrisiko – Gefahr starken Frame-Verlusts Switches an beiden Enden des Links müssen für den gleichen Duplexmodus konfiguriert sein. Wenn ein Switch im Vollduplex-Modus ist und der andere Switch im Halbduplex-Modus, tritt in Zeiträumen mit starkem Datenverkehr im Netzwerk erheblicher Frame-Verlust auf.
Seite 173: Link-Up-/Link-Down-Benachrichtigungen Aktivieren
Schnittstellenverwaltung 8.1 Schnittstellen Um Downshift für einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ Ethernet Interfaces ≫ Interfaces. 2. Unter Ethernet Interfaces ändern Sie Downshift für den ausgewählten Bridge-Port in Enabled. 3. Bestätigen Sie die Änderung. 8.1.2.6 Link-up-/Link-down-Benachrichtigungen aktivieren SNMP-Benachrichtigungen für Link-up- und Link-down-Ereignisse können für spezifische Bridge-...
Seite 174: Einen Bridge-Port Aktivieren
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.2.8 Einen Bridge-Port aktivieren Um einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: ACHTUNG Sicherheitsrisiko – Gefahr des unbefugten Zugriffs und/oder der Ausnutzung Alle Bridge-Ports sind standardmäßig aktiviert. Außerdem werden nach dem Rücksetzen des Geräts auf die Standardeinstellungen (Werkseinstellungen) alle Bridge-Ports, die zuvor deaktiviert waren, wieder aktiviert.
Seite 175: Eine Vlan-Schnittstelle Hinzufügen
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.3.1 Eine VLAN-Schnittstelle hinzufügen Um eine VLAN-Schnittstelle hinzuzufügen, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass ein statisches VLAN vorhanden ist, dem die neue Schnittstelle zugewiesen werden kann. Für weitere Informationen zum Hinzufügen statischer VLANs siehe "Ein statisches VLAN hinzufügen oder ändern (Seite 262)".
Seite 176: Link-Up-/Link-Down-Benachrichtigungen Aktivieren
Schnittstellenverwaltung 8.1 Schnittstellen 8.1.3.4 Link-up-/Link-down-Benachrichtigungen aktivieren SNMP-Benachrichtigungen für Link-up- und Link-down-Ereignisse können für spezifische VLAN- Schnittstellen aktiviert bzw. deaktiviert werden. Wenn deaktiviert, werden die mit diesen Ereignissen verbundenen Alarme für diese Schnittstellen niemals ausgelöst. Standardmäßig sind Link-up- und Link-down-Benachrichtigungen an allen VLAN-Schnittstellen deaktiviert.
Seite 177: Vlan-Schnittstellen Anzeigen
Schnittstellenverwaltung 8.1 Schnittstellen Folgende Informationen werden für jeden Bridge-Port angezeigt: Parameter Beschreibung Interface Dem Bridge-Port zugewiesener Name im Format "{ Type } { Slot }/{ Port }". Beispiel: • ethernet0/1 • extender0/1 Description Eine optionale benutzerdefinierte Beschreibung der Schnitt‐ stelle. Link Up/Down Trap Wenn aktiviert (enabled), werden SNMP-Benachrichtigun‐...
Seite 178: Sende-/Empfangs-Statistiken Für Alle Schnittstellen Anzeigen
Schnittstellenverwaltung 8.1 Schnittstellen Folgende Informationen werden für jede Schnittstelle angezeigt: Parameter Beschreibung Name Der Name der Schnittstelle im Format "vlan{ VLAN- ID }". Der Wert ist schreibgeschützt. Description Eine optionale benutzerdefinierte Beschreibung der Schnittstelle. Die Zeichenkette kann bis zu 64 Zeichen lang sein.
Seite 179: Sende-/Empfangs-Statistiken Nur Für Bridge-Ports Anzeigen
Schnittstellenverwaltung 8.1 Schnittstellen Statistik Beschreibung Out Octets (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Unicast-Frames. Out Broadcast (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Broadcast-Frames. Out Multicast (pkts) Die Anzahl der von der Schnittstelle erfolgreich weitergeleite‐ ten Multicast-Frames.
Seite 180: Stecktransceiver Überwachen
Schnittstellenverwaltung 8.1 Schnittstellen Statistik Beschreibung Out Frames Die Gesamtzahl der vom Bridge-Port erfolgreich gesendeten Frames. Out Multicast Frames Die Anzahl der vom Bridge Port erfolgreich gesendeten Mul‐ ticast-Frames. Out Octets Die Anzahl der vom Bridge Port erfolgreich gesendeten Da‐ tenoktette. Out Unicast Frames Die Anzahl der vom Bridge Port erfolgreich gesendeten Uni‐...
Seite 181: Mac-Adressentabelle
Schnittstellenverwaltung 8.2 MAC-Adressentabelle Parameter Beschreibung Speed Zeigt die Übertragungsgeschwindigkeit, mit der an dem Stecktransceiver-Port Frames übertragen werden. Mögliche Werte: • Auto - Frames werden mit der durch Autonegotiation er‐ mittelten Geschwindigkeit gesendet. • 10 Mb/s - Frames werden mit 10 Mbit/s gesendet. •...
Seite 182: Dynamische Mac-Einträge
Schnittstellenverwaltung 8.2 MAC-Adressentabelle Die Tabelle besteht aus statisch definierten MAC-Adressen (von Benutzer festgelegt) und dynamisch gelernten Adressen (vom Gerät selbst festgelegt). 8.2.1.1 Dynamische MAC-Einträge Dynamische MAC-Einträge sind solche, die vom Gerät automatisch gelernt wurden, während es Frames von Hostgeräten im Netzwerk empfängt und weiterleitet. Alterung Dynamische MAC-Einträge unterliegen der Alterung und werden nach einer gewissen Zeit automatisch entfernt, wenn vom zugehörigen Host nicht vor Ablauf dieser Zeit ein Frame...
Seite 183: Statische Mac-Einträge
Schnittstellenverwaltung 8.2 MAC-Adressentabelle 8.2.1.2 Statische MAC-Einträge Statische MAC-Filtereinträge in der MAC-Adressentabelle stellen von Benutzern definierte MAC- Adressen dar. Diese Einträge stellen eine feste Zuweisung zwischen einer MAC-Adresse und einem VLAN her. Statische Einträge altern nicht und können nur einzeln vom Benutzer entfernt werden.
Seite 184: Die Mac-Adressalterung Bei Linkausfall Aktivieren
Schnittstellenverwaltung 8.2 MAC-Adressentabelle 8.2.2.2 Die MAC-Adressalterung bei Linkausfall aktivieren Dynamisch gelernte MAC-Adressen können bei einem Linkausfall automatisch entfernt werden (Alterung). Dadurch wird verhindert, dass der Switch Datenverkehr an einen Linkpartner weiterleitet, der ihn nicht empfangen kann. Hinweis Die MAC-Adressalterung ist standardmäßig aktiviert, kann jedoch in einigen Anwendungen deaktiviert werden.
Seite 185: Die Warteschlange Einer Traffic-Klasse Zuordnen
Schnittstellenverwaltung 8.2 MAC-Adressentabelle Hinweis Die folgenden MAC-Adressen sind unzulässig: • Zero-MAC-Adressen • Broadcast-MAC-Adressen • Reservierte MAC-Adressen • MAC-Adressen von virtuellen Routern • Die eigene MAC-Adresse des Geräts Um einen statischen MAC-Filtereintrag hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ Static. 2.
Seite 186: Die Mac-Adressentabelle Überwachen
Schnittstellenverwaltung 8.2 MAC-Adressentabelle Um einem statischen MAC-Filtereintrag die Warteschlange einer Traffic-Klasse zuzuordnen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ MAC Address Table ≫ Static. 2. Unter Media Access Control (MAC) Address Table (Static Entries) wählen Sie unter Traffic Class für den ausgewählten statischen MAC-Filtereintrag die Warteschlange einer Traffic- Klasse aus.
Seite 187: Dynamische Mac-Adressen Löschen
Schnittstellenverwaltung 8.2 MAC-Adressentabelle Parameter Beschreibung Traffic Class Die Warteschlange einer Traffic-Klasse, die der MAC-Adresse zugeordnet ist Mögliche Werte: • 0 – 7 – Warteschlange einer Traffic-Klasse • Unprioritized – Keine Warteschlange einer Traffic-Klasse zugeordnet Forwarding Port Der ausgehende Weiterleitungsport, der der MAC-Adresse zu‐ geordnet ist.
Seite 188 Schnittstellenverwaltung 8.2 MAC-Adressentabelle Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 189: Ip-Adressvergabe
IP-Adressvergabe Dieses Kapitel beschreibt Funktionen in Verbindung mit der Zuweisung von IP-Adressen, wie DHCP und DNS. Statische IP-Adressvergabe IP-Adressen können einer IP-Schnittstelle statisch (manuell) zugeordnet werden. Dies eignet sich für IP-Schnittstellen, die immer unter derselben IP-Adresse erreichbar sein sollen. Um eine statische IPv4-Adresse zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 190: Die Ipv4-Adresskonfiguration Anzeigen
IP-Adressvergabe 9.2 Statisches DNS 9.1.2 Die IPv4-Adresskonfiguration anzeigen Um die IPv4-Adresskonfiguration anzuzeigen, navigieren Sie zu Interfaces ≫ IP Interfaces. Unter IPv4 Static Addresses werden folgende Informationen angezeigt: Parameter Beschreibung Interface VLAN-ID der IP-Schnittstelle IP Address IP-Adresse der IP-Schnittstelle Prefix Length Subnetz als Präfix-Länge dargestellt Statisches DNS In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit Sie bei...
Seite 191: Grundbegriffe Zu Dns
Position in der Hierarchie des DNS, indem er alle Ebenen angibt, min‐ destens jedoch Second-Level-Domäne und Top-Level-Domäne. Beispiel: www.industry.siemens.com In diesem Beispiel entspricht "com" der Top-Level-Domäne. "siemens" entspricht der Second-Level-Domäne. "industry" bildet eine optionale Sub-Level-Domäne und "www" ist der Hostname. Domäne Als Domäne bezeichnet man einen zusammenhängenden Bereich des DNS.
Seite 192: Dns-Kommunikation
DNS-Resolver weiter oder löst die Anfrage auf, indem er die einzelnen Ebenen der DNS-Hierarchie abfragt. Wenn z. B. der Domänenname www.industry.siemens.com aufgelöst werden soll, erfragt der DNS-Resolver bei einem Root-Server den DNS-Server der Top-Level-Domäne com. Beim DNS- Server der Top-Level-Domäne erfragt der DNS-Resolver wiederum den DNS-Server der nächsten Hierarchiestufe siemens.com.
Seite 193: Eine Such-Domäne Konfigurieren
IP-Adressvergabe 9.2 Statisches DNS Um einen DNS-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ DNS Client. 2. Unter DNS Servers (Static) klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Name geben Sie den Namen des DNS-Servers ein. Sie können den Namen nur direkt nach dem Hinzufügen der neuen Zeile editieren.
Seite 194: Dhcp
IP-Adressvergabe 9.3 DHCP Unter DNS Servers werden folgende Informationen angezeigt: Parameter Beschreibung Server Address Zeigt die IP-Adressen der konfigurierten DNS-Server an. Unter Domain Search List werden folgende Informationen angezeigt: Parameter Beschreibung Domain Name Zeigt die konfigurierten Such-Domänen an. DHCP In diesem Abschnitt wird beschrieben, wie Sie ein Gerät konfigurieren, damit es seine IP- Konfiguration von einem DHCP-Server bezieht.
Seite 195: Eine Gültigkeitsdauer Anfragen
IP-Adressvergabe 9.3 DHCP Um eine DHCP-Client-Schnittstelle zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter IP Interfaces ändern Sie den Parameter DHCP in Enabled. 3. Bestätigen Sie die Änderung. 9.3.1.2 Eine Gültigkeitsdauer anfragen Die Gültigkeitsdauer gibt an, wie lange die vom DHCP-Server vergebene IP-Adresse gültig bleibt.
Seite 196: Die Client-Id Einer Schnittstelle Ändern
IP-Adressvergabe 9.3 DHCP 9.3.1.3 Die Client-ID einer Schnittstelle ändern Um die Client-ID einer DHCP-Client-Schnittstelle zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu Interfaces ≫ IP Interfaces. 2. Unter Dynamic Host Configuration Protocol (DHCPv4) Client in der Spalte Client ID ändern Sie die Client-ID einer DHCP-Client-Schnittstelle.
Seite 197: Die Konfigurationsdaten Von Dhcp-Client-Schnittstellen Anzeigen
IP-Adressvergabe 9.3 DHCP 9.3.2 Die Konfigurationsdaten von DHCP-Client-Schnittstellen anzeigen Um die Konfigurationsdaten von DHCP-Client-Schnittstellen anzuzeigen, navigieren Sie zu Interfaces ≫ IP Interfaces. Unter IP Interfaces werden folgende Informationen angezeigt: Parameter Beschreibung Interface VLAN-ID der DHCP-Client-Schnittstelle DHCP Zeigt an, ob DHCP-Client für die genannte Schnittstelle akti‐ viert ist.
Seite 198 IP-Adressvergabe 9.3 DHCP Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 199: Netzwerkredundanz
Netzwerkredundanz In diesem Kapitel werden die verfügbaren Netzwerkredundanz-Funktionen beschrieben. Netzwerkredundanz bietet einen Ausfallsicherungsmechanismus zum Schutz des Netzwerks vor Dienstunterbrechungen, die durch einen einzelnen Ausfallpunkt verursacht werden können. 10.1 Spanning Tree Protocol (STP) SINEC OS unterstützt den IEEE 802.1Q:2014 Standard, der das Rapid Spanning Tree Protocol (RSTP) und das Multiple Spanning Tree Protocol (MSTP) umfasst.
Seite 200: Port-Modi
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Sie können konfigurieren, wie die Schleifenerkennung auf eine erkannte Netzwerkschleife reagiert und wie sie signalisiert wird. Standardmäßig deaktiviert die Funktion den Bridge-Port, der die PDUs sendet und signalisiert die Schleife wie folgt: • Das Ereignis wird im Systemprotokoll aufgezeichnet. •...
Seite 201: Typen Von Netzwerkschleifen
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.1.2 Typen von Netzwerkschleifen Die Schleifenerkennung unterscheidet die folgenden Arten von Schleifen: • Lokale Netzwerkschleife Wenn ein Gerät eine gesendete PDU an einem anderen Bridge-Port wieder empfängt, liegt eine lokale Schleife vor. Bild 10-2 Lokale Netzwerkschleife Die Schleifenerkennung kann eine lokale Schleife unterbrechen, indem sie den Bridge-Port deaktiviert, der die PDU gesendet hat.
Seite 202: Die Erkennung Von Netzwerkschleifen Konfigurieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.2 Die Erkennung von Netzwerkschleifen konfigurieren Hinweis Setzen Sie die Funktion insbesondere in Netzwerksegmenten ein, in denen kein Spanning Tree konfiguriert ist und in denen die Netzteilnehmer keine Spanning Tree Bridge-PDUs weiterleiten. Hinweis Die Erkennung von Netzwerkschleifen ersetzt nicht andere Funktionen wie Spanning Tree oder Redundanzprotokolle.
Seite 203: Bridge-Ports Für Die Erkennung Von Netzwerkschleifen Konfigurieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 8. Aktivieren Sie die Erkennung von Netzwerkschleifen. Für weitere Informationen siehe "Die Erkennung von Netzwerkschleifen aktivieren (Seite 208)". 9. [Optional] Setzen Sie einen Bridge-Port manuell zurück, nachdem eine Schleife im Netzwerk behoben wurde. Für weitere Informationen siehe "Einen Bridge-Port nach dem Erkennen einer Netzwerkschleife manuell zurücksetzen (Seite 208)".
Seite 204: Den Grenzwert Für Die Erkennung Einer Lokalen Netzwerkschleife Definieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.2.3 Den Grenzwert für die Erkennung einer lokalen Netzwerkschleife definieren Um eine Netzwerkschleife zu erkennen, muss ein Bridge-Port eine definierte Anzahl aufeinanderfolgender PDUs empfangen, die er selbst versendet hat. Bei lokalen Netzwerkschleifen können Sie diesen Grenzwert konfigurieren. Eine Remote- Netzwerkschleife wird erkannt, sobald ein Bridge-Port die erste PDU empfängt, die er selbst versendet hat.
Seite 205: Die Reaktion Auf Eine Remote-Netzwerkschleife Konfigurieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer lokalen Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Local Reaction für einen Bridge-Port. Mögliche Optionen: Option Beschreibung...
Seite 206: Die Zeitdauer Für Die Deaktivierung Eines Bridge-Ports Konfigurieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Auswirkungen einer Remote-Netzwerkschleife auf einen Bridge-Port zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Unter Loop Detection konfigurieren Sie den Parameter Remote Reaction für einen Bridge- Port.
Seite 207: Den Vlan-Modus Aktivieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen Um die Zeitdauer für die Deaktivierung eines Bridge-Ports zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2. Stellen Sie sicher, dass der Bridge-Port, für den Sie den Timeout konfigurieren wollen, wie folgt konfiguriert ist: –...
Seite 208: Die Erkennung Von Netzwerkschleifen Aktivieren
Netzwerkredundanz 10.2 Erkennung von Netzwerkschleifen 10.2.2.8 Die Erkennung von Netzwerkschleifen aktivieren Standardmäßig ist die Erkennung von Netzwerkschleifen für alle Bridge-Ports deaktiviert. Um die Schleifenerkennung für alle Bridge-Ports zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Loop Detection. 2.
Seite 209: Device Level Ring
Netzwerkredundanz 10.3 Device Level Ring Unter Loop Detection werden folgenden Informationen angezeigt: Parameter Beschreibung Operational State Zeigt den Betriebszustand der Schleifenerkennung an. Mögliche Optionen: • disabled - Dieser Betriebszustand bedeutet: – Die Schleifenerkennung ist deaktiviert und der Bridge- Port sendet keine PDUs. –...
Seite 210: Wissenswertes Zu Dlr
Netzwerkredundanz 10.3 Device Level Ring 10.3.1 Wissenswertes zu DLR In einem DLR-Netzwerk hat jeder Netzwerkknoten eine der folgenden Rollen: • Ring-Supervisor • Ringknoten Jeder Netzwerkknoten ist über 2 Ethernet-Ports in das Netzwerk integriert. Dadruch entsteht eine Ringtopologie, in der jeder Knoten mit 2 verschiedenen Nachbarknoten verbunden ist. Um Netzwerkschleifen zu verhindern, blockt ein Netzwerkknoten (der aktive Ring-Supervisor) einen seiner DLR-Ports.
Seite 211: Ringknoten
Netzwerkredundanz 10.3 Device Level Ring 10.3.1.2 Ringknoten Netzwerkknoten ohne Supervisor-Eigenschaften werden wie folgt eingeteilt: • Beacon-basierte Ringknoten Ein Beacon-basierter Ringknoten hat folgende Aufgaben: – Verarbeitet Beacon-Frames, um den Status des DLR-Netzwerks zu verfolgen – Benötigt eine entsprechende Hardware-Unterstützung, um die Beacon-Frames nicht in der CPU verarbeiten zu müssen –...
Seite 212 Netzwerkredundanz 10.3 Device Level Ring Hinweis Aufgrund der unterschiedlichen Sendeintervalle haben DLR-Netzwerke mit Announce- basierten Ringknoten längere Wiederherstellungszeiten als mit Beacon-basierten Ringknoten. Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 213: Dlr-Netzwerk
Netzwerkredundanz 10.3 Device Level Ring 10.3.1.4 DLR-Netzwerk DLR unterscheidet folgende Zustände: • Normalzustand Das DLR-Netzwerk ist im Normalzustand, wenn der aktive Ring-Supervisor einen seiner DLR- Ports geblockt hat. In diesem Zustand sendet der aktive Ring-Supervisor Beacon- und Announce-Frames (auch über den geblockten DLR-Port), um den Status des DLR-Netzwerks zu überwachen.
Seite 214: Dlr Konfigurieren
Netzwerkredundanz 10.3 Device Level Ring ① Aktiver Ring-Supervisor ② Ringknoten ③ Beacon-Frames ④ Announce-Frames Bild 10-6 DLR-Netzwerk im Fehlerzustand 10.3.2 DLR konfigurieren Um DLR zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie EtherNet/IP. Für weitere Informationen siehe "EtherNet/IP aktivieren (Seite 236)". 2.
Seite 215: Das Dlr-Vlan Auswählen
Netzwerkredundanz 10.3 Device Level Ring 10.3.2.1 Das DLR-VLAN auswählen Um das VLAN auszuwählen, in dem DLR-Frames gesendet werden, gehen Sie wie folgt vor: 1. Stellen Sie sicher, dass das gewünschte VLAN für DLR konfiguriert ist. Für weitere Informationen zum Hinzufügen eines statischen VLANs siehe "Ein statisches VLAN hinzufügen oder ändern (Seite 262)".
Seite 216: Dlr Überwachen
Netzwerkredundanz 10.3 Device Level Ring 10.3.3 DLR überwachen Um ein DLR-Netzwerk zu überwachen, navigieren Sie zu System ≫ EtherNet/IP & DLR. Unter Device Level Ring werden folgenden Informationen angezeigt: Parameter Beschreibung Supervisor IP Address Zeigt die IP-Adresse des aktiven Ring-Supervisors an. Supervisor MAC Address Zeigt die MAC-Adresse des aktiven Ring-Supervisors an.
Seite 217: Konfigurationsbeispiele
Netzwerkredundanz 10.3 Device Level Ring Parameter Beschreibung Ring Port 1 Status Zeigt den aktuellen Status des DLR-Ports 1 an. Mögliche Werte: • up - Die Schnittstelle ist aktiviert. • down - Die Schnittstelle ist deaktiviert. Ring Port 2 Status Zeigt den aktuellen Status des DLR-Ports 2 an. Mögliche Werte: •...
Seite 218 Netzwerkredundanz 10.3 Device Level Ring Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 219: Netzwerkerkennung Und -Management
Netzwerkerkennung und -management In diesem Kapitel werden die verschiedenen verfügbaren Funktionen für Netzwerkerkennung und -management beschrieben. Diese Funktionen ermöglichen die automatische Erkennung von Geräten im Netzwerk sowie die Netzwerküberwachung und das automatische Gerätemanagement. 11.1 LLDP Mit dem Link Layer Discovery Protocol (LLDP) können Sie die Topologie lokaler Netzwerke erfassen.
Seite 220: Dcp
Netzwerkerkennung und -management 11.2 DCP Wenn Nachbargeräte angeschlossen sind, die LLDP unterstützen, werden unter Link Layer Discovery Protocol (LLDP) Neighbors folgende Informationen angezeigt: Parameter Beschreibung Local Interface Port, an dem die Informationen des angeschlossenen Geräts empfangen wurden Remote System Name Systemname des angeschlossenen Geräts Remote Device ID Kennung des angeschlossenen Geräts...
Seite 221: Die Zugriffsrechte Von Dcp Konfigurieren
Netzwerkerkennung und -management 11.2 DCP 11.2.2.1 Die Zugriffsrechte von DCP konfigurieren ACHTUNG Sicherheitsrisiko - Risiko des unbefugten Zugriffs und/oder Missbrauchs DCP ist per Definition nicht sicher. Die Zugriffsrechte von DCP sind abhängig vom Status des Geräts. • Im Lieferzustand und nach dem Zurücksetzen auf Default-Einstellungen ist DCP aktiviert. Geräteparameter können sowohl gelesen als auch verändert werden.
Seite 222: Das Senden Von Dcp-Frames Für Einen Bridge-Port Konfigurieren
Netzwerkerkennung und -management 11.2 DCP Um die Zugriffsrechte von DCP zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ PROFINET ≫ DCP. 2. Unter Discovery and basic Configuration Protocol (DCP) im Feld DCP Mode konfigurieren Sie die Zugriffsrechte von DCP. Mögliche Optionen: Option Beschreibung...
Seite 223: Profinet
Beiträge im Industry Online Support finden Sie in diesem FAQ (https:// support.industry.siemens.com/cs/ww/de/view/108165711). • Unter der Internetadresse (http://www.profibus.com) der auch für PROFINET zuständigen PROFIBUS-Nutzerorganisation "PROFIBUS & PROFINET International". • Weitere Informationen finden Sie auf der Siemens-Webseite (http://www.siemens.com/ profinet). Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 224: Wissenswertes Zu Profinet
Netzwerkerkennung und -management 11.3 PROFINET 11.3.1 Wissenswertes zu PROFINET PROFINET als Ethernet-basierter Automatisierungsstandard von PROFIBUS International definiert ein herstellerübergreifendes Kommunikations-, Automatisierungs- und Engineering- Modell. PROFINET eignet sich besonders für industrielle Automationssysteme und Prozesssteuerungsnetzwerke, in denen die Bewegungssteuerung und die präzise Steuerung von Geräten und Prüfeinrichtungen wichtig sind.
Seite 225 Netzwerkerkennung und -management 11.3 PROFINET SIMATIC SCALANCE S7-1500 XC-200 SIMATIC ET 200MP S7-300 PROFINET-Komponenten Beschreibung ① PROFINET IO-System ② PROFINET-Controller Gerät, über das die angeschlossenen PROFINET-Geräte ange‐ sprochen werden. Das bedeutet: Der PROFINET-Controller tauscht Ein- und Ausgangssignale mit Feldgeräten aus. Es handelt sich beim PROFINET-Controller um die Steuerung, in der das Automatisierungsprogramm abläuft.
Seite 226: Geräteadressierung
Netzwerkerkennung und -management 11.3 PROFINET 11.3.1.2 Geräteadressierung Jedes PROFINET-Gerät ist im Netzwerk über seine PROFINET-Schnittstelle eindeutig identifizierbar. Dazu hat jede PROFINET-Schnittstelle: • Eine MAC-Adresse (Default-Einstellung) – Besitzt jeder Ethernet-Teilnehmer und ist weltweit eindeutig. – Wird bei PROFINET als Quell-/Zieladresse für den zyklischen Datenaustausch verwendet. –...
Seite 227: Profinet-Beziehungen
Netzwerkerkennung und -management 11.3 PROFINET Real-Time (RT) Mit RT-Kommunikation werden die zyklischen Daten zwischen PROFINET-Controller und PROFINET-Gerät übertragen, jedoch nicht synchronisiert. PROFINET mit RT eignet sich für: • Zeitkritische Anwendungen in der Fertigungsautomatisierung Die Übertragung zeitkritischer Daten findet in garantierten Zeitintervallen statt. •...
Seite 228: I&M-Daten
Netzwerkerkennung und -management 11.3 PROFINET 11.3.1.5 I&M-Daten Identifikations- und Maintenance-Daten (I&M) sind in einem Gerät gespeicherte Informationen, die Sie bei folgenden Aufgaben unterstützen: • Überprüfen der Anlagenkonfiguration • Auffinden von Hardware-Änderungen einer Anlage I&M-Daten sind im PROFINET-Standard definiert. Identifikationsdaten (I‑Daten) sind Informationen zum Gerät, wie z. B. Artikelnummer und Seriennummer, die zum Teil auch auf dem Gehäuse des Geräts aufgedruckt sind.
Seite 229: Den Profinet-Laufzeitmodus Konfigurieren
Netzwerkerkennung und -management 11.3 PROFINET Für die TIA-Schnittstelle gelten folgende Bedingungen: • Es muss immer eine TIA-Schnittstelle konfiguriert sein. • Es kann nur eine IP-Schnittstelle als TIA-Schnittstelle konfiguriert sein. • Die IP-Schnittstelle, die als TIA-Schnittstelle konfiguriert ist, kann nicht gelöscht werden. Die TIA-Schnittstelle, die Sie konfigurieren, wird erst nach dem nächsten Neustart des Geräts aktiv.
Seite 230: Die Gsd-Datei Auf Einem Lokalen Client-Pc Speichern
Netzwerkerkennung und -management 11.3 PROFINET 11.3.2.3 Die GSD-Datei auf einem lokalen Client-PC speichern Die GSD-Datei im Format ".xml" ist zusammen mit Produktbildern im Format ".bmp" als ZIP-Datei gespeichert. Um die GSD-Datei des Geräts auf einem lokalen PC zu speichern, gehen Sie wie folgt vor: 1.
Seite 231: Profinet Überwachen
Netzwerkerkennung und -management 11.3 PROFINET 11.3.3 PROFINET überwachen In diesem Abschnitt werden die verschiedenen Möglichkeiten beschrieben, wie Sie PROFINET überwachen können. 11.3.3.1 Den aktuellen PROFINET-Laufzeitmodus anzeigen Um die PROFINET-Konfiguration anzuzeigen, navigieren Sie zu System ≫ PROFINET ≫ PROFINET Mode. Unter PROFINET werden folgende Informationen angezeigt: Parameter Beschreibung Current Runtime Mode...
Seite 232: Die I&M-Daten Anzeigen
Netzwerkerkennung und -management 11.3 PROFINET 11.3.3.4 Die I&M-Daten anzeigen Es werden nur die I&M-Daten des Geräts angezeigt. Die I&M-Daten von untergeordneten Komponenten mit eigenen Artikelnummern werden nicht angezeigt (z. B. Stecktransceiver). Um die I&M-Daten des Geräts anzuzeigen, navigieren Sie zu System ≫ PROFINET ≫ I & M. Unter Identification &...
Seite 233: Ethernet/Ip
Netzwerkerkennung und -management 11.4 EtherNet/IP Unter PROFINET werden folgende Informationen angezeigt: Parameter Beschreibung Name of Station Zeigt den PROFINET-Gerätenamen an. Sie konfigurieren den PROFINET-Gerätename z. B. über SINEC PNI. Wenn Sie den PROFINET-Gerätenamen mit SINEC PNI konfigurieren und er nicht den Regeln von IEC 61158-6-10 entspricht, wird er entsprechend konvertiert.
Seite 234: Nachrichtentypen
Netzwerkerkennung und -management 11.4 EtherNet/IP 11.4.1.2 Nachrichtentypen CIP unterscheidet zwischen den folgenden Nachrichtentypen: • Implizite Nachrichten Dieser Nachrichtentyp wird für den Austausch von zeitkritischen IO-Daten verwendet. • Explizite Nachrichten Dieser Nachrichtentyp wird für den Parameterzugriff (Schreiben, Lesen) verwendet. In SINEC OS-Geräten ist für EtherNet/IP ein expliziter Nachrichten-Server implementiert, der auf die Anfrage/Antwort-gesteuerte Kommunikation von expliziten Nachrichten-Clients antwortet.
Seite 235: Unterstützte Objekte
Das Objekt Identity ermöglicht die Identifikation von EtherNet/IP-Geräten und liefert allgemeine Informationen über das Gerät. Die Vendor ID von Siemens ist 1251. Der Device Type ist 2Ch (Managed Ethernet Switch). Message Router Object Das Objekt Message Router leitet explizite Nachrichten an die entsprechenden Objekte weiter.
Seite 236: Ethernet/Ip Konfigurieren
Netzwerkerkennung und -management 11.4 EtherNet/IP 11.4.2 EtherNet/IP konfigurieren Um EtherNet/IP zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Konfigurieren Sie die Management-Schnittstelle. Für weitere Informationen siehe Kapitel "Die Management-Schnittstelle konfigurieren (Seite 236)". 2. Aktivieren Sie EtherNet/IP. Für weitere Informationen siehe Kapitel "EtherNet/IP aktivieren (Seite 236)". 3.
Seite 237: Die Eds-Datei Auf Einem Remote-Server Speichern
Netzwerkerkennung und -management 11.5 ARP Um die EDS-Datei des Geräts auf einem lokalen PC zu speichern, gehen Sie wie folgt vor: 1. Nafivieren Sie zu System ≫ Load & Save ≫ Data Models. 2. Unter Save Data Model to Local PC wählen Sie für den Parameter File Type die Option EDS. 3.
Seite 238: Wissenswertes Zu Arp
Netzwerkerkennung und -management 11.5 ARP 11.5.1 Wissenswertes zu ARP Eine ARP-Tabelle bzw. ein Cache pflegt die interne Zuordnung von IP-Adressen zu physischen MAC-Adressen. Wenn das Gateway versucht, die Route für einen eingehenden Frame festzulegen, liefert ARP die physische Adresse jedes in der Tabelle aufgeführten Hosts mit übereinstimmender IP-Adresse.
Seite 239: Snmp
Netzwerkerkennung und -management 11.6 SNMP Parameter Beschreibung Type Die für die ARP-Nachricht verwendete Verkapselungsmetho‐ Mögliche Werte: • arpa – Steht für Advanced Research Projects Agency. Dies signalisiert, dass die Schnittstelle mit einem IEEE 802.3- Netzwerk verbunden ist. State Der Zustand des Nachbareintrags. Mögliche Werte: •...
Seite 240: Den Snmp-Agent Konfigurieren
Netzwerkerkennung und -management 11.6 SNMP 11.6.1 Den SNMP-Agent konfigurieren Um den SNMP-Agent zu konfigurieren, gehen Sie wie folgt vor: 1. [Optional] Konfigurieren Sie, welche SNMP-Version(en) der SNMP-Agent unterstützt. Für weitere Informationen siehe "Die SNMP-Versionen konfigurieren, die der SNMP-Agent unterstützt (Seite 240)". 2.
Seite 241: Einen Server-Endpunkt Für Snmp Aktivieren
Netzwerkerkennung und -management 11.6 SNMP Standardmäßig sind folgenden Server-Endpunkte vordefiniert: Endpunkt Default Name default Endpunkt aktiviert IP-Adresse 0.0.0.0 Port Nur Benutzer mit dem Benutzerprofil Admin können einen Server-Endpunkt konfigurieren. Um einen Server-Endpunkt zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ Overview. Unter SNMP ≫...
Seite 242: Den Snmp-Agent Aktivieren
Netzwerkerkennung und -management 11.6 SNMP 11.6.1.4 Den SNMP-Agent aktivieren Standardmäßig ist der SNMP-Agent deaktiviert. SNMP ist dann für das Gerät deaktiviert und der SNMP-Port ist geschlossen. Wenn Sie SNMP nicht nutzen und um unbefugten Zugriff auf das Gerät zu verhindern, belassen Sie den SNMP-Agent in deaktivierten Zustand. Hinweis In STEP7 classic gibt es einen Topologie-Editor, mit dem Sie die Offline-Topologie mit den realen Verbindungen des Geräts (Online-Topologie) vergleichen können.
Seite 243: Die Ip-Adresse Eines Snmp-Targets Ändern
Netzwerkerkennung und -management 11.6 SNMP 11.6.3 Die IP-Adresse eines SNMP-Targets ändern Um die IP-Adresse eines SNMP-Targets zu ändern, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Management Services ≫ SNMP. Unter SNMPv1 Trap Receiver ≫ Name werden die verfügbaren SNMP-Targets angezeigt. 2.
Seite 244 Netzwerkerkennung und -management 11.6 SNMP Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 245: Kontrolle Und Klassifikation Von Datenverkehr
Kontrolle und Klassifikation von Datenverkehr In diesem Kapitel werden die verfügbaren Funktionen für die Datenverkehrssteuerung und - klassifizierung beschrieben. Verwenden Sie diese Subsysteme, um den Datenverkehr zu verbundenen Netzwerkfunktionen zu steuern. Zusätzlich stehen Werkzeuge für die Datenverkehrsanalyse und -charakterisierung zur Verfügung. 12.1 Begrenzung der Übertragungsgeschwindigkeit SINEC OS unterstützt die Begrenzung der Übertragungsgeschwindigkeit an einzelnen...
Seite 246: Die Begrenzung Der Übertragungsgeschwindigkeit Konfigurieren
Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 12.1.2 Die Begrenzung der Übertragungsgeschwindigkeit konfigurieren Um die Übertragungsgeschwindigkeit für einen Bridge-Port bei ausgehendem oder eingehendem Datenverkehr zu begrenzen, gehen Sie für den ausgewählten Bridge-Port und die Richtung des Datenverkehrs wie folgt vor: 1.
Seite 247 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit Die Fähigkeiten sind unter Ethernet Rate Control Capabilities für jeden einzelnen Bridge-Port aufgeführt. Parameter Beschreibung Interface Der Name der Schnittstelle. Supported Ingress Traffic Types Der von dem Bridge-Port eingangsseitig unterstützte Daten‐ verkehr Mögliche Werte: •...
Seite 248: Den Typ Der Zu Begrenzenden Frames Auswählen
Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit Parameter Beschreibung Supported Egress Traffic Types Der von dem Bridge-Port ausgangsseitig unterstützte Daten‐ verkehr Mögliche Werte: • all – Alle Datenverkehrstypen werden unterstützt • broadcast – Nur Broadcast-Datenverkehr wird unterstützt • multicast –...
Seite 249 Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 3. Unter Ethernet Rate Control konfigurieren Sie den Ingress Traffic Type und/oder Egress Traffic Type für den ausgewählten Bridge-Port. Mögliche Optionen: Option Beschreibung Default Die Begrenzung der Übertragungsgeschwindig‐ keit wird auf den gesamten Datenverkehr angew‐ endet.
Seite 250: Die Begrenzung Der Übertragungsgeschwindigkeit Auswählen
Kontrolle und Klassifikation von Datenverkehr 12.1 Begrenzung der Übertragungsgeschwindigkeit 12.1.2.3 Die Begrenzung der Übertragungsgeschwindigkeit auswählen Um die vom Bridge-Port auf den ausgehenden oder eingehenden Datenverkehr angewendete Begrenzung der Übertragungsgeschwindigkeit auszuwählen, gehen Sie wie folgt vor: 1. [Optional] Prüfen Sie die Fähigkeiten des ausgewählten Bridge-Ports, um zu ermitteln, ob er den Frame-Typ begrenzen kann, den Sie in der gewählten Richtung steuern möchten (also eingehend oder ausgehend).
Seite 251: Die Übertragungsgeschwindigkeit Begrenzen
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.1.3.1 Die Übertragungsgeschwindigkeit begrenzen In diesem Beispiel leitet das Gerät Datenverkehr an der Schnittstelle ethernet0/1 (ein 1000Base- FX-Port) an einen Server weiter, der Daten nur mit 100 kbit/s annimmt. Wenn dieser Grenzwert überschritten wird, gehen Frames verloren. Bild 12-1 Den Datenverkehrsfluss zu einem Server begrenzen Um die Übertragungsgeschwindigkeit des Datenverkehrs an einen Server zu begrenzen, gehen...
Seite 252 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Da VLANs logische Verbindungen und keine physischen Verbindungen definieren, verringern sie die Komplexität des Aufbaus sowie die Arbeits- und Ressourcenanforderungen eines herkömmlichen LAN erheblich. Gleichzeitig verbessern sie die Sicherheit und Verwaltung des Datenverkehrs. Der Datenverkehr wird gruppiert, indem die Frames um Tags erweitert werden, die von Knoten in derselben Broadcast-Domäne stammen.
Seite 253: Vlans Anlegen
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.1.1 VLANs anlegen VLANs werden entweder statisch oder dynamisch angelegt: • Statisch Statische VLANs können direkt in SINEC OS definiert werden. • Dynamisch VLANs können über das GARP VLAN Registration-Protokoll gelernt werden. 12.2.1.2 Betriebsarten "VLAN-fähig"...
Seite 254 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Tag Protocol Identifier (TPI) Das Feld Tag Protocol Identifier (TPI) kennzeichnet den Frame als getaggten Frame. Es besteht aus einem 16-Bit-Feld, für das 0x8100 festgelegt ist. Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 255 Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Tag Control Information (TCI) Das Feld Tag Control Information (TCI) definiert: • Priority Code Point (PCP) Ein 3-Bit-Unterfeld, das die dem Frame zugeordnete IEEE 802.1p Class of Service (CoS) angibt. Der Wert dieses Felds wird wie folgt einer spezifischen Prioritätsstufe zugeordnet: Priori‐...
Seite 256: Access- Und Trunk-Ports
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Wert Beschreibung Keine VLAN-ID. Das Frame enthält nur Prioritätsinformationen (mit einer Priorität getagg‐ tes Frame). 1 – VLAN-IDs in diesem Bereich sind gültig. 4094 4095 Diese VLAN-ID ist reserviert. 12.2.1.4 Access- und Trunk-Ports Aus jedem Bridge-Port kann ein Access- oder ein Trunk-Port gemacht werden.
Seite 257: Ingress-Filter
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.1.6 Ingress-Filter Der Ingress-Filter ist eine Funktion, die pro Port aktiviert werden kann. Sie wertet jedes eingehende (Ingress) Frame aus, bevor es in das Netzwerk gelangt, um sicherzustellen, dass es von der erwarteten Quelle stammt. Wenn der Ingress-Filter aktiviert ist, prüft das Gerät alle am Bridge-Port eingehenden getaggten Frames.
Seite 258: Garp Vlan Registration Protocol (Gvrp)
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Regeln für ausgehenden Datenverkehr (Egress) • Frames, die an einer Access-Schnittstelle weitergeleitet werden, werden verworfen, wenn sie einem anderen VLAN als dem nativen VLAN der Egress-Schnittstelle zugeordnet sind. • Frames, die an einer Trunk-Schnittstelle weitergeleitet werden, werden mit ihrer VID getaggt (nicht dem nativen VLAN der Egress-Schnittstelle), wenn sie einem VLAN zugeordnet sind, in dem die Egress-Schnittstelle Mitglied ist.
Seite 259: Vlan-0-Tunnelmodus
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs verbotenen VLANs eines Bridge-Ports werden diesem Port auch nicht von GVRP bekannt gegeben. Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port spezifischen VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 260: Vor- Und Nachteile Bei Der Verwendung Von Vlans
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Der VLAN-0-Tunnelmodus kann für jedes aktive VLAN aktiviert werden und ist dann für alle Bridge-Ports, die zu diesen VLANs gehören, aktiv. 12.2.1.11 Vor- und Nachteile bei der Verwendung von VLANs Nachstehend werden einige der wichtigen Vor- und Nachteile von VLANs beleuchtet. Vorteile •...
Seite 261: Vlans Konfigurieren
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Nachteile • Begrenzte Anzahl von VLANs Jedes Netzwerk ist auf 4094 VLANs begrenzt, wobei die VIDs 0 und 4095 reserviert sind. Die Anzahl von 4094 VLANs kann zwar für die meisten Netzwerke ausreichend sein, doch kann sich dieser Wert in der Zukunft als Begrenzung erweisen.
Seite 262: Ein Statisches Vlan Hinzufügen Oder Ändern
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 12.2.2.1 Ein statisches VLAN hinzufügen oder ändern Um ein statisches VLAN hinzuzufügen oder zu ändern, gehen Sie wie folgt vor: Hinweis Weisen Sie der zugehörigen VLAN-Schnittstelle eine IP-Adresse zu, um daraus eine Management-Schnittstelle zu machen. Sie können dann mittels SSH über den Management- Port auf das CLI zugreifen.
Seite 263: Vlan-Einstellungen Für Bridge-Ports Konfigurieren
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um den VLAN-0-Tunnelmodus für ein VLAN zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ VLANs. 2. Unter Static Virtual Local Area Networks (VLANs) ändern Sie den Parameter VLAN-0- Tunnel für das ausgewählte VLAN in Enabled.
Seite 264: Die Vlan-Id Des Ports Konfigurieren
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs 3. Unter Port Based VLANs wählen Sie einen Bridge-Port und konfigurieren Sie anschließend die Option Type. Mögliche Optionen: Option Beschreibung Access Default Der Bridge-Port überträgt Datenverkehr nur auf dem nativen VLAN. Trunk Der Bridge-Port überträgt Datenverkehr für alle VLANs.
Seite 265: Pvid-Tagging Bei Ausgehendem Datenverkehr Aktivieren
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um auszuwählen, welche Frame-Typen von einem Bridge-Port akzeptiert werden, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ VLANs. 2. Unter Port Based VLANs konfigurieren Sie den Acceptable Frame Type für den ausgewählten Bridge-Port.
Seite 266: Die Vlan-Mitgliedschaft Beschränken
Kontrolle und Klassifikation von Datenverkehr 12.2 VLANs Um den Ingress-Filter für einen Bridge-Port zu aktivieren, gehen Sie wie folgt vor: Hinweis Aktivieren Sie den Ingress-Filter, wenn Sie Listen mit verbotenen VLANs verwenden. Listen mit verbotenen VLANs verhindern lediglich, dass ein Bridge-Port bestimmten VLANs beitritt. Sie verhindern nicht, dass ein Frame eines VLANs, das sich auf der Liste verbotener VLANs befindet, an einen anderen Bridge-Port weitergeleitet wird, bei dem es sich um ein Mitglied dieses VLANs handelt.
Seite 267: Traffic-Klassen
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 12.3 Traffic-Klassen Bei der Klassifizierung von Datenverkehr handelt es sich um die Kategorisierung und gesteuerte Übertragung von Frames. Sie dient der Verbesserung der Netzwerkleistung und bietet eine unterschiedliche Dienstgüte zur Auswahl von Traffic-Typen. In diesem Abschnitt wird beschrieben, wie Sie die Klassifizierung von Datenverkehr mit Traffic- Klassen durchführen.
Seite 268: Warteschlangen Von Traffic-Klassen
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 12.3.1.1 Warteschlangen von Traffic-Klassen Der Datenverkehr kann bis zu acht Warteschlangen von Traffic-Klassen (0 bis 7) zugeordnet werden. Basierend auf dem Standard IEEE 802.1Q sind den Warteschlangen die folgenden Prioritäten zuzuordnen und sie können für die folgenden Traffic-Typen verwendet werden: Priorität Beschreibung Netzwerksteuerung...
Seite 269: Standardzuordnung
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 12.3.1.3 Standardzuordnung Eingehende Frames werden standardmäßig basierend auf ihren PCP- oder DSCP-Markierungen wie folgt den Warteschlangen von Traffic-Klassen zugeordnet: DSCP Warteschlange 0 – 7 8 – 15 16 – 23 24 – 31 32 –...
Seite 270: Priorisierung Von Eingehenden Frames
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 12.3.1.4 Priorisierung von eingehenden Frames Im Folgenden wird erläutert, wie eingehende Frames priorisiert und weitergeleitet werden: Übergabe an Konfigurierte MAC-Adresse ist Warteschlangen Traffic-Klasse für einer Traffic-Klasse von Traffic- MAC-Adresse zugewiesen Klassen der verwenden Egress-Ports Ziel- MAC-Adresse in...
Seite 271: Prioritätsregenerierung
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 12.3.1.5 Prioritätsregenerierung Im Folgenden wird erläutert, wie die einem eingehenden Frame zugeordnete Priorität beim Ausgang regeneriert wird: Übergabe an Vertrauens- Ingress- Default-Priorität Warteschlangen von modus ist untrust Frame verwenden Traffic-Klassen der oder dscp Egress-Ports NEIN NEIN...
Seite 272: Die Default-Priorität Konfigurieren
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 3. Wenn es sich bei dem Bridge-Port um eine Ingress-Schnittstelle handelt, legen Sie den Vertrauensmodus fest. Für weitere Informationen siehe "Den Vertrauensmodus konfigurieren (Seite 273)". 4. [Optional] Verwenden Sie nur bei getaggten Layer 2 802.1Q-Frames die Prioritätsänderung, um den PCP-Wert zu ändern, wenn das Frame übertragen wird.
Seite 273: Einer Traffic-Klasse Einen Dscp-Wert Zuordnen
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen 3. Unter PCP to Interface Queue Mappings wählen Sie unter Queue für jeden Code eine Warteschlange einer Traffic-Klasse in der Spalte PCP Code aus. Getaggte Layer 2-Frames nach 802.1Q mit einem der PCP-Werte werden der jeweiligen Warteschlange einer Traffic-Klasse zugeordnet.
Seite 274: Dem Ausgehenden Datenverkehr (Egress) Verschiedene Prioritäten Zuordnen
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen • DSCP- und PCP-Werten vertrauen (DSCP-PCP) Frames werden zuerst anhand ihrer DSCP-Werte und dann anhand ihrer PCP-Werte priorisiert. Wenn beide Werte fehlen, wird die Default-Priorität verwendet. • DSCP- und PCP-Werten nicht vertrauen (Untrust) Es wird weder DSCP- noch PCP-Werten vertraut.
Seite 275: Konfigurationsbeispiele
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen ursprünglichen Prioritätswert der entsprechenden Warteschlange einer Traffic-Klasse zugeordnet, aber sie werden mit einem anderen Prioritätswert weitergeleitet. Um einen Bridge-Port so zu konfigurieren, dass auf ausgewählte Frames die Prioritätsänderung angewendet wird, gehen Sie wie folgt vor: 1.
Seite 276: Ausgewählte Frames Priorisieren
Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen Verfahren 1: Jedem Frame eine hohe Default-Priorität zuordnen In SINEC OS wird der Prioritätswert der Frames ignoriert und es wird die Default-Priorität des empfangenden Bridge-Ports zugeordnet. 1. Legen Sie für jeden mit den Sensoren verbundenen Bridge-Port für die Default-Priorität eine hohe Priorität fest, beispielsweise 7 (die höchste Priorität).
Seite 277 Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen zugeordnet wird. Das Gerät platziert diese Frames automatisch in einer Warteschlange mit hoher Priorität. 1. Ordnen Sie bei jedem Sensor wichtigen Frames bei Eingang eine hohe Priorität zu. 2. Legen Sie in der Switch-Konfiguration für den Vertrauensmodus einen der Werte PCP (nur Layer 2-Datenverkehr), DSCP (nur Layer 3-Datenverkehr) oder DSCP-PCP(Layer 3- Datenverkehr, gefolgt von Layer 2-Datenverkehr) fest.
Seite 278 Kontrolle und Klassifikation von Datenverkehr 12.3 Traffic-Klassen Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 279: Zeiteinstellungen
Zeiteinstellungen In diesem Kapitel wird beschrieben, wie Sie die Uhrzeitdienste für die Zeiterfassung und die Uhrzeitsynchronisation konfigurieren. Das umfasst die automatische Einstellung der Systemzeit und des Systemdatums mit einem Dienst wie NTP oder manuell. Die richtige Zeiteinstellung und die Überprüfung, ob die Uhrzeit in allen Geräten synchron ist, sind wichtig für ein gutes Netzwerkmanagement und die Fehlerbeseitigung im Netzwerk.
Seite 280: Das Datum Und Die Systemzeit Konfigurieren
Zeiteinstellungen 13.5 NTP 13.2 Das Datum und die Systemzeit konfigurieren Um das Datum und die Systemzeit manuell zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ System Time. 2. Unter System Time ändern Sie den Parameter System Clock [YYYY-MM-DD HH:MM:SS]. Bedingungen: –...
Seite 281: Wissenswertes Zu Ntp
Zeiteinstellungen 13.5 NTP 13.5.1 Wissenswertes zu NTP NTP ist ein Protokoll zur hierarchischen Uhrzeitsynchronisation zwischen NTP-Servern und NTP- Clients in einem Netzwerk. NTP-Implementierungen senden und empfangen Zeitinformationen über das User Datagram Protocol (UDP) auf Port 123. Sie können NTP so konfigurieren, dass NTP-Clients auf Broadcast- oder Multicast-Frames mit Zeitaktualisierungen hören.
Seite 282: Stratum-Nummer
Zeiteinstellungen 13.5 NTP 13.5.1.1 Stratum-Nummer Ein NTP-Netzwerk bezieht seine Zeitinformationen von einer maßgeblichen Zeitquelle, wie z. B. Atom-/Funkuhren, GPS-Empfängern oder Modem-Zeitdiensten. Diese Zeitinformationen werden dann über NTP von Servern an Clients weitergeben. Die Anzahl der Hops zwischen einem Client und der maßgeblichen Zeitquelle wird durch die Stratum-Nummer angegeben. ①...
Seite 283: Ntp-Client
Zeiteinstellungen 13.5 NTP • NTP-Multicast-Server • Lokale Software-Uhr 13.5.1.3 NTP-Client Ein NTP-Client sendet in regelmäßigen Abständen Uhrzeitanfragen und synchronisiert dadurch aktiv seine Systemzeit. Dabei gleicht der NTP-Client durch Umrechnungen die Verzögerung aus, die durch die Übertragungszeit entsteht. Der Client kann seine Uhrzeitinformationen von verschiedenen Quellen beziehen: •...
Seite 284: Einen Ntp-Server Aktivieren
Zeiteinstellungen 13.5 NTP Um einen NTP-Server zu definieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter NTP Unicast Server klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3.
Seite 285: Iburst Aktivieren
Zeiteinstellungen 13.5 NTP 3. Unter Maxpoll [s] definieren Sie den größten Wert des Abfrageintervalls in Sekunden als Potenz mit der Basis 2. Bedingung: – Eine Zahl zwischen 4 und 17 Default: 10 Der Wert 10 entspricht 2 (1024 Sekunden). 4. Bestätigen Sie die Änderungen. 13.5.2.5 iBurst aktivieren iBurst (initial Burst) erhöht die Anzahl der Frames pro Abfrageintervall, wenn der NTP-Server...
Seite 286: Die Ntp-Konfiguration Anzeigen
Zeiteinstellungen 13.5 NTP Um NTP zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Time Synchronisation ≫ NTP Client. 2. Unter Network Time Protocol (NTP) Client ändern Sie den Parameter NTP Client in Enabled. 3. Bestätigen Sie die Änderung. 13.5.3 Die NTP-Konfiguration anzeigen Um die NTP-Konfiguration des Geräts anzuzeigen, navigieren Sie zu System ≫...
Seite 287: Multicast-Filterung
Multicast-Filterung In diesem Kapitel werden Funktionen im Zusammenhang mit der Multicast-Filterung beschrieben. Sie verwenden die Multicast-Filterung, um den Multicast-Datenverkehr durch Multicast-Gruppenmitgliedschaften zu steuern. 14.1 Statische Multicast-Gruppen In diesem Abschnitt wird beschrieben, wie Sie statische Einträge für bekannte Multicast- Gruppen festlegen. 14.1.1 Statische Multicast-Gruppen konfigurieren Um statische Multicast-Gruppen zu konfigurieren, gehen Sie wie folgt vor:...
Seite 288: Traffic-Klassen Für Statische Multicast-Gruppen Auswählen
Multicast-Filterung 14.2 GMRP 14.1.1.2 Traffic-Klassen für statische Multicast-Gruppen auswählen Um die Traffic-Klasse für eine statische Multicast-Gruppe auszuwählen, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ Static. 2. Unter Static Multicast Filtering wählen Sie für die ausgewählte statische Multicast-Gruppe die Warteschlange einer Traffic-Klasse unter Traffic Class aus.
Seite 289: Multicast-Gruppen Mit Gmrp Beitreten/Verlassen
Multicast-Filterung 14.2 GMRP 14.2.1.1 Multicast-Gruppen mit GMRP beitreten/verlassen Im Folgenden wird beschrieben, wie GMRP die Mitgliedschaften in Multicast-Gruppen verwaltet. • Einer Multicast-Gruppe beitreten Wenn Endstationen einer Multicast-Gruppe beitreten wollen, senden sie eine GMRP-Join- Nachricht. Der Client-Switch, der die Join-Nachricht empfängt, fügt den Port, über den die Nachricht empfangen wurde, der in der Nachricht angegebenen Multicast-Gruppe hinzu.
Seite 290: Gmrp Konfigurieren
Multicast-Filterung 14.2 GMRP 14.2.2 GMRP konfigurieren Um GMRP zu konfigurieren, gehen Sie wie folgt vor: • Aktivieren Sie GMRP global. Für weitere Informationen siehe "GMRP aktivieren (Seite 290)". • Legen Sie den GMRP-Modus für ausgewählte Bridge-Ports fest. Der GMRP-Modus bestimmt, wie einzelne Bridge-Ports die GMRP-Nachrichten verarbeiten. Für weitere Informationen siehe "Den GMRP-Modus pro Bridge-Port auswählen (Seite 290)".
Seite 291: Eine Verzögerung Vor Dem Verlassen Einer Multicast-Gruppe Konfigurieren
Multicast-Filterung 14.2 GMRP Um zu konfigurieren, wie eine Bridge-Port-Schnittstelle GMRP-Nachrichten verarbeitet, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) konfigurieren Sie die GMRP Mode für den ausgewählten Bridge-Port.
Seite 292: Konfigurationsbeispiele
Multicast-Filterung 14.2 GMRP Um die Überflutung bei Topologieänderungen zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu Layer 2 ≫ Multicast Filtering ≫ GMRP. 2. Unter GARP Multicast Registration Protocol (GMRP) ändern Sie die Einstellung Topology Change Flooding in Enabled. 3.
Seite 293: Konfiguration
Multicast-Filterung 14.3 IGMP-Snooping Konfiguration 1. Verbinden Sie die Geräte wie in der Topologie dargestellt. 2. Aktivieren Sie GMRP global an allen Switches (also Switch A, B, C, D und E). 3. Konfigurieren Sie Schnittstellen für jeden Switch, um GMRP-Nachrichten zu verarbeiten (d.h. Schnittstelle A1, A2, B1, B2 usw.).
Seite 294: Wissenswertes Zum Igmp-Snooping
Multicast-Filterung 14.3 IGMP-Snooping 14.3.1 Wissenswertes zum IGMP-Snooping Einige Switches leiten standardmäßig Multicast-Ströme unaufgefordert an alle Schnittstellen in einem VLAN weiter und zwingen dadurch einige Hosts in der Broadcast-Domäne dazu, Multicast-Datenverkehr zu verarbeiten, den sie nicht angefordert haben. Daraus resultiert, dass diese Hosts unnötigerweise viele anderweitig benötigte Ressourcen verbrauchen und möglicherweise einem Denial-of-Service-Angriff ausgesetzt werden.
Seite 295: Igmp-Snooping-Querier
Multicast-Filterung 14.3 IGMP-Snooping Beispiel: Die IP-Multicast-Adresse W.X.Y.Z entspricht der MAC-Adresse 01-00-5E-XX-YY-ZZ. Dabei sind XX die niederen 7 Bits von X, und YY und ZZ sind Y und Z in Hexadezimalcodierung. Hinweis Beachten Sie, dass IP-Multicast-Adressen wie 224.1.1.1 und 225.1.1.1 beide der gleichen MAC- Adresse (z.
Seite 296: Igmp-Snooping Konfigurieren
Multicast-Filterung 14.3 IGMP-Snooping • Wenn der Querier-Auswahlvorgang abgeschlossen ist, gibt IGMP vom gewählten Querier empfangene Abfragen weiter. • Wenn IGMP-Frames weitergeleitet werden, sendet der Querier allgemeine IGMP-Abfragen und ordnet eine Quell-IP-Adresse von 0.0.0.0 zu. 14.3.2 IGMP-Snooping konfigurieren Um IGMP-Snooping zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 297: Die Igmp-Version Auswählen
Multicast-Filterung 14.3 IGMP-Snooping 14.3.2.2 Die IGMP-Version auswählen Die IGMP-Version bestimmt, welche Art von IGMP-Nachrichten von der Bridge gesendet und empfangen werden können. • Wenn IGMPv2 aktiviert ist, können IGMPv3-Nachrichten nur gesendet, aber nicht empfangen werden. • Wenn IGMPv3 aktiviert ist, können alle IGMP-Nachrichten sowohl gesendet als auch empfangen werden.
Seite 298: Das Igmp-Abfrageintervall Konfigurieren
Multicast-Filterung 14.3 IGMP-Snooping 14.3.2.4 Das IGMP-Abfrageintervall konfigurieren Das IGMP-Abfrageintervall bestimmt, wie oft IGMP-Abfragen übertragen werden. Das Intervall wird in Sekunden zwischen zwei aufeinanderfolgenden Übertragungen gemessen. Das Abfrageintervall bestimmt außerdem, wann dynamisch gelernte Multicast-Gruppen veralten. Der Alterungszeitraum beträgt 2 x { Intervall } + 10 Sekunden. Um das IGMP-Abfrageintervall zu konfigurieren, gehen Sie wie folgt vor: 1.
Seite 299: Die Multicast-Router-Weiterleitung Konfigurieren
Multicast-Filterung 14.3 IGMP-Snooping 14.3.3 Die Multicast-Router-Weiterleitung konfigurieren Um die Multicast-Router-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor: 1. Aktivieren Sie die Multicast-Router-Weiterleitung. Für weitere Informationen siehe "Die Multicast-Router-Weiterleitung aktivieren (Seite 299)". 2. Konfigurieren Sie eine oder mehrere Multicast-Router-Schnittstellen. Für weitere Informationen siehe "Eine Multicast-Router-Schnittstelle konfigurieren (Seite 299)".
Seite 300: Datenbank Für Die Multicast-Filterung
Multicast-Filterung 14.4 Datenbank für die Multicast-Filterung Die folgenden Informationen werden unter IGMP Snooping Status angezeigt: Parameter Beschreibung Interface Der Bridge-Port, an dem die Multicast-Gruppe gelernt wurde. VLAN ID Die VLAN-ID des VLAN, auf dem die Multicast-Gruppe arbeitet. Address Die IPv4-Zieladresse der Multicast-Gruppe. Last Reporter Die IPv4-Adresse des Host, der zuletzt einen Bericht zum Bei‐...
Seite 301: Diagnose
Diagnose 15.1 Diagnose In diesem Kapitel werden die verfügbaren Diagnosewerkzeuge beschrieben. 15.2 Systemstatus In diesem Abschnitt wird beschrieben, wie Sie den Systemzustand überwachen, einschließlich Betriebszeit, letzter Neustart usw. 15.2.1 Die Systemstartzeit anzeigen Um das Datum und die Uhrzeit anzuzeigen, zu denen das Gerät zum letzten Mal neu gestartet wurde, navigieren Sie zu System ≫...
Seite 302: Wissenswertes Zur Systemprotokollierung
Diagnose 15.3 Systemprotokollierung Spezifische Ereignisse, typischerweise solche, die eine sofortige Behebung erfordern, können bei Auftreten auch per E-Mail und/oder SNMP-Benachrichtigungen an die Netzwerkadministratoren gesendet werden. 15.3.1 Wissenswertes zur Systemprotokollierung Das Systemprotokoll (Syslog) speichert alle Ereignismeldungen, die von verschiedenen Systemkomponenten unter SINEC OS erzeugt werden. Das Systemprotokoll wird durch ein Logbuch angezeigt.
Seite 303: Schweregrade
Diagnose 15.3 Systemprotokollierung 15.3.1.2 Schweregrade Jeder Ereignismeldung im Systemprotokoll ist einer der folgenden Standard-Schweregrade zugeordnet: Schweregrad Wert Beschreibung des Ereignis‐ Emergency Weist auf einen schweren Fehler hin, der den weiteren Betrieb des Geräts verhindert. Alert Weist auf einen Fehler hin, der sofortige Aufmerksamkeit erfordert. Critical Weist auf einen Ausfall des Primärsystems hin, beispielsweise Geräte‐...
Seite 304: Ereignisfilter
Diagnose 15.3 Systemprotokollierung 15.3.1.5 Ereignisfilter Der Systemprotokollierungsdienst umfasst einen Filtermechanismus. Logbuchfilter Im Logbuch können Ereignismeldungen mithilfe einer Filterregel herausgefiltert werden. Diese Regel gibt einen Schweregrad an und teilt dem System mit, ob nur Meldungen mit diesem Schweregrad oder Meldungen mit diesem Schweregrad und höher angezeigt werden sollen. Wenn beispielsweise eine Regel besagt, dass nur Meldungen mit dem Schweregrad "critical"...
Seite 305: Systemprotokoll Überwachen
Diagnose 15.3 Systemprotokollierung 4. Unter Server Address/FQDN geben Sie die IPv4-Adresse oder den Hostnamen des Remote- Syslog-Servers ein. 5. Unter UDP Port geben Sie den Port ein, der dem Server zugewiesen ist. Default: 514 6. Bestätigen Sie die Änderungen. 15.3.3 Systemprotokoll überwachen In diesem Abschnitt wird beschrieben, wie Sie auf das Logbuch zugreifen und die Verbindungen des Remote-Servers überwachen.
Seite 306: Das Logbuch Löschen
Diagnose 15.4 Ereignismanagement 15.3.3.3 Das Logbuch löschen Um Einträge aus dem Logbuch zu löschen, gehen Sie wie folgt vor: Hinweis Durch das Löschen des Logbuchs wird das Systemprotokoll nicht gelöscht. 1. Navigieren Sie zu System ≫ Logging ≫ Logbook. 2. Unter Clear Logbook klicken Sie auf Clear. 15.4 Ereignismanagement Das Ereignismanagementsystem überwacht das Gerät aktiv und identifiziert spezifische...
Seite 307: Ressourcen Und Ereignisse
Diagnose 15.4 Ereignismanagement 15.4.1.2 Ressourcen und Ereignisse Die folgenden Ereignisse werden vom Gerät während des Betriebs überwacht. Jedes Ereignis ist nach Ressource (Subsystem) kategorisiert und hat einen zugehörigen Schweregrad. Die meisten Ereignisse generieren einen Alarm, der nach Bedarf aktiviert/deaktiviert werden kann. Hinweis Manche Funktionen stoßen ihre eigenen Ereignisse außerhalb des Ereignismanagementsystems an.
Seite 308: Alarme
Diagnose 15.4 Ereignismanagement Ereignisse im Switch-Management Die folgenden Ereignisse beziehen sich auf Switching-Aktivitäten wie Link Up und Link Down, Netzwerkschleifen, Topologieänderungen usw. Ressource Ereignis-ID Standard-Schweregrad switch-mgmt Bouncing-link Alert switch-mgmt Bpdu-guard-activated Alert switch-mgmt Bundle-port-inconsistent-speed Error switch-mgmt Ertm-target-ip-address-unresol‐ Alert switch-mgmt Fast-link-detection-disabled Warning switch-mgmt Gmrp-cannot-learn-more-addr‐...
Seite 309: Alarmtypen
Diagnose 15.4 Ereignismanagement Alarmtypen Es gibt zwei Arten von Alarmen: • Zustandsbezogen Zustandsbezogene Alarme werden generiert, wenn spezifische Bedingungen erkannt werden, die erst gelöscht werden können, wenn der Fehlerzustand behoben ist. Ein Beispiel für einen zustandsbezogenen Alarm ist der Alarm Stromversorgung defekt (Bad-power-supply).
Seite 310 Diagnose 15.4 Ereignismanagement PROFINET-Alarme Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Configuration Hinweis Statische Meldung Es wurde ein MRP- Überprüfen Sie die Konfigurationsfehler Konfiguration und "PROFINET configura‐ erkannt. Systemprotokolle auf tion invalid, conflict Details. detected."...
Seite 311 "LPE Module Remo‐ ved" Module-state Warning Statische Meldung Gibt den Zustand von Verwenden Sie nur SFP-Transceivern von Siemens zugelas‐ Keine und LPE-Modulen an. sene SFP-Transcei‐ Dynamische Mel‐ ver, die mit Ihrem Ge‐ Bei SFP-Transceivern dungen rät kompatibel sind. bedeutet dies, dass "Unknown SFP modu‐...
Seite 312 Diagnose 15.4 Ereignismanagement Alarme im Gerätemanagement Zugehöriges Ereignis Zustandsbezo‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung grad Authentication-failure Nein Warnung Statische Meldung Ein Benutzer oder Informieren Sie den Dienst hat die fal‐ Benutzer oder aktua‐ "A user failed to login schen Authentifizie‐ lisieren Sie den due to incorrect au‐...
Seite 313: Alarme Im Switch-Management
Wenn das Problem weiterhin besteht, Dynamische Mel‐ wenden Sie sich an dung den Siemens-Kun‐ "Bouncing link [ is | dendienst. was ] detected [ on port { Portnum‐ mer } ]." Bpdu-guard-activated Nein...
Seite 314 Fast-link-detection-di‐ Nein Warning Statische Meldung Die alarmgesteuerte Wenden Sie sich an sabled Linkerkennung ist den Siemens-Kun‐ "FLD disabled or am angegebenen dendienst. enabled on a port." Port deaktiviert. Dynamische Mel‐ dung "Bouncing link [ was ] detected [ on port { Portnummer } ] [, disabling FLD ]."...
Seite 315 Diagnose 15.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Loop-detection Alert Statische Meldung Es wurde eine lokale Prüfen Sie Ihr Netz‐ oder eine Remote- werk auf mögliche "Loop Detected on a Schleife erkannt. Der Netzwerkschleifen switch port."...
Seite 316 Ein Kabel oder die Hardware ist defekt. Unresolved-speed Nein Error Statische Meldung Die Geschwindig‐ Wenden Sie sich an keitseigenschaften den Siemens-Kun‐ "Unresolved speed des angegebenen dendienst. detected or disappea‐ Ports können nicht red on a port." ermittelt werden. Dynamische Mel‐ dung "[ Was ] [ Unable | un‐...
Seite 317 Diagnose 15.4 Ereignismanagement Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Gvrp-cannot-learn-mo‐ Alert Statische Meldung Das Gerät hat die ma‐ Sie können entweder re-vlans ximale Anzahl unter‐ statische VLANs ent‐ Keine stützter VLANs er‐ fernen oder warten, Dynamische Mel‐...
Seite 318: Alarme Protokollieren
Diagnose 15.4 Ereignismanagement Alarme protokollieren Zugehöriges Ereignis An einen Zu‐ Schwere‐ Alarmnachricht Beschreibung Empfohlene Lösung stand geknüpft grad Expired-certificate Nein Error Statische Meldung Das Zertifikat für eine Ersetzen Sie das Zer‐ TLS-Sitzung ist abge‐ tifikat für die angege‐ "The TLS certificate is laufen.
Seite 319: Alarme Löschen Und Quittieren
Diagnose 15.4 Ereignismanagement Folgende Informationen werden für jeden aktiven Alarm angezeigt: Parameter Beschreibung Date Time Datum und Uhrzeit, zu denen das Ereignis aufgetreten ist Resource Die Ressource (oder Subsystem), die dem Ereignis zugeordnet Event ID Name des Ereignisses Message Die Fehlermeldung Event Number Die Anzahl aktiver Instanzen des vom selben Ereignis ausgel‐...
Seite 320: Ausgewählte Alarme Quittieren
Diagnose 15.5 SMTP Ausgewählte Alarme quittieren Um einen spezifischen zustandsbezogenen Alarm zu quittieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ Events ≫ Active Alarms. 2. Unter Active Alarms klicken Sie in der Tabelle auf Acknowledge für den ausgewählten Alarm.
Seite 321: Austausch Zwischen Smtp-Client Und -Server
Diagnose 15.5 SMTP 15.5.1.1 Austausch zwischen SMTP-Client und -Server Wenn ein Ereignis eintritt und der zugehörige Alarm so konfiguriert ist, dass eine E-Mail- Benachrichtigung gesendet werden soll, initiiert der SMTP-Client auf dem Gerät eine TCP- Verbindung mit einem Remote-SMTP-Server. Anschließend kommt es zu folgendem Austausch zwischen dem SMTP-Client und dem Server: ①...
Seite 322: Smtp Konfigurieren
Diagnose 15.5 SMTP Date: { Datum } A new event is raised on device { Gerätename } (located at { Standort }) with the following details: Resource: { Ressource } Event ID: { Ereignis-ID } Severity: { Schweregrad } Time: { Datum und Uhrzeit } Serial number: { Seriennummer } Message: { Alarmnachricht } Beispiel...
Seite 323: Die Smtp-Serververbindung Testen
Diagnose 15.5 SMTP Um der Empfängerliste eine E-Mail-Adresse hinzuzufügen, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Recipients klicken Sie auf Add. Der Tabelle wird eine neue Zeile hinzugefügt. 3. Unter Email Address geben Sie die E-Mail-Adresse des neuen Empfängers ein. 4.
Seite 324: Die E-Mail-Adresse Des Kontos Konfigurieren
Diagnose 15.5 SMTP 15.5.3.1 Die E-Mail-Adresse des Kontos konfigurieren Um das E-Mail-Konto festzulegen, von dem SMTP alle Ereignisnachrichten sendet, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Account geben Sie unter Email Address die E-Mail-Adresse für das SMTP-Konto ein.
Seite 325: Das Smtp-Serverprofil Konfigurieren
Diagnose 15.5 SMTP 15.5.4.1 Das SMTP-Serverprofil konfigurieren Um das Profil für den zum Verteilen von E-Mail-Benachrichtigungen verwendeten SMTP-Server zu konfigurieren, gehen Sie wie folgt vor: 1. Navigieren Sie zu System ≫ SMTP Client. 2. Unter SMTP Server geben Sie in der Spalte Server Address/FQDN den Hostnamen oder die IP-Adresse des SMTP-Servers ein.
Seite 326: Den Smtp-Benutzer Konfigurieren
Diagnose 15.5 SMTP Um den SMTP-Client für die eigene Authentifizierung zu konfigurieren, gehen Sie wie folgt vor: 1. Richten Sie ein Konto auf dem SMTP-Server ein. Notieren Sie sich den Benutzernamen und das Passwort des eingerichteten Kontos. 2. Konfigurieren Sie den SMTP-Client so, dass er diese Anmeldedaten beim Aufbau der Verbindung zum SMTP-Server eingibt.
Seite 327: Konfigurationsbeispiele
Diagnose 15.5 SMTP 15.5.6 Konfigurationsbeispiele Nachfolgend finden Sie Beispiele für den Einsatz von SMTP. 15.5.6.1 SMTP für den Versand von Ereignisbenachrichtigungen konfigurieren In diesem Beispiel wird gezeigt, wie Sie das Gerät konfigurieren, damit es einer Gruppe von Administratoren E-Mail-Benachrichtigungen sendet. Die folgende Topologie zeigt einen SMTP-Client, der E-Mail-Benachrichtigungen an einen Remote-SMTP-Server, ATSNSer6, an Port 25 sendet.
Seite 328: Spiegelung Von Datenverkehr
Diagnose 15.6 Spiegelung von Datenverkehr 15.6 Spiegelung von Datenverkehr Die Spiegelung von Datenverkehr ist eine Layer-2-Funktion, mit der Sie einen oder mehrere Datenverkehrsströme spiegeln können, um damit den Datenverkehr zu überwachen und zu analysieren. Gespiegelter Datenverkehr wird an einen externen Packet Analyzer/Sniffer weitergeleitet.
Seite 329: Spiegelung Von Datenverkehr Anwenden
Diagnose 15.6 Spiegelung von Datenverkehr Spiegelungsziele Ein Spiegelungsziel kann ein bestimmter Bridge-Port oder eine IP-Adresse sein, an den/die der gespiegelte Datenverkehr weitergeleitet wird. Verwenden Sie einen speziellen Bridge-Port, wenn der Packet Analyzer/Sniffer direkt mit dem Gerät oder einem anderen Gerät im gleichen Netzwerk verbunden ist. Alternativ kann gespiegelter Verkehr mittels Encapsulated Remote Traffic Mirroring (ERTM) weitergeleitet werden, wenn der Packet Analyzer/Sniffer über eine IP-Adresse erreichbar ist.
Seite 330: Eine Datenverkehrsquelle Auswählen
Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.1 Eine Datenverkehrsquelle auswählen In einer Sitzung für die Spiegelung von Datenverkehr können mehrere Datenverkehrsquellen definiert werden. Die Quellen können Datenverkehrsströme sein, die über eine Schnittstelle empfangen und/oder weiterleitet werden und/oder zu einem bestimmten VLAN gehören. Um eine Datenverkehrsquelle auszuwählen, gehen Sie wie folgt vor: 1.
Seite 331: Ein Spiegelungsziel Definieren
Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.2 Ein Spiegelungsziel definieren Gespiegelter Datenverkehr kann an eine Schnittstelle oder an eine IP-Adresse weitergeleitet werden. ACHTUNG Konfigurationsrisiko – Gefahr von Verbindungsverlust Bridge-Ports, die für die Verwaltung des Geräts eingesetzt werden, sollten nicht als Ziel für gespiegelten Datenverkehr gewählt werden.
Seite 332: Die Spiegelung Von Datenverkehr Aktivieren
Diagnose 15.6 Spiegelung von Datenverkehr 15.6.2.3 Die Spiegelung von Datenverkehr aktivieren Standardmäßig ist die Spiegelung von Datenverkehr deaktiviert. ACHTUNG Konfigurationsrisiko – Gefahr des Verbindungsverlusts Wenn die Spiegelung von Datenverkehr aktiviert ist, wird der ausgewählte Zielport automatisch aus allen VLANs entfernt und in den Modus Switchport geschaltet. Alle aktiven Sitzungen an diesem Port werden geschlossen und über diesen Port ist kein Zugriff auf das Gerät mehr möglich.
Seite 333: Remote Traffic Mirroring Konfigurieren
Diagnose 15.7 Kabeldiagnose Um jeden Switch zu konfigurieren, gehen Sie wie folgt vor: 1. Stellen Sie als Quelle Bridge-Port ethernet0/1 ein. Für weitere Informationen siehe "Eine Datenverkehrsquelle auswählen (Seite 330)". 2. Stellen Sie als Ziel Bridge-Port ethernet0/2 ein. Für weitere Informationen siehe "Ein Spiegelungsziel definieren (Seite 331)". 3.
Seite 334: Einen Kabeldiagnosetest Durchführen
Diagnose 15.7 Kabeldiagnose 15.7.1 Einen Kabeldiagnosetest durchführen Um einen Kabeldiagnosetest mit einem Ethernetkabel durchzuführen, gehen Sie wie folgt vor: Hinweis Ein Kabeldiagnosetest an einem einzelnen Bridge-Port dauert durchschnittlich eine bis zwei Sekunden. Hinweis Kabeldiagnosetests können gleichzeitig an mehreren Ports durchgeführt werden. Hinweis Kabeldiagnosetests können nur an Ethernet-Kupferkabeln durchgeführt werden.
Seite 335: Die Ergebnisse Der Kabeldiagnose Anzeigen
Diagnose 15.7 Kabeldiagnose 15.7.3 Die Ergebnisse der Kabeldiagnose anzeigen Die Testergebnisse sind unter Interfaces ≫ Ethernet interfaces ≫ Cable Diagnostics verfügbar und werden unmittelbar nach der Durchführung eines Diagnosetests angezeigt. Folgende Informationen werden für jeden getesteten Bridge-Port angezeigt: Parameter Beschreibung Diagnostic State Der aktuelle Zustand des Kabeldiagnosetests.
Seite 336 Diagnose 15.7 Kabeldiagnose Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...
Seite 337: Fehlerbehebung
Dieses Kapitel beschreibt Fehler, die bei der Arbeit mit SINEC OS oder bei der Entwicklung eines Netzwerks auftreten können und entsprechende Hilfestellungen. Hinweis Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Siemens-Kundendienst. 16.1 Das Gerät befindet sich in einer Neustart-Schleife Das Gerät führt pausenlos Neustarts durch und Sie können nicht mehr auf das Gerät zugreifen.
Seite 338 Fehlerbehebung 16.1 Das Gerät befindet sich in einer Neustart-Schleife Web User Interface (Web UI) SINEC OS V2.1 Projektierungshandbuch, 04/2022, C79000-G8900-C497-03...

Diese Anleitung auch für:

Scalance xcm-300 Scalance xrh-300 Scalance xrm-300

Siemens SCALANCE XCH-300 Projektierungshandbuch

Quicklinks

Fehlerbehebung

Verwandte Anleitungen für Siemens SCALANCE XCH-300

Inhaltszusammenfassung für Siemens SCALANCE XCH-300