Anwender-Handbuch. Grundkonfiguration Industrial ETHERNET (Gigabit-) Switch Power MICE, MACH Basic - L3E Release /07

Transkript

1 Anwender-Handbuch Grundkonfiguration Industrial ETHERNET (Gigabit-) Switch Power MICE, MACH 4000 Technische Unterstützung

2 Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, daß solche Namen im Sinne der Warenzeichenund Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften Hirschmann Automation and Control GmbH Handbücher sowie Software sind urheberrechtlich geschützt. Alle Rechte bleiben vorbehalten. Das Kopieren, Vervielfältigen, Übersetzen, Umsetzen in irgendein elektronisches Medium oder maschinell lesbare Form im Ganzen oder in Teilen ist nicht gestattet. Eine Ausnahme gilt für die Anfertigungen einer Sicherungskopie der Software für den eigenen Gebrauch zu Sicherungszwecken. Bei Geräten mit eingebetteter Software gilt die Endbenutzer-Lizenzvereinbarung auf der mitgelieferten CD. Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluß ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewährleistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift. Hirschmann haftet in keinem Fall für irgendwelche Schäden, die in irgendeinem Zusammenhang mit der Nutzung der Netzkomponenten oder ihrer Betriebssoftware entstehen. Im übrigen verweisen wir auf die im Lizenzvertrag genannten Nutzungsbedingungen. Printed in Germany (9.7.07) Hirschmann Automation and Control GmbH Stuttgarter Straße Neckartenzlingen Telefon

3 Inhalt Inhalt Inhalt 3 Über dieses Handbuch 9 Legende 11 Einleitung 13 1 Zugang zu den Bedienoberflächen System-Monitor Command Line Interface Web based Interface 22 2 IP-Parameter eingeben Grundlagen IP-Parameter IP-Adresse (Version 4) Netzmaske Beispiel für die Anwendung der Netzmaske IP-Parameter über das CLI eingeben IP-Parameter über HiDiscovery eingeben System-Konfiguration vom ACA laden System-Konfiguration über BOOTP System-Konfiguration über DHCP System-Konfiguration über DHCP Option System-Konfiguration über das Web-based Interface Defekte Geräte ersetzen 52 3

4 Inhalt 3 Einstellungen laden/speichern Einstellungen laden Laden aus lokalem nicht-flüchtigen Speicher Laden vom AutoConfiguration Adapter Laden aus einer Datei Konfiguration in den Lieferzustand versetzen Einstellungen speichern Lokal (und auf den ACA) speichern Speichern in eine Datei auf URL Speichern in eine Binär-Datei auf den PC Speichern als Script auf den PC 61 4 Neueste Software laden Software vom ACA laden Auswahl der zu ladenden Software Starten der Software Kaltstart durchführen Software vom tftp-server laden Software über Datei-Auswahl laden 70 5 Ports konfigurieren 71 6 Schutz vor unberechtigtem Zugriff Passwort für SNMP-Zugriff Beschreibung Passwort für SNMP-Zugriff Passwort für SNMP-Zugriff eingeben Telnet-/Web-/SSH-Zugriff Beschreibung Telnet-Zugriff Beschreibung Web-Zugriff Beschreibung SSH-Zugriff Telnet-/Web-/SSH-Zugriff aus-/einschalten HiDiscovery-Funktion ausschalten Beschreibung HiDiscovery-Protokoll HiDiscovery-Funktion ausschalten Portzugangskontrolle Portzugangskontrolle Portzugangskontrolle festlegen 87 4

5 Inhalt 6.5 Portauthentifizierung nach 802.1X Beschreibung Portauthentifizierung nach 802.1X Authentifizierungsablauf Vorbereitung des Switch für die 802.1X-Portauthentifizierung X Einstellung Zugriffs-Kontroll-Listen (ACL) Beschreibung IP-basierte ACLs Beschreibung MAC-basierte ACLs IP-ACLs konfigurieren MAC-ACLs konfigurieren Priorisierung mit IP-ACLs konfigurieren Reihenfolge der Regeln festlegen Die Systemzeit im Netz synchronisieren Uhrzeit eingeben SNTP Beschreibung SNTP Vorbereitung der SNTP-Konfiguration Konfiguration SNTP Precison Time Protocol Funktionsbeschreibung PTP Vorbereitung der PTP-Konfiguration Konfiguration PTP Interaktion von PTP und SNTP Netzlaststeuerung Gezielte Paketvermittlung Store and Forward Multiadress-Fähigkeit Altern gelernter Adressen Statische Adresseinträge eingeben Gezielte Paketvermittlung ausschalten 127 5

6 Inhalt 8.2 Multicast-Anwendung Beschreibung Multicast-Anwendung Beispiel für eine Multicast-Anwendung Beschreibung IGMP-Snooping Beschreibung GMRP Multicast-Anwendung einstellen Lastbegrenzer Beschreibung Lastbegrenzer Lastbegrenzer Einstellung für MACH 4000 und Power MICE Priorisierung - QoS Beschreibung Priorisierung VLAN-Tagging IP ToS / DiffServ Behandlung empfangener Prioritätsinformationen Handhabung der Prioritätsklassen Priorisierung einstellen Flusskontrolle Beschreibung Flusskontrolle Flusskontrolle einstellen VLANs Beschreibung VLANs VLANs konfigurieren VLAN einrichten VLAN-Konfiguration anzeigen VLAN-Einstellungen löschen Beispiel für ein einfaches VLAN Funktionsdiagnose Alarmmeldungen versenden Auflistung der SNMP-Traps SNMP-Traps beim Booten Trapeinstellung Gerätestatus überwachen 177 6

7 Inhalt 9.3 Out-of-band-Signalisierung Meldekontakt steuern Funktionsüberwachung mit Meldekontakt Gerätestatus mit Meldekontakt überwachen Port-Zustandsanzeige Ereigniszähler auf Portebene SFP-Zustandsanzeige TP-Kabeldiagnose Topologie-Erkennung Beschreibung Topologie-Erkennung Anzeige der Topologie-Erkennung IP-Adresskonflikte erkennen Beschreibung IP-Adresskonflikte ACD konfigurieren ACD anzeigen Berichte Datenverkehr eines Ports beobachten (Portmirroring) 199 Anhang A: Konfigurationsumgebung einrichten 201 A.1 DHCP/BOOTP-Server einrichten 202 A.2 DHCP-Server Option 82 einrichten 208 A.3 tftp-server für SW-Updates 213 A.3.1 tftp-prozeß einrichten 214 A.3.2 Software-Zugriffsrechte 217 A.4 SSH-Zugriff vorbereiten 218 A.4.1 Schlüssel erzeugen 218 A.4.2 Schlüssel hochladen 220 A.4.3 Zugriff mittels SSH 221 Anhang B: Allgemeine Informationen 223 B.1 Hirschmann Competence 224 B.2 Häufig gestellte Fragen 225 7

8 Inhalt B.3 Management Information BASE MIB 226 B.4 Verwendete Abkürzungen 229 B.5 Liste der RFCs 230 B.6 Zugrundeliegende IEEE-Normen 232 B.7 Technische Daten 233 B.8 Copyright integrierter Software 234 B.8.1 Bouncy Castle Crypto APIs (Java) 234 B.8.2 LVL7 Systems, Inc. 234 B.9 Leserkritik 235 Stichwortverzeichnis 237 8

9 Über dieses Handbuch Über dieses Handbuch Das Anwender-Handbuch Grundkonfiguration enthält alle Informationen, die Sie zur Inbetriebnahme des Switch benötigen. Es leitet Sie Schritt für Schritt von der ersten Inbetriebnahme bis zu den grundlegenden Einstellungen für einen Ihrer Umgebung angepassten Betrieb. In der Praxis hat sich folgende thematische Reihenfolge bewährt: D Gerätezugang zur Bedienung herstellen durch Eingabe der IP-Parameter, D Stand der Software prüfen, gegebenenfalls die Software aktualisieren, D Konfiguration laden/speichern, D Ports konfigurieren, D Schutz vor unberechtigtem Zugriff gewährleisten, D Datenübertragung optimieren durch Netzlaststeuerung, D Systemzeit im Netz synchronisieren, D Funktionsdiagnose. Das Anwender-Handbuch Installation enthält eine Gerätebeschreibung, Sicherheitshinweise, Anzeigebeschreibung und alle weiteren Informationen, die Sie zur Installation des Gerätes benötigen bevor Sie mit der Konfiguration des Gerätes beginnen. Das Anwender-Handbuch Redundanzkonfiguration enthält alle Informationen, die Sie zur Auswahl des geeigneten Redundanzverfahrens und dessen Konfiguration benötigen. Das Anwender-Handbuch Industrie-Protokolle beschreibt die Anbindung des Switch über ein in der Industrie übliches Kommunikationsprotokoll wie z.b. EtherNet/IP und PROFINET. 9

10 Über dieses Handbuch Das Anwender-Handbuch Routing-Konfiguration enthält alle Informationen, die Sie zur Inbetriebnahme der Routing-Funktion benötigen. Es leitet Sie Schritt für Schritt von einer kleinen Router-Anwendung bis hin zur Router-Konfiguration eines komplexen Netzes. Das Handbuch versetzt Sie in die Lage, durch Ableitung aus den Beispielen Ihre Router zu konfigurieren. Detaillierte Beschreibungen zur Bedienung der einzelnen Funktionen finden Sie in den Referenz-Handbüchern Web-based Interface und Command Line Interface. Die Netzmanagement Software HiVision bietet Ihnen weitere Möglichkeiten zur komfortablen Konfiguration und Überwachung: D Ereignislogbuch. D Konfiguration von System Location und System Name. D Konfiguration des Netzadressbereichs und der SNMP-Parameter. D Speichern der Konfiguration auf den Switch. D Gleichzeitige Konfiguration mehrerer Switche. D Konfiguration der Portanzeigefarbe Rot für einen Verbindungsfehler. 10

11 Legende Legende Die in diesem Handbuch verwendeten Auszeichnungen haben folgende Bedeutungen: D Aufzählung V Arbeitsschritt U Zwischenüberschrift Kennzeichnet einen Querverweis mit hinterlegter Verknüpfung. Hinweis: Ein Hinweis betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit auf eine Abhängigkeit. Schriftart Courier ASCII-Darstellung in Bedienoberfläche Ausführung in der Bedieneroberfläche Web-based Interface Ausführung in der Bedieneroberfläche Command Line Interface Verwendete Symbole: Router Switch Bridge 11

12 Legende Hub Beliebiger Computer Konfigurations-Computer Server 12

13 Einleitung Einleitung Der Switch ist für die Praxis in der rauhen Industrie-Umgebung entwickelt. Dementsprechend einfach ist die Installation. Mit wenigen Einstellungen können Sie dank der gewählten Voreinstellungen den Switch sofort in Betrieb nehmen. 13

14 Einleitung 14

15 Zugang zu den Bedienoberflächen 1 Zugang zu den Bedienoberflächen Der Switch hat drei Bedieneroberflächen, die Sie über unterschiedliche Schnittstellen erreichen: D System-Monitor über die V.24-Schnittstelle (out-of-band), D Command Line Interface (CLI) über den V.24-Anschluß (out-of-band) und Telnet (in-band), D Web-base Interface über Ethernet (in-band). 15

16 Zugang zu den Bedienoberflächen 1.1 System-Monitor 1.1 System-Monitor Der System-Monitor ermöglicht D die Auswahl der zu ladenden Software, D die Durchführung eines Update der Software, D Starten der ausgewählten Software, D Beenden des System-Monitor, D Löschen der gespeicherten Konfiguration und D Anzeige der Bootcode-Information. U Öffnen des System-Monitors V Verbinden Sie mit Hilfe des Terminalkabels (siehe Zubehör) die RJ11-Buchse V.24 mit einem Terminal oder einem COM -Port eines PCs mit Terminalemulation nach VT100 (physikalische Anbindung siehe Anwender-Handbuch Installation ). Speed Data Parity Stopbit Handshake Baud 8 bit none 1 bit off Tab. 1: Übertragungsparameter V Starten Sie das Terminalprogramm auf dem PC und stellen Sie eine Verbindung mit dem Switch her. Beim Booten des Switch erscheint auf dem Terminal die Meldung Press <1> to enter System Monitor 1. 16

17 Zugang zu den Bedienoberflächen 1.1 System-Monitor < PowerMICE MS (Boot) Release: 1.00 Build: :36 > Press <1> to enter System Monitor Abb. 1: Bildschirmansicht beim Bootvorgang V Drücken Sie innerhalb von einer Sekunde die <1>-Taste, um den System-Monitor 1 zu starten. 17

18 Zugang zu den Bedienoberflächen 1.1 System-Monitor System Monitor (Selected OS: L3P K16 ( :32)) 1 Select Boot Operating System 2 Update Operating System 3 Start Selected Operating System 4 End (reset and reboot) 5 Erase main configuration file sysmon1> Abb. 2: Bildschirmansicht System-Monitor 1 V Wählen Sie durch Eingabe der Zahl den gewünschten Menüpunkt aus. V Um ein Untermenü zu verlassen und zum Hauptmenü des System- Monitor 1 zurückzukehren, drücken Sie <ESC>. 18

19 Zugang zu den Bedienoberflächen 1.2 Command Line Interface 1.2 Command Line Interface Das Command Line Interface bietet Ihnen die Möglichkeit, alle Funktionen des Switch über eine lokale oder eine Fernverbindung zu bedienen. IT-Spezialisten finden im Command Line Interface die gewohnte Umgebung zur Konfiguration von IT-Geräten. Die Skriptfähigkeit des Command Line Interfaces versetzt Sie u.a. in die Lage, mehrere Geräte mit gleichen Konfigurationsdaten zu speisen. Eine detaillierte Beschreibung des Command Line Interface finden Sie im Referenz-Handbuch Command Line Interface. Zugang zum Command Line Interface haben Sie über D den V.24-Port (out-of-band) oder D Telnet (in-band), D SSH (in-band). Hinweis: Zur Erleichterung der Eingabe bietet Ihnen das CLI die Möglichkeit, Schlüsselwörter abzukürzen. Tippen Sie den Beginn eines Schlüsselwortes ein. Mit dem Betätigen der Tabulatortaste ergänzt das CLI das Schlüsselwort. U Öffnen des Command Line Interfaces V Verbinden Sie den Switch über V.24 mit einem Terminal oder einem COM -Port eines PCs mit Terminalemulation nach VT100 und drücken Sie eine Taste (siehe Öffnen des System-Monitors auf Seite 16) oder rufen Sie das Command Line Interface über Telnet auf. Auf dem Bildschirm erscheint ein Fenster für die Eingabe des Benutzernamens. Bis zu fünf Benutzer können auf das Command Line Interface zugreifen. 19

20 Zugang zu den Bedienoberflächen 1.2 Command Line Interface Copyright (c) Hirschmann Automation and Control GmbH All rights reserved PowerMICE Release L3P K16 (Build date :32) System Name: PowerMICE Mgmt-IP : Router-IP: Base-MAC : 00:80:63:51:74:00 System Time: :00:59 User: Abb. 3: Einloggen in das Command Line Interface Programm V Geben Sie einen Benutzernamen ein. Im Lieferzustand ist der Benutzername admin eingetragen. Drücken Sie die Eingabetaste. V Geben Sie das Passwort ein. Im Lieferzustand ist das Passwort private eingetragen. Drücken Sie die Eingabetaste. Sie können den Benutzernamen und das Passwort später im Command Line Interface ändern. Beachten Sie die Schreibweise in Groß-/Kleinbuchstaben. Der Start-Bildschirm erscheint. 20

21 Zugang zu den Bedienoberflächen 1.2 Command Line Interface NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. For the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) > Abb. 4: CLI-Bildschirm nach dem Einloggen 21

22 Zugang zu den Bedienoberflächen 1.3 Web based Interface 1.3 Web based Interface Das komfortable Web-based Interface gibt Ihnen die Möglichkeit, den Switch von jedem beliebigen Ort im Netz über einen Standard- Browser wie Mozilla Firefox oder Microsoft Internet Explorer zu bedienen. Der Web Browser als universelles Zugriffstool zeigt ein Applet an, das mit dem Switch über das Simple Network Management Protokoll (SNMP) Daten austauscht. Das Web-based Interface ermöglicht Ihnen eine grafische Konfiguration des Switch. U Öffnen des Web-based Interfaces Zum Öffnen des Web-based Interface benötigen Sie einen Web Browser (Programm, das das Lesen von Hypertext ermöglicht), zum Beispiel den Mozilla Firefox ab der Version 1 oder den Microsoft Internet Explorer ab der Version 6. Hinweis: Das Web-based Interface verwendet das Plugin "Java Runtime Environment Version x, 1.5.x oder 6.x". Ist dieses nicht auf Ihrem Rechner installiert, wird beim ersten Aufrufen des Web-based Interfaces automatisch eine Installation über das Internet aufgerufen. Diese Installation ist sehr zeitaufwendig. Für Windows-Benutzer: Deshalb brechen Sie die Installation ab. Installieren Sie das Plugin von der beiliegenden CDROM. Hierzu starten Sie die Programmdatei jre-6-windows-i586.exe im Verzeichnis Java auf der CDROM. 22

23 Zugang zu den Bedienoberflächen 1.3 Web based Interface Doppelklick Abb. 5: Java installieren V Starten Sie Ihren Web Browser. V Stellen Sie sicher, daß in den Sicherheitseinstellungen Ihres Browsers Javascript und Java eingeschaltet ist. V Zur Herstellung der Verbindung geben Sie im Adressfeld des Web Browsers die IP-Adresse des Switch, den Sie mit dem Web-based Management administrieren möchten, in der folgenden Form ein: Auf dem Bildschirm erscheint das Login-Fenster. 23

24 Zugang zu den Bedienoberflächen 1.3 Web based Interface Abb. 6: Login-Fenster V Wählen Sie die gewünschte Sprache aus. V Wählen Sie im Login-Ausklappmenü user, um mit Leserecht oder admin, um mit Schreib- und Leserecht auf den Switch zuzugreifen. V Im Passwort-Feld ist das Passwort "public", mit dem Sie über Leserechte verfügen, vorgegeben. Wollen Sie mit Schreibrechten auf den Switch zugreifen, dann markieren Sie den Inhalt des Passwortfeldes und überschreiben ihn mit dem Passwort "private" (Lieferzustand). V Klicken Sie auf OK. Am Bildschirm erscheint die Web Site des Switch. Hinweis: Änderungen, die Sie an den Dialogen vornehmen, übernimmt der Switch, wenn Sie auf Schreiben klicken. Klicken Sie auf Laden, um die Anzeige zu aktualisieren. 24

25 Zugang zu den Bedienoberflächen 1.3 Web based Interface Hinweis: Durch eine Fehlkonfiguration können Sie sich den Zugang zum Switch versperren. Die eingeschaltete Funktion Konfigurationsänderung widerrufen im Laden/Speichern -Dialog ermöglicht Ihnen, nach Ablauf einer einstellbaren Zeitspanne automatisch wieder zur letzten Konfiguration zurückzukehren. Damit haben Sie wieder Zugriff auf den Switch. 25

26 Zugang zu den Bedienoberflächen 1.3 Web based Interface 26

27 IP-Parameter eingeben 2 IP-Parameter eingeben Bei der Erstinstallation des Switch ist die Eingabe der IP-Parameter notwendig. Der Switch bietet bei der Erstinstallation 6 Möglichkeiten zur Eingabe der IP- Parameter: D Eingabe mit Hilfe des Command Line Interfaces (CLI). Diese sogenannte out-of-band -Methode wählen Sie, wenn Sie Ihren Switch außerhalb seiner Betriebsumgebung vorkonfigurieren, Sie keinen Netzzugang ( in-band ) zum Switch haben (siehe IP-Parameter über das CLI eingeben auf Seite 34). D Eingabe mit Hilfe des HiDiscovery Protokolls. Diese sogenannte in-band -Methode wählen Sie, wenn der Switch bereits im Netz installiert ist oder Sie sonst eine Ethernet-Verbindung zwischen Ihrem PC und dem Switch haben (siehe IP-Parameter über HiDiscovery eingeben auf Seite 37). D Konfiguration mit Hilfe des AutoConfiguration Adapters (ACA). Diese Methode wählen Sie, wenn Sie einen Switch durch einen Switchdes gleichen Typs austauschen und zuvor die Konfiguration auf einem ACA gespeichert haben (siehe Laden vom AutoConfiguration Adapter auf Seite 55). D Eingabe über BOOTP. Diese sogenannte in-band -Methode wählen Sie, wenn Sie den bereits installierten Switch mittels BOOTP konfigurieren wollen. Hierzu benötigen Sie einen BOOTP-Server. Der BOOTP-Server ordnet dem Switch anhand seiner MAC-Adresse die Konfigurationsdaten zu (siehe System- Konfiguration über BOOTP auf Seite 42). Da der Switch mit der Einstellung DHCP-Modus für den Bezug der Konfigurationsdaten geliefert wird, erfordert diese Methode vorher die Umstellung in den BOOTP- Modus. D Konfiguration über DHCP. Diese sogenannte in-band -Methode wählen Sie, wenn Sie den bereits installierten Switch mittels DHCP konfigurieren wollen. Hierzu benötigen Sie einen DHCP-Server. Der DHCP-Server ordnet dem Switch anhand seiner MAC-Adresse oder seines Systemnamens die Konfigurationsdaten zu (siehe System-Konfiguration über DHCP auf Seite 46). 27

28 IP-Parameter eingeben D Konfiguration über DHCP Option 82. Diese sogenannte in-band -Methode wählen Sie, wenn Sie den bereits installierten Switch mittels DHCP Option 82 konfigurieren wollen. Hierzu benötigen Sie einen DHCP-Server mit der Option 82. Der DHCP-Server ordnet dem Switch anhand seiner physikalischen Anbindung die Konfigurationsdaten zu (siehe System-Konfiguration über DHCP Option 82 auf Seite 49). Verfügt der Switch schon über eine IP-Adresse und ist über das Netz erreichbar, dann bietet Ihnen das Web-based Interface eine weitere Möglichkeit, die IP-Parameter zu konfigurieren. 28

29 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter 2.1 Grundlagen IP-Parameter IP-Adresse (Version 4) Die IP-Adressen bestehen aus vier Bytes. Die vier Bytes werden durch einen Punkt getrennt, dezimal dargestellt. Seit 1992 sind im RFC 1340 fünf Klassen von IP-Adressen definiert. Class Netzadresse Hostadresse Adressbereich A 1 Byte 3 Bytes bis B 2 Bytes 2 Bytes bis C 3 Bytes 1 Byte bis D bis E bis Tab. 2: Klassen der IP-Adressen Die Netzadresse stellt den festen Teil der IP-Adresse dar. Das weltweit oberste Organ für die Vergabe von Netzadressen ist die iana (Internet Assigned Numbers Authority). Wenn Sie einen IP-Adressblock benötigen, dann kontaktieren Sie Ihren Internet-Service-Provider. Internet-Service-Provider wenden sich an ihre lokale übergeordnete Organisation: D APNIC (Asia Pacific Network Information Centre) - Asia/Pacific Region D ARIN (American Registry for Internet Numbers) - Americas and Sub-Sahara Africa D LACNIC (Regional Latin-American and Caribbean IP Address Registry) Latin America and some Caribbean Islands D RIPE NCC (Réseaux IP Européens) - Europe and Surrounding Regions 29

30 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter 0 Net ID - 7 bits Host ID - 24 bits Klasse A I 0 Net ID - 14 bits Host ID - 16 bits Klasse B I I 0 Net ID - 21 bits Host ID - 8 bit s Klasse C I I I 0 Multicast Group ID - 28 bits Klasse D I I I I reserved for future use - 28 b its Klasse E Abb. 7: Bitdarstellung der IP-Adresse Alle IP-Adressen, deren erstes Bit eine Null ist, das heißt die erste Dezimalzahl kleiner als 128 ist, gehören der Klasse A an. Ist das erste Bit einer IP-Adresse eine Eins und das zweite Bit eine Null, das heißt die erste Dezimalzahl liegt im Bereich von 128 bis 191, dann gehört die IP-Adresse der Klasse B an. Sind die ersten beiden Bits einer IP-Adresse eine Eins, das heißt die erste Dezimalzahl ist größer als 191, dann handelt es sich um eine IP-Adresse der Klasse C. Die Vergabe der Hostadresse (host id) obliegt dem Netzbetreiber. Er allein ist für die Einmaligkeit der IP-Adressen, die er vergibt, verantwortlich Netzmaske Router und Gateways unterteilen große Netze in Subnetze. Die Netzmaske ordnet die IP-Adressen der einzelnen Geräte einem bestimmten Subnetz zu. Die Einteilung in Subnetze mit Hilfe der Netzmaske geschieht analog zu der Einteilung in die Klassen A bis C der Netzadresse (net id). Die Bits der Hostadresse (host id), die die Maske darstellen sollen, werden auf Eins gesetzt. Die restlichen Bits der Hostadresse in der Netzmaske werden auf Null gesetzt (vgl. folgende Beispiele). 30

31 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für eine Netzmaske: dezimale Darstellung binäre Darstellung Subnetzmaskenbits Klasse B Beispiel für IP-Adressen mit Subnetzzuordnung nach der Netzmaske aus dem obigen Beispiel: dezimale Darstellung < Klasse B binäre Darstellung Subnetz 1 Netzadresse dezimale Darstellung < Klasse B binäre Darstellung Subnetz 2 Netzadresse 31

32 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Beispiel für die Anwendung der Netzmaske In einem großen Netz ist es möglich, daß Gateways oder Router den Management-Agenten von ihrer Managementstation trennen. Wie erfolgt in einem solchen Fall die Adressierung? Romeo Julia Lorenzo LAN 1 LAN 2 Abb. 8: Management-Agent durch Router von der Managementstation getrennt Die Managementstation Romeo möchte Daten an den Management-Agenten Julia schicken. Romeo kennt die IP-Adresse von Julia und weiß, daß der Router Lorenzo den Weg zu Julia kennt. Also packt Romeo seine Botschaft in einen Umschlag und schreibt als Zieladresse die IP-Adresse von Julia und als Quelladresse seine eigene IP- Adresse darauf. Diesen Umschlag steckt Romeo in einen weiteren Umschlag mit der MAC- Adresse von Lorenzo als Zieladresse und seiner eigenen MAC-Adresse als Quelladresse. Dieser Vorgang ist vergleichbar mit dem Übergang von der Ebene 3 zur Ebene 2 des ISO/OSI-Basis-Referenzmodells. Nun steckt Romeo das gesamte Datenpaket in den Briefkasten, vergleichbar mit dem Übergang von der Ebene 2 zur Ebene 1, dem Senden des Datenpaketes in das Ethernet. 32

33 IP-Parameter eingeben 2.1 Grundlagen IP-Parameter Lorenzo erhält den Brief, entfernt den äußeren Umschlag und erkennt auf dem inneren Umschlag, daß der Brief für Julia bestimmt ist. Er steckt den inneren Umschlag in einen neuen äußeren Umschlag, schaut in seiner Adressliste, der ARP-Tabelle, nach der MAC-Adresse von Julia und schreibt diese auf den äußeren Umschlag als Zieladresse und seine eigene MAC- Adresse als Quelladresse. Das gesamte Datenpaket steckt er anschließend in den Briefkasten. Julia empfängt den Brief, entfernt den äußeren Umschlag. Übrig bleibt der innere Umschlag mit Romeos IP-Adresse. Das Öffnen des inneren Umschlages und lesen der Botschaft entspricht einer Übergabe an höhere Protokollschichten des ISO/OSI-Schichtenmodells. Julia möchte eine Antwort an Romeo zurücksenden. Sie steckt ihre Antwort in einen Umschlag mit der IP-Adresse von Romeo als Zieladresse und ihrer eigenen IP-Adresse als Quelladresse. Doch wohin soll Sie die Antwort schicken? Die MAC-Adresse von Romeo hat sie ja nicht erhalten. Die MAC-Adresse von Romeo blieb beim Wechseln des äußeren Umschlags bei Lorenzo zurück. Julia findet in der MIB unter der Variablen hmnetgatewayipaddr Lorenzo als Vermittler zu Romeo. So steckt sie den Umschlag mit den IP-Adressen in einen weiteren Umschlag mit der MAC-Zieladresse von Lorenzo. Nun findet der Brief den gleichen Weg über Lorenzo zu Romeo, so wie der Brief von Romeo zu Julia fand. 33

34 IP-Parameter eingeben 2.2 IP-Parameter über das CLI eingeben 2.2 IP-Parameter über das CLI eingeben Sollten Sie weder über BOOTP/DHCP, DHCP Option 82, HiDiscovery Protokoll noch über den AutoConfiguration Adapter ACA das System konfigurieren, dann nehmen Sie die Konfiguration über die V.24-Schnittstelle mit Hilfe des CLI vor. Eintragen der IP-Adressen PC mit gestartetem Terminalprogramm an die RJ11-Buchse anschliessen Command Line Interface startet nach Tastendruck Einloggen und in den Privileged EXEC Modus wechseln DHCP ausschalten, IP-Parameter eintragen und speichern Ende Eintragen der IP-Adressen Abb. 9: Ablaufdiagramm Eintragen der IP-Adressen Sollten Sie in der Nähe des Installationsortes kein Terminal oder PC mit Terminalemulation zur Verfügung haben, dann können Sie vor der endgültigen Installation die IP-Paramter auch an Ihrem Arbeitsplatz eingeben. 34

35 IP-Parameter eingeben 2.2 IP-Parameter über das CLI eingeben V Stellen Sie gemäß Öffnen des Command Line Interfaces auf Seite 19 eine Verbindung mit dem Switch her. Der Start-Bildschirm erscheint. NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. For the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) > V Wechseln Sie in den Privileged EXEC Modus durch Eingabe von enable und anschließendem Drücken der Eingabetaste. V Schalten Sie DHCP aus durch Eingabe von network protocol none und anschließendem Drücken der Eingabetaste. V Geben Sie die IP-Parameter ein mit network parms <IP-Adresse> <Netzmaske> [<Gateway>] und drücken sie die Eingabetaste. D Lokale IP-Adresse Im Lieferzustand besitzt der Switch die lokale IP-Adresse D Netzmaske Haben Sie Ihr Netz in Subnetze aufgeteilt und identifizieren Sie diese mit einer Netzmaske, dann geben Sie an dieser Stelle die Netzmaske ein. Im Lieferzustand ist die Netzmaske eingetragen. 35

36 IP-Parameter eingeben 2.2 IP-Parameter über das CLI eingeben D IP-Adresse des Gateways Diese Eingabe ist nur notwendig, wenn sich der Switch und die Managementstation bzw. der tftp-server in unterschiedlichen Subnetzen befinden (siehe Beispiel für die Anwendung der Netzmaske auf Seite 32). Tragen Sie die IP-Adresse des Gateways ein, das das Subnetz mit dem Switch vom Pfad zur Managementstation trennt. Im Lieferzustand ist die IP-Adresse eingetragen. V Speichern Sie die eingegebene Konfiguration mit copy system:running-config nvram:startup-config und drücken Sie anschließend die Eingabetaste. Bestätigen Sie den Speichern-Wunsch mit y. NOTE: Enter '?' for Command Help. Command help displays all options that are valid for the 'normal' and 'no' command forms. For the syntax of a particular command form, please consult the documentation. (Hirschmann PowerMICE) >en (Hirschmann PowerMICE) #network protocol none (Hirschmann PowerMICE) #network parms (Hirschmann PowerMICE) #copy system:running-config nvram:startup-config Are you sure you want to save? (y/n) y Copy OK: bytes copied Configuration Saved! (Hirschmann PowerMICE) # Nach der Eingabe der IP Parameter können Sie den Switch über das Webbased Interface (siehe Referenz-Handbuch Web-based Interface ) komfortabel konfigurieren. 36

37 IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben 2.3 IP-Parameter über HiDiscovery eingeben Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Switch über das Ethernet IP-Parameter zuzuweisen. Weitere Parameter können Sie mit dem Web-based Interface (siehe Referenz-Handbuch Web-based Interface ) komfortabel konfigurieren. Installieren Sie die HiDiscovery-Software auf Ihrem PC. Die Software befindet sich auf der CD, die mit dem Switch ausgeliefert wurde. V Zur Installation starten Sie das Installationsprogramm auf der CD. Hinweis: Die Installation von HiDiscovery beinhaltet die Installation des Softwarepaketes WinPcap Version 3.0. Sollte bereits eine frühere Version von WinPcap auf dem PC vorhanden sein, dann deinstallieren Sie diese zuvor. Eine neuere Version bleibt bei der Installation von HiDiscovery erhalten. Dies kann jedoch nicht für alle zukünftigen Versionen von WinPcap garantiert werden. Für den Fall, daß die Installation von HiDiscovery eine neuere Version von WinPCap überschrieben haben sollte, deinstallieren Sie WinPcap 3.0 und installieren Sie danach wieder die neue Version. V Starten Sie das Programm HiDiscovery. Abb. 10: HiDiscovery 37

38 IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben Beim Start von HiDiscovery untersucht HiDiscovery automatisch das Netz nach Geräten, die das HiDiscovery-Protokoll unterstützen. HiDiscovery benutzt die erste gefundene Netzwerkkarte des PCs. Sollte Ihr Rechner über mehrere Netzwerkkarten verfügen, können Sie diese in HiDiscovery in der Werkzeugleiste auswählen. HiDiscovery zeigt für jedes Gerät, das auf das HiDiscovery Protokoll reagiert, eine Zeile an. HiDiscovery ermöglicht das Identifizieren der angezeigten Geräte. V Wählen Sie eine Gerätezeile aus. V Klicken Sie auf das Symbol mit den zwei grünen Punkten in der Werkzeugleiste, um das Blinken der LEDs des ausgewählten Gerätes einzuschalten. Ein weiteres Klicken auf das Symbol schaltet das Blinken aus. Mit einem Doppelklick auf eine Zeile öffnen Sie ein Fenster, in dem Sie den Gerätename und die IP-Parameter eintragen können. Abb. 11: HiDiscovery - IP-Parameter-Zuweisung Hinweis: Mit dem Eintragen der IP-Adresse übernimmt der Switch die lokalen Konfiguartionseinstellungen (siehe Einstellungen laden/speichern auf Seite 53). Hinweis: Schalten Sie aus Sicherheitsgründen im Web-based Interface die HiDiscovery-Funktion des Gerätes aus, nachdem Sie dem Gerät die IP-Parameter zugewiesen haben (siehe System-Konfiguration über das Web-based Interface auf Seite 50). 38

39 IP-Parameter eingeben 2.3 IP-Parameter über HiDiscovery eingeben Hinweis: Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe Einstellungen laden/speichern auf Seite 53). 39

40 IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden 2.4 System-Konfiguration vom ACA laden Der AutoConfiguration Adapter (ACA) ist ein Gerät D zum Speichern der Konfigurationsdaten eines Switch und D zum Speichern der Switch-Software. Der ACA ermöglicht beim Ausfall eines Switch eine denkbar einfache Konfigurationsdatenübernahme durch einen Ersatzswitch des gleichen Typs. Beim Starten des Switch prüft der Switch das Vorhandensein eines ACAs. Ist ein ACA mit gültigem Passwort und gültiger Software vorhanden, dann lädt der Switch die Konfigurationsdaten aus dem ACA. Das Passwort ist gültig, wenn D das Passwort im Switch mit dem Passwort im ACA übereinstimmt oder D das voreingestellte Passwort im Switch eingegeben ist. Um die Konfigurationsdaten im ACA zu speichern siehe Lokal (und auf den ACA) speichern auf Seite

41 IP-Parameter eingeben 2.4 System-Konfiguration vom ACA laden Switch starten ACA vorhanden? Nein Ja Passwort im Switch und ACA identisch? Nein Voreingestelltes Passwort im Switch? Nein Ja Ja Konfiguration vom ACA laden ACA-LEDs blinken synchron Konfiguration aus lokalem Speicher laden ACA-LEDs blinken alternierend Konfigurationsdaten geladen Abb. 12: Ablaufdiagramm Konfigurationsdaten vom ACA laden 41

42 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP 2.5 System-Konfiguration über BOOTP Bei der Inbetriebnahme mit Hilfe von BOOTP (bootstrap protocol) erhält ein Switch gemäß dem Ablaufdiagramm "BOOTP-Prozeß" (siehe Abb. 13) seine Konfigurationsdaten. Hinweis: Im Lieferzustand bezieht der Switch seine Konfigurationsdaten vom DHCP-Server. V Akitvieren Sie BOOTP für den Bezug der Konfigurationsdaten, siehe System-Konfiguration über das Web-based Interface auf Seite 50 oder siehe im CLI: V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Aktivieren Sie BOOTP durch Eingabe von configure protocol bootp und anschließendem Drücken der Eingabetaste. V Speichern Sie die Änderung der Konfiguration mit: copy system:running-config nvram:startup-config und anschließendem Drücken der Eingabetaste. Bestätigen Sie den Speichern-Wunsch mit y. V Stellen Sie dem BOOTP-Server folgende Daten für einen Switch bereit: # /etc/bootptab for BOOTP-daemon bootpd # # gw -- gateway # ha -- hardware address # ht -- hardware type # ip -- IP address # sm -- subnet mask # tc -- template.global:\ :gw= :\ :sm= : 42

43 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP switch_01:ht=ether net:ha= :ip= :tc=.global: switch_02:ht=ether net:ha= :ip= :tc=.global:.. Zeilen mit vorangestelltem #-Zeichen sind Kommentarzeilen. Die Zeilen unter ".global:" dienen der Arbeitserleichterung bei der Konfiguration mehrerer Geräte. Jedem Gerät weisen Sie mit dem Template (tc) die globalen Konfigurationsdaten (tc=.global:) zu. In den Gerätezeilen (switch-0...) erfolgt die direkte Zuordnung von Hardwareund IP-Adresse. V Geben Sie für jedes Gerät eine Zeile ein. V Geben Sie nach ha= die Hardware-Adresse des Gerätes ein. V Geben Sie nach ip= die IP-Adresse des Gerätes ein. Im Anhang (siehe DHCP/BOOTP-Server einrichten auf Seite 202) finden Sie ein Beispiel zur Konfiguration eines BOOTP/DHCP-Servers. 43

44 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP Inbetriebnahme Lade Default Konfiguration Switch wird initialisiert Switch arbeitet mit Einstellungen aus lokalem Flash DHCP oder BOOTP? Nein Ja Sende DHCP/ BOOTP Requests Nein* Antwort vom DHCP/BOOTP- Server? Ja IP-Parameter und config file URL lokal speichern IP-Stack mit IP-Parametern initialisieren Switch ist managebar 2 Abb. 13: Ablaufdiagramm BOOTP/DHCP-Prozeß, Teil 1 * siehe Hinweis auf Seite 57 44

45 IP-Parameter eingeben 2.5 System-Konfiguration über BOOTP 2 Starte tftp-prozeß mit config file URL aus DHCP Ja Lade Remote- Konfiguration von URL aus DHCP? Nein Nein* tftp erfolgreich? Ja Lade übertragenes config file Speichere übertragenes config file lokal, setze Boot-Konfiguration auf lokal und schalte BOOTP/DHCP aus Laden der Konfigurationsdaten abgeschlossen Abb. 14: Ablaufdiagramm BOOTP/DHCP-Prozeß, Teil 2 * siehe Hinweis auf Seite 57 45

46 IP-Parameter eingeben 2.6 System-Konfiguration über DHCP 2.6 System-Konfiguration über DHCP Das DHCP (dynamic host configuration protocol) verhält sich im Grunde wie das BOOTP und bietet zusätzlich die Konfiguration eines DHCP-Clients über einen Namen anstatt über die MAC-Adresse an. Dieser Name heißt bei DHCP nach rfc 2131 "client identifier". Der Switch verwendet den in der System-Gruppe der MIB II unter sysname eingetragenen Namen als client identifier. Die Eingabe dieses Systemnamens können Sie direkt vornehmen über SNMP, das Web-based Management (siehe System-Dialog) oder das Command Line Interface. Bei der Inbetriebnahme erhält ein Switch gemäß dem Ablaufdiagramm "BOOTP/DHCP-Prozeß" (siehe Abb. 13) seine Konfigurationsdaten. Der Switch übermittelt seinen Systemnamen dem DHCP-Server. Der DHCP- Server kann dann alternativ zur MAC-Adresse anhand des Systemnamens eine IP-Adresse vergeben. Neben der IP-Adresse überträgt der DHCP-Server den tftp-server-namen (falls vorhanden), den Namen der Konfigurationsdatei (falls vorhanden). Der Switch übernimmt diese Daten als Konfigurationsparameter (siehe System-Konfiguration über das Web-based Interface auf Seite 50). Wurde eine IP-Adresse von einem DHCP-Server zugeteilt, wird diese permanent lokal gespeichert. Option Bedeutung 1 Subnet Mask 2 Time Offset 3 Router 4 Time server 12 Host Name 61 Client Identifier 66 TFTP Server Name 67 Bootfile name Tab. 3: DHCP-Optionen, die der Switch anfordert 46

47 IP-Parameter eingeben 2.6 System-Konfiguration über DHCP Das besondere von DHCP gegenüber BOOTP ist, daß der DHCP-Server die Konfigurationsparameter ( lease ) nur für eine bestimmte Zeitspanne zur Verfügung stellen kann. Nach Ablauf dieser Zeitspanne ( lease duration ), muß der DHCP-Client versuchen dieses lease entweder zu erneuern oder ein neues lease aushandeln. Es kann zwar am Server ein BOOTP-ähnliches Verhalten eingestellt werden (d.h. einem bestimmten Client wird anhand der MAC-Adresse immer dieselbe IP-Adresse zugeordnet), aber dies setzt die explizite Konfiguration eines im Netz befindlichen DHCP-Servers voraus. Erfolgt diese Konfiguration nicht, wird irgendeine IP-Adresse die gerade frei ist zugewiesen. Im Lieferzustand ist DHCP aktiviert. Solange DHCP aktiviert ist, versucht der Switch eine IP-Adresse zu bekommen. Findet er nach einem Neustart keinen DHCP-Server, dann hat er keine IP-Adresse. Zum Aktivieren/Deaktivieren von DHCP siehe System-Konfiguration über das Web-based Interface auf Seite 50. Hinweis: Achten Sie bei der Anwendung vom Netzmanagement HiVision darauf, daß DHCP jedem Switch immer die original IP-Adresse zuweist. Im Anhang (siehe DHCP/BOOTP-Server einrichten auf Seite 202) finden Sie ein Beispiel zur Konfiguration eines BOOTP/DHCP-Servers. Beispiel für eine DHCP-Konfigurationsdatei: # /etc/dhcpd.conf for DHCP Daemon # subnet netmask { option subnet-mask ; option routers ; } # # Host berta requests IP configuration # with her MAC address # host berta { hardware ethernet 00:80:63:08:65:42; 47

48 IP-Parameter eingeben 2.6 System-Konfiguration über DHCP fixed-address ; } # # Host hugo requests IP configuration # with his client identifier. # host hugo { # option dhcp-client-identifier "hugo"; option dhcp-client-identifier 00:68:75:67:6f; fixed-address ; server-name " "; filename "/agent/config.dat"; } Zeilen mit vorangestelltem #-Zeichen sind Kommentarzeilen. Die Zeilen vor den einzeln aufgeführten Geräten bezeichnen Einstellungen, die für alle folgenden Geräte gelten. Die Zeile fixed-address weist dem Gerät eine feste IP-Adresse zu. Weitere Informationen entnehmen Sie Ihren DHCP-Server-Handbuch. 48

49 IP-Parameter eingeben 2.7 System-Konfiguration über DHCP 2.7 System-Konfiguration über DHCP Option 82 Wie beim klassischen DHCP erhält bei der Inbetriebnahme ein Agent gemäß dem Ablaufdiagramm BOOTP/DHCP-Prozeß (siehe Abb. 13) seine Konfigurationsdaten. Während sich die System-Konfiguration über das klassische DHCP-Protokoll (siehe System-Konfiguration über DHCP auf Seite 46) am zu konfigurierenden Gerät orientiert, orientiert sich die Option 82 an der Netztopologie. Dieses Verfahren bietet somit die Möglichkeit, einem beliebigen Gerät, das an einem bestimmten Ort (Port eines Switch) am LAN angeschlossen wird, immer die selbe IP-Adresse zuzuordnen. Die Installation eines DHCP-Servers beschreibt das Kapitel DHCP-Server Option 82 einrichten auf Seite 208. D0D0D0 PLC Switch (Option 82) MICE MACH 3002 IP = MAC-Adresse = 00:80:63:10:9a:d7 DHCP-Server IP = IP = Abb. 15: Anwendungsbeispiel für den Einsatz von Option 82 49

50 IP-Parameter eingeben 2.8 System-Konfiguration über das Web-based 2.8 System-Konfiguration über das Web-based Interface Mit dem Dialog Grundeinstellungen:Netz legen Sie fest, aus welcher Quelle der Switch seine IP-Parameter nach dem Start erhält, weisen IP-Parameter und VLAN ID zu und konfigurieren den HiDiscovery-Zugriff. Abb. 16: Dialog Netzparameter V Geben Sie unter Modus ein, woher der Switch seine IP-Parameter bezieht: D Im Modus BOOTP erfolgt die Konfiguration durch einen BOOTP- oder DHCP-Server auf der Basis der MAC-Adresse des Switch (siehe Seite 42). D Im Modus DHCP erfolgt die Konfiguration durch einen DHCP-Server auf der Basis der MAC-Adresse oder des Namens des Switch (siehe Seite 46). 50

51 IP-Parameter eingeben 2.8 System-Konfiguration über das Web-based D Im Modus lokal werden die Netzparameter aus dem Speicher des Switch verwendet. V Geben Sie entsprechend des gewählten Modus rechts die Parameter ein. V Den für das DHCP-Protokoll relevanten Namen geben Sie im System- Dialog des Web-based Interfaces in der Zeile Name ein. V Der Rahmen Lokal bietet Ihnen die Möglichkeit, dem Switch eine IP-Adresse, Netzmaske und Gateway-Adresse zuzuweisen. V Der Rahmen VLAN ID bietet Ihnen die Möglichkeit, dem Switch ein VLAN zuzuweisen. Wenn Sie hier die illegale VLAN-ID 0 eingeben, dann ist der Agent von allen VLANs erreichbar. V Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Switch an Hand seiner MAC-Adresse eine IP-Adresse zuzuweisen. Aktivieren Sie das HiDiscovery-Protokoll, wenn Sie von Ihrem PC aus mit der mitgelieferten HiDiscovery-Software (siehe IP-Parameter über HiDiscovery eingeben auf Seite 37) dem Switch eine IP-Adresse übertragen wollen (Lieferzustand: aktiv). Hinweis: Speichern Sie die Einstellungen, damit Sie die Eingaben nach einem Neustart noch verfügbar haben (siehe Einstellungen laden/speichern auf Seite 53). 51

52 IP-Parameter eingeben 2.9 Defekte Geräte ersetzen 2.9 Defekte Geräte ersetzen Der Switch bietet zwei Plug-and-Play-Lösungen zum Austauschen eines defekten Switch durch einen Switch des gleichen Typs (Faulty Device Replacement): D Konfiguration des neuen Switch mit Hilfe eines AutoConfiguration Adapters (siehe System-Konfiguration vom ACA laden auf Seite 40)oder D Konfiguration mit Hilfe des DHCP Option 82 (siehe System-Konfiguration über DHCP Option 82 auf Seite 49). In beiden Fällen erhält der neue Switch beim Starten die gleichen Konfigurationsdaten, die der defekte Switch hatte. 52

53 Einstellungen laden/speichern 3 Einstellungen laden/speichern Einstellungen wie z.b. IP-Parameter und Portkonfiguration speichert der Switch im flüchtigen Arbeitsspeicher. Diese gehen beim Ausschalten oder einem Neustart verloren. Der Switch bietet Ihnen die Möglichkeit, D Einstellungen aus dem flüchtigen Arbeitsspeicher in einen nicht-flüchtigen Speicher zu speichern, D Einstellungen von einem nicht-flüchtigen Speicher in den flüchtigen Arbeitsspeicher zu laden. 53

54 Einstellungen laden/speichern 3.1 Einstellungen laden 3.1 Einstellungen laden Bei einem Neustart lädt der Switch seine Konfigurationsdaten vom lokalen nicht-flüchtigen Speicher, sofern Sie nicht BOOTP/DHCP aktiviert haben und kein ACA am Switch angeschlossen ist. Während des Betriebs bietet Ihnen der Switch die Möglichkeit, Einstellungen aus folgenden Quellen zu laden: D vom lokalen nicht-flüchtigen Speicher, D vom AutoConfiguration Adapter. Ist ein ACA am Switch angeschlossen, dann lädt der Switch seine Konfiguration immer vom ACA. D aus einer Datei im angeschlossenen Netz (= Lieferzustand) D aus einer Binärdatei oder einem editier- und lesbaren Sript vom PC und D den Lieferzustand. Hinweis: Wenn Sie ein Konfiguration laden, dann warten Sie mit einem Zugriff auf den Switch, bis dieser die Konfigurationsdatei geladen und die neuen Konfigurationseinstellungen vorgenommen hat. Abhängig vom Umfang der Konfigurationseinstellungen kann dieser Vorgang Sekunden dauern. 54

55 Einstellungen laden/speichern 3.1 Einstellungen laden Laden aus lokalem nicht-flüchtigen Speicher Beim lokalen Laden der Konfigurationsdaten lädt der Switch die Konfigurationsdaten aus dem lokalen nicht-flüchtigen Speicher, sofern kein ACA am Switch angeschlossen ist.. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Klicken Sie im Rahmen Laden auf Lokal. V Klicken Sie auf Konfiguration laden. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl copy nvram:startup-config system:running-config lädt der Switch die Konfigurationsdaten aus dem lokalen nicht-flüchtigen Speicher Laden vom AutoConfiguration Adapter Ist ein ACA am Switch angeschlossen, dann lädt der Switch seine Konfiguration immer vom ACA. Das Kapitel Lokal (und auf den ACA) speichern auf Seite 59 beschreibt das Speichern einer Konfigurationsdatei auf einen ACA. 55

56 Einstellungen laden/speichern 3.1 Einstellungen laden Laden aus einer Datei Der Switch bietet Ihnen die Möglichkeit, die Konfigurationsdaten aus einer Datei im angeschlossenen Netz zu laden, sofern kein AutoConfiguration Adapter am Switch angeschlossen ist. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Klicken Sie im Rahmen Laden auf vom URL, wenn der Switch die Konfigurationsdaten aus einer Datei laden soll und die lokal gespeicherte Konfiguration erhalten bleiben soll. vom URL & lokal speichern, wenn der Switch die Konfigurationsdaten aus einer Datei laden soll und diese Konfiguration auch lokal speichern soll. via PC (script/binär), wenn der Switch die Konfigurationsdaten aus einer Datei vom PC laden soll und die lokal gespeicherte Konfiguration erhalten bleiben soll. V Geben Sie im Rahmen URL den Pfad an, unter welchem der Switch die Konfigurationsdatei findet, falls Sie vom URL laden möchten. V Klicken Sie auf Konfiguration laden. Der URL kennzeichnet den Pfad zum tftp-server von dem der Switch die Konfigurationsdatei lädt. Der URL hat die Form tftp://ip-adresse des tftp-servers/pfadname/dateiname (z.b. tftp:// /switch/config.dat). Beispiel zum Laden von einem tftp-server V Bevor Sie eine Datei vom tftp-server herunterladen können, speichern Sie die Konfigurationsdatei in den entsprechenden Pfad des tftp-servers mit dem Dateinamen, z.b. switch/switch_01.cfg (siehe Speichern in eine Datei auf URL auf Seite 60). V Geben Sie in der Zeile URL den Pfad des tftp-servers ein, z.b. tftp:// /switch/switch_01.cfg. 56

57 Einstellungen laden/speichern 3.1 Einstellungen laden Hinweis: Den von DHCP/BOOTP (siehe System-Konfiguration über BOOTP auf Seite 42) gestarteten Ladevorgang zeigt die Selektion von vom URL & lokal speichern im Rahmen Laden an. Sollten Sie beim Speichern einer Konfiguration eine Fehlermeldung erhalten, dann kann eine Ursache ein aktiver Ladevorgang sein. DHCP/BOOTP beendet einen Ladevorgang erst, wenn eine gültige Konfiguration geladen ist. Findet DHCP/BOOTP keine gültige Konfiguration, dann beenden Sie den Ladevorgang durch laden der lokalen Konfiguration im Rahmen Laden. Abb. 17: Dialog Laden/Speichern V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl copy tftp:// /switch/config.dat nv ram:startup-config lädt der Switch die Konfigurationsdaten von einem tftp-server im angeschlossenen Netz. 57

58 Einstellungen laden/speichern 3.1 Einstellungen laden Konfiguration in den Lieferzustand versetzen Der Switch bietet Ihnen die Möglichkeit, D die aktuelle Konfiguration in den Lieferzustand zurückzusetzen. Die lokal gespeicherte Konfiguration bleibt erhalten. D den Switch in den Lieferzustand zurückzusetzen. Nach dem nächsten Neustart ist auch die IP-Adresse im Lieferzustand. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Treffen Sie Ihre Wahl im Rahmen Löschen. V Klicken Sie auf Konfiguration löschen. Einstellung im System-Monitor: V Wählen Sie 5 Erase main configuration file Dieser Menüpunkt bietet Ihnen die Möglichkeit, den Switch in seinen Lieferzusand zu versetzten. Vom Lieferzustand unterschiedliche Konfigurationen speichert der Switch im Flash-Speicher in der Datei switch.cfg. V Drücken sie die Eingabetaste, um die Datei switch.cfg zu löschen. 58

59 Einstellungen laden/speichern 3.2 Einstellungen speichern 3.2 Einstellungen speichern Der Switch bietet Ihnen die Möglichkeit, getroffene Einstellungen D lokal D lokal und auf den ACA oder D in eine Datei zu speichern Lokal (und auf den ACA) speichern Der Switch bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in den lokalen nicht-flüchtigen Speicher und den ACA zu speichern. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Klicken Sie im Rahmen Speichern auf auf dem Switch. V Klicken Sie auf Konfiguration speichern. Der Switch speichert die aktuellen Konfigurationsdaten in den lokalen nicht-flüchtigen Speicher und, sofern ein ACA angeschlossen ist, auch in den ACA. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl copy system:running-config nvram:startup-config speichert der Switch die aktuellen Konfigurationsdaten in den lokalen nicht-flüchtigen Speicher und, sofern ein ACA angeschlossen ist, auch in den ACA. 59

60 Einstellungen laden/speichern 3.2 Einstellungen speichern Speichern in eine Datei auf URL Der Switch bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine Datei im angeschlossenen Netz zu speichern. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Klicken Sie im Rahmen Speichern auf auf URL (binär), um eine Binär-Datei zu erhalten, auf URL (script), um ein editier- und lesbares Script zu erhalten. V Geben Sie im Rahmen URL den Pfad an, unter welchem der Switch die Konfigurationsdatei speichern soll. V Klicken Sie auf Konfiguration speichern. Der URL kennzeichnet den Pfad zum tftp-server auf den der Switch die Konfigurationsdatei speichert. Der URL hat die Form tftp://ip-adresse des tftp-servers/pfadname/dateiname (z.b. tftp:// /switch/config.dat). Hinweis: Die Konfigurationsdatei enthält alle Konfigurationsdaten, auch das Passwort. Achten Sie deshalb auf die Zugriffsrechte auf dem tftp- Server. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl copy nvram:startup-config tftp:// / switch/config.dat speichert der Switch die Konfigurationsdaten in eine Binärdatei auf einen tftp-server im angeschlossenen Netz. V Mit dem Befehl copy nvram:script tftp:// /switch/con fig.txt speichert der Switch die Konfigurationsdaten in eine Scrip- Datei auf einen tftp-server im angeschlossenen Netz. 60

61 Einstellungen laden/speichern 3.2 Einstellungen speichern Speichern in eine Binär-Datei auf den PC Der Switch bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine Binär-Datei Ihres PCs zu speichern. V Wählen Sie den Dialog Grundeinstellungen:Laden/Speichern. V Klicken Sie im Rahmen Speichern auf auf dem PC (binär). V Geben Sie im Speichern-Fenster den Dateinamen an, unter welchem der Switch die Konfigurationsdatei speichern soll. V Klicken Sie auf Konfiguration speichern Speichern als Script auf den PC Der Switch bietet Ihnen die Möglichkeit, die aktuellen Konfigurationsdaten in eine editer- und lesbare Datei Ihres PCs zu speichern. V Wählen Sie den Dialog Grundeinstellungen:Laden/Spei chern. V Klicken Sie im Rahmen Speichern auf auf dem PC (script). V Geben Sie im Speichern-Fenster den Dateinamen an, unter welchem der Switch die Konfigurationsdatei speichern soll. V Klicken Sie auf Konfiguration speichern. 61

62 Einstellungen laden/speichern 3.2 Einstellungen speichern 62

63 Neueste Software laden 4 Neueste Software laden Hirschmann arbeitet ständig an der Leistungssteigerung der Produkte. Deshalb besteht die Möglichkeit, dass Sie auf der Internetseite von Hirschmann ( eine neuere Release der Switch-Software finden, als die Release, die auf Ihrem Switch gespeichert ist. U Prüfen der installierten Software-Release V Wählen Sie den Dialog Grundeinstellungen:Software. Dieser Dialog zeigt Ihnen die Release-Nr. der im Switch gespeicherten Software an. enable show sysinfo Wechsel in den Privileged-EXEC-Modus. Anzeigen der Systeminformation. Alarm... None System Description... Hirschmann Rails witch System Name... RS-1F1054 System Location... Hirschmann Rails witch System Contact... Hirschmann Automa tion and Control GmbH System Up Time... 0 days 0 hrs 45 mins 57 secs System Date and Time (local time zone) :00:06 System IP Address Boot Software Release... L2E Boot Software Build Date :50 OS Software Release... L2E OS Software Build Date :14 Hardware Revision / 4 / 0103 Hardware Description... RS T1T1SDAEHH Serial Number Base MAC Address... 00:80:63:1f:10:54 Number of MAC Addresses (0x20) 63

64 Neueste Software laden U Software laden Der Switch bietet drei Möglichkeiten die Software zu laden: D vom ACA 21-USB (out-of-band), D über tftp von einem tftp-server (in-band) und D über ein Datei-Auswahl-Fenster von Ihrem PC. Hinweis: Die Konfiguration des Switch bleibt nach der Installation der neuen Software erhalten. 64

65 Neueste Software laden 4.1 Software vom ACA laden 4.1 Software vom ACA laden Den ACA 21-USB können Sie wie einen gewöhnlichen USB-Stick an einen USB-Port Ihres PCs anschließen und die Switch-Software in das Hauptverzeichnis des ACA 12-USB kopieren. V Verbinden Sie den ACA 21-USB, auf den Sie die Switch-Software kopiert haben, mit dem USB-Port des Switch. V Öffnen Sie den System-Monitor (siehe Öffnen des System-Monitors auf Seite 16). V Wählen Sie 2 und drücken Sie die Eingabetaste, um die Software vom ACA 21-USB in den lokalen Speicher des Switch zu kopieren. Am Ende des Updates fordert Sie der System-Monitor auf, eine beliebige Taste zu drücken, um fortzufahren. V Wählen Sie 3, um die neue Software auf dem Switch zu starten. Der System-Monitor bietet Ihnen weitere Möglichkeiten, die in Zusammenhang mit der Software auf Ihrem Switch stehen: D Auswahl der zu ladenden Software, D Starten der Software, D Kaltstart durchführen Auswahl der zu ladenden Software Mit diesem Menüpunkt des System-Monitors wählen Sie eine von zwei möglichen Software-Releases aus, die geladen werden soll. Am Bildschirm erscheint folgendes Fenster: 65

66 Neueste Software laden 4.1 Software vom ACA laden Select Operating System Image (Available OS: Selected: 1.00 ( :15), Backup: 1.00 ( :15(Locally selected: 1.00 ( :15)) 1 Swap OS images 2 Copy image to backup 3 Test stored images in Flash mem. 4 Test stored images in USB mem. 5 Apply and store selection 6 Cancel selection sysmon1> Abb. 18: Bildschirmansicht Update Betriebssystem U Swap OS images Der Speicher des Switch bietet Platz für zwei Abbildungen der Software. So haben Sie z.b. die Möglichkeit, eine neue Version der Software zu laden, ohne dabei das bestehende zu löschen. Wählen Sie 1, um beim nächsten Booten die andere Software zu laden. U Copy image to backup Wählen Sie 2, um eine Kopie der aktiven Software zu speichern. U Test stored images in flash memory Wählen Sie 3, um zu prüfen, ob die gespeicherten Abbilder der Software im Flash-Speicher gültige Codes enthalten. 66

67 Neueste Software laden 4.1 Software vom ACA laden U Test stored images in USB memory Wählen Sie 4, um zu prüfen, ob die gespeicherten Abbilder der Software im ACA 21-USB gültige Codes enthalten. U Apply and store selection Wählen Sie 5, um die Auswahl der Software zu bestätigen und zu speichern. U Cancel selection Wählen Sie 6, um diesen Dialog ohne Änderungen zu verlassen Starten der Software Dieser Menüpunkt (Start Selected Operating System) des System-Monitors bietet Ihnen die Möglichkeit, die ausgewählte Software zu starten Kaltstart durchführen Dieser Menüpunkt (End (reset and reboot)) des System-Monitors bietet Ihnen die Möglichkeit, die Hardware des Switch zurückzusetzen und einen Neustart durchzuführen. 67

68 Neueste Software laden 4.2 Software vom tftp-server laden 4.2 Software vom tftp-server laden Für ein tftp-update benötigen Sie einen tftp-server, auf dem die zu ladende Software abgelegt ist (siehe tftp-server für SW-Updates auf Seite 213). V Wählen Sie den Dialog Grundeinstellungen:Software. Der URL kennzeichnet den Pfad zu der auf dem tftp-server gespeicherten Software. Der URL hat die Form tftp://ip-adresse des tftp-servers/ Pfadname/Dateiname (z.b. tftp:// /mice/ mice.bin). V Geben Sie den Pfad zur Switch-Software ein. V Klicken Sie auf "tftp-update" um die Software vom tftp-server auf den Switch zu laden.. Abb. 19: Dialog Software-Update 68

69 Neueste Software laden 4.2 Software vom tftp-server laden V Nach erfolgreichem Laden aktivieren Sie die neue Software: Wählen Sie den Dialog Grundeinstellungen:Neustart und und führen Sie einen Kaltstart durch. V Klicken Sie nach dem Booten des Switch in Ihrem Browser auf Neu laden, um wieder auf den Switch zugreifen zu können. enable copy tftp:// / rsl2e.bin system:image Wechsel in den Privileged-EXEC-Modus. Übertragen der Software-Datei rsl2e.bin vom tftp-server mit der IP-Adresse auf den Switch. 69

70 Neueste Software laden 4.3 Software über Datei-Auswahl laden 4.3 Software über Datei-Auswahl laden Für ein Update über ein Datei-Auswahl-Fenster benötigen Sie die Switch- Software auf einem Laufwerk, das Sie über Ihren PC erreichen. V Wählen Sie den Dialog Grundeinstellungen:Software. V Klicken Sie im Datei-Auswahl-Rahmen auf.... V Wählen Sie im Datei-Auswahl-Fenster die Switch-Software (switch.bin) aus und klicken Sie auf Öffnen. V Klicken Sie auf Update, um die Software auf den Switch zu übertragen. Das Ende der Update-Aktion wird durch eine der folgenden Meldungen angezeigt: D Update erfolgreich beendet. D Update fehlgeschlagen, Ursache: Falsche Datei. D Update fehlgeschlagen, Ursache: Fehler beim Abspeichern. V Nach erfolgreichem Laden aktivieren Sie die neue Software: Wählen Sie den Dialog Grundeinstellungen:Neustart und und führen Sie einen Kaltstart durch. V Klicken Sie in Ihrem Browser auf Neu laden, um nach dem Booten des Switch wieder auf den Switch zugreifen zu können. 70

71 Ports konfigurieren 5 Ports konfigurieren Die Portkonfiguration umfasst: D Port ein-/ausschalten, D Betriebsart wählen, D Meldung von Verbindungsfehlern aktivieren, D Power over ETHERNET konfigurieren. U Port ein-/ausschalten Im Lieferzustand sind alle Ports eingeschaltet. Um einen höheren Zugangsschutz zu erzielen, schalten Sie die Ports aus, an denen Sie keine Verbindung anschließen. V Wählen Sie den Dialog Grundeinstellungen:Portkonfigura tion. V Wählen Sie in der Spalte Port an die Ports aus, die mit einem anderen Gerät verbunden sind. U Betriebsart wählen Im Lieferzustand sind alle Ports auf die Betriebsart Automatische Konfiguration eingestellt. V Wählen Sie den Dialog Grundeinstellungen:Portkonfigura tion. V Falls das an diesem Port angeschlossene Gerät eine feste Einstellung voraussetzt wählen Sie in der Spalte Manuelle Konfiguration die Betriebsart (Übertragungsgeschwindigkeit, Duplexbetrieb), und deaktivieren Sie in der Spalte Automatische Konfiguration den Port. Hinweis: Die aktive automatische Konfiguration hat Vorrang vor der manuellen Konfiguration. 71

72 Ports konfigurieren U Verbindungsfehler melden Im Lieferzustand zeigt der Switch über den Meldekontakt und die LED- Anzeige einen Verbindungsfehler an. Der Switch bietet Ihnen die Möglichkeit, diese Anzeige zu unterdrücken, da Sie z.b. ein ausgeschaltetes Gerät nicht als unterbrochene Leitung interpretieren möchten. V Wählen Sie den Dialog Grundeinstellungen:Portkonfigura tion. V Selektieren Sie in der Spalte Link Alarm Meldekontakt die Ports aus, bei denen Sie eine Verbindungsüberwachung wünschen. U Power over ETHERNET konfigurieren Ist der Switch mit PoE-Medienmodulen ausgestattet, dann bietet er Ihnen die Möglichkeit, Endgeräte wie z.b. IP-Telefone über das Twisted- Pair-Kabel mit Strom zu versorgen. PoE-Medienmodule unterstützen Power over ETHERNET nach IEEE 802.3af. Im Lieferzustand ist die Funktion Power over ETHERNET global und an allen Ports eingeschaltet. Systemleistung für MS20/30 und Power MICE: Der Switch bietet die nominale Systemleistung für die Summe aller PoE- Ports zuzüglich einer Reserve. Da das PoE-Medienmodul seine Betriebsspannungvon extern bezieht, kennt der Switch die mögliche Systemleistung nicht. Deshalb nimmt der Switch an dieser Stelle als Nominale Systemleistung den Wert 60 Watt pro PoE-Medienmodul an. Systemleistung für MACH 4000: Der Switch bietet die nominale Systemleistung für die Summe aller PoE- Ports zuzüglich einer Reserve. Benötigen die angeschlossenen Geräte mehr Leistung, als die angebotene Systemleistung, dann schaltet der Switch Ports aus. Zunächst schaltet der Switch die Ports mit der niedrigsten PoE-Priorität ab. Haben mehrere Ports die gleiche Priorität, dann schaltet er zuerst die Ports mit der höheren Portnummer ab. 72

73 Ports konfigurieren V Wählen Sie den Dialog Grundeinstellungen:Power over Ethernet. V Mit Funktion An/Aus" schalten Sie PoE ein/aus. V Verschicke Trap" bietet Ihnen die Möglichkeit, den Switch zu veranlassen, in folgenden Fällen einen Trap zu senden: beim Überschreiten/Unterschreiten der Leistungsschwelle. beim Ein-/Ausschalten der PoE-Versorgungsspannung an mindestens einem Port. V In Theshold (Leistungsschwelle) geben Sie die Leistungsschwelle an, bei deren Überschreitung/Unterschreiten der Switch ein Trap sendet, sofern Verschicke Trap" eingeschaltet ist. Die Leistungsschwelle geben Sie in Prozent der nominalen Leistung in bezug auf die abgegebene Leistung ein. V "Nominale Leistung" zeigt die Leistung an, die der Switch nominal für alle PoE-Ports zusammen zur Verfügung stellt. V Reservierte Leistung zeigt an, wieviel Leistung der Switch allen angeschlossenen PoE-Geräten zusammen auf Grund ihrer Klassifizierung maximal zur Verfügung stellt. V "Abgegebene Leistung" zeigt an, wie groß der momentane Leistungsbedarf an allen PoE-Ports ist. Die Differenz von Nominale und Reservierte Leistung gibt an, wieviel Leistung an den freien PoE-Ports noch zur Verfügung steht. V In der Spalte "Port an" haben Sie die Möglichkeit, PoE an diesem Port ein-/auszuschalten. V Die Spalte "Status" zeigt den PoE-Status des Ports an. V In der Spalte "Priorität" (MACH 4000) legen Sie die PoE-Priorität niedrig, hoch oder kritisch" des Ports fest. V Die Spalte "Class" zeigt die Klasse des angeschlossenen Gerätes an: Class Maximal abgegebene Leistung 0 15,4 W = Lieferzustand 1 4,0 W 2 7,0 W 3 15,4 W 4 reserviert, wie Klasse 0 behandeln V Die Spalte Name zeigt den Namen des Ports an, siehe Grundein stellungen:portkonfiguration. 73

74 Ports konfigurieren Abb. 20: Dialog Power over Ethernet 74

75 Schutz vor unberechtigtem Zugriff 6 Schutz vor unberechtigtem Zugriff Schützen Sie Ihr Netz vor unberechtigten Zugriffen. Der Switch bietet Ihnen folgende Funktionen zum Schutz gegen unberechtigte Zugriffe. D Passwort für SNMP-Zugriff, D Telnet-/Web/SSH-Zugriff abschaltbar, D HiDiscovery-Funktion abschaltbar, D Portzugangskontrolle über IP- oder MAC-Adresse, D Portauthentifizierung nach 802.1X, D Zugriffs-Kontroll-Listen (Access Control Lists, ACL). 75

76 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff 6.1 Passwort für SNMP-Zugriff Beschreibung Passwort für SNMP-Zugriff Eine Netzmanagement-Station kommuniziert über das Simple Network Management Protocol (SNMP) mit dem Switch. Jedes SNMP-Paket enthält die IP-Adresse des sendenden Rechners und das Passwort, mit welchem der Absender des Pakets auf die MIB des Switch zugreifen will. Der Switch empfängt das SNMP-Paket und vergleicht die IP-Adresse des sendenden Rechners und das Passwort mit den Einträgen in der MIB des Switch (siehe Management Information BASE MIB auf Seite 226). Liegt das Passwort mit dem entsprechenden Zugriffsrecht vor und ist die IP-Adresse des sendenden Rechners eingetragen, dann gewährt der Switch den Zugriff. Im Lieferzustand ist der Switch über das Passwort public (nur lesen) und private (lesen und schreiben) von jedem Rechner aus zugänglich. Um ihren Switch vor unerwünschten Eingriffen zu schützen: V Definieren Sie zuerst ein neues Passwort, unter welchem Sie mit allen Rechten von Ihrem Rechner aus zugreifen können. V Behandeln Sie dieses Passwort vertraulich. Denn jeder, der das Passwort kennt, kann mit der IP-Adresse ihres Rechners auf die MIB des Switch zugreifen. V Beschneiden Sie die Zugriffsrechte der bekannten Paßwörter oder löschen Sie deren Einträge. 76

77 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Passwort für SNMP-Zugriff eingeben V Wählen Sie den Dialog Sicherheit:Passwort / SNMPv3-Zu griff. Dieser Dialog bietet Ihnen die Möglichkeit, das Lese- und das Schreib/Lese-Passwort für den Zugriff mit Web-based Interface/CLI/ SNMP auf den Switch zu ändern. Beachten Sie die Groß/Kleinschreibung. Aus Sicherheitsgründen können Lesepasswort und Schreib-/ Lesepasswort nicht identisch sein. Das Web-based Interface und das User Interface kommunizieren über SNMP Version 3. V Wählen Sie Lesepasswort ändern, um das Lesepasswort einzugeben. V Geben Sie das neue Lesepasswort in der Zeile Neues Passwort ein und wiederholen Sie die Eingabe in der Zeile Bitte nochmals eingeben. V Wählen Sie Schreib/Lesepasswort ändern, um das Schreib/Lesepasswort einzugeben. V Geben Sie das Schreib/Lesepasswort ein und wiederholen Sie die Eingabe. V Datenverschlüsselung sorgt für die Verschlüsselung der Daten des Web-based Managements, die zwischen Ihrem PC und dem Switch mit SNMP V3 übertragen werden. Sie können Datenverschlüsselung für den Zugriff mit Lese- und Schreib/Lesepasswort unterschiedlich einstellen. 77

78 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Abb. 21: Dialog Passwort Wichtig: Wenn Sie kein Passwort mit der Berechtigung read-write kennen, haben Sie keine Möglichkeit auf den Switch schreibend zuzugreifen! Hinweis: Um nach dem Ändern des Passwortes für den Schreibzugriff auf den Switch zugreifen zu können, starten Sie das Web-based Interface neu. Hinweis: Aus Sicherheitsgründen werden die Paßwörter nicht angezeigt. Notieren Sie sich jede Änderung! Ohne gültiges Passwort können Sie nicht auf den Switch zugreifen! Hinweis: Aus Sicherheitsgründen verschlüsselt SNMP Version 3 das Passwort. Mit der Einstellung SNMPv1 oder SNMPv2 im Dialog Si cherheit:snmpv1/v2-zugriff ist das Passwort wieder lesbar! Hinweis: Verwenden Sie bei SNMP Version Zeichen für das Passwort, da viele Anwendungen keine kürzeren Paßwörter akzeptieren. 78

79 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff V Wählen Sie den Dialog Sicherheit:SNMPv1/v2-Zugriff. Dieser Dialog bietet Ihnen die Möglichkeit, den Zugriff über SNMPv1 oder SNMPv2 auszuwählen. Im Lieferzustand sind beide Protokolle aktiviert. Damit können Sie den Switch mit HiVision verwalten und mit früheren Versionen von SNMP kommunizieren. Wenn Sie SNMPv1 oder SNMPv2 auswählen, dann können Sie in der Tabelle festlegen, über welche IP-Adressen auf den Switch zugegriffen werden darf und welche Art von Paßwörtern dabei zu benutzen sind. Die Tabelle läßt bis zu 8 Einträge zu. Aus Sicherheitsgründen können Lesepasswort und Schreib-/Lesepasswort nicht identisch sein. Beachten Sie die Groß/Kleinschreibung. Index Passwort IP-Adresse IP-Maske Zugriffsrecht Aktiv Laufende Nummer für diesen Tabelleneintrag Passwort, mit welchem dieser Rechner auf den Switch zugreifen darf. Dieses Passwort ist unabhängig vom SNMPv3-Passwort. IP-Adresse des Rechners, der auf den Switch zugreifen darf. IP-Maske zur IP-Adresse Zugriffsrecht legt fest, ob der Rechner mit Lese- oder Schreib-/Leserecht zugreifen darf. Aktivieren/Deaktivieren dieses Tabelleneintrags. 79

80 Schutz vor unberechtigtem Zugriff 6.1 Passwort für SNMP-Zugriff Abb. 22: Dialog SNMPv1/v2-Zugriff V Um eine neue Zeile in der Tabelle zu erzeugen, klicken Sie auf Eintrag erzeugen. V Um einen Eintrag aus der Tabelle zu löschen, wählen Sie die Zeile aus und klicken Sie auf Eintrag löschen. 80

81 Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff 6.2 Telnet-/Web-/SSH-Zugriff Beschreibung Telnet-Zugriff Der Telnet-Server des Switch bietet Ihnen die Möglichkeit, den Switch mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren. Sie können den Telnet-Server ausschalten, um einen Telnet-Zugriff auf den Switch zu verhindern. Im Lieferzustand ist der Server eingeschaltet. Nach dem Abschalten des Telnet-Servers ist ein erneuter Zugriff auf den Switch über eine neue Telnet-Verbindung nicht mehr möglich. Eine bestehende Telnet-Verbindung bleibt erhalten. Hinweis: Das Command Line Interface (out-of-band) und der Dialog Si cherheit:telnet/web-zugriff im Web-based Interface bieten Ihnen die Möglichkeit, den Telnet-Server wieder zu aktivieren Beschreibung Web-Zugriff Der Web-Server des Switch bietet Ihnen die Möglichkeit, den Switch mit Hilfe des Web-based Interfaces zu konfigurieren. Sie können den Web-Server ausschalten, um einen Web-Zugriff auf den Switch zu verhindern. Im Lieferzustand ist der Server eingeschaltet. Nach dem Abschalten des Web-Servers ist ein erneutes Anmelden über einen Web-Browser nicht mehr möglich. Die Anmeldung im offenen Browserfenster bleibt aktiv. Hinweis: Das Command Line Interface bietet Ihnen die Möglichkeit, den Web-Server wieder zu aktivieren. 81

82 Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff Beschreibung SSH-Zugriff Der SSH-Server des Switch bietet Ihnen die Möglichkeit, den Switch mit Hilfe des Command Line Interfaces (in-band) zu konfigurieren (siehe SSH-Zugriff vorbereiten auf Seite 218). Sie können den SSH-Server ausschalten, um einen SSH-Zugriff auf den Switch zu verhindern. Im Lieferzustand ist der Server ausgeschaltet. Nach dem Abschalten des SSH-Servers ist ein erneuter Zugriff auf den Switch über eine neue SSH-Verbindung nicht mehr möglich. Eine bestehende SSH-Verbindung bleibt erhalten. Hinweis: Das Command Line Interface (out-of-band) und der Dialog Si cherheit:telnet/web-zugriff im Web-based Interface bieten Ihnen die Möglichkeit, den SSH-Server wieder zu aktivieren. 82

83 Schutz vor unberechtigtem Zugriff 6.2 Telnet-/Web-/SSH-Zugriff Telnet-/Web-/SSH-Zugriff aus-/einschalten V Wählen Sie den Dialog Sicherheit:Telnet/Web-/SSH-Zu griff. V Schalten Sie den Server aus, zu welchem Sie den Zugang verwehren wollen. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl transport input telnet schalten Sie den Telnet-Server ein. V Mit dem Befehl no transport input telnet schalten Sie den Telnet-Server aus. V Mit dem Befehl ip http server schalten Sie den Web-Server ein. V Mit dem Befehl no ip http server schalten Sie den Web-Server aus. 83

84 Schutz vor unberechtigtem Zugriff 6.3 HiDiscovery-Funktion ausschalten 6.3 HiDiscovery-Funktion ausschalten Beschreibung HiDiscovery-Protokoll Das HiDiscovery-Protokoll ermöglicht Ihnen, dem Switch anhand seiner MAC-Adresse eine IP-Adresse zuzuweisen (siehe IP-Parameter über HiDiscovery eingeben auf Seite 37). HiDiscovery ist ein Layer-2-Protokoll. Hinweis: Schränken Sie aus Sicherheitsgründen die HiDiscovery-Funktion des Gerätes ein oder schalten Sie sie aus, nachdem Sie dem Gerät die IP- Parameter zugewiesen haben. 84

85 Schutz vor unberechtigtem Zugriff 6.3 HiDiscovery-Funktion ausschalten HiDiscovery-Funktion ausschalten V Wählen Sie den Dialog Grundeinstellungen:Netz. V Im Rahmen HiDiscovery Protokoll schalten Sie die HiDiscovery- Funktion aus oder beschränken Sie den Zugriff auf read-only. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl network protocol hidiscovery off schalten Sie die HiDiscovery-Funktion aus. V Mit dem Befehl network protocol hidiscovery read-only schalten Sie die HiDiscovery-Funktion mit dem Zugriffsrecht lesen ein. V Mit dem Befehl network protocol hidiscovery read-write schalten Sie die HiDiscovery-Funktion mit dem Zugriffsrecht lesen und schreiben ein. 85

86 Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle 6.4 Portzugangskontrolle Portzugangskontrolle Der Switch schützt jeden Port vor unberechtigtem Zugriff. Abhängig von Ihrer Auswahl prüft der Switch die MAC-Adresse oder die IP-Adresse des angeschlossenen Gerätes. Zur Sicherheitsüberwachung jedes einzelnen Ports stehen folgende Funktionen zur Verfügung: D Wer hat Zugang zu diesem Port? Der Switch kennt 2 Klassen von Zugangskontrolle: Jeder: keine Zugangsbeschränkung MAC-Adresse 00:00:00:00:00:00 oder IP-Adresse Benutzer: ausschließlich ein zugewiesener Benutzer hat Zugang. Den Benutzer definieren Sie durch seine MAC-Adresse oder seine IP-Adresse. D Welche Aktionen folgen auf einen unberechtigten Zugriff? Der Switch kann mit drei auswählbaren Aktionen auf einen unberechtigten Zugriff reagieren: non: keine Reaktion traponly: Meldung durch Verschicken eines Traps portdisable: Meldung durch Verschicken eines Traps und Abschaltung des Ports Hinweis: Da der Switch auf Layer 2 arbeitet, übersetzt er eingetragene IP- Adressen in MAC-Adressen. Dies setzt voraus, dass einer MAC-Adresse genau eine IP-Adresse zugeordnet ist. Beachten Sie, dass z.b. über einen Router mehrere IP-Adressen einer MAC- Adresse, nämlich der des Routers, zugeordnet werden. Dies bedeutet, dass alle Pakete des Routers ohne weitere Prüfung den Port passieren, wenn die erlaubte IP-Adresse die des Routers ist. Sendet ein angeschlossenes Gerät Pakete mit anderen MAC-Adressen und erlaubter IP-Adresse, schaltet der Switch den Port ab. 86

87 Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle Portzugangskontrolle festlegen V Wählen Sie den Dialog Sicherheit:Portsicherheit. V Wählen Sie zunächst, ob Sie die MAC-basierte oder die IP-basierte Portsicherheit wünschen. V Falls Sie MAC-basiert gewählt haben, geben Sie in der Spalte "Erlaubte MAC-Adressen" die MAC-Adressen der Geräte ein, mit denen ein Datenaustausch an diesem Port erlaubt ist. Sie können bis zu 10 - jeweils durch ein Leerzeichen getrennte - MAC-Adressen eingeben. Ohne Eintrag darf von allen Geräten empfangen werden. D Die Spalte aktuelle MAC-Adresse zeigt die MAC-Adresse des Gerätes an, von dem zuletzt Daten empfangen wurden. Sie können einen Eintrag aus der Spalte aktuelle MAC-Adresse mit der gedrückten linken Maustaste in die Spalte erlaubte MAC-Adresse kopieren V Falls Sie IP-basiert gewählt haben, geben Sie in der Spalte "Erlaubte IP-Adressen" die IP-Adressen der Geräte ein, mit denen ein Datenaustausch an diesem Port erlaubt ist. Sie können bis zu 10 - jeweils durch ein Leerzeichen getrennte - IP-Adressen eingeben. Ohne Eintrag darf von allen Geräten empfangen werden. V In der Spalte Aktion wählen Sie aus, ob nach einem unberechtigten Zugriff keine Aktion ausgelöst wird (none) oder ein Alarm (Trap) geschickt wird (traponly) oder der Port durch den entsprechenden Eintrag in der Port-Konfigurationstabelle (siehe Ports konfigurieren auf Seite 71) abgeschaltet und ein Alarm (Trap) geschickt wird (portdisable). 87

88 Schutz vor unberechtigtem Zugriff 6.4 Portzugangskontrolle Abb. 23: Dialog Portsicherheit Hinweis: Dieser Eintrag in der Port-Konfigurationstabelle ist Teil der Konfiguration ( Einstellungen laden/speichern auf Seite 53) und wird beim Speichern der Konfiguration mitgesichert. Hinweis: Ein Alarm (Trap) kann nur gesendet werden, wenn unter Trapeinstellung auf Seite 175 mindestens ein Empfänger eingetragen ist und der entsprechende Status sowie Portsicherheit angekreuzt ist. 88

89 Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X 6.5 Portauthentifizierung nach 802.1X Beschreibung Portauthentifizierung nach 802.1X Die Portbasierte Netzzugriffskontrolle ist eine im Standard IEEE 802.1X beschriebene Methode zum Schutz von IEEE 802-Netzen vor unberechtigtem Zugriff. Durch die Authentifizierung und Autorisierung eines Gerätes, das an einem Port des Switch angeschlossen ist, kontrolliert das Protokoll den Zugang an diesem Port. Die Authentifizierung und Autorisierung erfolgt durch den Authentikator, in diesem Fall den Switch. Dieser authentifiziert (oder auch nicht) den Supplikanten (das anfragende Gerät, z. B. ein PC, etc.), d.h. er lässt den Zugriff auf die von ihm angebotenen Dienste (z.b. Zugang zum Netzwerk, an das der Switch angeschlossen ist) zu oder weist ihn ab. Hierzu greift der Switch auf einen externen Authentifizierungsserver (RADIUS-Server) zu, der die Authentifizierungsdaten des Supplikant überprüft. Der Switch tauscht mit dem Supplikanten und dem Server die Authentifizierungsdaten über das Extensible Authentication Protocol over LANs (EAPOL) bzw. über das RADIUS-Protokoll aus. Radius Server Switch/Authenticator D0D0 D0D X Supplicant Power MICE Abb. 24: Radius-Server-Anbindung 89

90 Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X Authentifizierungsablauf Ein Supplikant versucht über einen Switch-Port zu kommunizieren. D Der Switch fordert den Supplikanten auf, sich zu authentifizieren. Zu diesem Zeitpunkt ist ausschließlich EAPOL Verkehr zwischen Supplikant und Switch erlaubt. D Der Supplikant antwortet mit seinen Identitätsdaten. D Der Switch leitet die Identitätsdaten an den Authentifizierungsserver weiter. D Der Authentifizierungsserver beantwortet die Anfrage entsprechend der Berechtigung. D Der Switch wertet diese Antwort aus und gewährt dem Supplikant den Zugriff an diesem Port (oder lässt den Port im gesperrten Zustand) Vorbereitung des Switch für die 802.1X-Portauthentifizierung V Eigene IP-Parameter (des Switch) konfigurieren. V Die Funktion der 802.1X-Portauthentifizierung global einschalten. V Die 802.1X-Portkontrolle auf auto" setzen. Voreingestellt ist force-authorized". V Das Shared Secret" zwischen Authenticator und Radius-Server eintragen. Das Shared Secret ist ein Textstring, das der Radius-Server- Administrator vergibt. V Die IP-Adresse und den Port des Radius-Servers eingeben. Der vorgegebene UDP-Port des RADIUS-Servers ist der Port

91 Schutz vor unberechtigtem Zugriff 6.5 Portauthentifizierung nach 802.1X X Einstellung U Konfiguration des Radius-Servers V Wählen Sie den Dialog Sicherheit:802.1x Port-Authen tifizierung:radius-server. Dieser Dialog bietet Ihnen die Möglichkeit, die Daten für einen, zwei oder drei Radius-Server einzugeben. V Klicken Sie auf Eintrag erzeugen, um das Dialogfenster zur Eingabe der IP-Adresse eines Radius-Servers zu öffnen. V Bestätigen Sie die Eingabe der IP-Adresse mit OK. Damit erzeugen Sie eine neue Zeile in der Tabelle für diesen Radius-Server. V Tragen Sie in der Spalte Shared Secret die Zeichenfolge ein, die Sie vom Administrator Ihres Radius-Servers als Schlüssel erhalten. V Mit Primary Server ernennen Sie diesen Server zum ersten Server, den der Switch bei Portauthentifizierungsanfragen kontaktieren soll. Ist dieser Server nicht erreichbar, dann richtet sich der Switch an den nächsten Server in der Tabelle. V Ausgewählter Server zeigt Ihnen an, an welchen Server der Switch seine Anfragen tatsächlich richtet. V Mit Eintrag löschen löschen Sie die ausgewählte Zeile in der Tabelle. U Ports auswählen V Wählen Sie den Dialog Sicherheit:802.1x Port-Authen tifizierung:port Konfiguration V In der Spalte Portkontrolle wählen Sie auto für die Ports, für die die portbezogene Netzzugriffskontrolle aktiv sein soll. U Zugriffskontrolle aktivieren V Wählen Sie den Dialog Sicherheit:802.1x Port-Authen tifizierung:global. V Mit Funktion" schalten Sie die Funktion an. 91

92 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 6.6 Zugriffs-Kontroll-Listen (ACL) Mit Zugriffs-Kontroll-Listen (Access Control Lists, ACL) haben Sie die Möglichkeit, Datenpakete beim Empfangen auszufiltern, weiterzuleiten, umzuleiten oder zu priorisieren. Der Switch bietet D MAC-basierte ACLs und D IP-basierte ACLs. Der Switch berücksichtigt die ACLs beim Paketempfang. Deshalb heißen die Listen Ingress-ACLs. Der Switch bietet folgende ACL-Fähigkeiten: D bis zu 100 ACLs, D 10 Regeln pro ACL, D bis zu 20 Regeln pro Interface, D bis zu 1000 Regeln auf allen Interfaces zusammen D mögliche Aktionen: erlauben (permit) und verweigern (deny), in Kombination mit erlauben: priorisieren (assign-queue) und umleiten (redirect). D alles verweigern ist stets die (unsichtbare) letzte Regel. Sie tritt dann in Kraft, wenn keine anderen Regeln dieses Interfaces zutreffen. Hinweis: Beim Priorisieren mit assign-queue überschreibt der Switch eine eventuell im VLAN-Tag (siehe Abb. 38) eines Datenpaketes eingetragene Priorität. Die Konfiguration von ACLs umfasst folgende Schritte: D ACL zuerst definieren und danach D ACL an ein oder alle Interfaces binden. Sie können ACLs an alle physikalischen Ports und an alle Link-Aggregation-Interfaces binden. 92

93 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Die Reihenfolge bei der Definition der Regeln einer Liste und die Reihenfolge der Anbindung dieser Listen an ein Interface entscheidet über die Reihenfolge der Anwendung der Regeln und Listen (siehe Reihenfolge der Regeln festlegen auf Seite 102). Hinweis: Beim Power MICE und MACH 4000 können Sie je Interface entweder MACbasierte oder IP-basierte ACLs anwenden. Beim MACH G/48G können Sie je Interface sowohl MAC-basierte als auch IP-basierte ACLs anwenden Beschreibung IP-basierte ACLs Der Switch unterscheidet zwischen Standard- und erweiterten IP-basierten ACLs. ACLs mit einer Identifikationsnummer (ACL ID) D von 1 bis 99 sind Standard-IP-basierte ACLs und D von 100 bis 199 sind erweiterte (extended) IP-basierte ACLs. Standard-IP-basierte ACLs bieten folgende Kriterien zur Filterung: D IP-Quelladresse mit Netzmaske D Alle Datenpakete (match every) Erweiterte IP-basierte ACLs bieten folgende Kriterien zur Filterung: D Alle Datenpakete (every) D Protokollnummer bzw. Protokoll (IP, ICMP, IGMP, TCP, UDP) D IP-Quelladresse mit Netzmaske oder alle IP-Quelladressen (any) D Schicht 4 Protokollportnummer der Quelle (UDP-Port, TCP-Port) D IP-Zieladresse mit Netzmaske oder alle IP-Zieladressen (any) D Schicht 4 Protokollportnummer des Ziels (UDP-Port, TCP-Port) D ToS-Feld mit Maske D DSCP-Feld D IP-Precedence-Feld 93

94 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Hinweis: Wenn Sie IP-ACLs an Ports anwenden, die sich im HIPER-Ring befinden oder an der Ring-/Netzkopplung beteiligt sind, dann fügen Sie den ACLs die folgende Regel hinzu: PERMIT Protocol: UDP Source IP: ANY Destination IP: /32 Source-Port: 0 Destination-Port: 0 CLI-Komando: access-list 1xx permit udp any eq eq 0 Hinweis: IP-Adressmasken in den Regeln von ACLs sind invers. Das bedeutet, wenn Sie eine einzelne IP-Adresse maskieren wollen, dann wählen Sie die Netzmaske Beschreibung MAC-basierte ACLs Während Sie IP-basierte ACLs über eine Identifikationsnummer identifizieren, identifizieren Sie MAC-basierte ACLs über einen beliebigen eindeutigen Namen. MAC-basierte ACLs bieten folgende Kriterien zur Filterung: D Quell-MAC-Adresse oder alle Quellen (any) D Ziel-MAC-Adresse oder alle Ziele (any) D Ethernet Type, auch Bereiche D VLAN ID D VLAN-Priorität (COS) D Secondary VLAN ID D Secondary VLAN-Priorität 94

95 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Hinweis: Wenn Sie MAC-ACLs an Ports anwenden, die sich im HIPER-Ring befinden oder an der Ring-/Netzkopplung beteiligt sind, dann fügen Sie den ACLs die folgende Regel hinzu: PERMIT Source MAC: ANY Destination MAC: 00:80:63:00:00:00 Destination MAC-Maske: 01:00:00:ff:ff:ff CLI-Komando im Config-mac-access-Modus: permit any 00:80:63:00:00:00 01:00:00:ff:ff:ff Hinweis: Wenn Sie MAC-ACLs an Ports anwenden, die sich im MRP-Ring befinden, dann fügen Sie den ACLs die folgende Regel hinzu: PERMIT Source MAC: ANY Destination MAC: 01:15:4E:00:00:00 Destination MAC-Maske: 00:00:00:00:00:03 CLI-Komando im Config-mac-access-Modus: permit any 01:15:4E:00:00:00 00:00:00:00:00:03 Hinweis: MAC-Adressmasken in den Regeln von ACLs sind invers. Das bedeutet, wenn Sie eine einzelne MAC-Adresse maskieren wollen, dann wählen Sie die Netzmaske 00:00:00:00:00:00. Wenn Sie MAC-Adressen im Bereich von 00:80:63:00:00:00 bis 00:80:63:FF:FF:FF masieren wollen, dann wählen Sie die Netzmaske 00:00:00:FF:FF:FF. 95

96 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) IP-ACLs konfigurieren Beispiel: Erweiterte ACL IP: /24 C Interface: 2.3 Interface: 3.1 IP: /24 B D IP: /24 Interface: 1.3 Interface: 2.1 A IP: /24 B und C dürfen nicht mit A kommunizieren. enable configure access-list 100 deny ip access-list 100 permit ip any any access-list 110 deny ip access-list 110 permit ip any any exit show ip access-lists 100 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Erzeugt die erweiterte ACL 100 mit der 1. Regel. Diese verweigert den Datenverkehr von der IP- Quelladresse zur IP-Zieladresse Fügt der ACL 100 eine weitere Regel hinzu. Diese erlaubt den Datenverkehr von jeder IP-Quelladresse zu jeder IP-Zieladresse. Erzeugt die erweiterte ACL 110 mit der 1. Regel. Diese verweigert den Datenverkehr von der IP- Quelladresse zur IP-Zieladresse Fügt der ACL 110 eine weitere Regel hinzu. Diese erlaubt den Datenverkehr von jeder IP-Quelladresse zu jeder IP-Zieladresse. Wechsel in den Privileged-EXEC-Modus. Zeigt die Regeln von ACL 100 an. 96

97 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) show ip access-lists 100 ACL ID: 100 Rule Number: 1 Action... deny Match All... FALSE Protocol (ip) Source IP Address Source IP Mask Destination IP Address Destination IP Mask Rule Number: 2 Action... permit Match All... TRUE configure interface 2/3 ip access-group 100 in exit interface 3/1 ip access-group 110 in exit exit Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 2/3. Bindet die ACL 100 für empfangene Daten an das Interface 2/3. Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 3/1. Bindet die ACL 110 für empfangene Daten an das Interface 3/1. Wechsel in den Konfigurationsmodus. Wechsel in den Privileged-EXEC-Modus. show access-lists interface 2/3 in ACL Type ACL ID Sequence Number IP

98 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) MAC-ACLs konfigurieren Beispiel: MAC-ACL AppleTalk und IPX aus dem gesamten Netz ausfiltern. enable configure mac access-list extended ipx-apple deny any any ipx deny any any appletalk permit any any exit mac access-group ipx-apple in exit show mac access-lists Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Erzeugt die erweiterte ACL ipx-apple Fügt der Liste die Regel IPX verweigern hinzu. Fügt der Liste die Regel AppleTalk verweigern hinzu. Fügt der Liste die Regel alle anderen Daten zulassen hinzu. Wechsel in den Konfigurationsmodus. Bindet die ACL ipx-apple an alle Interfaces. Wechsel in den Privileged-EXEC-Modus. Zeigt die ACLs an. MAC ACL Name Rules Direction Interface(s) ipx-apple 3 inbound 1/1,1/2,1/3,1/4,2/ 1,2/2,2/3,2/4,3/1,3/2 show access-lists interface 1/1 in ACL Type ACL ID Sequence Number MAC ipx-apple 1 98

99 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) Priorisierung mit IP-ACLs konfigurieren Beispiel: Erweiterte ACL mit Priorisierung an Hand von IP-Precedence (Layer 3), siehe IP ToS / DiffServ auf Seite 142. enable configure access-list 102 permit ip any any precedence 0 assignqueue 2 access-list 102 permit ip any any precedence 1 assignqueue 0 access-list 102 permit ip any any precedence 2 assignqueue 1 access-list 102 permit ip any any precedence 3 assignqueue 3 access-list 102 permit ip any any precedence 4 assignqueue 4.. access-list 102 permit ip any any precedence 7 assignqueue 7 exit show ip access-lists 102 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Erzeugt die erweiterte ACL 102 mit der 1. Regel. Diese Regel weist der Precedence 0 die Priorität 2 zu. Fügt der ACL 102 eine weitere Regel hinzu. Diese Regel weist der Precedence 1 die Priorität 0 zu. Fügt der ACL 102 eine weitere Regel hinzu. Diese Regel weist der Precedence 2 die Priorität 1 zu. Fügt der ACL 102 eine weitere Regel hinzu. Diese Regel weist der Precedence 3 die Priorität 3 zu. Fügt der ACL 102 eine weitere Regel hinzu. Diese Regel weist der Precedence 4 die Priorität 4 zu.... Fügt der ACL 102 eine weitere Regel hinzu. Diese Regel weist der Precedence 7 die Priorität 7 zu. Wechsel in den Privileged-EXEC-Modus. Zeigt die Regeln von ACL 102 an. 99

100 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) show access-lists 102 ACL ID: 102 Rule Number: 1 Action... permit Match All... FALSE Protocol (ip) IP Precedence... 0 Assign Queue... 2 Rule Number: 2 Action... permit Match All... FALSE Protocol (ip) IP Precedence... 1 Assign Queue... 0 Rule Number: 3 Action... permit Match All... FALSE Protocol (ip) IP Precedence More-- or (q)uit Assign Queue... 1 Rule Number: 4 Action... permit Match All... FALSE Protocol (ip) IP Precedence... 3 Assign Queue... 3 Rule Number: 5 Action... permit Match All... FALSE Protocol (ip) IP Precedence... 4 Assign Queue Rule Number: 8 Action... permit Match All... FALSE Protocol (ip) IP Precedence... 7 Assign Queue

101 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) configure interface 2/1 ip access-group 102 in exit exit show access-lists interface 2/1 in Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 2/1. Bindet die ACL 102 an das Interface 2/1. Wechsel in den Konfigurationsmodus. Wechsel in den Privileged-EXEC-Modus. Zeigt die am Interface 2/1 angebundenen ACLs für empfangene Datenpakete an. show access-lists interface 2/1 in ACL Type ACL ID Sequence Number IP IP Beispiel: Erweiterte ACL mit Priorisierung an Hand des Simple Network Management Protokolls (Layer 4) enable configure access-list 104 permit udp any any eq snmp assign -queue 5 exit show ip access-lists 104 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Erzeugt die erweiterte ACL 104 mit der 1. Regel, allen SNMP-Paketen (=161) die Priorität 5 zuzuweisen. Diese Regel überschreibt eine eventuell in einem VLAN-Tag enthaltene Priorität mit dem Wert 5. Wechsel in den Privileged-EXEC-Modus. Zeigt die Regeln von ACL 104 an. show ip access-lists 104 ACL ID: 104 Rule Number: 1 Action... permit Match All... FALSE Protocol... 17(udp) Destination L4 Port Keyword (snmp) Assign Queue

102 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) configure interface 2/1 ip access-group 104 in exit exit show access-lists interface 2/1 in Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 2/1. Bindet die ACL 104 an das Interface 2/1. Wechsel in den Konfigurationsmodus. Wechsel in den Privileged-EXEC-Modus. Zeigt die am Interface 2/1 angebundenen ACLs für empfangene Datenpakete an. show access-lists interface 2/1 in ACL Type ACL ID Sequence Number IP IP IP Reihenfolge der Regeln festlegen Die Anwendung der ACLs hängt von deren Reihenfolge ab. Die erste Liste, die zutrifft kommt zur Anwendung. Durch die Vergabe der Sequence Number können Sie die Reihenfolge beeinflussen. Eine kleine Sequence Number hat Vorrang vor einer höheren. enable configure ip access-group 100 in 10 ip access-group 102 in 30 ip access-group 104 in 20 exit show access-lists interface 2/1 in Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Weist der ACL 100 die Sequence Number 10 zu. Weist der ACL 102 die Sequence Number 30 zu. Weist der ACL 104 die Sequence Number 20 zu. Wechsel in den Privileged-EXEC-Modus. Zeigt die am Interface 2/1 angebundenen ACLs für empfangen Datenpakete an. 102

103 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) show access-lists interface 2/1 in ACL Type ACL ID Sequence Number IP IP IP

104 Schutz vor unberechtigtem Zugriff 6.6 Zugriffs-Kontroll-Listen (ACL) 104

105 Die Systemzeit im Netz synchronisieren 7 Die Systemzeit im Netz synchronisieren Was Echtzeit wirklich bedeutet, hängt von den Zeitanforderungen der Anwendung ab. Der Switch bietet zwei Möglichkeiten mit unterschiedlicher Genauigkeit, die Zeit in Ihrem Netz zu synchronisieren. Bei weniger großen Genauigkeitsanforderungen, im besten Fall eine Genauigkeit im Millisekunden-Bereich, ist das Simple Network Time Protocol (SNTP) eine kostengünstige Lösung. Die Genauigkeit ist abhängig von der Signallaufzeit. Anwendungsgebiete sind beispielsweise: Logbucheinträge, Produktionsdaten mit Zeitstempel versehen, Produktionssteuerung, usw. IEEE 1588 mit dem Precision Time Protocol (PTP) erreicht eine Genauigkeit im Submikrosekunden-Bereich. Diese anspruchsvolle Methode eignet sich beispielsweise zur Prozesssteuerung. In Abhängigkeit von Ihren Bedürfnissen wählen Sie die passende Methode. Unter Beachtung der gegenseitigen Beeinflussung können Sie auch beide Methoden gleichzeitig nutzen. 105

106 Die Systemzeit im Netz synchronisieren 7.1 Uhrzeit eingeben 7.1 Uhrzeit eingeben Steht Ihnen keine Referenzuhr zur Verfügung, dann haben Sie die Möglichkeit, in einem Switch die Systemzeit einzugeben, um ihn dann wie eine Referenzuhr einzusetzen (siehe PTP Global auf Seite 117 und Konfiguration SNTP-Server auf Seite 110). V Wählen Sie den Dialog Zeit. Dieser Dialog bietet Ihnen die Möglichkeit, unabhängig vom gewählten Zeitsynchronisationsprotokoll zeitbezogene Einstellungen vorzunehmen. D Die IEEE 1588-Zeit zeigt die mittels PTP empfangene Uhrzeit an. Die SNTP-Zeit" zeigt die Uhrzeit bezogen auf die koordinierte Weltzeitmessung UTC an. Die Anzeige ist weltweit gleich. Lokale Zeitverschiebungen bleiben unberücksichtigt. D Die Systemzeit" übernimmt die IEEE 1588 / SNTP-Zeit" unter Berücksichtigung der lokalen Zeitdifferenz zur IEEE 1588 / SNTP-Zeit". Systemzeit" = IEEE 1588 / SNTP-Zeit" + Lokaler Offset" D Quelle der Zeit zeigt den Ursprung der folgenden Zeitangabe an. Der Switch wählt automatisch die Quelle mit der höchsten Genauigkeit. V Mit Setze Zeit vom PC übernimmt der Switch die Zeit des PCs als Systemzeit und berechnet mit der lokalen Zeitdifferenz die IEEE 1588 / SNTP-Zeit. IEEE 1588 / SNTP-Zeit" = Systemzeit" - Lokaler Offset" V Lokaler Offset" dient zur Anzeige/Eingabe der Zeitdifferenz zwischen der lokalen Zeit und der IEEE 1588 / SNTP-Zeit". Mit Setze Offset vom PC" ermittelt der Switch die Zeitzone auf Ihrem PC und berechnet daraus die lokale Zeitdifferenz. 106

107 Die Systemzeit im Netz synchronisieren 7.1 Uhrzeit eingeben Hinweis: Passen Sie in Zeitzonen mit Sommer-/Winterzeit den lokalen Offset bei der Zeitumstellung an. Der Switch kann die SNTP-Server-IP- Adresse und den lokalen Offset auch von einem DHCP-Server beziehen. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Mit dem Befehl configure wechseln Sie in den Konfigurationsmodus. V Mit dem Befehl sntp time <YYYY-MM-DD HH:MM:SS> stellen Sie die Systemzeit des Switch. V Mit dem Befehl sntp client offset <-1000 to 1000> geben Sie die Zeitdifferenz zwischen der lokalen Zeit und der IEEE 1588 / SNTP-Zeit ein. 107

108 Die Systemzeit im Netz synchronisieren 7.2 SNTP 7.2 SNTP Beschreibung SNTP Das Simple Network Time Protocol ist hierarchisch aufgebaut. Der SNTP- Server stellt die UTC (Universal Time Coordinated) zur Verfügung. Die UTC ist die auf die koordinierte Weltzeitmessung bezogene Uhrzeit. Die Anzeige ist weltweit gleich. Lokale Zeitverschiebungen bleiben unberücksichtigt Der SNTP-Client bezieht die UTC vom SNTP-Server. Der Switch unterstützt die SNTP-Server- und die SNTP-Client-Funktion. GPS NTP- Server PLC Client Switch Switch Switch Client Server Client Server Client Server Client Abb. 25: SNTP-Kaskade 108

109 Die Systemzeit im Netz synchronisieren 7.2 SNTP Vorbereitung der SNTP-Konfiguration V Zeichnen Sie einen Netzplan mit allen am PTP beteiligten Geräten, um einen Überblick über die Weitergabe der Uhrzeit zu erhalten. Beachten Sie bei der Planung, dass die Genauigkeit der Uhrzeit von der Signallaufzeit abhängig ist. GPS NTP- Server PLC Client Switch Switch Switch Client Server Client Server Client Server Client Abb. 26: Beispiel SNTP V Schalten Sie die SNTP-Funktion auf allen Geräten ein, deren Zeit Sie mittels SNTP einstellen wollen. V Wenn Sie keine Referenzuhr zur Verfügung haben, dann bestimmen Sie einen Switch als Referenzuhr und stellen Sie dessen Systemzeit möglichst genau ein. Hinweis: Für eine möglichst genaue Systemzeitverteilung vermeiden Sie im Signalpfad zwischen SNTP-Server und SNTP-Client Netzwerkkomponenten (Router, Switches, Hubs), die kein SNTP unterstützten. 109

110 Die Systemzeit im Netz synchronisieren 7.2 SNTP Konfiguration SNTP V Wählen Sie den Dialog Zeit:SNTP. U Konfiguration SNTP-Client und -Server V In diesem Rahmen schalten Sie die SNTP-Funktion ein/aus. Im ausgeschalteten Zustand sendet der SNTP-Server keine SNTP-Pakete und beantwortet keine SNTP-Anfragen. Der SNTP-Client sendet keine SNTP-Anforderungen und wertet keine SNTP-Broadcast-/Multicast-Pakete aus. U SNTP-Status D Die Statusmeldung zeigt Zustände an, wie z.b. Server nicht erreichbar. U Konfiguration SNTP-Server V In Ziel-Adresse geben Sie die IP-Adresse an, an welche der SNTP-Server auf dem Switch die SNTP-Pakete schickt. IP-Zieladresse zyklisch SNTP-Paket versenden an niemandem Unicast Unicast Multicast Broadcast Tab. 4: Zyklisches Versenden von SNTP-Paketen V In VLAN ID geben Sie das VLAN an, in welches der Switch zyklische SNTP-Pakete verschicken darf. V In Sendeintervall geben Sie den Zeitabstand an, in welchem der Switch SNTP-Pakete verschickt (gültige Werte: 1 Sekunde bis 3600 Sekunden, Lieferzustand: 120 Sekunden). 110

111 Die Systemzeit im Netz synchronisieren 7.2 SNTP U Konfiguration SNTP-Client V In Externe Server Adresse geben Sie die IP-Adresse des SNTP- Servers ein, von dem der Switch zyklisch die Systemzeit anfordert. V In Redundante Server Adresse geben Sie die IP-Adresse des SNTP-Servers ein, von dem der Switch zyklisch die Systemzeit anfordert, wenn er 0,5 Sekunden nach einer Anforderung keine Antwort vom Externen Server Adresse erhält. Hinweis: Wenn Sie von einer externen/redundanten Server-Adresse die Systemzeit beziehen, dann akzeptieren Sie keine SNTP-Broadcasts (siehe unten). Sonst können Sie nie unterscheiden, ob der Switch die Zeit des eingetragenen Servers oder die eines SNTP- Broadcast-Paketes anzeigt. V In Anforderungsintervall geben Sie den Zeitabstand ein, in dem der Switch SNTP-Pakete anfordert (gültige Werte: 1 Sekunde bis 3600 Sekunden, Lieferzustand: 30 Sekunden). V Mit SNTP Broadcasts akzeptieren übernimmt der Switch die Systemzeit aus SNTP-Broadcast-/Multicast-Paketen, die er empfängt. Abb. 27: Dialog SNTP 111

112 Die Systemzeit im Netz synchronisieren 7.2 SNTP Switch Funktion an an an Server Zieladresse Server VLAN ID Sendeintervall Client Externe Server Adresse Anforderungsinterval Broadcasts akzeptieren nein nein nein Tab. 5: Einstellungen für das Beispiel (siehe Abb. 26) 112

113 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol 7.3 Precison Time Protocol Funktionsbeschreibung PTP Voraussetzung für zeitkritische, über ein LAN gesteuerte Anwendungen ist ein präzises Zeitmanagement. Der Standard IEEE 1588 beschreibt mit dem Precision Time Protocol (PTP) ein Verfahren, das ausgehend von einer genauesten Uhr die präzise Synchronisation aller Uhren in einem LAN ermöglicht. Dieses Verfahren erlaubt eine Synchronisation der betroffenen Uhren mit einer Genauigkeit bis zu wenigen 100 ns. Die Belastung des Netzes mit Synchronisationsnachrichten ist dabei verschwindend gering. PTP benutzt die Multicast-Kommunikation. Einfluß auf die Präzision haben: D Genauigkeit der Referenzuhr IEEE 1588 klassifiziert Uhren nach ihrer Genauigkeit. Ein Algorithmus, der die Genauigkeit der verfügbaren Uhren im Netz ermittelt, bestimmt die genaueste Uhr zur Grandmaster"-Uhr. Stratumnummer Spezifikation 0 Für zeitlich begrenzte, spezielle Zwecke, um einer Uhr einen besseren Wert zuzuordnen als allen anderen Uhren im Netz. 1 Bezeichnet die Uhr als Referenzuhr mit höchster Genauigkeit. Eine Stratum 1 Uhr kann sowohl Boundary als auch Ordenary Uhr sein. Zu Stratum 1 Uhren gehören GPS-Uhren und kalibrierte Atomuhren. Eine Stratum 1 Uhr sollte nicht mittels PTP von einer anderen Uhr im PTP- System synchronisiert werden. 2 Bezeichnet die Uhr als Referenzuhr zweiter Wahl. 3 Bezeichnet die Uhr als Referenzuhr, die über eine externe Leitung synchronisiert werden kann. 4 Bezeichnet die Uhr als Referenzuhr, die nicht über eine externe Leitung synchronisiert werden kann Reserviert. 255 Voreinstellung. Eine solche Uhr sollte niemals beste Master-Uhr sein. Tab. 6: Stratum Klassifikation der Uhren 113

114 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol D Kabellaufzeiten; Gerätelaufzeiten (Delay) Das von IEEE 1588 vorgegebene Kommunikationsprotokoll ermöglicht die Ermittlung von Laufzeiten. Formeln zur Berechnung der aktuellen Uhrzeit eliminieren Laufzeiten. D Genauigkeit lokaler Uhren Das von IEEE 1588 vorgegebene Kommunikationsprotokoll berücksichtigt die Ungenauigkeit lokaler Uhren gegenüber der Referenzuhr. Berechnungsformeln erlauben die Synchronisation der lokalen Zeit unter Berücksichtigung der Ungenauigkeit der lokalen Uhr gegenüber der Referenzuhr. Reference (Master clock) Local (Slave clock) PTP PTP UDP IP Delay + Jitter Delay + Jitter UDP IP MAC MAC Phy Delay + Jitter Phy LAN PTP Precision Time Protocol (Application Layer) UDP User Datagramm Protocol (Transport Layer) IP Internet Protocol (Network Layer) MAC Media Access Control Phy Physical Layer Abb. 28: Delay- und Jitterproblematik beim Uhrenabgleich Um die Reduktion der Laufzeit und des Jitters im Protokollstapel zu umgehen, empfiehlt IEEE 1588, eine spezielle Hardware-Zeitstempeleinheit (Time Stamp Unit) zwischen MAC und Phy einzusetzen. Geräte/Module mit der Namensergänzung -RT besitzen diese Zeitstempeleinheit. Die Laufzeit und der Jitter im LAN summiert sich in den Medien und Übertragungsgeräten entlang des Übertragungspfades. 114

115 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Die Kabellaufzeiten sind relativ konstant. Änderungen treten sehr langsam auf. Diese Tatsache berücksichtigt IEEE 1588 durch regelmäßige Messungen und Neuberechnungen. Die Ungenauigkeit durch Gerätelaufzeit und Geräte-Jitter umgeht IEEE 1588 durch die Definition von Boundary Clocks. Boundary Clocks sind Uhren, die in Geräte integriert sind. Diese Uhren werden auf der einen Seite im Signalpfad synchronisiert und auf der anderen Seite des Signalpfades dienen sie zur Synchronisation der folgenden Uhren (Ordinary Clocks). GPS Reference (Grandmaster Clock) PLC Switch Ordinary Clock Slave Master Ordinary Clock Boundary Clock Abb. 29: Boundary Clock Unabhängig von physikalischen Kommunikationspfaden sieht das PTP logische Kommunikationspfade vor, die Sie durch das Einrichten von PTP- Subdomänen definieren. Subdomänen haben den Zweck, Gruppen von Uhren, die zeitlich unabhängig vom Rest der Domäne sind, zu bilden. Typischerweise benutzen die Uhren einer Gruppe die gleichen Kommunikationspfade wie andere Uhren auch. 115

116 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol GPS Reference (Grandmaster Clock) PLC Ordinary Clock Switch PTP Subdomain 1 Boundary Clock PTP Subdomain 2 Abb. 30: PTP-Subdomänen Vorbereitung der PTP-Konfiguration Nach dem Aktivieren der Funktion übernimmt das PTP die Konfiguration automatisch. Die im Switch eingestellten Werte im Lieferzustand genügen den meisten Anwendungen. V Zeichnen Sie einen Netzplan mit allen am PTP beteiligten Geräten, um einen Überblick über die Uhrenverteilung zu erhalten. Hinweis: Schließen Sie alle Verbindungen, die Sie zur Verteilung der PTP- Informationen benutzen an Anschlüsse mit integrierter Zeitstempeleinheit (RT-Module) an. Geräte ohne Zeitstempeleinheit nehmen die Informationen des PTP auf und stellen ihre Uhr danach. Sie beteiligen sich nicht am Protokoll. 116

117 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol V Schalten Sie die PTP-Funktion auf allen Geräten ein, deren Zeit Sie mittels PTP synchronisieren wollen. V Wenn Sie keine Referenzuhr zur Verfügung haben, dann bestimmen Sie einen Switch als Referenzuhr und stellen Sie dessen Systemzeit möglichst genau ein Konfiguration PTP Im Dialog Zeit:PTP:Global schalten Sie die Funktion ein/aus und bei den Geräten MS20/30 und Power MICE nehmen Sie PTP-Einstellungen vor, die portübergreifend gelten. U PTP Global V Wählen Sie den Dialog Zeit:PTP:Global. V Schalten Sie im Rahmen Funktion IEEE 1588 / PTP die Funktion ein. V Falls Sie diesen Switch zur PTP-Referenzuhr auserkoren haben, wählen Sie im Rahmen Konfiguration IEEE 1588 / PTP in der Zeile Bevorzugter Master den Wert true. D Mit Reinitialisieren stoßen Sie die Synchronisation der lokalen Uhr erneut an. D Konfiguration Clock Modus: Modus der lokalen Uhr. Möglich sind: ptp-mode-boundary-clock, ptp-mode-simple-ptp (ohne Laufzeitkorrektur, ohne Bestimmung von bester Uhr). Wählen Sie diesen Modus, wenn der Switch keine Zeitstempeleinheit (RT-Modul) besitzt. Bevorzugter Master: Lokale Uhr als bevorzugten Master definieren. 117

118 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol Abb. 31: PTP-Global U Anwendungsbeispiel: Die Synchronisation der Zeit im Netz soll über PTP erfolgen. Der linke Switch erhält als SNTP-Client über SNTP die Uhrzeit vom NTP-Server. Einer von einem NTP-Server empfangenen Uhrzeit weist der Switch eine Clock Stratum 2 zu. Somit wird der linke Switch zur Referenzuhr für die PTP-Synchronisation und er ist Bevorzugter Master. Der Bevorzugte Master gibt über seine Anschlüsse am RT-Modul das genaue Zeitsignal weiter. Der Switch mit RT-Modul empfängt das genaue Zeitsignal an einem Anschluss seines RT-Moduls und hat somit den Clock Modus ptp-mode-boundary-clock. Die Switche ohne RT-Modul bekommen den Clock Modus ptp-mode-simple-ptp. 118

119 Die Systemzeit im Netz synchronisieren 7.3 Precison Time Protocol GPS Reference (Grandmaster Clock) Switch mit RT-Modul Switch mit RT-Modul Boundary Clock Ordinary Clock Switch ohne RT-Modul Switch ohne RT-Modul Abb. 32: Beispiel für PTP-Synchronisation. Switch PTP Funktion an an an Clock Modus ptp-modeboundary-clock ptp-modeboundary-clock ptp-modesimple-ptp ptp-modesimple-ptp Bevorzugter Master true false false false SNTP Funktion an aus aus aus Server Zieladresse Server VLAN ID Client Externe Server Adresse Anforderungsinterval 30 beliebig beliebig beliebig Broadcasts akzeptieren nein beliebig beliebig beliebig Tab. 7: Einstellungen für das Beispiel (siehe Abb. 32) 119

120 Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP 7.4 Interaktion von PTP und SNTP Laut PTP und SNTP können beide Protokolle parallel in einem Netz existieren. Da aber beide Protokolle die Systemzeit des Gerätes beeinflussen, können Situationen auftreten, in denen beide Protokolle konkurieren. Hinweis: Konfigurieren Sie die Geräte so, dass jedes Gerät ausschließlich aus einer Quelle die Uhrzeit bezieht. Soll der Switch über PTP die Uhrzeit beziehen, dann geben Sie bei der SNTP-Client-Konfiguration die Externe Server Adresse ein und akzeptieren Sie keine SNTP-Broadcasts. Soll der Switch über SNTP die Uhrzeit beziehen, dann achten Sie darauf, dass am SNTP-Server die beste Uhr angeschlossen ist. Dann beziehen beide Protokolle die Uhrzeit vom gleichen Server. Das Beispiel (siehe Abb. 33) zeigt eine solche Anwendung. GPS NTP- Server PLC SNTP-Client SNTP SNTP SNTP Client SNTP Server PTP PTP SNTP Server PTP PTP SNTP Server PTP SNTP SNTP-Client Abb. 33: Beispiel für die Koexistenz von PTP und SNTP 120

121 Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP U Anwendungsbeispiel: Die Anforderungen an die Genauigkeit der Uhrzeit im Netz sei recht hoch, die Endgeräte jedoch unterstützen ausschließlich SNTP (siehe Abb. 33). Switch PTP Funktion an an an Clock Modus ptp-modeboundary-clock ptp-modeboundary-clock ptp-modeboundary-clock Bevorzugter Master false false false SNTP Funktion an an an Server Zieladresse Server VLAN ID Sendeinterval Client Externe Server Adresse Anforderungsinterval beliebig beliebig beliebig Broadcasts akzeptieren nein nein nein Tab. 8: Einstellungen für das Beispiel Im Beispiel erhält der linke Switch als SNTP-Client über SNTP die Uhrzeit vom NTP-Server. Einer von einem NTP-Server empfangenen Uhrzeit weist der Switch eine Clock Stratum 2 zu. Somit wird der linke Switch zur Referenzuhr für die PTP-Synchronisation. Bei allen drei Switches ist PTP aktiv, was eine präzise Zeitsynchronisation unter ihnen gewährleistet. Da im Beispiel die anschließbaren Engeräte ausschließlich SNTP unterstützen, dienen alle drei Switches als SNTP-Server. 121

122 Die Systemzeit im Netz synchronisieren 7.4 Interaktion von PTP und SNTP 122

123 Netzlaststeuerung 8 Netzlaststeuerung Zur Optimierung der Datenübertragung bietet Ihnen der Switch folgende Funktionen, um die Netzauslastung zu steuern: D Einstellungen zur gezielten Paketvermittlung (MAC-Adressfilter) D Multicast-Einstellungen D Lastbegrenzung D Priorisierung D Flusskontrolle D Virtuelle LANs 123

124 Netzlaststeuerung 8.1 Gezielte Paketvermittlung 8.1 Gezielte Paketvermittlung Durch gezielte Paketvermittlung bewahrt Sie der Switch vor unnötiger Netzbelastung. Folgende Funktionen bietet Ihnen der Switch zur gezielten Paketvermittlung: D Store and Forward D Multiadress-Fähigkeit D Altern gelernter Adressen D Statische Adresseinträge D Ausschalten der gezielten Paketvermittlung Store and Forward Alle Daten, die der Switch empfängt, werden gespeichert und auf ihre Gültigkeit geprüft. Ungültige und fehlerhafte Datenpakete (> Byte oder CRC- Fehler) sowie Fragmente (< 64 Byte) werden verworfen. Gültige Datenpakete leitet der Switch weiter Multiadress-Fähigkeit Der Switch lernt alle Quelladressen je Port. Nur Pakete mit D unbekannten Adressen D diesen Adressen oder D einer Multi-/Broadcast-Adresse im Zieladressfeld werden an diesen Port gesendet. Gelernte Quelladressen trägt der Switch in seine Filtertabelle ein (siehe Statische Adresseinträge eingeben auf Seite 126). 124

125 Netzlaststeuerung 8.1 Gezielte Paketvermittlung Der Switch kann bis zu 8000 Adressen lernen. Dies wird notwendig, wenn an einem oder mehreren Ports mehr als ein Endgerät angeschlossen ist. So können mehrere eigenständige Subnetze an den Switch angeschlossen werden Altern gelernter Adressen Der Switch überwacht das Alter der gelernten Adressen. Adresseinträge, die ein bestimmtes Alter (30 Sekunden, Aging Time) überschreiten, löscht der Switch aus seiner Adresstabelle. Datenpakete mit einer unbekannten Zieladresse flutet der Switch. Datenpakete mit bekannter Zieladresse vermittelt der Switch gezielt. Hinweis: Ein Neustart löscht die gelernten Adresseinträge. V Wählen Sie den Dialog Switching:Global. V Geben Sie die Aging Time für alle dynamischen Einträge im Bereich von 10 bis 630 Sekunden (Einheit: 1 Sekunde, Voreinstellung: 30). Im Zusammenhang mit der Router-Redundanz (siehe MACH 3000) wählen Sie die Zeit größer/gleich 30 Sekunden. 125

126 Netzlaststeuerung 8.1 Gezielte Paketvermittlung Statische Adresseinträge eingeben Zu den wichtigsten Funktionen eines Switch gehört unter anderen die Filterfunktion. Sie selektiert Datenpakete nach definierten Mustern, den Filtern. Diesen Mustern sind Vermittlungsvorschriften zugeordnet. Das heißt, ein Datenpaket, das ein Switch an einem Port empfängt, wird mit den Mustern verglichen. Besteht ein Muster, mit dem das Datenpaket übereinstimmt, dann sendet oder blockiert ein Switch dieses Datenpaket entsprechend den Vermittlungsvorschriften an den betroffenen Ports. Als Filterkriterium können gelten: D Zieladresse (Destination Address), D Broadcast-Adresse, D Gruppenadresse (Multicast), D VLAN-Zugehörigkeit. Zur Speicherung der einzelnen Filter dient die Filtertabelle (Forwarding Database, FDB). Sie enthält drei Teile: einen statischen und zwei dynamische Teile. D Der Management-Administrator beschreibt den statischen Teil der Filtertabelle (dot1qstatictable). D Ein Switch besitzt die Fähigkeit, während des Betriebes zu lernen, an welchem Port er Datenpakete mit welchen Quelladressen empfängt (siehe Multiadress-Fähigkeit auf Seite 124). Diese Information wird in einen dynamischen Teil (dot1qtpfdbtable) geschrieben. D Von Nachbar-Agenten dynamisch gelernte und die per GMRP gelernte Adressen werden in den anderen dynamischen Teil geschrieben. Adressen, die schon in der statischen Filtertabelle stehen, übernimmt ein Switch automatisch in den dynamischen Teil. Eine statisch eingetragene Adresse kann nicht durch Lernen überschrieben werden. Hinweis: Bei aktivem Redundanz Manager sind keine permanenten Unicast-Einträge möglich. Hinweis: Die Filtertabelle bietet Ihnen die Möglichkeit, bis zu 100 Filter für Multicast-Adressen zu erzeugen. 126

127 Netzlaststeuerung 8.1 Gezielte Paketvermittlung V Wählen Sie den Dialog Switching:Filter fÿr MAC-Adressen. Jede Zeile der Filtertabelle stellt einen Filter dar. Filter legen die Vermittlungsweise von Datenpaketen fest. Sie werden entweder automatisch vom Switch (Status learned) oder manuell angelegt. Datenpakete deren Zieladresse in der Tabelle eingetragen ist, werden vom Empfangsport an die in der Tabelle markierten Ports vermittelt. Datenpakete, deren Zieladresse nicht in der Tabelle enthalten ist, werden vom Empfangsport an alle anderen Ports vermittelt. Im Dialog Filter anlegen (siehe Bedientaste unten) haben Sie die Möglichkeit, neue Filter zu erzeugen. Folgende Stati sind möglich: D learned: Das Filter wurde vom Switch automatisch angelegt. D invalid: Mit diesem Status löschen Sie ein manuell angelegtes Filter. D permanent: Das Filter wird im Switch oder auf dem URL dauerhaft gespeichert (siehe Einstellungen speichern auf Seite 59). D gmrp: Das Filter wurde durch GMRP angelegt. D gmrp/permanent: GMRP hat dem Filter, nachdem es durch den Administrator angelegt worden ist, weitere Portmarken hinzugefügt. Die durch das GMRP hinzugefügten Portmarken werden bei einem Neustart gelöscht. D igmp: Das Filter wurde durch IGMP angelegt. V Um Einträge mit dem Status learned aus der Filtertabelle zu löschen, wählen Sie den Dialog Grundeinstellungen:Neustart und klicken Sie auf MAC-Adresstabelle zurücksetzen Gezielte Paketvermittlung ausschalten Um die Daten aller Ports beobachten zu können, bietet Ihnen der Switch die Möglichkeit, das Lernen der Adressen auszuschalten. Ist das Lernen der Adressen ausgeschaltet, dann überträgt der Switch alle Daten von allen Ports an alle Ports. 127

128 Netzlaststeuerung 8.1 Gezielte Paketvermittlung V Wählen Sie den Dialog Switching:global. V Kreuzen Sie Adressen lernen an, um die Daten aller Ports beobachten zu können. 128

129 Netzlaststeuerung 8.2 Multicast-Anwendung 8.2 Multicast-Anwendung Beschreibung Multicast-Anwendung Die Datenverteilung im LAN unterscheidet drei Verteilungsklassen bezüglich der adressierten Empfänger: D Unicast - ein Empfänger, D Multicast - eine Gruppe von Empfängern, D Broadcast - jeder erreichbare Empfänger. Im Falle der Multicast-Adressierung leiten Switches alle Datenpakete mit einer Multicast-Adresse an allen Ports weiter. Dies führt zu einem erhöhten Bandbreitenbedarf. Protokolle wie das GMRP und Verfahren wie IGMP-Snooping ermöglichen den Switches einen Informationsaustausch über die gezielte Vermittlung von Multicast-Datenpaketen. Das Vermitteln der Multicast-Datenpakete ausschließlich an den Ports, an denen Empfänger dieser Multicast-Datenpakete angeschlossenen sind, begrenzt den benötigten Bandbreitenbedarf. IGMP-Multicast-Adressen erkennen Sie an dem Bereich, in dem eine Adresse liegt: D MAC-Multicast-Adresse 01:00:5E:00:00:00-01:00:5E:FF:FF:FF D Klasse D IP-Multicast-Adresse

130 Netzlaststeuerung 8.2 Multicast-Anwendung Beispiel für eine Multicast-Anwendung Die Kameras zur Maschinenüberwachung übertragen in der Regel ihre Bilder auf Monitore im Maschinenraum und in einen Überwachungsraum. Bei einer IP-Übertragung sendet eine Kamera ihre Bilddaten mit einer Multicast-Adresse über das Netz. Damit die vielen Bilddaten nicht unnötig das ganze Netz belasten, benutzt der Switch das GMRP zur Verteilung der Multicast-Address-Information. Dies hat zur Folge, daß die Bilddaten mit einer Multicast-Adresse nur noch an jenen Ports vermittelt werden, an denen die zugehörigen Monitore zur Überwachung angeschlossen sind. 1. Etage h H h H h H MICE 2. Etage h H h H h H MICE Überwachungsraum Abb. 34: Beispiel: Video-Überwachung in Maschinenräumen 130

131 Netzlaststeuerung 8.2 Multicast-Anwendung Beschreibung IGMP-Snooping Das IGMP Internet Group Management Protocol beschreibt die Verteilung von Multicast-Informationen zwischen Routern und Endgeräten auf Layer 3- Ebene. Router mit aktiver IGMP-Funktion verschicken periodisch Anfragen (Query), um zu erfahren, welche IP-Multicast-Gruppen-Mitglieder im LAN angeschlossen sind. Multicast-Gruppen-Mitglieder antworten mit einer Report- Nachricht. Diese Report-Nachricht enthält alle für das IGMP notwendigen Parameter. Der Router trägt die IP-Multicast-Group-Adresse aus der Report- Nachricht in seine Routing-Tabelle ein. Dies bewirkt, daß er Frames mit dieser IP-Multicast-Group-Adresse im Zieladressfeld ausschließlich gemäß der Routing-Tabelle vermittelt. Geräte, die nicht mehr Mitglied einer Multicast-Gruppe sein wollen, melden sich mit einer Leave-Nachricht ab (ab IGMP Version 2) und versenden keine Report-Nachrichten mehr. Im IGMP Version 1 und 2 entfernt der Router den Routing-Tabelleneintrag, wenn er innerhalb einer bestimmten Zeit (Aging Time) keine Report-Nachricht empfängt. Sind mehrere Router mit aktiver IGMP-Funktion im Netz, dann verhandeln diese bei IGMP Version 2 untereinander, welcher Router die Query-Funktion übernimmt. Ist kein Router im Netz, dann kann ein entsprechend ausgestatteter Switch die Query-Funktion übernehmen. Ein Switch, der einen Multicast-Empfänger mit einem Router verbindet, kann mit Hilfe des IGMP-Snooping-Verfahrens die IGMP-Informationen auswerten. IGMP-Snooping übersetzt IP-Multicast-Group-Adressen in MAC-Multicast- Adressen, so daß die IGMP-Funktion auch von Layer 2-Switches wahrgenommen werden können. Der Switch trägt die vom IGMP-Snooping aus den IP-Adressen gewonnenen MAC-Adressen der Multicast-Empfänger in die statische Adresstabelle ein. Somit blockiert der Switch Multicast-Pakete an den Ports, an denen keine Multicast-Empfänger angeschlossen sind. 131

132 Netzlaststeuerung 8.2 Multicast-Anwendung Beschreibung GMRP Das GARP Multicast Registration Protocol (GMRP) beschreibt die Verteilung von Datenpaketen mit einer Multicast-Adresse als Zieladresse auf Layer 2- Ebene. Geräte, die Datenpakete mit einer Multicast-Adresse als Zieladresse empfangen wollen, veranlassen mit Hilfe des GMRPs die Registrierung der Multicast-Adresse. Registrieren heißt für einen Switch, die Multicast-Adresse in die Filtertabelle eintragen. Beim Eintrag einer Multicast-Adresse in die Filtertabelle, sendet der Switch diese Information in einem GMRP-Paket an allen Ports. Angeschlossene Switches lernen dadurch, diese Multicast- Adresse an diesen Switch weiterzuleiten. Das GMRP ermöglicht, daß Pakete mit einer Multicast-Adresse im Zieladreßfeld an den eingetragenen Ports vermittelt werden. Die anderen Ports bleiben von diesen Paketen unbelastet. Datenpakete mit nicht registrierten Multicast-Adressen sendet ein Switch an allen Ports. Grundeinstellung Globale Einstellung : inaktiv Multicast-Anwendung einstellen V Wählen Sie den Dialog Switching:Multicasts. U Globale Einstellungen IGMP Snooping" bietet Ihnen die Möglichkeit, IGMP Snooping für den gesamten Switch global einzuschalten. Ist IGMP Snooping ausgeschaltet, dann: D wertet der Switch empfangene Query- und Report-Pakete nicht aus und D sendet (flutet) empfangene Datenpakete mit einer Multicast- Adresse als Zieladresse an allen Ports. 132

133 Netzlaststeuerung 8.2 Multicast-Anwendung U IGMP-Querier IGMP Querier aktiv bietet Ihnen die Möglichkeit, die Query-Funktion ein-/auszuschalten. Die Protokoll-Auswahlfelder bieten Ihnen die Möglichkeit, die IGMP- Version 1, 2 oder Version 3 auszuwählen. U Unbekannte Multicasts An Query Ports senden", der Switch sendet die Pakete mit unbekannter MAC/IP-Multicast-Adresse an alle Query-Ports. An alle Ports senden". der Switch sendet die Pakete mit unbekannter MAC/IP-Multicast-Adresse an alle Ports. Verwerfen", der Switch verwirft alle Pakete mit unbekannter MAC/ IP-Multicast-Adresse. Hinweis: Diese Behandlung von ungelernten Multicast-Adressen gilt auch für die reservierten Adressen aus dem Local Network Control Block" ( ). Dies kann z.b. Auswirkungen auf übergeordnete Routing-Protokolle haben. U IGMP an pro Port Diese Tabellenspalte bietet Ihnen die Möglichkeit, bei eingeschaltetem globalem IGMP-Snooping das IGMP je Port ein-/auszuschalten. Das Ausschalten des IGMPs an einem Port verhindert Registrierungen für diesen Port. U IGMP Forward all pro Port Diese Tabellenspalte bietet Ihnen die Möglichkeit, bei eingeschaltetem globalem IGMP Snooping die IGMP Snooping-Funktion Forward All" ein-/auszuschalten. Mit der Einstellung Forward All" vermittelt der Switch an diesem Port alle Datenpakete mit einer Multicast-Adresse im Zieladreßfeld. Hinweis: Sind mehrere Router an ein Subnetz angeschlossen, dann verwenden Sie IGMP Version 1, damit alle Router alle IGMP-Reports erhalten. Hinweis: Wenn Sie IGMP Version 1 in einem Subnetz verwenden, dann verwenden Sie IGMP Version 1 auch im gesamten Netz. 133

134 Netzlaststeuerung 8.2 Multicast-Anwendung U Statischer Query Port IGMP-Report-Nachrichten vermittelt ein Switch an die Ports, an denen er IGMP-Anfragen empfängt. Diese Tabellenspalte bietet Ihnen die Möglichkeit, IGMP-Report-Nachrichten auch an anderen ausgewählten Ports zu vermitteln. U Gelernter Query Port IGMP-Report-Nachrichten vermittelt ein Switch an die Ports, an denen er IGMP-Anfragen empfängt. Diese Tabellenspalte zeigt Ihnen, an welchen Ports der Switch IGMP-Anfragen empfangen hat. U GMRP Service Requirements pro Port Die GMRP Service Requirements des GMRP-Standards beschreiben die GMRP-Dienstanforderung durch das Endgerät an das gesamte Netz. D Mit der Einstellung selektiv (GMRP-Standard-Angabe: forward all unregistered groups) vermittelt der Switch an diesem Port alle Datenpakete mit einer Multicast-Adresse im Zieladressfeld, die für diesen Port in der Filtertabelle eingetragen ist oder für die kein Eintrag in der Filtertabelle existiert. D Mit der Einstellung alle (GMRP-Standard-Angabe: forward all groups) vermittelt der Switch an diesem Port alle Datenpakete mit einer Multicast-Adresse im Zieladressfeld. Hinweis: Ist der Switch in einen HIPER-Ring eingebunden, dann gewähren Sie bei einer Ringunterbrechung eine schnelle Rekonfiguration des Netzes für Datenpakete mit registrierten Multicast-Zieladressen durch: D Einschalten des IGMPs an den Ringports und global und D Einschalten von IGMP Forward All pro Port an den Ringports. 134

135 Netzlaststeuerung 8.2 Multicast-Anwendung Abb. 35: Dialog IGMP 135

136 Netzlaststeuerung 8.3 Lastbegrenzer 8.3 Lastbegrenzer Beschreibung Lastbegrenzer Um bei großer Belastung einen sicheren Datenaustausch zu gewährleisten, kann der Switch den Verkehr begrenzen. Die Eingabe einer Begrenzungsrate je Port legt fest, wieviel Verkehr der Switch ausgangs- und eingangsseitig vermitteln darf. Werden an diesem Port mehr als die eingegebene maximale Belastung vermittelt, dann verwirft der Switch die Überlast an diesem Port. Eine globale Einstellung aktiviert/deaktiviert die Lastbegrenzer-Funktion an allen Ports Lastbegrenzer Einstellung für MACH 4000 und Power MICE V Wählen Sie den Dialog Switching:Lastbegrenzer. Eingangsbegrenzer (kbit/s) bietet Ihnen die Möglichkeit, die Eingangsbegrenzerfunktion für alle Ports ein-/auszuschalten und die Eingangsbegrenzung für Broadcast-Pakete oder für Broadcast- und Multicast-Pakete an allen Ports zu wählen. Ausgangsbegrenzer (Pkt/s) bietet Ihnen die Möglichkeit, die Ausgangs-Broadcastbegrenzung an allen Ports ein/auszuschalten. 136

137 Netzlaststeuerung 8.3 Lastbegrenzer Einstellmöglichkeiten pro Port: D Eingangsbegrenzerrate für den im Eingangsbegrenzerrahmen gewählten Pakettyp: D = 0, keine Begrenzung eingangsseitig an diesem Port. D > 0, maximale Übertragungsrate in kbit/s, die ausgangsseitig an diesem Port gesendet werden darf. D Ausgangsbegrenzerrate für Broadcast-Pakete: D = 0, keine Begrenzung der Broadcasts ausgangsseitig an diesem Port. D > 0, maximale Anzahl der Broadcasts, die pro Sekunde ausgangsseitig an diesem Port gesendet werden. Abb. 36: Lastbegrenzer für MACH 4000 und Power MICE 137

138 Netzlaststeuerung 8.4 Priorisierung - QoS 8.4 Priorisierung - QoS Beschreibung Priorisierung Diese Funktion verhindert, daß zeitkritischer Datenverkehr wie Sprach-/ Video- oder Echtzeitdaten in Zeiten starker Verkehrslast durch weniger zeitkritischen Datenverkehr gestört wird. Die Zuweisung von hohen Prioritätsklassen für zeitkritische Daten und niedrigen Prioritätsklassen für weniger zeitkritische Daten gewährleistet einen optimierten Datenfluss für zeitkritische Datenverkehr. Der Switch unterstützt vier (acht bei MACH 4000 und PowerMICE) Priority Queues (Traffic Classes nach IEEE 802.1D-1998). Die Zuordnung von empfangenen Datenpaketen zu diesen Klassen erfolgt durch D Access-Control-Listen (MAC- oder IP-basierte ACLs). D die im VLAN-Tag enthaltene Priorität des Datenpaketes, wenn der Empfangsport auf trust dot1p konfiguriert wurde. D die im IP-Header enthaltene QoS-Information (ToS/DiffServ), wenn der Empfangsport auf trust ip-dscp konfiguriert wurde (beim MACH G/48G). D die Port-Priorität, wenn der Port auf no trust" konfiguriert wurde. D die Port-Prioriät beim Empfang von Datenpaketen, die keinen Tag enthalten (siehe Ports konfigurieren auf Seite 71) und der Port auf trust dot1p" konfiguriert wurde. Voreinstellung: trust dot1p. Der Switch berücksichtigt die Klassifizierungsmechanismen in der oben dargestellten Reihenfolge. D.h. Access-Control-Listen haben immer Vorrang vor den folgenden Mechanismen. Access-Control-Listen können die Datenpakete bezüglich Layer 2, Layer 3 und Layer 4 klassifizieren (z.b. MAC- Adressen, IP-Adressen, IP Precedence/TOS/DSCP, TCP/UDP-Ports). Datenpakete können Priorisierungs/QoS-Informationen enthalten: D VLAN-Priorität nach IEEE 802.1Q/ 802.1D-1998 (Layer 2) D Type-of-Service (ToS) bzw. DiffServ (DSCP) bei IP-Paketen (Layer 3) 138

139 Netzlaststeuerung 8.4 Priorisierung - QoS VLAN-Tagging Für die Funktionen VLAN und Priorisierung sieht der Standard IEEE Q vor, daß in einen MAC-Datenrahmen das VLAN-Tag eingebunden wird. Das VLAN-Tag besteht aus 4 Bytes. Es steht zwischen dem Quelladressfeld und dem Typfeld. Der Switch wertet bei Datenpaketen mit VLAN-Tag D die Prioritäts-Information immer und D die VLAN-Information, wenn VLANs eingerichtet sind, aus. Datenpakete, deren VLAN-Tags eine Prioritäts-Information aber keine VLAN-Information (VLAN ID = 0) enthält, heißen Priority Tagged Frames. Eingetragene Prioritätsklasse IEEE 802.1D Verkehrstyp Priorität (Voreinstellung) 0 2 Best Effort (default) 1 0 Background 2 1 Standard 3 3 Excellent Effort (business critical) 4 4 Controlled load (streaming multimedia) 5 5 Video, less than 100 millisconds of latency and jitter 6 6 Voice; less than 10 milliseconds of latency and jitter 7 7 Network Control reserved traffic Tab. 9: Zuordnung der im Tag eingetragenen Priorität zu den Prioritätsklassen Hinweis: Netzprotokolle und Redundanzmechanismen nutzen die höchste Prioritätsklasse 3 (RS20/30/40, MS20/30, MACH 1000, OCTOPUS) bzw. 7 (Power MICE, MACH 4000). Wählen Sie deshalb andere Prioritätsklassen für Anwendungsdaten. 139

140 Netzlaststeuerung 8.4 Priorisierung - QoS Preamble Field Start Frame Delimiter Field Destination Address Field Source Address Field Tag Field Length/Type Field Data Field Data Field Pad Field Frame Check Sequence Field Octets 4 t min. 64, max Octets Abb. 37: Ethernet-Datenpaket mit Tag Tag Protocol Identifier 2 x 8 Bit User Priority, 3 Bit Canonical Format Identifier 1 Bit VLAN Identifier 12 Bit t 4 Octets Abb. 38: Tag-Format 140

141 Netzlaststeuerung 8.4 Priorisierung - QoS Obwohl die VLAN-Priorisierung im Industrie-Bereich weit verbreitet ist, hat sie einige Einschränkungen: D Das zusätzliche 4-byte VLAN-Tag vergrössert die Datenpakete. Bei kleinen Datenpaketen führt dies zu einer größeren Bandbreitenbelastung. D Eine Ende-zu-Ende Priorisierung setzt das Übertragen der VLAN-Tags im gesamten Netz voraus, d.h. alle Netzkomponenten müssen VLANfähig sein. D Router können über portbasierte Router-Interfaces keine Pakete mit VLAN-Tags empfangen bzw. senden. 141

142 Netzlaststeuerung 8.4 Priorisierung - QoS IP ToS / DiffServ U TYPE of Service Das Type of Service-Feld (ToS) im IP-Header (siehe Abb. 39) ist bereits von Beginn an Bestandteil des IP-Protokolls und war zur Unterscheidung unterschiedlicher Dienstgüten in IP-Netzwerken vorgesehen. Schon damals machte man sich aufgrund der geringen zur Verfügung stehenden Bandbreiten und der unzuverlässigen Verbindungswege Gedanken um eine differenzierte Behandlung von IP-Paketen. Durch die kontinuierliche Steigerung der zur Verfügung stehenden Bandbreiten bestand keine Notwendigkeit, das ToS-Feld zu nutzen. Erst die Echtzeitanforderungen an heutige Netze rücken das ToS-Feld in den Blickpunkt. Eine Markierung im ToS-Byte des IP-Headers ermöglicht eine Unterscheidung unterschiedlicher Dienstgüten. In der Praxis hat sich die Nutzung dieses Feldes jedoch nicht durchgesetzt. Bits Precedence Type of Service MBZ Bits (0-2): IP Precedence Defined Bits (3-6): Type of Service Defined Bit (7) Network Control [all normal] 0 - Must be zero Internetwork Control [minimize delay] CRITIC / ECP [maximze throughput Flash Override [maximize reliability] Flash [minimize monetary cost] Immidiate Priority Routine Abb. 39: ToS-Feld im IP-Header 142

143 Netzlaststeuerung 8.4 Priorisierung - QoS U Differentiated Services Das in RFC 2474 neu definierte Differentiated Services Feld im IP- Header (siehe Abb. 40) - oft auch als DiffServ-Codepoint oder DSCP bezeichnet, löst das ToS-Feld ab und dient zur Markierung der einzelnen Pakete mit einem DSCP. Hier werden die Pakete in unterschiedliche Qualitäts-Klassen eingeteilt. Die ersten drei Bit des DSCP dienen der Einteilung in Klassen. Die nachfolgenden drei Bit dienen der weiteren Unterteilung der Klassen nach unterschiedlichen Kriterien. Im Gegensatz zum ToS-Byte nutzt DiffServ sechs Bit zur Klasseneinteilung. Daraus ergeben sich bis zu 64 unterschiedliche Dienstgüteklassen. Bits Differentiated Services Codepoint (DSCP) RFC 2474 Class Selector Codepoints Currently Unused (CU) Abb. 40: Differenciated-Services-Feld im IP-Header Die unterschiedlichen DSCP-Werte bewirken beim Switch ein unterschiedliches Weiterleitungs-Verhalten, das Per-Hop-behavior (PHB). PHB-Klassen: D Class Selector (CS0-CS7): Aus Kompatibilitätsgründen zu TOS/IP- Precedence D Expedited Forwarding (EF): Premium-Service. Geringe Verzögerung, Jitter + Paketverluste (RFC 2598) D Assured Forwarding (AF): Bietet ein differenziertes Schema zur Behandlung unterschiedlichen Verkehrs (RFC 2597). D Default Forwarding/Best Effort: Keine besondere Priorisierung. 143

144 Netzlaststeuerung 8.4 Priorisierung - QoS Das Class Selector PHB ordnet die 7 möglichen IP-Precedence Werte aus dem alten TOS-Feld bestimmten DSCP-Werten zu, was die Abwärtskompatibilität gewährleistet. ToS-Bedeutung Precedence -Wert zugeordneter DSCP Network Control 111 CS7 (111000) Internetwork Control 110 CS6 (110000) Critical 101 CS5 (101000) Flash Override 100 CS4 (100000) Flash 011 CS3 (011000) Immidiate 010 CS2 (010000) Priority 001 CS1 (001000) Routine 000 CS0 (000000) Tab. 10: Zuordnung der IP-Precedence Werte zum DSCP-Wert DSCP-Wert DSCP-Name Prioritätsklasse (Voreinstellung) 0 Best Effort /CS CS1 0 9,11,13, ,12,14 AF11,AF12,AF CS2 1 17,19,21, ,20,22 AF21,AF22,AF CS3 3 25,27,29, ,28,30 AF31,AF32,AF CS4 4 33,35,37, ,36,38 AF41,AF42,AF CS5 5 41,42,43,44,45, EF 5 48 CS6 6 Tab. 11: Abbildung der DSCP-Werte auf die Prioritätsklassen 144

145 Netzlaststeuerung 8.4 Priorisierung - QoS DSCP-Wert DSCP-Name Prioritätsklasse (Voreinstellung) CS Tab. 11: Abbildung der DSCP-Werte auf die Prioritätsklassen Behandlung empfangener Prioritätsinformationen Der Switch bietet Ihnen drei Möglichkeiten, zu wählen, wie er empfangene Datenpakete behandelt, die eine Prioritätinformation enthalten. D trust dot1p VLAN-getaggte Pakete ordnet der Switch entsprechend ihrer VLAN- Priorität den unterschiedlichen Prioritätsklassen zu. Die Zurordnung erfolgt nach der voreingestellten Tabelle (siehe VLAN-Tagging auf Seite 139). Diese Zuordnung können Sie modifizieren. D no trust Der Switch misstraut den Prioritäts-Informationen im Paket und weist den Paketen immer die Port-Priorität des Empfangsports zu. D trust ip-dscp (MACH G/48G) Der Switch ordnet IP-Pakete entsprechend des DSCP-Wertes im IP- Header den unterschiedlichen Prioritätsklassen zu, auch wenn das Paket zusätzlich VLAN-getaggt war. Die Zurordnung erfolgt nach der voreingestellten Tabelle 11 auf Seite 144. Diese Zuordnung können Sie modifizieren. 145

146 Netzlaststeuerung 8.4 Priorisierung - QoS Handhabung der Prioritätsklassen Für die Handhabung der Prioritätsklassen bietet der Switch: D Strict Priority D Weighted Fair Queuing D Strict Priority kombiniert mit Weighted Fair Queuing Voreinstellung: Strict Priority. U Beschreibung Strict Priority Bei Strict Priority vermittelt der Switch zuerst alle Datenpakete mit höherer Prioritätsstufe, bevor er ein Datenpaket mit der nächst niedrigeren Prioritätsstufe vermittelt. Ein Datenpaket mit der niedrigsten Prioritätsstufe vermittelt der Switch demnach erst, wenn keine anderen Datenpakete mehr in der Warteschlange stehen. In ungünstigen Fällen kann hohes Verkehrsaufkommen dauerhaft das Senden unterer Prioritätsklassen verhindern. Bei zeit- und latenzkritischen Anwendungen, wie z.b. VoIP oder Video, gewährleistet diese Methode das unmittelbare Senden hochpriorer Daten. U Beschreibung Weighted Fair Queuing Bei Weighted Fair Queuing, auch Weighted Round Robin (WRR) genannt, kann der Anwender jeder Prioritätsklasse eine minimale bzw. garantierte Bandbreite zuweisen. Dies gewährleistet, daß bei hoher Netzlast auch Datenpakete mit einer niederen Priorität vermittelt werden. Die Werte für die Gewichtung liegen im Bereich von 0% bis 100% der verfügbaren Bandbreite in Schritten von 5%. D Die Gewichtung 0 entspricht der Einstellung keine Bandbreitengarantie. D Die Summe der Einzelbandreiten darf bis zu 100% betragen. Wenn Sie allen Prioritätsklassen das Weighted Fair Queuing zuweisen, dann steht Ihnen die ganze Bandbreite des entsprechenden Ports zur Verfügung. 146

147 Netzlaststeuerung 8.4 Priorisierung - QoS Wenn Sie Weighted Fair Queuing mit Strict Priority kombinieren, dann achten Sie darauf, dass die höchste Prioritätsklasse von Weighted Fair Queuing kleiner ist als die niedrigste Prioritätsklasse von Strict Priority. In diesem Fall kann eine hohe Strict-Priority-Netzlast die für Weighted Fair Queuing verfügbare Bandbreite deutlich reduzieren. U Beschreibung Traffic Shaping Beim Traffic Shaping haben Sie die Möglichkeit, die maximale Bandbreite eines Interfaces oder einer einzelnen Prioritätsklasse zu beschränken. Die Werte für die Bandbreitenbegrenzung liegen im Bereich von 0% bis 100% in Schritten von 5%. D Der Wert 0 entspricht der Einstellung keine Bandbreitenbegrenzung. D Der Wert 100 entspricht 100% der Bandbreite stehen zur Verfügung. Bei kurzzeitigem Überschreiten der eingestellten Bandbreite speichert der Switch die Daten, um sie nach der Spitzenbelastung zu senden. Auf diese Weise glättet das Traffic Shaping Überlastsituationen. Ist Traffic Shaping an einem Interface aktiv, dann ignoriert der Switch die für Weighted Fair Queuing garantierten Bandbreiten. 147

148 Netzlaststeuerung 8.4 Priorisierung - QoS Priorisierung einstellen V Wählen Sie den Dialog Grundeinstellungen:Portkonfiguration. V In der Spalte Port Priorität haben Sie die Möglichkeit, die Priorität (0-7) festzulegen, mit welcher der Switch Datenpakete vermittelt, die er an diesem Port ohne VLAN-Tag empfängt. Hinweis: Falls Sie VLANs eingerichtet haben, beachten Sie den Transparent Modus unter VLANs konfigurieren auf Seite 159. Portpriorität einstellen enable configure interface 1/1 vlan priority 3 ex Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 1/1. Weist dem Interface 1/1 die Portpriorität 3 zu. Wechsel in den Konfigurationsmodus. Zuordnung der VLAN-Priorität zu den Prioritätsklassen enable configure classofservice dot1p-map ping 0 4 classofservice dot1p-map ping 1 4 ex show classofservice dot1pmapping Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Weist der VLAN-Priorität 0 die Prioritätsklasse 4 zu. Weist der VLAN-Priorität 1 auch die Prioritätsklasse 4 zu. Wechsel in den Privileged-EXEC-Modus. Zeigt die Zuordnung an. 148

149 Netzlaststeuerung 8.4 Priorisierung - QoS show classofservice dot1p-mapping User Priority Traffic Class Empfangenen Datenpaketen immer die Port-Priorität zuweisen enable configure interface 1/1 no classofservice trust vlan priority 1 ex ex show classofservice trust 1/1 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 1/1. Weist dem Interface den no trust -Modus zu. Setzt die Port-Priorität auf den Wert 1. Wechsel in den Konfigurationsmodus. Wechsel in den Privileged-EXEC-Modus. Zeigt den Trust-Modus am Interface 1/1 an. show classofservice trust 1/1 Class of Service Trust Mode: Untrusted Untrusted Traffic Class: 4 Einem DSCP die Prioritätsklasse zuweisen (MACH G/48G) enable configure classofservice ip-dscp-map ping cs6 5 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Weist dem DSCP CS6 die Prioritätsklasse 5 zu. 149

150 Netzlaststeuerung 8.4 Priorisierung - QoS show classofservice ip-dscp-mapping IP DSCP Traffic Class (be/cs0) (cs6) 5. Empfangenen Datenpaketen immer die DSCP-Priorität zuweisen (MACH G/48G) enable configure classofservice ip-dscp-map ping cs6 5 interface 6/1 classofservice trust ipdscp ex ex show classofservice trust 6/1 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Weist dem DSCP CS6 die Prioritätsklasse 5 zu. Wechsel in den Interface-Konfigurationsmodus von Interface 6/1. Weist dem Interface den trust ip-dscp -Modus zu. Wechsel in den Konfigurationsmodus. Wechsel in den Privileged-EXEC-Modus. Zeigt den Trust-Modus am Interface 6/1 an. show classofservice trust 6/1 Class of Service Trust Mode: IP DSCP Non-IP Traffic Class: 2 Hinweis: Alternativ bietet Ihnen der Switch die Möglichkeit, die IP-DSCP-/ ToS-/Precedence-Priorisierung über ACLs vorzunehmen (siehe Priorisierung mit IP-ACLs konfigurieren auf Seite 99). 150

151 Netzlaststeuerung 8.4 Priorisierung - QoS Konfiguration von Weighted Fair Queuing und Traffic Shaping enable configure no cos-queue strict cos-queue min-bandwidth cos-queue max-bandwidth ex show interfaces cos-queue Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Schaltet Strict Priority für die Prioritätsklassen 0 bis 5 aus und somit Weighted Fair Queuing ein. Die Prioritätsklassen 6 und 7 verbleiben im Strict- Priority-Modus. Weist den Weighted-Fair-Queuing-Prioritätsklassen die Gewichtung zu. Da der Switch bei Strict Priority zuerst alle Datenpakete mit höherer Priorität vermittelt, können Sie hier für die Strict-Priority- Prioritätsklassen die Gewichtung 0 eingeben und auf die verbleibenden Prioritätsklassen 100% verteilen. Der Switch verteilt die verbleibende Bandbreite entsprechend der prozentualen Gewichtung. Weist allen Prioritätsklassen eine maximale Bandbreite zu (Shaping). Weil die beiden Strict-Priority-Prioritätsklassen auf maximal 30% begrenzt sind, steht den verbleibenden Queues mindestens 40% der Bandbreite zur Verfügung. Strict-Priority-Daten sendet der Switch bis zu einer maximalen Bandbreite von 30% unmittelbar. Wechsel in den Privileged-EXEC-Modus. Zeigt die Konfiguration an. Global Configuration Interface Shaping Rate... 0 Queue Id Min. Bandwidth Max. Bandwidth Scheduler Type Weighted Weighted Weighted Weighted Weighted Weighted Strict Strict 151

152 Netzlaststeuerung 8.4 Priorisierung - QoS Konfiguration von Traffic Shaping an einem Interface enable configure interface 1/2 traffic-shape 50 ex ex show interfaces cos-queue 1/2 Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Wechsel in den Interface-Konfigurationsmodus von Interface 1/2. Begrenzt die maximale Bandbreite von Interface 1/2 auf 50%. Wechsel in den Konfigurationsmodus Wechsel in den Privileged-EXEC-Modus Zeigt die Konfiguration von Interface 1/2 an. show interfaces cos-queue 1/2 Interface... 1/2 Interface Shaping Rate Queue Id Min. Bandwidth Max. Bandwidth Scheduler Type Weighted Weighted Weighted Weighted Weighted Weighted Strict Strict 152

153 Netzlaststeuerung 8.5 Flusskontrolle 8.5 Flusskontrolle Beschreibung Flusskontrolle Flusskontrolle ist ein Mechanismus, der als Überlastschutz für den Switch dient. Während verkehrsstarken Zeiten hält er zusätzlichen Verkehr vom Netz fern. Im Beispiel (siehe Abb. 41) ist die Wirkungsweise der Flusskontrolle graphisch dargestellt. Die Workstations 1, 2 und 3 wollen zur gleichen Zeit viele Daten an die Workstation 4 übertragen. Die gemeinsame Bandbreite der Workstations 1, 2 und 3 zum Switch ist größer, als die Bandbreite von Workstation 4 zum Switch. So kommt es zum Überlaufen der Sende-Warteschlange von Port 4. Der linke Trichter symbolisiert diesen Zustand. Wenn nun an den Ports 1, 2 und 3 des Switch die Funktion Flusskontrolle eingeschaltet ist, dann reagiert der Switch bevor der Trichter überläuft. Die Ports 1, 2 und 3 melden den angeschlossenen Geräten, daß im Moment keine Daten empfangen werden können. 153

154 Netzlaststeuerung 8.5 Flusskontrolle Port 1 Port 4 Switch Port 2 Port 3 Workstation 1 Workstation 2 Workstation 3 Workstation 4 Abb. 41: Beispiel für Flusskontrolle U Flusskontrolle bei Vollduplex-Verbindung Im Beispiel (siehe Abb. 41) sei zwischen der Workstation 2 und dem Switch eine Vollduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet der Switch eine Aufforderung an Workstation 2, beim Senden eine kleine Pause einzulegen. U Flusskontrolle bei Halbduplex-Verbindung Im Beispiel (siehe Abb. 41) sei zwischen der Workstation 2 und dem Switch eine Halbduplex-Verbindung. Bevor die Sende-Warteschlange von Port 2 überläuft, sendet der Switch Daten zurück, damit die Workstation 2 eine Kollision erkennt und somit den Sendevorgang unterbricht. 154

155 Netzlaststeuerung 8.5 Flusskontrolle Flusskontrolle einstellen V Wählen Sie den Dialog Grundeinstellungen:Portkonfigura tion. In der Spalte Flusskontolle an legen Sie durch Ankreuzen fest, daß an diesem Port Flusskontrolle aktiv ist. Aktivieren Sie hierzu auch den globalen Schalter "Flusskontrolle" im Dialog Switching:Glo bal. V Wählen Sie den Dialog Switching:Global. dieser Dialog bietet Ihnen die Möglichkeit, die Flusskontrolle an allen Ports auszuschalten oder die Flusskontrolle an den Ports einschalten, bei denen die Flusskontrolle in der Portkonfigurationstabelle ausgewählt ist. 155

156 Netzlaststeuerung 8.6 VLANs 8.6 VLANs Beschreibung VLANs Ein virtuelles LAN (VLAN) besteht aus einer Gruppe von Netzteilnehmern in einem oder mehreren Netzsegmenten, die so miteinander kommunizieren können, als gehörten sie demselben LAN an. VLAN Gelb RS2 VLAN Grün MACH 3002 VLAN Gelb VLAN Grün MICE VLAN Gelb VLAN Grün Abb. 42: Beispiel für VLAN 156

157 Netzlaststeuerung 8.6 VLANs VLANs basieren auf logischen (statt physikalischen) Verbindungen und sind flexible Elemente der Netzgestaltung. Der wichtigste Vorteil der VLANs ist die Möglichkeit, daß man mit ihnen Anwender-Arbeitsgruppen bilden kann, die auf der Funktion der Teilnehmer basieren und nicht auf ihrem physikalischen Standort oder Medium. Da Broad/Multicast-Datenpakete ausschließlich innerhalb eines virtuellen LANs vermittelt werden, bleibt das verbleibende Datennetz davon unbelastet. Die VLAN-Funktion ist in der Norm IEEE 802.1Q definiert. Die maximale Anzahl von VLANs ist durch den Aufbau des VLAN-Tags (siehe Abb. 38) auf 4094 begrenzt. Schlagworte, die oft im Zusammenhang mit VLANs benutzt werden sind: U Ingress Rule Die Ingress Rules (= Eingangsregeln) legen fest, wie eingehende Daten vom Switch behandelt werden. U Egress Rule Die Egress Rules (= Ausgangsregeln) legen fest, wie die ausgehenden Daten vom Switch behandelt werden. U VLAN Identifier Die Zuordnung zu einem VLAN geschieht über eine VLAN Identifikation. Jedes in einem Netz existierende VLAN wird durch eine Identifikation gekennzeichnet. Diese Kennzeichnung muß eindeutig sein, d.h. jede Identifikation darf in einem Netz nur ein einziges Mal vergeben werden. 157

158 Netzlaststeuerung 8.6 VLANs U Port VLAN Identifier (PVID) Das Management vergibt für jeden Port eine VLAN Identifikation. Deshalb heißt diese Identifikation Port VLAN Identifier. Der Switch fügt beim Empfang jedem Datenpaket, das keinen Tag enthält, ein Tag ein. Dieses Tag enthält einen gültigen VLAN Identifier. Beim Empfang eines Datenpaketes mit einen Prioritäts-Tag fügt der Switch den PortVLAN Identifier ein. U Member Set Das Member Set ist eine Aufzählung der Ports, die zu einem VLAN gehören. Jedes VLAN besitzt ein Member Set. U Untagged Set Das Untagged Set ist eine Aufzählung der Ports eines VLANs, die Datenpakete ohne Tag versenden. Jedes VLAN besitzt ein Untagged Set. U GARP - Generic Attribute Registration Protocol GARP ist ein allgemeines Protokoll zum Transport von Attributen. Es beschreibt, wie z.b. GVRP-Informationen verteilt werden. U GVRP - GARP VLAN Registration Protocol GVRP beschreibt die Verteilung von VLAN-Informationen zu anderen Switches. Dadurch können Switches VLANs lernen. 158

159 Netzlaststeuerung 8.6 VLANs VLANs konfigurieren V Wählen Sie den Dialog Switching:VLAN. Unter VLAN finden sich alle Tabellen und Attribute zur Konfiguration und Überwachung der VLAN-Funktion nach dem Standard IEEE 802.1Q. V Wählen Sie den Dialog Switching:VLAN:Global. V Aktivieren Sie den Transparent Modus", um prioritätsgetaggte Pakete ohne eine VLAN-Zugehörigkeit, also mit VLAN-ID 0, vermitteln zu können. In diesem Modus bleibt die VLAN-ID 0 im Paket erhalten, unabhängig von der Einstellung der Port-VLAN-ID im Dialog VLAN Port. Hinweis: für Power Mice und MACH 4000 Im Transparent Modus ignorieren die Geräte beim Empfang die VLAN- Tags. Stellen Sie die VLAN-Zugehörigkeit der Ports aller VLANs auf untagged. Hinweis: Achten Sie bei der VLAN-Konfiguration darauf, daß der Port, an dem Ihre Managementstation angeschlossen ist, auch nach dem Speichern der VLAN-Konfiguration noch die Daten der Managementstation vermitteln kann. Die Zuweisung dieses Ports zu dem VLAN mit der ID 1 gewährleistet immer die Vermittlung der Daten der Managementstation. Nach dem Ändern eines Eintrags: Schreiben Der Agent speichert den neuen Eintrag. Die Änderung wird sofort wirksam. Laden Zeigt die aktuellen Konfigurationsdaten an. Hinweis: Speichern Sie die VLAN-Konfiguration reset-fest (siehe Abb. 48). Hinweis: Die VLAN-IDs der bis zu 256 VLANs liegen im Bereich zwischen 1 und

160 Netzlaststeuerung 8.6 VLANs Hinweis: Betreiben sie in einem HIPER-Ring mit VLANs ausschließlich Geräte mit der Software, die diese Funktion unterstützen: D RS2 xx/xx (ab Vers. 7.00), D RS2-16M, D RS 20, RS 30, RS 40 D MICE (ab Rel. 3.0) oder D Power MICE D MS 20, MS 30 D MACH 1000 D MACH 3000 (ab Rel. 3.3) D MACH 4000 D OCTOPUS Hinweis: Bei der HIPER-Ring-Konfiguration wählen Sie für die Ringports die VLAN ID 1 und Ingress Filtering aus in der Port-Tabelle und VLAN-Zugehörigkeit U in der statischen VLAN Tabelle. Hinweis: Bei der Netz-/Ring-Kopplung-Konfiguration wählen Sie für die Kopplungs- und Partner-Kopplungsports die VLAN ID 1 und Ingress Filtering aus in der Port-Tabelle und VLAN-Zugehörigkeit U in der statischen VLAN Tabelle. 160

161 Netzlaststeuerung 8.6 VLANs VLAN einrichten V Wählen Sie den Dialog Switching:VLAN:Statisch. Zum Einrichten von VLANs legen Sie als erstes in der VLAN Statisch Tabelle die gewünschten VLANs an: V Geben Sie nach einem Klick auf Erzeugen die entsprechende VLAN-ID ein. Eine neue Zeile erscheint in der Tabelle. V Geben Sie einen beliebigen Namen für dieses VLAN ein. V Definieren Sie die Zugehörigkeit der gewünschten Ports. - kein Mitglied im VLAN. M Mitglied im VLAN, Datenpakete mit Tag versenden. F Kein Mitglied im VLAN, auch nicht dynamisch über GVRP. U Mitglied im VLAN, Datenpakete ohne Tag versenden. V Nach dem Anlegen der VLANs legen Sie in der VLAN Port-Tabelle (Port) die Regeln für empfangene Daten fest: D Port-VLAN ID legt fest, welchem VLAN ein empfangenes ungetaggtes Datenpaket zugeordnet wird. D Acceptable Frame Types legt fest, ob auch Datenpakete ohne Tag empfangen werden dürfen. D Ingress Filtering legt fest, ob die empfangenen Tags ausgewertet werden. D GVRP legt fest, ob GVRP-Datenpakete empfangen/gesendet werden. an: GVRP-Datenpakete werden empfangen/gesendet und somit VLAN-Informationen mit anderen Agenten ausgetauscht. aus: Kein Empfangen/Senden von GVRP-Datenpaketen. Das hat zur Folge, daß keine VLAN-Konfigurationsdaten zwischen den einzelnen Agenten ausgetauscht werden. 161

162 Netzlaststeuerung 8.6 VLANs VLAN-Konfiguration anzeigen V Wählen Sie den Dialog Switching:VLAN:Aktuell. Die Aktuell-Tabelle zeigt alle lokal konfigurierten VLANs und die durch GVRP konfigurierten VLANs an VLAN-Einstellungen löschen V Wählen Sie den Dialog Switching:VLAN:Global. Die Löschen -Bedientaste im VLAN Global Dialog bietet Ihnen die Möglichkeit, alle VLAN-Einstellungen des Gerätes in den Lieferzustand zurück zu versetzen. V Wählen Sie den Dialog Switching:VLAN:Statisch. Die Löschen -Bedientaste im VLAN Statisch Dialog bietet Ihnen die Möglichkeit, eine selektierte Zeile der Tabelle zu löschen. 162

163 Netzlaststeuerung 8.6 VLANs Beispiel für ein einfaches VLAN Das folgende Beispiel vermittelt einen schnellen Einstieg in die Konfiguration eines VLANs, wie es in der Praxis häufig zu finden ist. Schritt für Schritt erfolgt die Konfiguration VLAN Braun ID = 1 VLAN Gelb Netzmanagementstation VLAN Grün Abb. 43: Beispiel für ein VLAN 163

164 Netzlaststeuerung 8.6 VLANs Abb. 44: VLAN erzeugen Abb. 45: VLAN ID eingeben V Wiederholen Sie die Schritte VLAN erzeugen und VLAN ID eingeben für alle VLANs. 164

165 Netzlaststeuerung 8.6 VLANs Abb. 46: VLANs mit beliebigen Namen benennen und speichern 165

166 Netzlaststeuerung 8.6 VLANs Abb. 47: VLAN-Zugehörigkeit der Ports definieren. Die Ports 1.1 bis 1.3 sind den Endgeräten des VLANs Gelb und die Ports 2.1 bis 2.4 sind Endgeräten des VLANs Grün zugeordnet. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, ist hier die Einstellung U zu wählen. Der Port 1.4 dient als Uplink-Port zum nächsten Switch. Er erhält die Einstellung M. Somit kann er VLAN-Informationen weitergeben. 166

167 Netzlaststeuerung 8.6 VLANs Abb. 48: VLAN-Konfiguration speichern 167

168 Netzlaststeuerung 8.6 VLANs Abb. 49: VLAN-Identifikation, Acceptable Frame Types und Ingress Filtering den Ports zuweisen und speichern Die Ports 1.1 bis 1.3 sind den Endgeräten des VLANs Gelb und somit der VLAN ID 2 und die Ports 2.1 bis 2.4 sind Endgeräten des VLANS Grün und somit der VLAN ID 3 zugeordnet. Da Endgeräte in der Regel keine Datenpakete mit Tag senden, ist hier die Einstellung admitall zu wählen. Der Port 1.4 dient als Uplink-Port zum nächsten Switch. Er gehört dem VLAN Braun an und erhält somit die VLAN ID 1. Er erhält die Einstellung admitonlyvlantagged. Somit können an diesem Port nur Pakete mit VLAN-Tag empfangen werden. Die Aktivierung von GVRP sowohl lokal als auch später global stellt die Verteilung der VLAN-Information sicher. Mit dieser Information konfigurieren die Agenten an beiden Enden der Uplink-Leitung die Uplink-Ports so, daß sie die Datenpakete der benötigten VLANS über die Uplink-Leitung vermitteln. Die Aktivierung von Ingress Filter gewährleistet die Auswertung der empfangenen Tags an diesem Port. 168

169 Netzlaststeuerung 8.6 VLANs Abb. 50: GVRP global aktivieren Abb. 51: Konfiguration nicht-flüchtig speichern 169

170 Netzlaststeuerung 8.6 VLANs 170

171 Funktionsdiagnose 9 Funktionsdiagnose Zur Funktionsdiagnose bietet Ihnen der Switch folgende Diagnosewerkzeuge an: D Alarmmeldungen versenden D Gerätestatus überwachen D Out-of-band-Signalisierung durch Meldekontakt D Port-Zustandsanzeige D Ereigniszähler auf Portebene D SFP-Zustandsanzeige D TP-Kabeldiagnose D Topologie-Erkennung D Berichte D Datenverkehr eines Ports beobachten (Portmirroring) 171

172 Funktionsdiagnose 9.1 Alarmmeldungen versenden 9.1 Alarmmeldungen versenden Treten im Normalbetrieb des Switch außergewöhnliche Ereignisse auf, werden diese sofort der Managementstation mitgeteilt. Dies geschieht über sogenannte Traps - Alarmmeldungen - die das Polling-Verfahren umgehen. (Unter Polling versteht man das zyklische Abfragen von Datenstationen). Traps ermöglichen eine schnelle Reaktion auf kritische Zustände. Beispiele für solche Ereignisse sind: D Hardware-Reset, D Grundgeräte-Konfigurationsänderungen, D Segmentierung eines Ports, D Zur Erhöhung der Übertragungssicherheit für die Meldungen können Traps an verschiedene Hosts verschickt werden. Eine Trap-Meldung besteht aus einem Paket, das nicht quittiert wird. Der Switch verschickt Traps an jene Hosts, die in der Zieltabelle (Trap Destination Table) eingetragen sind. Die Trap Destination Table kann mit der Managementstation über SNMP konfiguriert werden. 172

173 Funktionsdiagnose 9.1 Alarmmeldungen versenden Auflistung der SNMP-Traps Welche Traps der Switch verschicken kann, finden Sie in der folgenden Tabelle. Trapbezeichnung Bedeutung authenticationfailure wird gesendet, falls eine Station versucht, unberechtigt auf einen Agenten zuzugreifen. coldstart wird sowohl bei Kalt- als auch bei Warmstart während des Bootens nach erfolgreicher Initialisierung des Managements gesendet. hmautoconfigadaptertrap wird gesendet, wenn der AutoConfiguration Adapter ACA entfernt oder wieder aufgesteckt wird. linkdown wird gesendet, wenn die Verbindung zu einem Port unterbrochen wird. linkup wird gesendet, sobald die Verbindung zu einem Port wieder hergestellt wird. hmtemperature wird gesendet, wenn die Temperatur den eingestellten Schwellwert überschreitet. hmpowersupply wird gesendet, wenn sich der Status der Spannungsversorgung ändert. hmsigconrelaychange wird gesendet, wenn sich bei der Funktionsüberwachung der Zustand des Meldekontaktes ändert. newroot wird gesendet, wenn der sendende Agent zur neuen Wurzel des Spanning Trees wird. topologychange wird gesendet, wenn sich der Vermittlungsmodus eine Ports ändert. risingalarm wird gesendet, wenn ein RMON-Alarmeingang seine obere Schwelle überschreitet. fallingalarm wird gesendet, wenn ein RMON-Alarmeingang seine untere Schwelle unterschreitet. hmportsecuritytrap wird gesendet, wenn eine MAC/IP-Adressse an diesem Port erkannt wird, die nicht den aktuellen Einstellungen von hmportsecpermission und hmporsecaction entweder auf traponly (2) oder port Disable (3) gesetzt, entspricht. hmmodulemapchange wird gesendet, wenn sich die Hardware-Konfiguration ändert. hmbpduguardtrap wird gesendet, wenn an einem Port trotz aktivierter BPDU-Guard- Funktion eine BPDU empfangen wird. hmmrpreconfig wird gesendet, sobald sich die Konfiguration des MRP-Rings ändert. hmringredreconfig wird gesendet, sobald sich die Konfiguration des HIPER-Rings ändert. Tab. 12: Mögliche Traps 173

174 Funktionsdiagnose 9.1 Alarmmeldungen versenden Trapbezeichnung Bedeutung hmringredcplreconfig wird gesendet, sobald sich die Konfiguration der redundanten Ring-/Netzkopplung ändert. hmsntptrap wird gesendet, wenn im Zusammenhang mit dem SNTP Fehler auftreten (z.b. Server nicht erreichbar). hmrelayduplicatetrap wird gesendet, wenn im Zusammenhang mit der DHCP Option 82 eine doppelte IP-Adresse erkannt wird. lldpremtableschangetrap wird gesendet, wenn sich ein Eintrag in der Topologie-Tabelle ändert. vrrptrapnewmaster wird gesendet, wenn ein anderer Router für ein Interface bzw. eine virtuelle Adresse Master geworden ist. vrrptrapauthfailure wird gesendet, wenn der router von einem anderen VRRP-Router ein Paket mit ungültiger Authentifizierung empfängt. Tab. 12: Mögliche Traps SNMP-Traps beim Booten Der Switch sendet bei jedem Booten die Alarmmeldung ColdStart. 174

175 Funktionsdiagnose 9.1 Alarmmeldungen versenden Trapeinstellung V Wählen Sie den Dialog Diagnose:Alarme (Traps). Dieser Dialog bietet Ihnen die Möglichkeit, festzulegen, welche Ereignisse einen Alarm (Trap) auslösen und an wen diese Alarme gesendet werden sollen. V In der Spalte IP-Adresse geben Sie die IP-Adresse des Empfängers an, an den die Traps geschickt werden sollen. V In der Spalte Aktiv kreuzen Sie die Einträge an, die beim Versenden von Traps berücksichtigt werden sollen. V Im Rahmen Auswahl wählen Sie die Trap-Kategorien aus, von denen Sie Traps versenden wollen. Hinweis: Für diesen Dialog benötigen Sie Schreibrechte. Abb. 52: Dialog Alarme 175

176 Funktionsdiagnose 9.1 Alarmmeldungen versenden Die auswählbaren Ereignisse haben folgende Bedeutung: Name Authentication Cold Start Link Down Link up Spanning Tree Chassis Redundancy Port Security Bridge Bedeutung Der Switch hat einen unerlaubten Zugriff zurückgewiesen (siehe Dialog Zugriff fÿr IP-Adressen und Portsicherheit). Der Switch wurde eingeschaltet. An einem Port des Switches wurde die Verbindung zu dem dort angeschlossenen Gerät unterbrochen. An einem Port des Switches wurde eine Verbindung mit einem dort angeschlossenen Gerät hergestellt. Die Topology des Rapid Spanning Tree hat sich geändert. faßt die folgenden Ereignisse zusammen: Der Status einer Versorgungsspannung hat sich geändert (siehe Dialog System). Signalling Relay: Der Status des Meldekontakts hat sich geändert. Um dieses Ereignis zu berücksichtigen, aktivieren Sie Trap bei Statuswechsel im Dialog Diagnose:Meldekontakt 1/2. Ein Fehler in Zusammenhang mit dem SNTP ist aufgetreten. Ein Medienmodul wurde hinzugefügt oder entfernt. Der AutoConfiguration Adapter ACA wurde hinzugefügt oder entfernt. Die Temperaturschwelle wurde unter-/überschritten. Der Redundanzzustand des HIPER-Rings oder der redundanten Ring-/ Netzkopplung hat sich geändert. An einem Port wurde ein Datenpaket von einem nicht erlaubten Endgerät empfangen (siehe Dialog Portsicherheit). Obwohl an einem Port die BPDU-Guard-Funktion aktiviert ist, wurde eine BPDU empfangen (siehe Referenzhandbuch Redundanz unter Rapid Spanning Tree ). Tab. 13: Trap-Kategorien 176

177 Funktionsdiagnose 9.2 Gerätestatus überwachen 9.2 Gerätestatus überwachen Der Gerätestatus gibt einen Überblick über den Gesamtzustand des Switch. Viele Prozessvisualisierungssysteme erfassen den Gerätestatus eines Gerätes, um seinen Zustand grafisch darzustellen. Der Switch bietet Ihnen die Möglichkeit, den Gerätezustand D über einen Meldekontakt out-of-band zu signalisieren (siehe Gerätestatus mit Meldekontakt überwachen auf Seite 183). D durch das Versenden eines Traps bei einer Änderung des Gerätezustandes zu signalisieren. D im Web-based Interface auf der Systemseite zu erkennen und D im Command Line Interface abzufragen. Der Gerätestatus des Switch erfasst: D Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Switch (interne Versorgungsspannung). D Über- oder Unterschreiten der eingestellten Temperaturschwelle. D das Entfernen eines Moduls (bei modularen Geräten). D das Entfernen des ACA. D den Ausfall eines Lüfters (MACH 4000). D den fehlerhaften Linkstatus mindestens eines Ports. Die Meldung des Linkstatus kann beim Switch pro Port über das Management maskiert werden (siehe Verbindungsfehler melden auf Seite 72). Im Lieferzustand erfolgt keine Verbindungsüberwachung. D Ereignis im HIPER-Ring: den Entfall der Redundanzgewährleistung (im Redundanz-Manager-Betrieb). Im Lieferzustand erfolgt keine Überwachung der Ringredundanz. D Ereignis bei der Ring-/Netzkopplung: den Entfall der Redundanzgewährleistung. Im Lieferzustand erfolgt keine Überwachung der Ringredundanz. Im Stand-by-Modus meldet der Switch zusätzlich folgende Zustände: fehlerhafter Linkstatus der Steuerleitung Partnergerät ist im Stand-by-Modus 177

178 Funktionsdiagnose 9.2 Gerätestatus überwachen Welche Ereignisse den Gerätestatus bestimmen, hängt von der Einstellung im Management ab. Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet der Switch das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge zuführen oder die Überwachung ausschalten (siehe Funktionsüberwachung mit Meldekontakt auf Seite 182). V Wählen Sie den Dialog Diagnose:GerŠtestatus. V Wählen Sie im Feld Überwachung die Ereignisse, die Sie überwachen möchten. V Zur Temperaturüberwachung stellen Sie im Dialog Grundeinstel lungen:system am Ende der Systemdaten die Temperaturschwellen ein. Gerätestatus konfigurieren enable configure device-status monitor all en able device-status trap enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Bezieht alle möglichen Ereignisse zur Gerätestatusermittlung mit ein. Aktiviert das Versenden eines Traps, wenn sich der Gerätestatus ändert. Gerätestatus anzeigen exit show device-status Wechsel in den Privileged-EXEC-Modus. Zeigt den Gerätestatus und die Einstellung zur Gerätestatusermittlung an. 178

179 Funktionsdiagnose 9.2 Gerätestatus überwachen V Wählen Sie den Dialog Grundeinstellungen:System. Beginn des ältesten, bestehenden Alarms Ursache des ältesten, bestehenden Alarms Symbol zeigt den Gerätestatus Abb. 53: Gerätestatus-Anzeige 179

180 Funktionsdiagnose 9.3 Out-of-band-Signalisierung 9.3 Out-of-band-Signalisierung Die Meldekontakte dienen der Steuerung externer Geräte und der Funktionsüberwachung des Switch und ermöglichen damit eine Ferndiagnose. Über den potentialfreien Meldekontakt (Relaiskontakt, Ruhestromschaltung) meldet der Switch durch Kontaktunterbrechung: D Fehlerhafte Versorgungsspannung den Ausfall mindestens einer der zwei Versorgungsspannungen, eine dauerhafte Störung im Switch (interne Versorgungsspannung). D Über- oder Unterschreiten der eingestellten Temperaturschwelle. D das Entfernen eines Moduls. D das Entfernen das ACA. D den fehlerhaften Linkstatus mindestens eines Ports. Die Meldung des Linkstatus kann beim Switch pro Port über das Management maskiert werden (siehe Verbindungsfehler melden auf Seite 72). Im Lieferzustand erfolgt keine Verbindungsüberwachung. D Ereignis im HIPER-Ring: den Entfall der Redundanzgewährleistung (im Redundanz-Manager-Betrieb). Im Lieferzustand erfolgt keine Überwachung der Ringredundanz. D Ereignis bei der Ring-/Netzkopplung: den Entfall der Redundanzgewährleistung. Im Lieferzustand erfolgt keine Überwachung der Ringredundanz. Im Stand-by-Modus meldet der Switch zusätzlich folgende Zustände: fehlerhafter Linkstatus der Steuerleitung Partnergerät ist im Stand-by-Modus Welche Ereignisse einen Kontakt schalten, hängt von der Einstellung im Management ab. Hinweis: Bei nicht redundanter Zuführung der Versorgungsspannung meldet der Switch das Fehlen einer Versorgungsspannung. Sie können diese Meldung verhindern, indem Sie die Versorgungsspannung über beide Eingänge zuführen oder die Überwachung ausschalten (siehe Funktionsüberwachung mit Meldekontakt auf Seite 182). 180

181 Funktionsdiagnose 9.3 Out-of-band-Signalisierung Meldekontakt steuern Dieser Modus bietet Ihnen die Möglichkeit, jeden Meldekontakt einzeln fernzubedienen. Anwendungsmöglichkeiten: D Simulation eines Fehlers bei einer SPS-Fehlerüberwachung. D Fernbedienung eines Gerätes über SNMP, wie z.b. das Einschalten einer Kamera. V Wählen Sie den Dialog Diagnose:Meldekontakt 1/2. V Wählen Sie Manuelle Einstellung im Feld Modus Meldekontakt, um den Meldekontakt manuell zu schalten. V Wählen Sie Offen im Feld Manuelle Einstellung, um den Kontakt zu öffnen. V Wählen Sie Geschlossen im Feld Manuelle Einstellung, um den Kontakt zu schließen. Meldekontakt konfigurieren enable configure signal-contact 1 mode manual signal-contact 1 state open signal-contact 1 state closed Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Wählt die Betriebsart manuelle Einstellung für den Meldekontakt 1. Öffnet den Meldekontakt 1. Schließt den Meldekontakt

182 Funktionsdiagnose 9.3 Out-of-band-Signalisierung Funktionsüberwachung mit Meldekontakt U Funktionsüberwachung konfigurieren V Wählen Sie den Dialog Diagnose:Meldekontakt. V Wählen Sie Funktionsüberwachung im Feld Modus Meldekontakt, um den Kontakt zur Funktionsüberwachung zu nutzen. V Wählen Sie im Feld Funktionsüberwachung die Ereignisse, die Sie überwachen möchten. V Zur Temperaturüberwachung stellen Sie im Dialog Grundeinstel lungen:system am Ende der Systemdaten die Temperaturschwellen ein. Funktionsüberwachung konfigurieren enable configure signal-contact 1 monitor all signal-contact 1 trap enable Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Bezieht alle möglichen Ereignisse zur Funktionsüberwachung mit ein. Aktiviert das Versenden eines Traps, wenn sich der Zustand der Funktionsüberwachung ändert. U Meldekontakt Anzeige Der Switch bietet drei Möglichkeiten, den Zustand des Meldekontaktes darzustellen: D LED-Anzeige, D Anzeige im Web-based Interface, D Abfrage im Command Line Interface. 182

183 Funktionsdiagnose 9.3 Out-of-band-Signalisierung Abb. 54: Dialog Meldekontakt Meldekontakt anzeigen exit show signal-contact 1 Wechsel in den Privileged-EXEC-Modus. Zeigt den Zustand der Funktionsüberwachung und die Einstellung zur Statusermittlung an Gerätestatus mit Meldekontakt überwachen Die Auswahl Gerätestatus bietet Ihnen die Möglichkeit, ähnlich wie bei der Funktionsüberwachung den Gerätestatus (siehe Gerätestatus überwachen auf Seite 177) über den Meldekontakt zu überwachen. 183

184 Funktionsdiagnose 9.4 Port-Zustandsanzeige 9.4 Port-Zustandsanzeige V Wählen Sie den Dialog Grundeinstellungen:System. Die Gerätedarstellung zeigt den Switch mit der aktuellen Bestückung. Unterhalb des Geräteabbildes stellen Symbole den Status der einzelnen Ports dar. Abb. 55: Beispiel für eine Gerätedarstellung Bedeutung der Symbole: Der Port (10, 100, 1000 MBit/s) ist freigegeben und die Verbindung ist in Ordnung. Der Port ist vom Management gesperrt. Der Port ist im FDX-Modus. Der Port ist im HDX-Modus. Der Port ist im RSTP-Discarding-Modus. 184

185 Funktionsdiagnose 9.4 Port-Zustandsanzeige Der Port ist im Autonegotiation-Modus. 185

186 Funktionsdiagnose 9.5 Ereigniszähler auf Portebene 9.5 Ereigniszähler auf Portebene Die Port-Statistiktabelle versetzt den erfahrenen Netzbetreuer in die Lage, eventuelle Schwachpunkte im Netz zu identifizieren. Diese Tabelle zeigt Ihnen die Inhalte verschiedener Ereigniszähler an. Im Menüpunkt Neustart können Sie mit "Warmstart", "Kaltstart" oder "Portzähler zurücksetzen" sämtliche Ereigniszähler auf Null zurücksetzen. Die Zähler summieren die Ereignisse aus Sende- und Empfangsrichtung. Zähler Hinweis auf möglichen Schwachpunkt Empfangene Fragmente Defekter Controller des angeschlossenen Gerätes Einkopplung von elektromagnetischen Störungen auf das Übertragungsmedium CRC Fehler Defekter Controller des angeschlossenen Gerätes Einkopplung von elektromagnetischen Störungen auf das Übertragungsmedium - defekte Komponente im Netz Kollisionen Defekter Controller des angeschlossenen Gerätes Zu große Netzausdehnung/Leitungslänge Kollision einer Störung mit einem Datenpaket Tab. 14: Beispiele für Hinweise auf Schwachpunkte V Wählen Sie den Dialog Diagnose:Ports:Statistiken. V Um die Zähler zurückzusetzen klicken Sie im Dialog Grundein stellungen:neustart auf Portzähler zurücksetzen. 186

187 Funktionsdiagnose 9.5 Ereigniszähler auf Portebene Abb. 56: Dialog Port-Statistiktabelle 187

188 Funktionsdiagnose 9.6 SFP-Zustandsanzeige 9.6 SFP-Zustandsanzeige Die SFP-Zustandsanzeige bietet Ihnen die Möglichkeit, die aktuelle Bestükkung der SFP-Module und deren Eigenschaften einzusehen. Zu den Eigenschaften zählen: D Modultyp, D Unterstützung im Medienmodul gewährt, D Temperatur in Grad Celcius D Sendeleistung in Milliwatt D Empfangsleistung in Milliwatt V Wählen Sie den Dialog Diagnose:Ports:SFP-Module. Abb. 57: Dialog SFP-Module 188

189 Funktionsdiagnose 9.7 TP-Kabeldiagnose 9.7 TP-Kabeldiagnose Die TP-Kabeldiagnose ermöglicht Ihnen, das angeschlossene Kabel auf Kurzschluß oder Unterbrechung zu prüfen. Hinweis: Während der Überprüfung ruht der Datenverkehr an diesem Port. Die Prüfung dauert wenige Sekunden. Nach der Prüfung finden sie in der Zeile Ergebnis das Prüfergebnis der Kabeldiagnose. Ergibt das Prüfergebnis einen Kabelfehler, dann finden Sie in der Zeile Distanz die Entfernung vom Port zum Kabelfehler. Ergebnis normal offen Kurzschluß unbekannt Bedeutung Das Kabel ist in Ordnung. Das Kabel ist unterbrochen. Das Kabel weist einen Kurzschluß auf. Bisher keine Kabelprüfung durchgeführt oder momentane Durchführung der Kabelprüfung. Tab. 15: Bedeutung der möglichen Ergebnisse Voraussetzungen für eine korrekte TP-Kabeldiagnose: D 1000BASE-T-Port über 8adriges Kabel mit 1000BASE-T-Port verbunden oder D 10BASE-T/100BASE-TX-Port mit 10BASE-T/100BASE-TX-Port verbunden. V Wählen Sie den Dialog Diagnose:Ports:TP-Kabeldiagnose. V Wählen Sie den TP-Port aus, an dem Sie die Prüfung durchführen wollen. V Klicken sie auf Schreiben, um die Prüfung zu starten. 189

190 Funktionsdiagnose 9.8 Topologie-Erkennung 9.8 Topologie-Erkennung Beschreibung Topologie-Erkennung IEEE 802.1AB beschreibt das Link Layer Discovery Protocol (LLDP). Das LLDP ermöglicht dem Anwender eine automatische Topologie-Erkennung seines LANs. Ein Gerät mit aktivem LLDP D verbreitet eigene Verbindungs- und Management-Informationen an die angrenzenden Geräte des gemeinsamen LANs, sofern diese auch das LLDP aktiviert haben. D empfängt Verbindungs- und Management-Informationen von angrenzenden Geräten des gemeinsamen LANs, sofern diese auch das LLDP aktiviert haben. D errichtet ein Management-Informationsschema und Objektdefinitionen zum Speichern von Verbindungsinformationen benachbarter Geräte mit aktiviertem LLDP. Als zentrales Element enthält die Verbindungsinformation die genaue, eindeutige Kennzeichnung eines Verbindungsendpunktes: MSAP (MAC Service Access Point). Diese setzt sich zusammen aus einer netzweit eindeutigen Kennung des Gerätes und einer für dieses Gerät eindeutigen Portkennung. Inhalt der Verbindungs- und Management-Informationen: D Chassis-Kennung (dessen MAC Adresse) D Port-Kennung (dessen Port-MAC Adresse) D Beschreibung des Ports D Systemname D Systembeschreibung D Unterstützte "System Capabilities" (z.b. Router = 14 oder Switch = 4) D Momentan aktivierte "System Capabilities" D Interface-Id der Management Adresse D VLAN-ID des Ports D Zustand der Autonegotiation am Port D Medium, Halb-/Vollduplexeinstellung und Geschwindigkeit-Einstellung des Ports 190

191 Funktionsdiagnose 9.8 Topologie-Erkennung D Information ob und welches Redundanzprotokoll (STP, RSTP, HIPER- Ring, Ringkopplung, Dual Homing) an dem Port eingeschaltet ist. D Information über die VLANs, in denen der Port Mitglied ist (VLAN-ID und VLAN-Namen). Diese Informationen kann eine Netzmanagementstation von einem Gerät mit aktivem LLDP abrufen. Mit diesen Informationen ist die Netzmanagementstation in der Lage, die Topologie des Netzes darzustellen. Zum Informationsaustausch benutzt LLDP eine IEEE-MAC-Adresse, die Switche normalerweise nicht vermitteln. Deshalb verwerfen Switches ohne LLDP-Unterstützung LLDP-Pakete. So verhindert ein nicht LLDP-fähiges Gerät zwischen zwei LLDP-fähigen Geräten den LLDP-Informationsaustausch zwischen diesen beiden Geräten. Um dies zu umgehen, versenden und empfangen Hirschmann-Switche zusätzliche LLDP-Pakete mit der Hirschmann-Multicast-MAC-Adresse 01:80:63:2F:FF:0B. Hirschmann- Switche mit LLDP-Funktion sind somit in der Lage, LLDP-Informationen auch über nicht LLDP-fähige Geräte hinweg untereinander auszutauschen. Die Management Information Base (MIB) eines LLDP-fähigen Hirschmann- Switches hält die LLDP-Informationen in der lldp-mib und in der privaten hmlldp vor. 191

192 Funktionsdiagnose 9.8 Topologie-Erkennung Anzeige der Topologie-Erkennung V Wählen Sie den Dialog Diagnose:Topologie Erkennung. Dieser Dialog bietet Ihnen die Möglichkeit, die Funktion zur Topologie- Erkennung (LLDP) ein/auszuschalten. Die Topologie-Tabelle zeigt Ihnen die gesammelten Informationen zu Nachbargeräten an. Die Auswahl Ausschließlich LLDP-Einträge anzeigen bietet Ihnen die Möglichkeit, die Anzahl der Tabelleneinträge zu reduzieren. Einträge von Geräten ohne aktive LLDP-Unterstützung blendet die Topologietabelle in diesem Fall aus. Abb. 58: Topologie-Erkennung 192

193 Funktionsdiagnose 9.8 Topologie-Erkennung Sind an einem Port, z.b. über einen Hub, mehrere Geräte angeschlossen, dann zeigt die Tabelle pro angeschlossenem Gerät eine Zeile an. Wenn D Geräte mit aktiver Topologie-Erkennungs-Funktion und D Geräte ohne aktive Topologie-Erkennungs-Funktion an einem Port angeschlossen sind, dann blendet die Topologie-Tabelle die Geräte ohne aktive Topologie-Erkennung aus. Wenn D nur Geräte ohne aktive Topologie-Erkennung an einem Port angeschlossen sind, dann enthält die Tabelle stellvertretend für alle Geräte eine Zeile für diesen Port. Diese Zeile enthält die Anzahl der angeschlossenen Geräte. MAC-Adressen von Geräten, die die Topologie-Tabelle übersichtshalber ausblendet, finden Sie in der Adress-Tabelle (FDB, siehe Statische Adresseinträge eingeben auf Seite 126). 193

194 Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen 9.9 IP-Adresskonflikte erkennen Beschreibung IP-Adresskonflikte Per Definition darf jede IP-Adresse innerhalb eines Subnetzes nur einmal vergeben sein. Existieren innerhalb eines Subnetzes irrtümlicherweise zwei oder mehr Geräte mit der gleichen IP-Adresse, dann kommt es unweigerlich zu Störungen bis hin zur Unterbrechung der Kommunikation mit Geräten dieser IP-Adresse. Stuart Cheshire beschreibt in seinem Internet Draft einen Mechanismus, den industrielle Ethernet-Geräte benutzen können, um Adresskonflikte zu erkennen und zu beheben (Address Conflict Detection, ACD). Modus Bedeutung enable Aktive und passive Erkennung einschalten. disable Funktion ausschalten activedetectiononly Ausschließlich aktive Detektion einschalten. Der Switch überprüft unmittelbar nach dem Anschluss an ein Netz oder nach einer Änderung der IP-Konfiguration, ob seine IP-Adresse schon im Netz vorhanden ist. Ist die IP-Adresse bereits vorhanden, dann wechselt er, falls möglich, wieder zurück zur vorhergehenden Konfiguration und startet nach 15 Sekunden einen erneuten Versuch. Auf alle Fälle geht er nicht mit der doppelten IP-Adresse ins Netz. passiveonly Ausschließlich passive Detektion einschalten Der Switch lauscht passiv am Netz, ob seine IP-Adresse noch einmal vorhanden ist. Erkennt er eine doppelte IP-Addresse, dann verteidigt er mit Hilfe des ACD- Mechanismus zuerst seine Adresse durch aussenden von Gratituous ARPs. Geht die Gegenstelle daraufhin nicht vom Netz, dann geht das Manageemnt-Interface des lokalen Switch vom Netz. Zyklisch nach 15 Sekunden startet er erneut eine Erkennung, ob der Adresskonflikt noch vorliegt. Falls nicht, geht er wieder ans Netz. Tab. 16: Mögliche Addresskonflikt-Betriebsmodi 194

195 Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen ACD konfigurieren V Wählen Sie den Dialog Diagnose:IP-Adressen Konflikter kennung. V Mit Status schalten Sie die IP-Adressen Konflikterkennung ein/aus bzw. wählen Sie die Betriebsart (siehe Tab. 16 auf Seite 194) ACD anzeigen V Wählen Sie den Dialog Diagnose:IP-Adressen Konflikter kennung. V Dieser Dialog protokolliert IP-Adresskonflikte, die der Switch erkennt, wenn er einen Konflikt mit seiner IP-Adresse erkennt. Zu jedem Konflikt protokolliert der Switch: die Uhrzeit, die IP-Adresse mit der der Konflikt bestand, die MAC-Adresse des Gerätes, mit welchem der IP-Adresskonflikt bestand. Je IP-Adresse protokolliert der Switch eine Zeile und zwar die mit dem letzten Konflikt. V Mit einem Neustart des Switch können Sie die Tabelle löschen. 195

196 Funktionsdiagnose 9.9 IP-Adresskonflikte erkennen Abb. 59: IP-Adressen Konflikterkennung 196

197 Funktionsdiagnose 9.10 Berichte 9.10Berichte Zur Diagnose bietet der Switch folgende Berichte: D Logdatei Die Logdatei ist eine HTML-Datei, in die der Switch alle wichtigen Geräteinternen Ereignisse schreibt. D Systeminformation Die Systeminformation ist eine HTML-Datei, die alle systemrelevanten Daten enthält. D Systeminformation Das Security Data Sheet IAONA ist ein von der IAONA (Industrial Automation Open Networking Alliance) standardisiertes Datenblatt im XML- Format. Es enthält u.a. sicherheitsrelavante Informationen zu den zugänglichen Ports und den zugehörigen Protokollen. D Diagnosetabelle Die Diagnosetabelle listet die generierten Alarme (Traps) auf. Diese Berichte geben im Service-Fall dem Techniker die notwendigen Informationen. V Wählen Sie den Dialog Diagnose:Bericht. V Mit einem Klick auf Logdatei öffnen Sie die HTML-Datei in einem neuen Browser-Fenster. V Mit einem Klick auf Systeminformation öffnen Sie die HTML-Datei in einem neuen Browser-Fenster. 197

198 Funktionsdiagnose 9.10 Berichte D Syslog Der Switch bietet Ihnen die Möglichkeit, Meldungen über wichtige Geräteinterne Ereignisse an bis zu 4 Syslog-Server zu schicken. Syslog einrichten enable configure logging host logging syslog ex show logging hosts Wechsel in den Privileged-EXEC-Modus. Wechsel in den Konfigurationsmodus. Wählt den Empfänger der Log-Meldungen und dessen Port 514 aus. Die 3 gibt die Bedeutung der Meldung an, die der Switch schickt. 3 bedeutet Fehler. Schaltet die Syslog-Funktion ein. Wechsel in den Privileged-EXEC-Modus. Zeigt die Syslog-Host-Einstellungen. show logging hosts Index IP Address Severity Port Status error 514 Active 198

199 Funktionsdiagnose 9.11 Datenverkehr eines Ports beobachten 9.11Datenverkehr eines Ports beobachten (Portmirroring) Beim Portmirroring werden gültige Datenpakete eines Ports, dem Quellport, zu einem anderen Port, dem Zielport, kopiert. Der Datenverkehr am Quellport wird beim Portmirroring nicht beeinflußt. Ein am Zielport angeschlossenes Management-Werkzeug, wie z.b. ein RMON-Probe, kann so den Datenverkehr des Quellports beobachten. Der Zielport leitet zu sendende Daten weiter und blockiert empfangene Daten. Switch D0D0 D0D0 PLC Power MICE Backbone RMON-Probe Abb. 60: Portmirroring V Wählen Sie den Dialog Diagnose:Portmirroring. Dieser Dialog bietet Ihnen die Möglichkeit, die Portmirroring Funktion des Switches zu konfigurieren und zu aktivieren. V Wählen Sie den Quellport aus, dessen Datenverkehr sie beobachten wollen. 199

200 Funktionsdiagnose 9.11 Datenverkehr eines Ports beobachten V Wählen Sie den Zielport aus, an dem Sie Ihr Management-Werkzeug angeschlossen haben. V Wählen Sie Aktiv, um die Funktion einzuschalten. Die Löschen -Bedientaste im Dialog bietet Ihnen die Möglichkeit, alle Portmirroring-Einstellungen des Gerätes in den Lieferzustand zurück zu versetzen. Hinweis: Bei aktivem Portmirroring dient der festgelegte Port ausschließlich zur Beobachtung. Abb. 61: Dialog Portmirroring 200

201 Konfigurationsumgebung einrichten Anhang A: Konfigurationsumgebung einrichten 201

202 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten A.1 DHCP/BOOTP-Server einrichten Auf der CDROM, die dem Switch bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT-Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen. V Zur Installation des DHCP-Servers auf Ihrem PC legen Sie die CDROM in das CD-Laufwerk Ihres PCs und wählen Sie unter Zusatzsoftware "hanewin DHCP-Server". Führen Sie die Installation gemäß des Installationsassistenten durch. V Starten Sie das Programm DHCP Server. Abb. 62: Startfenster des DHCP-Servers Hinweis: Die Installation beinhaltet einen Dienst, der in der Grundkonfiguration automatisch beim Einschalten von Windows gestartet wird. Dieser Dienst ist auch aktiv, wenn das Programm selbst nicht gestartet ist. Der gestartete Dienst beantwortet DHCP-Anfragen. 202

203 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten V Öffnen Sie das Fenster für die Programmeinstellungen in der Menüleiste: Optionen:Einstellungen und wählen Sie die Karteikarte DHCP.Nehmen Sie die im Bild dargestellten Einstellungen vor und klicken Sie auf OK. Abb. 63: DHCP-Einstellung V Zur Eingabe der Konfigurationsprofile wählen Sie in der Menüleiste Optionen:Konfigurationsprofile verwalten. V Geben Sie den Namen für das neue Konfigurationsprofil ein und klicken Sie auf HinzufŸgen. Abb. 64: Konfigurationsprofile hinzufügen 203

204 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten V Geben Sie die Netzmaske ein und klicken Sie auf bernehmen. Abb. 65: Netzmaske im Konfigurationsprofil V Wählen Sie die Karteikarte Boot. V Geben Sie die IP-Adresse Ihres tftp-servers. V Geben Sie den Pfad und den Dateinamen für die Konfigurationsdatei ein. V Klicken Sie auf bernehmen und danach auf OK. Abb. 66: Konfigurationsdatei auf dem tftp-server 204

205 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten V Fügen Sie für jeden Gerätetyp ein Profil hinzu. Haben Geräte des gleichen Typs unterschiedliche Konfigurationen, dann fügen Sie für jede Konfiguration ein Profil hinzu. Zum Beenden des Hinzufügens der Konfigurationsprofile klicken Sie auf OK. Abb. 67: Konfigurationsprofile verwalten V Zur Eingabe der statischen Adressen klicken Sie im Hauptfenster auf Statisch. Abb. 68: Statische Adresseingabe 205

206 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten V Klicken Sie auf HinzufŸgen. Abb. 69: Statische Adressen hinzufügen V Geben Sie die MAC-Adresse des Switches ein. V Geben Sie die IP-Adresse des Switches ein. V Wählen Sie das Konfigurationsprofil des Switches. V Klicken Sie auf bernehmen und danach auf OK. Abb. 70: Einträge für statische Adressen 206

207 Konfigurationsumgebung einrichten A.1 DHCP/BOOTP-Server einrichten V Fügen Sie für jedes Gerät, das vom DHCP-Server seine Parameter erhalten soll, einen Eintrag hinzu. Abb. 71: DHCP-Server mit Einträgen 207

208 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten A.2 DHCP-Server Option 82 einrichten Auf der CDROM, die dem Switch bei der Lieferung beiliegt, finden Sie die Software für einen DHCP-Server der Firma Softwareentwicklung, IT-Consulting Dr. Herbert Hanewinkel. Sie können die Software bis zu 30 Kalendertage nach dem Datum der ersten Installation testen, um zu entscheiden, ob Sie eine Lizenz erwerben wollen. V Zur Installation des DHCP-Servers auf Ihrem PC legen Sie die CDROM in das CD-Laufwerk Ihres PCs und wählen Sie unter Zusatzsoftware "hanewin DHCP-Server". Führen Sie die Installation gemäß des Installationsassistenten durch. V Starten Sie das Programm DHCP Server. Abb. 72: Startfenster des DHCP-Servers Hinweis: Die Installation beinhaltet einen Dienst, der in der Grundkonfiguration automatisch beim Einschalten von Windows gestartet wird. Dieser Dienst ist auch aktiv, wenn das Programm selbst nicht gestartet ist. Der gestartete Dienst beantwortet DHCP-Anfragen. 208

209 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten V Wählen Sie statisch. Abb. 73: Statische Adresseingabe V Öffnen Sie das Fenster für die Programmeinstellungen in der Menüleiste: Optionen:Einstellungen und wählen Sie die Karteikarte DHCP. V Nehmen Sie die im Bild dargestellten Einstellungen vor und klicken Sie auf OK. Abb. 74: DHCP-Einstellung 209

210 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten V Zur Eingabe der statischen Adressen klicken Sie auf HinzufŸgen. Abb. 75: Statische Adressen hinzufügen V Wählen Sie Circuit Identifier und Remote Identifier. Abb. 76: Voreinstellung für die feste Adresszuweisung 210

211 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten V Tragen Sie in das Feld Hardwareadresse den Circuit Identifier und den Remote Identifier ein, siehe DHCP Relay Agent konfigurieren im Referenz-Handbuch "Web-based Interface". Mit Hardwareadresse kennzeichnen Sie den Switch und den Port, an welchen ein Gerät angeschlossen wird, dem Sie die IP-Adresse in der Zeile darunter zuweisen wollen. Die Hardwareadresse hat folgende Form: ciclhhvvvvssmmpprirlxxxxxxxxxxxx D ci: Subidentifier für Typ des Circuit ID D cl: Länge des Circuit ID D hh: Hirschmann-Identifier: 01, wenn an dem Port ein Hirschmann- Switch angeschlossen wird, sonst 00. D vvvv: VLAN ID der DHCP-Anfrage (Voreinstelung: 0001 = VLAN 1) D ss: Steckplatz im Switch, auf dem sich das Modul mit dem Port befindet, an dem das Gerät angeschlossen wird. Geben Sie den Wert 00 an. D mm: Modul mit dem Port, an dem das Gerät angeschlossen wird. D pp: Port an dem das Gerät angeschlossen wird. D ri: Subidentifier für Typ des Remote ID D rl: Länge des Remote ID D xxxxxxxxxxxx: Remote ID des Switches (z.b. MAC-Adresse), an dem ein Gerät angeschlossen wird. Abb. 77: Eintragen der Adressen 211

212 Konfigurationsumgebung einrichten A.2 DHCP-Server Option 82 einrichten D0D0D0 PLC Switch (Option 82) MICE MACH 3002 IP = MAC-Adresse = 00:80:63:10:9a:d7 DHCP-Server IP = IP = Abb. 78: Anwendungsbeispiel für den Einsatz von Option

213 Konfigurationsumgebung einrichten A.3 tftp-server für SW-Updates A.3 tftp-server für SW-Updates Im Lieferzustand steht die Switch-Software im lokalen Flash-Speicher. Der Switch bootet die Software vom Flash-Speicher. Über einen tftp-server können Software-Updates durchgeführt werden. Dies setzt voraus, daß im angeschlossenen Netz ein tftp-server installiert und aktiv ist. Hinweis: Eine Alternative zum tftp-update bildet das http-update. Das http- Update erspart die Konfiguration des tftp-servers. Um vom tftp-server einen Software-Update durchführen zu können benötigt der Switch folgende Informationen: D eigene IP-Adresse (fest eingetragen), D IP-Adresse des tftp-servers, bzw. des Gateways zum tftp-server, D Pfad, in dem das Betriebssystem des tftp-servers liegt. Der File-Transfer zwischen Switch und tftp-server wird über das Trivial File Transfer Protocol (tftp) abgewickelt. Managementstation und tftp-server können sowohl aus einem als auch aus verschiedenen Rechnern bestehen. Das Vorbereiten des tftp-servers für die Switch-Software beinhaltet die Schritte: D Einrichten des Switch-Verzeichnisses und kopieren der Switch-Software D Einrichten des tftp-prozesses 213

214 Konfigurationsumgebung einrichten A.3 tftp-server für SW-Updates A.3.1 tftp-prozeß einrichten Allgemeine Voraussetzungen: D Die lokale IP-Adresse des Switch und die IP-Adresse des tftp-servers bzw. des Gateways sind dem Switch bekannt. D Der TCP/IP-Stack mit tftp ist auf dem tftp-server installiert. Die folgenden Abschnitte enthalten Hinweise zum Einrichten des tftp-prozesses gegliedert nach Betriebssystemen und Anwendungen. U SunOS und HP V Überprüfen Sie zunächst, ob der tftp-dämon (Hintergrundprozeß) läuft, d. h. ob in der Datei /etc/inetd.conf folgende Zeile enthalten ist (siehe Abb. 79) und dessen Prozeßstatus IW ist: SunOS tftp dgram udp wait root /usr/etc/in.tftpd in.tftpd -s /tftpboot HP tftp dgram udp wait root /usr/etc/in.tftpd tftpd Falls dieser Prozeß nicht oder nur als Kommentarzeile (#) eingetragen ist, ändern Sie /etc/inetd.conf entsprechend und führen danach eine Neuinitialisierung des INET-Dämon durch. Dies geschieht mit dem Befehl kill -1 PID, wobei PID die Prozeßnummer von inetd ist. Durch Eingabe der folgenden UNIX-Befehlszeile wird diese Neuinitialisierung automatisch durchgeführt: SunOS ps -ax grep inetd head -1 awk -e {print $1} kill -1 HP /etc/inetd -c 214

215 Konfigurationsumgebung einrichten A.3 tftp-server für SW-Updates Eine zusätzliche Information zum tftp-dämon tftpd können Sie mit dem UNIX-Kommando man tftpd abrufen. Hinweis: Der tftp-dämon wird nicht immer mit dem Befehl ps angezeigt, obwohl er läuft. Besonderheit bei HP-Workstations: V Tragen Sie bei der Installation auf einer HP-Workstation in die Datei /etc/passwd den Benutzer tftp ein. Zum Beispiel: tftp:*:510:20:tftp server:/usr/tftpdir:/bin/false tftp Benutzerkennung, * steht im Passwortfeld, 510 Beispiel für die user-nr., 20 Beispiel für die group-nr., tftp serverfrei wählbare sinnvolle Bezeichnung, /bin/falseobligatorischer Eintrag (login shell) V Testen Sie den tftp-prozeß mit z. B.: cd /tftpboot/mice tftp <tftp-servername> get mice/mice.bin rm mice.bin 215

216 Konfigurationsumgebung einrichten A.3 tftp-server für SW-Updates Überprüfen des tftp-prozesses Editieren der Datei /etc/inetd.conf nein Ist tftp* als Kommentarzeile eingetragen? ja In dieser Zeile das Kommentarzeichen»#«entfernen Neuinitialisieren von inetd. conf durch Eingabe von kill-1 PID nein Probleme mit dem tftp-server? ja tftp-prozeß prüfen z. B: cd /tftpboot/mice tftp <tftp-servername> get mice/mice.bin Antwort, wenn der Prozeß läuft: Received rm mice.bin Überprüfen des tftp-prozesses abgeschlossen * tftp dgram udp wait root/usr/etc/in.tftpd in.tftpd /tftpboot Abb. 79: Ablaufdiagramm tftp-server einrichten bei SunOS und HP 216

217 Konfigurationsumgebung einrichten A.3 tftp-server für SW-Updates A.3.2 Software-Zugriffsrechte Der Agent benötigt Leserecht auf dem tftp-verzeichnis, in das die Switch- Software abgelegt ist. U Beispiel für einen tftp-server unter UNIX Nach der Installation der Switch-Software sollte sich folgende Verzeichnis-Struktur mit den angegebenen Zugriffsrechten auf dem tftp-server befinden:. Dateiname mice.bin Rechte 444-r--r--r-- Tab. 17: Verzeichnisstruktur der Software d = Verzeichnis; r = lesen; w = schreiben; x = durchführen 1. Stelle bezeichnet d (Verzeichnis), 2. bis 4. Stelle bezeichnen die Zugriffsrechte vom Benutzer, 5. bis 7. Stelle bezeichnen die Zugriffsrechte von Benutzergruppen, 8. bis 10. Stelle bezeichnen die Zugriffsrechte aller anderen. 217

218 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten A.4 SSH-Zugriff vorbereiten Um über SSH auf den Switch zugreifen zu können benötigen Sie: D einen Schlüssel. D installieren Sie den Schlüssel auf dem Switch. D geben Sie auf dem Switch den Zugriff über SSH frei. D ein Programm zum Ausführen des SSH-Protokolls auf Ihrem Rechner. A.4.1 Schlüssel erzeugen Eine Möglichkeit den Schlüssel zu erzeugen, bietet das Programm PuTTYgen. Dieses Programm finden Sie auf der Produkt-CD. V Starten Sie das Programm mit einem Doppelklick. V Wählen Sie im Hauptfenster des Programms im Rahmen Parameter" den Typ SSH-1 (RSA)". V Klicken Sie im Rahmen Actions" auf Generate". Bewegen Sie die Maus, damit PuTTYgen mit Zufallszahlen den Schlüssel berechnen kann. V Geben Sie unter Key passphrase" und Confirm passphrase" kein Passwort für diesen Schlüssel ein. V Klicken Sie im Rahmen Actions" auf Save private key". Geben Sie den Dateinamen und den Speicherort der Schlüsseldatei ein. V Beantworten Sie die Frage, ob Sie kein passphrase benutzen wollen mit Ja. V Notieren Sie sich den Fingerabdruck des Schlüssels, damit Sie ihn beim Verbindungsaufbau überprüfen können. 218

219 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten Abb. 80: PuTTY Schlüsselgenerator Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, den Schlüssel zu erzeugen. Zur Erzeugung des Schlüssels geben Sie folgenden Befehl ein: ssh-keygen(.exe) -q -t rsa1 -f rsa1.key -C '' -N '' 219

220 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten A.4.2 Schlüssel hochladen Das Command Line Interface ermöglicht Ihnen das Hochladen des SSH- Schlüssels auf den Switch. V Legen Sie die Schlüsseldatei auf Ihren tftp-server. V Mit dem Befehl enable wechseln Sie in den Priviledged EXEC mode. V Schalten Sie mit dem Befehl no ip ssh die SSH-Funktion auf dem Switch aus, bevor Sie den Schlüssel auf den Switch übertragen. V Mit dem Befehl copy tftp:// /switch/rsa1.key nvram:sshkey-rsa1 lädt der Switch die Schlüsseldatei in seinen nicht-flüchtigen Speicher stellt die IP-Adresse des tftp-servers dar. switch stellt das Verzeichnis auf dem tftp-server dar. rsa1.key stellt den Dateinamen des Schlüssels dar. V Schalten Sie mit dem Befehl ip ssh die SSH-Funktion auf dem Switch wieder ein, nachdem Sie den Schlüssel auf den Switch übertragen haben. 220

221 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten A.4.3 Zugriff mittels SSH Eine Möglichkeit mittels SSH auf Ihren Switch zuzugreifen, bietet das Programm PuTTY. Dieses Programm finden Sie auf der Produkt-CD. V Starten Sie das Programm mit einem Doppelklick. V Geben Sie die IP-Adress Ihres Switches ein. V Wählen Sie SSH. V Klicken Sie auf Open", um die Verbindung zu Ihrem Switch aufzbauen. Abhängig vom Switch und vom Zeitpunkt der Konfiguration von SSH kann der Verbindungsaufbau bis zu einer Minute dauern. Gegen Ende des Verbindungsaufbaus zeigt PuTTY eine Sicherheitsalarmmeldung und bietet Ihnen die Möglichkeit, den Fingerabdruck des Schlüssels zu überprüfen. Fig. 81: Sicherheitsabfrage für den Fingerabdruck V Überprüfen Sie den Fingerabdruck, um sich vor unliebsamen Gästen zu schützen. Ihren Fingerabdruck finden Sie im Rahmen Key des PuTTY Schlüsselgenerators (siehe Abb. 80). V Stimmt der Fingerabdruck mit dem Ihres Schlüssels überein, dann klicken Sie Ja. 221

222 Konfigurationsumgebung einrichten A.4 SSH-Zugriff vorbereiten PuTTY zeigt eine erneute Sicherheitsalarmmeldung zur eingestellten Warnschwelle. Fig. 82: Sicherheitsabfrage zur eingestellten Warnschwelle V Klicken Sie auf Ja dieser Sicherheitsalarmmeldung. Um für zukünftige Verbindungssaufbauten diese Meldung zu unterdrücken, wählen Sie vor dem Verbindungsaufbau in PuTTY im Category -Rahmen SSH. Im Rahmen Encryption options wählen Sie DES und klicken Sie auf Up bis Des über der Linie -- warn below here -- angekommen ist. Wechseln Sie im Category -Rahmen zurück zu Session und bauen Sie die Verbindung wie gewohnt auf. Erfahrenen Netzadministratoren bietet die OpenSSH-Suite eine weitere Möglichkeit, mittels SSH auf Ihren Switch zuzugreifen. Zum Aufbau der Verbindung geben Sie folgenden Befehl ein: ssh admin@ cdes admin stellt den Benutzernamen dar stellt die IP-Adresse Ihres Switches dar. -cdes legt die Verschlüsselung für SSHv1 fest. 222