ADMINISTRATORHANDBUCH Administratorhandbuch Version 1.3.
Inhalt Inhaltsverzeichnis Kapitel 1: Erste Schritte 1 Starten des webbasierten Konfigurationsdienstprogramms 1 Kurzanleitung für die Gerätekonfiguration 5 Benennungskonventionen für Schnittstellen 6 Unterschiede zwischen 500-Geräten 7 Fensternavigation 8 Kapitel 2: Status und Statistik 12 Systemübersicht 12 Anzeigen der Ethernet-Schnittstellen 12 Anzeigen der Etherlike-Statistik 14 Anzeigen der GVRP-Statistik 15 Anzeigen der 802.
Inhalt Kapitel 4: Administration: Dateiverwaltung 35 Systemdateien 35 Firmware/Sprache aktualisieren/sichern 38 Aktives Image 43 Konfiguration/Protokoll herunterladen/sichern 44 Konfigurationsdateieigenschaften 51 Konfiguration kopieren/speichern 52 Automatische Konfiguration über DHCP 53 Kapitel 5: Administration: Stack-Verwaltung 61 Übersicht 61 Einheitstypen im Stack 63 Stack-Topologie 64 Zuordnung von Einheits-IDs 66 Masterauswahlprozess 68 Stack-Änderungen 69 Fehler bei e
Inhalt Benutzerkonten 96 Definieren des Timeout für Sitzungsleerlauf 96 Zeiteinstellungen 97 Systemprotokoll 97 Dateiverwaltung 97 Neustarten des Geräts 97 Routing-Ressourcen 99 Zustand 102 Diagnose 104 Erkennung – Bonjour 104 Erkennung – LLDP 104 Erkennung – CDP 104 Ping 104 Traceroute 106 Kapitel 7: Administration: Zeiteinstellungen 108 Optionen für die Systemzeit 109 SNTP-Modi 110 Konfigurieren der Systemzeit 111 Kapitel 8: Administration: Diagnose 122 Testen von Ku
Inhalt Konfigurieren von CDP Kapitel 10: Portverwaltung 155 165 Konfigurieren von Ports 165 Festlegen der Portkonfiguration 166 Link-Aggregation 171 UDLD 180 PoE 180 Konfigurieren von Green Ethernet 180 Kapitel 11: Portverwaltung: Unidirectional Link Detection 189 UDLD – Übersicht 189 UDLD-Betrieb 190 Verwendungshinweise 193 Abhängigkeiten von anderen Funktionen 194 Standardeinstellungen und Konfiguration 195 Vorbereitung 195 Allgemeine UDLD-Aufgaben 195 Konfigurieren von UD
Inhalt Beziehungen zu anderen Funktionen und Abwärtskompatibilität 212 Allgemeine Smartport-Aufgaben 213 Konfigurieren von Smartport über die webbasierte Benutzeroberfläche 215 Integrierte Smartport-Makros 221 Kapitel 13: Portverwaltung: PoE 233 PoE am Gerät 233 Konfigurieren von PoE-Eigenschaften 237 Konfigurieren von PoE-Einstellungen 238 Kapitel 14: VLAN-Verwaltung 241 VLANs 241 Konfigurieren der VLAN-Standardeinstellungen 245 Erstellen von VLANs 246 Konfigurieren der VLAN-Schnit
Inhalt Zuordnen von VLANs zu einer MSTP-Instanz 291 Definieren von MSTP-Instanzeinstellungen 292 Festlegen von MSTP-Schnittstelleneinstellungen 293 Kapitel 16: Verwalten von MAC-Adresstabellen 296 Konfigurieren von statischen MAC-Adressen 297 Verwalten von dynamischen MAC-Adressen 298 Definieren reservierter MAC-Adressen 299 Kapitel 17: Multicast 300 Multicast-Weiterleitung 300 Definieren von Multicast-Eigenschaften 304 Hinzufügen von MAC-Gruppenadressen 305 Hinzufügen von IP-Multicas
Inhalt Funktionsweise von RIP im Gerät 389 Konfigurieren von RIP 395 Kapitel 20: IP-Konfiguration: VRRP 403 Übersicht 403 Konfigurierbare Elemente von VRRP 407 Konfigurieren von VRRP 411 Kapitel 21: Sicherheit 415 Definieren von Benutzern 416 Konfigurieren von TACACS+ 420 Konfigurieren von RADIUS 425 Schlüsselverwaltung 431 Verwaltungszugriffsmethode 434 Verwaltungszugriffsauthentifizierung 441 Sicheres Verwalten sensibler Daten (SSD) 442 SSL-Server 442 SSH-Server 445 SSH-Cl
Inhalt Kapitel 22: Sicherheit: 802.1X-Authentifizierung 473 802.1X – Überblick 473 Authentifikator – Übersicht 475 Allgemeine Aufgaben 487 802.
Inhalt Kapitel 25: Sicherheit: SSH-Server 546 Übersicht 546 Allgemeine Aufgaben 547 Seiten für die SSH-Serverkonfiguration 548 Kapitel 26: Sicherheit: Sicheres Verwalten sensibler Daten (SSD) 551 Einführung 551 SSD-Regeln 552 SSD-Eigenschaften 558 Konfigurationsdateien 561 SSD-Verwaltungskanäle 567 Menü-CLI und Kennwortwiederherstellung 568 Konfigurieren von SSD 568 Kapitel 27: Zugriffssteuerung 572 Zugriffssteuerungslisten 572 Definieren MAC-basierter ACLs 575 IPv4-basierte A
Inhalt Modell-OIDs 631 SNMP-Engine-ID 633 Konfigurieren von SNMP-Ansichten 635 Erstellen von SNMP-Gruppen 636 Verwalten von SNMP-Benutzern 638 Festlegen von SNMP-Communitys 640 Festlegen von Trap-Einstellungen 643 Benachrichtigungsempfänger 643 SNMP-Benachrichtigungsfilter 648 Administratorhandbuch für Stackable Managed Switches der Serie 500 von Cisco 10
1 Erste Schritte In diesem Abschnitt erhalten Sie eine Einführung in das webbasierte Konfigurationsdienstprogramm.
Erste Schritte Starten des webbasierten Konfigurationsdienstprogramms 1 Starten des Konfigurationsdienstprogramms So öffnen Sie das webbasierte Konfigurationsdienstprogramm: SCHRITT 1 Öffnen Sie einen Webbrowser. SCHRITT 2 Geben Sie die IP-Adresse des zu konfigurierenden Geräts in die Adresszeile des Browsers ein und drücken Sie die Eingabetaste. HINWEIS Wenn das Gerät die werkseitig konfigurierte Standard-IP-Adresse 192.168.1.254 verwendet, blinkt die Betriebs-LED ununterbrochen.
1 Erste Schritte Starten des webbasierten Konfigurationsdienstprogramms SCHRITT 2 Wenn Sie nicht Englisch als Sprache verwenden, wählen Sie im Dropdown-Menü Sprache die gewünschte Sprache aus. Im Abschnitt „Firmware/Sprache aktualisieren/sichern“ erfahren Sie, wie Sie dem Gerät eine neue Sprache hinzufügen bzw. eine vorhandene Sprache aktualisieren.
Erste Schritte Starten des webbasierten Konfigurationsdienstprogramms 1 Kennwort-Ablaufzeit Die Seite „Neues Kennwort“ wird eingeblendet: • Wenn Sie sich zum ersten Mal bei dem Gerät anmelden, verwenden Sie den Standardbenutzernamen cisco und das Standardkennwort cisco. Es ist erforderlich, dass Sie das werksmäßig festgelegte Standardkennwort ändern. • Wenn das Kennwort abläuft, werden Sie auf dieser Seite gezwungen, ein neues Kennwort festzulegen.
1 Erste Schritte Kurzanleitung für die Gerätekonfiguration Um sich abzumelden, klicken Sie in der oberen rechten Ecke einer beliebigen Seite auf Abmelden. Das System meldet sich beim Gerät ab. Wenn ein Timeout auftritt oder Sie sich bewusst beim System abmelden, wird eine Meldung angezeigt und die Anmeldeseite wird mit dem Hinweis geöffnet, dass Sie abgemeldet sind. Nach dem Anmelden öffnet die Anwendung wieder die Anfangsseite.
1 Erste Schritte Benennungskonventionen für Schnittstellen Kategorie Link-Name (auf der Seite) Verlinkte Seite MAC-basierte ACL erstellen Seite „MAC-basierte ACL“ IP-basierte ACL erstellen Seite „IPv4-basierte ACL“ QoS konfigurieren Seite „QoS-Eigenschaften“ Portspiegelung konfigurieren Seite „Port- und VLANSpiegelung“ Die Seite „Erste Schritte“ enthält zwei Hotlinks, über die Sie zu Cisco-Webseiten gelangen, auf denen Sie weitere Informationen finden.
1 Erste Schritte Unterschiede zwischen 500-Geräten Unterschiede zwischen 500-Geräten Dieses Handbuch ist für Geräte des Typs Sx500, SG500X, SG500XG und ESW2550X relevant. Wenn eine Funktion nur auf eines der Geräte zutrifft, wird darauf hingewiesen.
1 Erste Schritte Fensternavigation Fensternavigation In diesem Abschnitt werden die Funktionen des webbasierten SwitchKonfigurationsdienstprogramms beschrieben. Anwendungsheader Der Anwendungsheader wird auf jeder Seite angezeigt.
1 Erste Schritte Fensternavigation AnwendungslinkName Beschreibung Sprachmenü Das Menü enthält die folgenden Optionen: • Sprache auswählen: Wählen Sie eine der im Menü angezeigten Sprachen aus. Diese Sprache wird für das webbasierte Konfigurationsdienstprogramm verwendet. • Sprache herunterladen: Fügt dem Gerät eine neue Sprache hinzu. • Sprache löschen: Löscht die zweite Sprache aus dem Gerät. Die erste Sprache (Englisch) kann nicht gelöscht werden.
1 Erste Schritte Fensternavigation Verwaltungsschaltflächen In der folgenden Tabelle werden die am häufigsten verwendeten Schaltflächen beschrieben, die auf den verschiedenen Seiten des Systems zur Verfügung stehen. Schaltflächenname Beschreibung Verwenden Sie das Pulldown-Menü, um die Anzahl der Einträge pro Seite zu konfigurieren. Zeigt ein obligatorisches Feld an.
1 Erste Schritte Fensternavigation Schaltflächenname Beschreibung Schließen Ruft die Hauptseite auf. Wenn Änderungen vorhanden sind, die nicht in die aktuelle Konfiguration übernommen wurden, wird eine Meldung angezeigt. Einstellungen kopieren Eine Tabelle enthält normalerweise einen oder mehrere Einträge mit Konfigurationseinstellungen. Anstatt jeden Eintrag einzeln zu ändern, können Sie einen Eintrag ändern und dann den ausgewählten Eintrag wie folgt in mehrere Einträge kopieren: 1.
2 Status und Statistik In diesem Abschnitt wird beschrieben, wie Sie Gerätestatistiken anzeigen. Die folgenden Themen werden behandelt: • Systemübersicht • Anzeigen der Ethernet-Schnittstellen • Anzeigen der Etherlike-Statistik • Anzeigen der GVRP-Statistik • Anzeigen der 802.1X EAP-Statistik • Anzeigen der TCAM-Nutzung • Integrität • Verwalten von RMON • Protokoll anzeigen Systemübersicht Weitere Informationen hierzu finden Sie unter Systemeinstellungen.
2 Status und Statistik Anzeigen der Ethernet-Schnittstellen So zeigen Sie die Ethernet-Statistik an und/oder legen die Aktualisierungsrate fest: SCHRITT 1 Wählen Sie Status und Statistik > Schnittstelle. SCHRITT 2 Geben Sie die Parameter ein. • Schnittstelle: Wählen Sie den Schnittstellentyp und die bestimmte Schnittstelle aus, für die Sie die Ethernet-Statistik anzeigen möchten.
2 Status und Statistik Anzeigen der Etherlike-Statistik So löschen Sie Statistikzähler oder zeigen sie an: • Klicken Sie auf Schnittstellenzähler löschen, um die Zähler für die angezeigte Schnittstelle zu löschen. • Klicken Sie auf Alle Statistikschnittstellen anzeigen, um alle Ports auf einer Seite anzuzeigen. Anzeigen der Etherlike-Statistik Auf der Seite Etherlike werden Statistiken nach Port gemäß den Definitionen des Etherlike MIB-Standards angezeigt.
2 Status und Statistik Anzeigen der GVRP-Statistik • Interne MAC-Empfangsfehler: Infolge von Empfängerfehlern zurückgewiesene Frames. • Empfangene Pausen-Frames: Empfangene Flusssteuerungs-PausenFrames. • Gesendete Pausen-Frames: Von der ausgewählten Schnittstelle übertragene Flusssteuerungs-Pausen-Frames. So löschen Sie Statistikzähler: • Klicken Sie auf Schnittstellenzähler löschen, um die ausgewählten Schnittstellenzähler zu löschen.
2 Status und Statistik Anzeigen der 802.1X EAP-Statistik Im Bereich „Attributzähler“ werden die Zähler für die unterschiedlichen Pakettypen pro Schnittstelle angezeigt. • Join Empty: Die Zahl der empfangenen/übertragenen GVRP Join EmptyPakete. • Empty: Die Zahl der empfangenen/übertragenen GVRP Empty-Pakete. • Leave Empty: Die Zahl der empfangenen/übertragenen GVRP Leave Empty-Pakete. • Join In: Die Zahl der empfangenen/übertragenen GVRP Join In-Pakete.
2 Status und Statistik Anzeigen der 802.1X EAP-Statistik So zeigen Sie die EAP-Statistik an und/oder legen die Aktualisierungsrate fest: SCHRITT 1 Klicken Sie auf Status und Statistik > 802.1X EAP. SCHRITT 2 Wählen Sie die Schnittstelle aus, die für die Statistik abgefragt wird. SCHRITT 3 Legen Sie den Zeitraum (Aktualisierungsrate) fest, der bis zum Aktualisieren der EAP-Statistik verstreichen soll. Es werden die Werte für die ausgewählte Schnittstelle angezeigt.
2 Status und Statistik Anzeigen der TCAM-Nutzung • Klicken Sie auf Alle Schnittstellenzähler löschen, um die Zähler für alle Schnittstellen zu löschen. Anzeigen der TCAM-Nutzung Die Gerätearchitektur nutzt einen TCAM-Speicher (Ternary Content Addressable Memory), um Paketaktionen mit Leitungsgeschwindigkeit zu ermöglichen.
2 Status und Statistik Integrität - Maximum: Anzahl der verfügbaren TCAM-Einträge, die für das IPv6Routing verwendet werden können. • Maximum TCAM Entries for Non-IP Rules: Für Nicht-IP-Regeln maximal verfügbare TCAM-Einträge. • Nicht-IP-Regeln - Verwendet: Anzahl der für Nicht-IP-Regeln verwendeten TCAMEinträge. - Maximum: Anzahl der verfügbaren TCAM-Einträge, die für Nicht-IPRegeln verwendet werden können.
2 Status und Statistik Verwalten von RMON • Sie können interessante Änderungen der Zählerwerte definieren, wie das Erreichen einer bestimmten Anzahl verspäteter Kollisionen (definiert den Alarm), und angeben, welche Aktion beim Eintreten dieses Ereignisses (Protokollieren, Trap oder Protokollieren und Trap) erfolgen soll. Anzeigen der RMON-Statistik Auf der Seite Statistik werden ausführliche Informationen zu den Paketgrößen sowie Informationen zu Fehlern in der physischen Schicht angezeigt.
2 21 Status und Statistik Verwalten von RMON • CRC- & Ausrichtungsfehler: Die Zahl der aufgetretenen CRC- und Ausrichtungsfehler. • Zu kleine Pakete: Die Zahl der empfangenen Pakete mit unzureichender Größe (weniger als 64 Oktette). • Zu große Pakete: Die Zahl der empfangenen Pakete mit unzulässiger Größe (mehr als 2000 Oktette). • Fragmente: Die Zahl der empfangenen Fragmente (Pakete mit weniger als 64 Oktetten, ausschließlich Frame-Bits aber einschließlich FCS-Oktette).
2 Status und Statistik Verwalten von RMON So löschen Sie Statistikzähler: • Klicken Sie auf Schnittstellenzähler löschen, um die ausgewählten Schnittstellenzähler zu löschen. • Klicken Sie auf Alle Statistikschnittstellen anzeigen, um alle Ports auf einer Seite anzuzeigen. Konfigurieren des RMON-Verlaufs Mit der RMON-Funktion können Sie Statistiken pro Schnittstelle überwachen.
2 Status und Statistik Verwalten von RMON • Eigentümer: Geben Sie die RMON-Station oder den Benutzer ein, die bzw. der die RMON-Informationen angefordert hat. SCHRITT 4 Klicken Sie auf Übernehmen. Der Eintrag wird der Seite Verlaufssteuerungstabelle hinzugefügt und die aktuelle Konfigurationsdatei wird aktualisiert. SCHRITT 5 Klicken Sie auf Verlaufstabelle, um die eigentliche Statistik anzuzeigen.
2 Status und Statistik Verwalten von RMON • CRC- & Ausrichtungsfehler: Die Zahl der aufgetretenen CRC- und Ausrichtungsfehler. • Zu kleine Pakete: Die empfangenen Pakete mit unzureichender Größe (weniger als 64 Oktette). • Zu große Pakete: Die empfangenen Pakete mit unzulässiger Größe (mehr als 2000 Oktette). • Fragmente: Empfangene Fragmente (Pakete mit weniger als 64 Oktetten), ausschließlich Frame-Bits aber einschließlich FCS-Oktette.
2 Status und Statistik Verwalten von RMON SCHRITT 3 Geben Sie die Parameter ein. • Ereigniseintrag: Zeigt die Indexnummer des Ereigniseintrags für den neuen Eintrag an. • Community: Geben Sie die SNMP-Community-Zeichenfolge ein, die mit den Traps gesendet werden soll (optional).
2 Status und Statistik Verwalten von RMON Anzeigen der RMON-Ereignisprotokolle Auf der Seite „Ereignisprotokolltabelle“ wird das Protokoll der eingetretenen Ereignisse (Aktionen) angezeigt. Zwei Arten von Ereignissen können protokolliert werden: Protokoll oder Protokoll und Trap. Die mit dem Ereignis verbundene Aktion wird ausgeführt, wenn das Ereignis mit einem Alarm verbunden ist (siehe Seite „Alarme“) und die Bedingungen für den Alarm eingetreten sind.
2 Status und Statistik Verwalten von RMON So geben Sie RMON-Alarme ein: SCHRITT 1 Klicken Sie auf Status und Statistik > RMON > Alarme. Alle bereits definierten Alarme werden angezeigt. Die Felder sind unten auf der Seite „RMON-Alarm hinzufügen“ beschrieben. Darüber hinaus wird folgendes Feld angezeigt: • Zählerwert: Zeigt den Wert der Statistik während des letzten Erfassungszeitraums an. SCHRITT 2 Klicken Sie auf Hinzufügen. SCHRITT 3 Geben Sie die Parameter ein.
2 Status und Statistik Protokoll anzeigen • Auslöseralarm: Wählen Sie das erste Ereignis aus, mit dem die Alarmgenerierung beginnen soll. Als Steigen gilt das Überschreiten des Schwellenwerts von einem unteren Schwellenwert zu einem höheren Schwellenwert. - Steigender Alarm: Ein steigender Wert löst den Alarm für Ansteigen aus. - Fallender Alarm: Ein fallender Wert löst den Alarm für Abfallen aus. - Steigend und fallend: Sowohl steigende als auch fallende Werte lösen den Alarm aus.
3 Administration: Systemprotokoll In diesem Abschnitt wird die Systemprotokollfunktion beschrieben, über die das Gerät mehrere unabhängige Protokolle generieren kann. Die einzelnen Protokolle enthalten Meldungen, die Systemereignisse beschreiben. Das Gerät generiert folgende lokale Protokolle: • An die Konsolenschnittstelle gesendete Protokolle. • Protokolle, die in eine zyklische Ereignisliste im Arbeitsspeicher geschrieben und beim Geräteneustart gelöscht werden.
Administration: Systemprotokoll Festlegen der Systemprotokolleinstellungen 3 „%INIT-I-InitCompleted: … “ den Schweregrad I, was anzeigt, dass die Meldung eine Information darstellt. Es stehen die folgenden Schweregrade für Ereignisse zur Verfügung, aufgelistet von der höchsten bis zur niedrigsten Gewichtung: • Notfall: Das System kann nicht verwendet werden. • Alarm: Es ist eine Aktion erforderlich. • Kritisch: Das System befindet sich in einem kritischen Zustand.
3 Administration: Systemprotokoll Einstellen der Remote-Protokollierung Aggregationszeit aggregiert und in einer einzelnen Nachricht gesendet. Das Senden der aggregierten Meldungen erfolgt in der Reihenfolge des Empfangs. Jede Nachricht enthält Informationen dazu, wie häufig sie aggregiert wurde. • Max. Aggregationszeit: Geben Sie das Zeitintervall für die Aggregation von SYSLOG-Meldungen ein. • Ersteller-Identifikator: Mit dieser Option können Sie SYSLOG-Meldungen eine Ursprungs-ID hinzuzufügen.
3 Administration: Systemprotokoll Einstellen der Remote-Protokollierung So definieren Sie SYSLOG-Server: SCHRITT 1 Wählen Sie Administration > Systemprotokoll > Remote-Protokoll-Server. SCHRITT 2 Geben Sie Werte für die folgenden Felder ein: • Informiert IPv4-Quellschnittstelle: Wählen Sie die Quellschnittstelle aus, deren IPv4-Adresse als Quell-IPv4-Adresse für SYSLOG-Nachrichten verwendet wird, die an SYSLOG-Server gesendet werden.
3 Administration: Systemprotokoll Anzeigen von Speicherprotokollen • UDP-Port: Geben Sie den UDP-Port ein, an den die Protokollmeldungen gesendet werden. • Einrichtung: Wählen Sie den Wert einer Einrichtung aus, von der Systemprotokolle an den Remote-Server gesendet werden. Einem Server kann nur ein Einrichtungswert zugewiesen werden. Wird ein zweiter Einrichtungscode zugewiesen, wird der erste Einrichtungswert überschrieben. • Beschreibung: Geben Sie eine Server-Beschreibung ein.
Administration: Systemprotokoll Anzeigen von Speicherprotokollen 3 Diese Seite enthält folgende Felder: • Protokollindex: Nummer des Protokolleintrags. • Protokollzeit: Die Uhrzeit der Meldungsgenerierung. • Schweregrad: Schweregrad des Ereignisses. • Beschreibung: Meldungstext, der das Ereignis beschreibt. Klicken Sie auf Protokolle löschen, um die Protokollmeldungen zu entfernen. Die Meldungen werden gelöscht.
4 Administration: Dateiverwaltung In diesem Abschnitt wird die Verwaltung der Systemdateien beschrieben. Folgende Themen werden behandelt: • Systemdateien • Firmware/Sprache aktualisieren/sichern • Aktives Image • Konfiguration/Protokoll herunterladen/sichern • Konfigurationsdateieigenschaften • Konfiguration kopieren/speichern • Automatische Konfiguration über DHCP Systemdateien Systemdateien sind Dateien, die Konfigurationsinformationen, Firmware-Images oder Bootcode enthalten.
4 Administration: Dateiverwaltung Systemdateien Die Konfigurationsdateien auf dem Gerät werden durch ihren Typ definiert und enthalten die Einstellungen und Parameterwerte für das Gerät. Wenn eine Konfiguration für das Gerät referenziert wird, dann anhand ihres Konfigurationsdateityps (beispielsweise Startkonfiguration oder aktuelle Konfiguration) und nicht anhand eines Dateinamens, den der Benutzer ändern kann.
4 Administration: Dateiverwaltung Systemdateien - Die Startkonfiguration ist mit der aktuellen Konfiguration identisch. Nur das System kann die Startkonfiguration in die Spiegelkonfiguration kopieren. Sie können jedoch Elemente aus der Spiegelkonfiguration in andere Dateitypen oder auf ein anderes Gerät kopieren. Die Option zum automatischen Kopieren der aktuellen Konfiguration in die Spiegelkonfiguration können Sie auf der Seite „Konfigurationsdateieigenschaften“ deaktivieren.
Administration: Dateiverwaltung Firmware/Sprache aktualisieren/sichern 4 • Kopieren eines Konfigurationsdateityps in einen anderen Konfigurationsdateityp gemäß der Beschreibung im Abschnitt Konfiguration kopieren/speichern. • Aktivieren des automatischen Uploads einer Konfigurationsdatei von einem DHCP-Server auf das Gerät gemäß der Beschreibung im Abschnitt Automatische Konfiguration über DHCP.
4 Administration: Dateiverwaltung Firmware/Sprache aktualisieren/sichern Alle Software-Images im Stack müssen identisch sein, damit der Stack ordnungsgemäß funktioniert. Wenn einem Stack ein Gerät hinzugefügt wird, dessen Software-Image nicht mit dem Software-Image des Masters identisch ist, lädt der Master automatisch das richtige Image in das neue Gerät.
Administration: Dateiverwaltung Firmware/Sprache aktualisieren/sichern 4 Aktualisieren und Sichern der Firmware oder einer Sprachdatei So aktualisieren oder sichern Sie ein Software-Image oder eine Sprachdatei: SCHRITT 1 Wählen Sie Administration > Dateiverwaltung > Firmware/Sprache aktualisieren/sichern. SCHRITT 2 Klicken Sie auf die Übertragungsmethode. Gehen Sie wie folgt vor: • Wenn Sie TFTP ausgewählt haben, fahren Sie mit Schritt 3 fort.
4 Administration: Dateiverwaltung Firmware/Sprache aktualisieren/sichern Adresse unterstützt. Falls bei der Schnittstelle eine Link Local-Adresse vorhanden ist, ersetzt dieser Eintrag die Adresse in der Konfiguration. - Global: Bei der IPv6-Adresse handelt es sich um einen globalen UnicastIPv6-Typ, der in anderen Netzwerken sichtbar und von diesen aus erreichbar ist. • Link Local-Schnittstelle: Wählen Sie in der Liste die Link Local-Schnittstelle aus (wenn IPv6 verwendet wird).
Administration: Dateiverwaltung Firmware/Sprache aktualisieren/sichern 4 SSH-Clientauthentifizierung: Für die Clientauthentifizierung gibt es folgende Möglichkeiten: • Systemanmeldeinformationen für SSH-Client verwenden: Legt permanente SSH-Benutzeranmeldeinformationen fest. Klicken Sie auf Systemanmeldeinformationen, um zur Seite „SSHBenutzerauthentifizierung“ zu wechseln, auf der Sie den Benutzer und das Kennwort zur zukünftigen Verwendung festlegen können.
4 Administration: Dateiverwaltung Aktives Image - Global: Bei der IPv6-Adresse handelt es sich um einen globalen UnicastIPv6-Typ, der in anderen Netzwerken sichtbar und von diesen aus erreichbar ist. • Link Local-Schnittstelle: Wählen Sie in der Liste die Link Local-Schnittstelle aus. • IP-Adresse/Name des SCP-Servers: Geben Sie die IP-Adresse oder den Domänennamen des SCP-Servers ein. • (Bei einem Upgrade) Name der Quelldatei: Geben Sie den Namen der Quelldatei ein.
Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern 4 • Versionsnummer des aktiven Image: Zeigt die Firmware-Version des aktiven Image an. • Aktives Image nach Neustart: Zeigt das nach dem Neustart aktive Image an. • Versionsnummer des aktiven Image nach Neustart: Zeigt die Firmwareversion des aktiven Image nach dem Neustart an.
4 Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern Abwärtskompatibilität der Konfigurationsdatei Wenn Sie Konfigurationsdateien von einem externen Gerät auf dem Gerät wiederherstellen, können folgende Kompatibilitätsprobleme auftreten: • Warteschlangenmodus von 4 in 8 ändern: Warteschlangenkonfigurationen müssen überprüft und angepasst werden, damit die QoS-Ziele mit dem neuen Warteschlangenmodus erreicht werden.
Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern 4 Herunterladen oder Sichern einer Konfigurations- oder Protokolldatei So sichern Sie die Systemkonfigurationsdatei oder stellen diese wieder her: SCHRITT 1 Klicken Sie auf Administration > Dateiverwaltung > Konfiguration/Protokoll herunterladen/sichern. SCHRITT 2 Wählen Sie die Übertragungsmethode aus. SCHRITT 3 Wenn Sie über TFTP ausgewählt haben, geben Sie die Parameter ein. Ansonsten fahren Sie mit Schritt 4 fort.
4 Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern f. Name der Quelldatei: Geben Sie den Namen der Quelldatei ein. Dateinamen dürfen keine Schrägstriche (\ oder /) enthalten, dürfen nicht mit einem Punkt (.) beginnen und müssen 1 bis 160 Zeichen enthalten. (Gültige Zeichen sind: A-Z, a-z, 0-9, „.“, „-“, „_“.) g. Typ der Zieldatei: Geben Sie den Typ der Ziel-Konfigurationsdatei ein. Es werden nur gültige Dateitypen angezeigt.
Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern 4 - Verschlüsselt: Sensible Daten werden in verschlüsselter Form in die Sicherungsdatei aufgenommen. - Unverschlüsselt: Sensible Daten werden in unverschlüsselter Form in die Sicherungsdatei aufgenommen. HINWEIS Die verfügbaren Optionen für sensible Daten werden durch die SSD-Regeln des aktuellen Benutzers bestimmt. Details finden Sie auf der Seite „Sicheres Verwalten sensibler Daten (SSD) > SSD-Regeln“. h.
4 Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern b. Sensible Daten: Wählen Sie aus, wie sensible Daten in die Sicherungsdatei aufgenommen werden sollen. Folgende Optionen stehen zur Verfügung: - Ausschließen: Sensible Daten werden nicht in die Sicherungsdatei aufgenommen. - Verschlüsselt: Sensible Daten werden in verschlüsselter Form in die Sicherungsdatei aufgenommen. - Unverschlüsselt: Sensible Daten werden in unverschlüsselter Form in die Sicherungsdatei aufgenommen.
Administration: Dateiverwaltung Konfiguration/Protokoll herunterladen/sichern 4 • SCP-Serverdefinition: Wählen Sie aus, ob der TFTP-Server anhand der IPAdresse oder des Domänennamens angegeben wird. • IP-Version: Legen Sie fest, ob eine IPv4- oder eine IPv6-Adresse verwendet wird. • IPv6-Adresstyp: Wählen Sie den IPv6-Adresstyp aus (wenn dieser verwendet wird). Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung.
4 Administration: Dateiverwaltung Konfigurationsdateieigenschaften • Sensible Daten: Wählen Sie aus, wie sensible Daten in die Sicherungsdatei aufgenommen werden sollen. Folgende Optionen stehen zur Verfügung: - Ausschließen: Sensible Daten werden nicht in die Sicherungsdatei aufgenommen. - Verschlüsselt: Sensible Daten werden in verschlüsselter Form in die Sicherungsdatei aufgenommen. - Unverschlüsselt: Sensible Daten werden in unverschlüsselter Form in die Sicherungsdatei aufgenommen.
Administration: Dateiverwaltung Konfiguration kopieren/speichern 4 SCHRITT 2 Deaktivieren Sie bei Bedarf die Option Automatische Spiegelkonfiguration. Damit wird die automatische Erstellung von Spiegelkonfigurationsdateien deaktiviert. Wenn Sie diese Funktion deaktivieren, wird die vorhandene Spiegelkonfigurationsdatei gegebenenfalls gelöscht. Eine Beschreibung der Spiegeldateien und Gründe für das Deaktivieren der automatischen Erstellung von Spiegelkonfigurationsdateien finden Sie unter Systemdateien.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP So kopieren Sie einen Konfigurationsdateityp in einen anderen Konfigurationsdateityp: SCHRITT 1 Wählen Sie Administration > Dateiverwaltung > Konfiguration kopieren/ speichern. SCHRITT 2 Wählen Sie unter Name der Quelldatei die zu kopierende Datei aus. Es werden nur gültige Dateitypen angezeigt (siehe Beschreibung im Abschnitt Dateien und Dateitypen).
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP Um diese Funktion nutzen zu können, müssen Sie das Gerät als DHCPv4-Client (unterstützt die automatische Konfiguration über einen DHCPv4-Server) und/oder als DHCPv6-Client (unterstützt die automatische Konfiguration über einen DHCPv6-Server) konfigurieren. Standardmäßig ist das Gerät als DHCP-Client konfiguriert, wenn die Funktion für die automatische Konfiguration über DHCP aktiviert ist.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP DHCP-Server-Optionen DHCP-Meldungen können den Namen/die Adresse des Konfigurationsservers und den Namen/Pfad der Konfigurationsdatei enthalten (diese Angaben sind optional). Diese Optionen befinden sich in den Angebotsmeldungen von DHCPv4-Servern und in den Informationsantworten von DHCPv6-Servern.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP SSH-Clientauthentifizierungsparameter sind erforderlich, damit der Client (d. h. das Gerät) auf den SSH-Server zugreifen kann.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP • Wenn der Konfigurationsdateiname vom DHCP-Server bereitgestellt wurde (DHCPv4: Option 67, DHCPv6: Option 60), wird das Kopierprotokoll (SCP/ TFTP), wie in Downloadprotokoll für die automatische Konfiguration (TFTP oder SCP) beschrieben, ausgewählt.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP Webkonfiguration Auf der Seite „Automatische DHCP-Konfiguration“ können Sie die folgenden Aktionen ausführen, falls die Informationen nicht in einer DHCP-Nachricht bereitgestellt werden: • Aktivieren der Funktion für die automatische DHCP-Konfiguration. • Angeben des Downloadprotokolls. • Konfigurieren des Geräts für den Empfang von Konfigurationsdaten von einer bestimmten Datei auf einem bestimmten Server.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP - Dateierweiterung für SCP: Wenn Automatisch nach Dateierweiterung ausgewählt ist, können Sie hier eine Dateierweiterung angeben. Alle Dateien mit dieser Erweiterung werden über SCP heruntergeladen. Wenn keine Erweiterung eingegeben ist, wird die Standarddateierweiterung .scp verwendet. - Nur TFTP: Wählen Sie diese Option aus, um anzugeben, dass für die automatische Konfiguration nur das TFTP-Protokoll verwendet werden soll.
4 Administration: Dateiverwaltung Automatische Konfiguration über DHCP - Global: Bei der IPv6-Adresse handelt es sich um einen globalen UnicastIPv6-Typ, der in anderen Netzwerken sichtbar und von diesen aus erreichbar ist. • Link Local-Schnittstelle: Wählen Sie in der Liste die Link Local-Schnittstelle aus (wenn IPv6 verwendet wird).
5 Administration: Stack-Verwaltung In diesem Abschnitt wird die Verwaltung von Stacks beschrieben.
Administration: Stack-Verwaltung Übersicht 5 Der Stack basiert auf einem Modell mit einem einzigen Master/Backup und mehreren Slaves. Die folgende Abbildung zeigt acht zu einem Stack verbundene Geräte: Stack-Architektur (Kettentopologie) Ein Stack bietet die folgenden Vorteile: • Die Netzwerkkapazität kann dynamisch erweitert oder verringert werden.
5 Administration: Stack-Verwaltung Einheitstypen im Stack Einheitstypen im Stack Ein Stack besteht aus maximal acht Einheiten. Eine Einheit in einem Stack weist einen der folgenden Typen auf: • Master: Die ID der Mastereinheit muss 1 oder 2 entsprechen. Der Stack wird über die Mastereinheit verwaltet, die sich selbst, die Backup-Einheit und die Slave-Einheiten verwaltet. • Backup: Wenn die Mastereinheit ausfällt, übernimmt die Backup-Einheit deren Funktion (Switchover).
Administration: Stack-Verwaltung Stack-Topologie 5 Einheiten-LEDs Das Gerät verfügt über vier Kontrollleuchten (LEDs), als 1, 2, 3 und 4 gekennzeichnet, die die IDs der einzelnen Einheiten anzeigen (z. B. für EinheitsID=1 leuchtet nur LED 1, alle anderen LEDs sind aus). Zur Unterstützung von Einheits-IDs größer 4, wird die Anzeige entsprechend der Definition unten geändert: • Einheiten 1 bis 4: die jeweilige LED (1-4) leuchtet. • Einheit 5: LED 1 und 4 leuchten. • Einheit 6: LED 2 und 4 leuchten.
5 Administration: Stack-Verwaltung Stack-Topologie Stack in Ringtopologie Eine Ringtopologie ist zuverlässiger als eine Kettentopologie. Der Ausfall einer Verbindung in einem Ring beeinträchtigt die Funktionsfähigkeit des Stacks nicht, wohingegen der Ausfall einer Verbindung in einer Kette dazu führt, dass der Stack unterbrochen wird. Topologieerkennung Ein Stack wird durch einen Prozess eingerichtet, der als Topologieerkennung bezeichnet wird. Der Prozess wird durch eine Änderung des Status (aktiv bzw.
Administration: Stack-Verwaltung Zuordnung von Einheits-IDs 5 Zuordnung von Einheits-IDs Nach Abschluss der Topologieerkennung wird jeder Einheit im Stack eine eindeutige Einheits-ID zugeordnet. Die Einheits-ID können Sie auf der Seite „Systemmodus und Stack-Verwaltung“ folgendermaßen festlegen: • Automatisch (Autom.): Die Einheits-ID wird durch den Topologieerkennungsprozess zugeordnet. Dies ist die Standardeinstellung. • Manuell: Die Einheits-ID wird manuell auf eine Ganzzahl von 1-8 eingestellt.
5 Administration: Stack-Verwaltung Zuordnung von Einheits-IDs Herunterfahren der doppelten Einheit Die folgende Abbildung zeigt einen Fall, in dem eine der (automatisch nummerierten) doppelten Einheiten neu nummeriert wird.
Administration: Stack-Verwaltung Masterauswahlprozess 5 Die folgende Abbildung zeigt einen Fall, in dem eine der doppelten Einheiten neu nummeriert wird. Die Einheit mit der niedrigeren MAC behält ihre Einheits-ID (eine Beschreibung dieses Prozesses finden Sie unter Masterauswahlprozess). Doppelte Einheits-IDs bei zwei Einheiten mit automatisch nummerierter Einheits-ID HINWEIS Wenn ein neuer Stack die maximale Anzahl an Einheiten (8) übersteigt, werden alle überzähligen Einheiten heruntergefahren.
5 Administration: Stack-Verwaltung Stack-Änderungen • Einheits-ID: Wenn beide Einheiten gleich viele Zeitabschnitte aufweisen, wird die Einheit mit der niedrigeren Einheits-ID ausgewählt. • MAC-Adresse: Wenn beide Einheits-IDs identisch sind, wird die Einheit mit der niedrigeren MAC-Adresse ausgewählt. HINWEIS Ein Stack ist nur funktionsfähig, wenn eine Mastereinheit vorhanden ist. Eine Mastereinheit ist definiert als die aktive Einheit, die die Masterrolle übernimmt.
Administration: Stack-Verwaltung Stack-Änderungen - 5 Einheiten mit Werkseinstellungen erhalten automatisch Einheits-IDs, beginnend bei der niedrigsten verfügbaren ID. • Es ist mindestens eine doppelte Einheits-ID vorhanden. Die automatische Nummerierung löst die Konflikte und ordnet Einheits-IDs zu. Bei manueller Nummerierung behält nur eine Einheit ihre Einheits-ID und die anderen werden heruntergefahren. • Die Anzahl der Einheiten im Stack überschreitet die zulässige Anzahl.
5 Administration: Stack-Verwaltung Fehler bei einer Einheit im Stack Automatisch nummerierte Einheit Die folgende Abbildung zeigt, was geschieht, wenn eine als Master aktivierte Einheit mit der vom Benutzer zugeordneten Einheits-ID 1 einem Stack hinzugefügt wird, der bereits eine Mastereinheit mit der vom Benutzer zugeordneten EinheitsID 1 hat. Die neuere Einheit 1 wird nicht dem Stack hinzugefügt und wird heruntergefahren.
Administration: Stack-Verwaltung Fehler bei einer Einheit im Stack 5 Damit die Backup-Einheit an die Stelle des Masters treten kann, bleiben beide Einheiten durchgehend im Modus „Warm Standby“. Im Modus „Warm Standby“ werden der Master und die Backup-Einheiten mit der (in der Startkonfigurationsdatei sowie in der aktuellen Konfigurationsdatei enthaltenen) statischen Konfiguration synchronisiert. Backup-Konfigurationsdateien werden nicht synchronisiert.
5 Administration: Stack-Verwaltung Automatische Softwaresynchronisierung im Stack Wenn die Backup-Einheit vollständig in den Masterstatus übergegangen ist, initialisiert sie die Slave-Einheiten einzeln, indem sie folgende Vorgänge ausführt: • Sie löscht die Konfiguration der Slave-Einheit und setzt sie auf die Standardeinstellungen zurück (um eine falsche Konfiguration über die neue Mastereinheit zu verhindern). Daher wird kein Verkehr an die Slave-Einheit weitergeleitet.
Administration: Stack-Verwaltung Stack-Einheitenmodus 5 Stack-Einheitenmodus Der Stack-Einheitenmodus eines Geräts zeigt an, ob es Teil eines Stacks sein kann oder ob es eigenständig betrieben wird. Die Geräte können in einem der folgenden Stack-Einheitenmodi betrieben werden: • Standalone: Ein Gerät im Stack-Einheitenmodus „Standalone“ ist mit keinem anderen Gerät verbunden und besitzt keinen Stack-Port.
5 Administration: Stack-Verwaltung Stack-Einheitenmodus Optionen für die Stack-Konfiguration Nachfolgend werden einige typische Stack-Konfigurationen beschrieben: 75 Mögliche Stack-Konfiguration Mögliche RIP-/ VRRPUnterstützung Geschwindigkeit von Stack-Ports Der Stack besteht komplett aus SG500Xs-Einheiten im Modus „Natives Stacking“. Aktiviert/ Deaktiviert 1 GBit/10 GBit oder 1 GBit/5 GBit Der Stack besteht komplett aus ESW2-550Xs-Einheiten im Modus „Natives Stacking“.
5 Administration: Stack-Verwaltung Stack-Einheitenmodus Mögliche Stack-Konfiguration Mögliche RIP-/ VRRPUnterstützung Geschwindigkeit von Stack-Ports Der Stack besteht aus Geräten verschiedener Typen im Modus „Erweitertes Hybrid“. Aktiviert/ Deaktiviert 1 GBit/5 GBit Aktiviert/ Deaktiviert 1G oder 10G • Master: SG500X • Backup: SG500X • Slaves: Jeder Gerätetyp Der Stack besteht aus Geräten verschiedener Typen im Modus „Erweitertes Hybrid XG“.
5 Administration: Stack-Verwaltung Stack-Einheitenmodus Ändern des Stack-Einheitenmodus Sie können den Stack-Einheitenmodus eines Geräts ändern, um es aus einem Stack zu entfernen (Stack-Einheitenmodus in Standalone ändern) oder um es als Teil eines Stacks zu konfigurieren (Stack-Einheitenmodus in Natives Stacking, Basis-Hybrid oder Erweitertes Hybrid ändern).
Administration: Stack-Verwaltung Stack-Ports • • 5 - Basis-Hybrid in erweitertes Hybrid: Wird nur beibehalten, wenn die Einheit als Master mit einer Einheits-ID = 1 erzwungen wird. - Basis-Hybrid in erweitertes Hybrid XG: Wird nur beibehalten, wenn die Einheit als Master mit einer Einheits-ID = 1 erzwungen wird. SG500XG: - Standalone in Natives Stacking: Wird nur beibehalten, wenn die Einheit als Mastereinheit mit einer Einheits-ID = 1 erzwungen wird.
5 Administration: Stack-Verwaltung Stack-Ports Standardports für Stacks und Netzwerk Nachfolgend finden Sie die Standardports für Stacks und Netzwerk: • Sx500-Geräte: Wenn ein Sx500-Gerät im Modus „Natives Stacking“ betrieben wird, fungieren S1, S2 und 1G als normale Netzwerkports und S3, S4 und 5G standardmäßig als Stack-Ports. • SG500X/ESW2-550X-Geräte: S1, S2 und 10G sind standardmäßig StackPorts. Sie können S1/S2/10G manuell und S1/S2/5G als Netzwerkports oder Stack-Ports umkonfigurieren.
5 Administration: Stack-Verwaltung Stack-Ports Gerätetyp/ Portpaar Stacking Standalone SG500X/ESW2550X • Modus „Natives Stacking“: 5Gbit/ s- oder 10Gbit/s-Slot verfügbar S1-S2 5Gbit/sStack • Hybrid-Modi: Nur als 5Gbit/s-Slot verfügbar • Modus „Natives Stacking“: 1-Gbit/ s- oder 10-Gbit/s-Ports verfügbar. • Hybrid-Modi: 1-Gbit/s- oder 10Gbit/s-Ports verfügbar. Nur als 10Gbit/ s-Slot verfügbar S1-S2 10Gbit/sStack SG500XG XG1-/XG16Ports. Hierbei handelt es sich um 10-Gbit/sSlots.
5 Administration: Stack-Verwaltung Stack-Ports Automatische Auswahl der Port-Geschwindigkeit Wenn das Kabel an den Port angeschlossen ist, können Sie festlegen, dass der Stacking-Kabeltyp automatisch erkannt wird (die autom. Erkennung ist die Standardeinstellung). Das System ermittelt den Stack-Kabeltyp automatisch und wählt die höchste von Kabel und Port unterstützte Geschwindigkeit.
5 Administration: Stack-Verwaltung Stack-Ports Nachfolgend werden die möglichen Kombinationen von Kabeltypen und Ports beschrieben.
5 Administration: Stack-Verwaltung Stack-Ports Stack-Ports Netzwerkports Anschlusstyp S1, S2 oder 5G für SG500X/ ESW2-550X und S3, S4 für Sx500 S1, S2 beim Sx500 S1, S2 - XG beim SG500X/ ESW2-550X S1, S2 - 5G S1, S2 beim für Sx500 SG500X und S3, S4 für Sx500 S1, S2 - XG beim SG500X 100-MBit/s-SFPModul MFEBX1 Nicht unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt 100 MBit/s Nicht unterstützt Sonstige SFPs 1G Gemäß: Gemäß: 1G Gemäß: Gemäß: Vom Benutzer erzwungene Gesch
5 Administration: Stack-Verwaltung Standardkonfiguration Standardkonfiguration Im Folgenden werden die Gerätestandardeinstellungen in den diversen StackingModi dargestellt: Gerätetyp Stack-Modus Standard-StackPorts StandardSystemmodus Sx500 Nativer Stack S3-S4 5Gbit/sStack Schicht 2 Basis-Hybrid S3-S4 5Gbit/sStack Schicht 2 Erweitertes Hybrid S3-S4 5Gbit/sStack Schicht 2 Nativer Stack S1-S2 10Gbit/sStack Schicht 2 + Schicht 3 Basis-Hybrid S1-S2 5Gbit/sStack Schicht 2 Erweitertes Hybri
5 Administration: Stack-Verwaltung Systemmodi Systemmodi Auf der Seite „Systemmodus und Stack-Verwaltung“ können Sie Folgendes tun: • den Stack-Modus eines Geräts in „Standalone“ ändern • den Stack-Modus eines Geräts in einen der Stacking-Modi ändern sowie die Einheits-ID, die Stack-Ports und die Geschwindigkeit des Stack-Ports für alle Geräte eines Stacks ändern • Ändern des Systemmodus (Schicht 2/3) eines eigenständigen Geräts oder des Stacks.
Administration: Stack-Verwaltung Systemmodi • 5 Stacking-Modus: Der Stacking-Modus wurde um Hybrid-Stacking-Modi erweitert. Upgrades von älteren Softwareversionen stellen kein Problem dar, da das Gerät mit einem vorhandenen Stacking-Modus (Natives Stacking) gestartet wird.
5 Administration: Stack-Verwaltung Systemmodi • Masterwahlstatus: Zeigt an, wie die Stack-Mastereinheit ausgewählt wurde. Weitere Informationen hierzu finden Sie unter Masterauswahlprozess. SCHRITT 2 Wählen Sie entweder den Schicht-2- oder den Schicht-3-Modus aus, um den Systemmodus nach dem Neustart zu konfigurieren. SCHRITT 3 Um den Warteschlangenmodus nach dem Neustart zu konfigurieren, legen Sie fest, ob es auf dem Gerät vier oder acht QoS-Warteschlangen geben soll.
6 Administration In diesem Abschnitt wird beschrieben, wie Sie Systeminformationen anzeigen und die verschiedenen Optionen für das Gerät konfigurieren.
6 Administration Gerätemodelle Gerätemodelle Sie können mit dem webbasierten Switch-Konfigurationsdienstprogramm alle Modelle verwalten. HINWEIS Den Schicht-3-Systemmodus können Sie auf der Seite „Systemmodus und Stack- Verwaltung“ für die einzelnen Modelle festlegen. Wenn das Gerät im Schicht-3-Systemmodus betrieben wird, sind die VLANRatenbegrenzung und die QoS-Überwachungsvorrichtungen deaktiviert. Die anderen Funktionen des erweiterten QoS-Modus werden weiterhin verwendet.
6 Administration Gerätemodelle Modellname Produkt-ID (PID) Beschreibung der Ports am Gerät Leistung für PoE Zahl der Ports mit PoEUnterstützung SG500-28P SG500-28P-K9 PoE Stackable Managed Switch mit 28 Gigabit-Ports 180 W 24 SG500-52 SG500-52-K9 Stackable Managed Switch mit 52 Gigabit-Ports n/v n/v SG500-52MP SG500-52MP-K9 Gigabit-Max-PoE-Managed Switch mit 52 Ports 740 W 48 SG500-52P SG500-52P-K9 PoE Stackable Managed Switch mit 52 Gigabit-Ports 375 W 48 SG500X-24 SG500X-24-K9
6 Administration Systemeinstellungen Systemeinstellungen Die Seite „Systemübersicht“ bietet eine grafische Übersicht über das Gerät und zeigt den Gerätestatus, Hardwareinformationen, Informationen zur Firmwareversion, den allgemeinen PoE-Status und weitere Informationen an. Anzeigen der Systemübersicht Zum Anzeigen von Systeminformationen klicken Sie auf Status und Statistik > Systemübersicht. Auf der Seite „Systemübersicht“ werden System- und Hardware-Informationen angezeigt.
6 Administration Systemeinstellungen • Hostname: Name des Geräts. Klicken Sie auf Bearbeiten, um die Seite „Systemeinstellungen“ aufzurufen und diesen Wert einzugeben. Standardmäßig setzt sich der Hostname des Geräts aus dem Wort switch und den drei am wenigsten signifikanten Bytes der MAC-Adresse des Geräts (die sechs Hexadezimalstellen ganz rechts) zusammen. • Systemobjekt-ID: Eindeutige Anbieter-ID des Netzwerk-ManagementUntersystems der Entität (wird bei SNMP verwendet).
6 Administration Systemeinstellungen • Gebietsschema: Gebietsschema der ersten Sprache. (Immer Englisch.) • Sprachversion: Sprachpaketversion der ersten Sprache (Englisch). • Sprach-MD5-Prüfsumme: MD5-Prüfsumme der Sprachdatei. Status der TCP/UDP-Services: • HTTP-Service: Zeigt an, ob HTTP aktiviert oder deaktiviert ist. • HTTPS-Service: Zeigt an, ob HTTPS aktiviert oder deaktiviert ist. • SNMP-Service: Zeigt an, ob SNMP aktiviert oder deaktiviert ist.
6 Administration Systemeinstellungen Systemeinstellungen So geben Sie Systemeinstellungen ein: SCHRITT 1 Wählen Sie Administration > Systemeinstellungen. SCHRITT 2 Zeigen Sie die Systemeinstellungen an oder ändern Sie sie. • Systembeschreibung: Zeigt eine Beschreibung des Geräts an. • Systemstandort: Geben Sie den Ort ein, an dem sich das Gerät physisch befindet. • Systemkontakt: Geben Sie den Namen einer Kontaktperson ein. • Hostname: Wählen Sie den Hostnamen dieses Geräts aus.
6 Administration Konsoleneinstellungen (Unterstützung für automatische Baudrate) Konsoleneinstellungen (Unterstützung für automatische Baudrate) Für die Geschwindigkeit des Konsolen-Ports kann einer der folgenden Werte festgelegt werden: „4800“, „9600“, „19200“, „38400“, „57600“ und „115200“ oder „Automatische Erkennung“. Bei der automatischen Erkennung kann das Gerät die Konsolengeschwindigkeit automatisch erkennen, sodass Sie sie nicht explizit festlegen müssen.
Administration Systemmodus und Stack-Verwaltung 6 Systemmodus und Stack-Verwaltung Weitere Informationen hierzu finden Sie unter Administration: Stack-Verwaltung. Benutzerkonten Weitere Informationen hierzu finden Sie unter Definieren von Benutzern.
6 Administration Zeiteinstellungen Zeiteinstellungen Weitere Informationen hierzu finden Sie unter Administration: Zeiteinstellungen. Systemprotokoll Weitere Informationen hierzu finden Sie unter Administration: Systemprotokoll. Dateiverwaltung Weitere Informationen hierzu finden Sie unter Administration: Dateiverwaltung. Neustarten des Geräts Manche Änderungen der Konfiguration, beispielsweise das Aktivieren der JumboFrame-Unterstützung, werden erst nach einem Neustart des Systems wirksam.
6 Administration Neustarten des Geräts • Das erneute Laden des Geräts führt zu einem Verlust der Netzwerkverbindung. Mit dem verzögerten Neustart können Sie den Neustart für einen Zeitpunkt planen, der für die Benutzer besser geeignet ist, beispielsweise in der Nacht. So starten Sie das Gerät neu: SCHRITT 1 Wählen Sie Administration > Neustart. SCHRITT 2 Klicken Sie auf die Schaltfläche Neustart, um das Gerät neu zu starten. • Neustart: Startet das Gerät neu.
6 Administration Routing-Ressourcen • Startkonfigurationsdatei löschen: Aktivieren Sie diese Option, um die Startkonfiguration im Gerät beim nächsten Start zu löschen. HINWEIS Wenn sich das Gerät im Modus „Natives Stacking“ befindet, werden mit dieser Schaltfläche die Werkseinstellungen im gesamten Stack wiederhergestellt. HINWEIS Das Löschen der Startkonfigurationsdatei und Neustarten ist nicht mit dem Neustarten mit Werkseinstellungen identisch.
6 Administration Routing-Ressourcen Wenn auf dem Gerät IPv6-Routing aktiviert ist, finden Sie die Anzahl der TCAMEinträge, die von den verschiedenen Funktionen verwendet werden, in der nachfolgenden Tabelle: Logische Entität IPv4 IPv6 (PCL TCAM) IPv6 (Router TCAM) IP-Nachbar 1 Eintrag 1 Eintrag 4 Einträge IP-Adresse auf einer Schnittstelle 2 Einträge 2 Einträge 8 Einträge IP-Remote-Route 1 Eintrag 1 Eintrag 4 Einträge 1 Eintrag 4 Einträge On-Link-Präfix Auf der Seite „Router-Ressourcen“
6 Administration Routing-Ressourcen • Total: Zeigt die Anzahl der aktuell verwendeten TCAM-Einträge an. • Max. Einträge: Wählen Sie eine der folgenden Optionen: - Standard verwenden: Für das Sx500 entspricht die Anzahl der TCAMEinträge 25 % der TCAM-Größe. Für das SG500X/SG500XG entspricht die Anzahl der Router-TCAM-Einträge 50% der Router-TCAM-Größe. - Benutzerdefiniert: Geben Sie einen Wert ein.
6 Administration Zustand SCHRITT 3 Speichern Sie die neuen Einstellungen, indem Sie auf Übernehmen klicken. Daraufhin wird die Gültigkeit der TCAM-Zuweisung überprüft. Wenn sie ungültig ist, wird eine Fehlermeldung angezeigt. Wenn die Zuweisung richtig ist, wird sie in die aktuelle Konfigurationsdatei kopiert und ein Neustart wird durchgeführt. Zustand Auf der Zustandsseite wird der Lüfterstatus aller Geräte mit Lüftern angezeigt. Je nach Modell kann ein Gerät über einen oder mehrere Lüfter verfügen.
6 Administration Zustand Ereignis Aktion Abkühlphase im Anschluss an den kritischen Schwellenwert wurde überschritten (alle Sensoren liegen unter dem Warnschwellenwert - 2 °C). Nachdem alle Sensoren auf den Warnschwellenwert - 2 °C herabgekühlt sind, wird die PHY wieder aktiviert und alle Ports wieder hochgefahren. Wenn der Lüfterstatus OK ist, werden die Ports aktiviert. (Geräte, die PoE unterstützen) Der PoE-Stromkreis wird wieder aktiviert.
6 Administration Diagnose Diagnose Weitere Informationen hierzu finden Sie unter Administration: Diagnose. Erkennung – Bonjour Weitere Informationen hierzu finden Sie unter Bonjour. Erkennung – LLDP Weitere Informationen hierzu finden Sie unter Konfigurieren von LLDP. Erkennung – CDP Weitere Informationen hierzu finden Sie unter Konfigurieren von CDP.
6 Administration Ping So verwenden Sie Ping für einen Host: SCHRITT 1 Klicken Sie auf Administration > Ping. SCHRITT 2 Konfigurieren Sie Ping, indem Sie Werte in die folgenden Felder eingeben: • Hostdefinition: Wählen Sie aus, ob die Quellschnittstelle anhand ihrer IPAdresse oder ihres Namens angegeben wird. Dieses Feld wirkt sich auf die Schnittstellen aus, die im Feld „Quell-IP“ angezeigt werden. Siehe unten.
6 Administration Traceroute • Ping-Intervall: Gibt an, wie lange das System zwischen den Ping-Paketen wartet. Ping wird so oft wiederholt, wie im Feld „Anzahl der Pings“ konfiguriert. Dabei spielt es keine Rolle, ob der Ping erfolgreich war. Wählen Sie aus, ob Sie das Standardintervall verwenden möchten, oder geben Sie einen eigenen Wert an. • Anzahl der Pings: Gibt an, wie oft der Ping-Vorgang ausgeführt wird.
6 Administration Traceroute HINWEIS Wenn Sie die Option „Autom.“ ausgewählt haben, verarbeitet das System die Quelladresse auf der Basis der Zieladresse. • Typ der Ziel-IPv6-Adresse: Wählen Sie „Link-Local“ oder „Global“ als einzugebenden IPv6-Adresstyp aus. - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung. Link Local-Adressen besitzen das Präfix FE80, können nicht weitergeleitet und nur für die Kommunikation im lokalen Netzwerk verwendet werden.
7 Administration: Zeiteinstellungen Synchronisierte Systemuhren bilden einen gemeinsamen Referenzrahmen für alle Geräte im Netzwerk. Die Synchronisierung der Netzwerkzeit ist sehr wichtig, da alle Vorgänge zur Verwaltung, Sicherung, Planung und Fehlerbehebung in einem Netzwerk auf den zeitlichen Ablauf von Ereignissen ausgerichtet sind.
7 Administration: Zeiteinstellungen Optionen für die Systemzeit Optionen für die Systemzeit Die Systemzeit kann manuell durch den Benutzer oder dynamisch über einen SNTP-Server festgelegt werden oder über den PC synchronisiert werden, auf dem die grafische Benutzeroberfläche ausgeführt wird. Falls ein SNTP-Server verwendet wird, werden die manuellen Zeiteinstellungen überschrieben, wenn die Kommunikation mit dem Server hergestellt wird.
Administration: Zeiteinstellungen SNTP-Modi 7 Wenn die Uhrzeit mit einer der drei oben genannten Quellen festgelegt wurde, wird sie nicht erneut vom Browser festgelegt. HINWEIS SNTP ist die empfohlene Methode für die Uhrzeiteinstellung.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit • Client-Broadcast-Übertragung (aktiver Modus): Das Gerät fordert als SNTP-Client in regelmäßigen Abständen SNTP-Zeitaktualisierungen an. In diesem Modus wird eine der folgenden Methoden verwendet: - SNTP-Anycast-Client-Modus: Das Gerät überträgt Zeitanforderungspakete an alle SNTP-Server im Subnetz und wartet auf eine Antwort.
Administration: Zeiteinstellungen Konfigurieren der Systemzeit 7 SCHRITT 2 Geben Sie diese Parameter ein: Einstellungen für Quelle der Uhr: Wählen Sie die Quelle für das Einstellen der Systemuhr aus. • Hauptuhrzeitquelle (SNTP-Server): Wenn Sie diese Option aktivieren, wird die Systemzeit von einem SNTP-Server bezogen. Um diese Funktion zu verwenden, müssen Sie außerdem auf der Seite „SNTPSchnittstelleneinstellungen“ eine Verbindung mit einem SNTP-Server konfigurieren.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit • Zeitzonendifferenz: Wählen Sie die Differenz zwischen GMT (Greenwich Mean Time) und der lokalen Uhrzeit in Stunden aus. Die Zeitzonendifferenz für Paris beträgt beispielsweise GMT +1 und die für New York GMT –5. • Zeitzonenakronym: Geben Sie einen benutzerdefinierten Namen für die von Ihnen konfigurierte Zeitzone ein. Dieses Akronym wird im Feld Aktuelle Zeit angezeigt.
Administration: Zeiteinstellungen Konfigurieren der Systemzeit • 7 Bis: Datum, an dem die Sommerzeit jedes Jahr endet. Wenn die Sommerzeit lokal beispielsweise immer am vierten Freitag im Oktober um 5:00 Uhr endet, lauten die Parameter wie folgt: - Tag: Wochentag, an dem die Sommerzeit jedes Jahr endet. - Woche: Woche innerhalb des Monats, in der die Sommerzeit jedes Jahr endet. - Monat: Monat des Jahres, in dem die Sommerzeit jedes Jahr endet.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit HINWEIS Wenn Sie die Option „Auto“ auswählen, übernimmt das System die Quell-IP-Adresse aus der IP-Adresse, die auf der ausgehenden Schnittstelle definiert wurde. Auf dieser Seite werden folgende Informationen für die einzelnen Unicast-SNTPServer angezeigt: • SNTP-Server: IP-Adresse des SNTP-Servers. Der Server oder Hostname mit der geringsten Entfernung wird ausgewählt.
Administration: Zeiteinstellungen Konfigurieren der Systemzeit 7 SCHRITT 3 Zum Hinzufügen eines Unicast-SNTP-Servers aktivieren Sie die Option SNTP- Unicast-Client. SCHRITT 4 Klicken Sie auf Hinzufügen. SCHRITT 5 Geben Sie die folgenden Parameter ein: • Serverdefinition: Wählen Sie aus, ob der SNTP-Server über seine IPAdresse identifiziert werden soll oder ob Sie den Namen eines bekannten SNTP-Servers aus der Liste auswählen möchten.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit primärer Server betrachtet. Der Server mit dem nächstniedrigeren StratumWert gilt als sekundärer Server und so weiter. Wenn der primäre Server nicht verfügbar ist, befragt das Gerät alle Server, für die das Polling aktiviert ist, und wählt einen neuen Primärserver mit niedrigstem Stratum-Wert aus. • Authentifizierung: Aktivieren Sie das Kontrollkästchen, um die Authentifizierung zu aktivieren.
Administration: Zeiteinstellungen Konfigurieren der Systemzeit 7 SCHRITT 3 Wenn sich das System im Schicht-3-Systemmodus befindet, klicken Sie auf Hinzufügen, um die Schnittstelle für den SNTP-Empfang bzw. die SNTPÜbertragung anzugeben. Wählen Sie eine Schnittstelle aus und wählen Sie die Empfangs- bzw. Übertragungsoptionen aus. SCHRITT 4 Klicken Sie auf Übernehmen, um die Einstellungen in der aktuellen Konfigurationsdatei zu speichern.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit SCHRITT 5 Geben Sie die folgenden Parameter ein: • Authentifizierungsschlüssel-ID: Geben Sie die Nummer ein, mit der dieser SNTP-Authentifizierungsschlüssel intern identifiziert wird. • Authentifizierungsschlüssel: Geben Sie den Schlüssel ein, der für die Authentifizierung verwendet wird (bis zu acht Zeichen). Der SNTP-Server muss diesen Schlüssel zur Synchronisierung an das Gerät senden. • Vertrauensw.
Administration: Zeiteinstellungen Konfigurieren der Systemzeit 7 Alle Zeitangaben werden als Angaben der Zeit in der lokalen Zeitzone interpretiert (Sommerzeit hat hierauf keinen Einfluss). Um sicherzustellen, dass die Einträge für den Zeitbereich zu den gewünschten Zeiten wirksam werden, müssen Sie die Systemzeit festlegen. Die Zeitbereichsfunktion kann für folgende Zwecke verwendet werden: • Beschränkung des Netzwerkzugriffs von Computern beispielsweise auf die Geschäftszeiten.
7 Administration: Zeiteinstellungen Konfigurieren der Systemzeit Wiederkehrender Zeitbereich Sie können einem absoluten Zeitbereich ein wiederkehrendes Element hinzufügen. Dadurch begrenzen Sie den Vorgang auf bestimmte Zeiträume innerhalb des absoluten Bereichs. So fügen Sie einem absoluten Zeitbereich ein wiederkehrendes Zeitbereichselement hinzu: SCHRITT 1 Klicken Sie auf Administration > Zeiteinstellungen > Wiederkehrender Bereich.
8 Administration: Diagnose In diesem Abschnitt wird beschrieben, wie Sie die Port-Spiegelung konfigurieren, Kabeltests durchführen und die Informationen für den Gerätebetrieb anzeigen.
8 Administration: Diagnose Testen von Kupfer-Ports Voraussetzungen für die Ausführung des Kupfer-Port-Tests Führen Sie vor dem Test die folgenden Schritte aus: • (Obligatorisch) Deaktivieren Sie den Modus für kurze Reichweite (siehe Seite„ Portverwaltung > Green Ethernet > Eigenschaften“). • (Optional) Deaktivieren Sie EEE (siehe Seite „Portverwaltung > Green Ethernet > Eigenschaften“). Verwenden Sie für Kabeltests mit VCT ein Datenkabel der Kategorie 5.
Administration: Diagnose Anzeigen des Status des optischen Moduls - Kabel mit Kurzschluss: Im Kabel ist ein Kurzschluss aufgetreten. - Unbekanntes Testergebnis: Es ist ein Fehler aufgetreten. 8 • Abstand zu Fehler: Es wurde der Abstand vom Port zu der Stelle des Kabels ermittelt, an der der Fehler festgestellt wurde. • Operativer Portstatus: Zeigt an, ob der Port aktiv ist.
8 Administration: Diagnose Anzeigen des Status des optischen Moduls • MFEFX1: 100BASE-FX SFP-Transceiver für Multimodus-Leiter, 1310 nm Wellenlänge, Unterstützung bis 2 km. • MFELX1: 100BASE-LX SFP-Transceiver für Einzelmodus-Leiter, 1310 nm Wellenlänge, Unterstützung bis 10 km. Die folgenden GE SFP-Transceiver (1000 Mbps) werden unterstützt: • MGBBX1: 1000BASE-BX-20U SFP-Transceiver für Einzelmodus-Leiter, 1310 nm Wellenlänge, Unterstützung bis 40 km.
Administration: Diagnose Konfigurieren der Port- und VLAN-Spiegelung 8 • Signalverlust: Der lokale SFP meldet einen Signalverlust. Mögliche Werte sind Wahr und Falsch. • Daten bereit: Der SFP ist betriebsbereit. Mögliche Werte sind Wahr und Falsch.
8 Administration: Diagnose Konfigurieren der Port- und VLAN-Spiegelung So aktivieren Sie die Spiegelung: SCHRITT 1 Wählen Sie Administration > Diagnose > Port- und VLAN-Spiegelung. Die folgenden Felder werden angezeigt: • Ziel-Port: Port, an den der Verkehr kopiert wird. Dies ist der Analyse-Port. • Quellschnittstelle: Schnittstelle, Port oder VLAN, von der bzw. dem Verkehr an den Analyse-Port gesendet wird. • Typ: Überwachungstyp: Empfangener Verkehr (Rx), gesendeter Verkehr (Tx) oder beides.
Administration: Diagnose Anzeigen der CPU-Auslastung und Secure Core Technology 8 Anzeigen der CPU-Auslastung und Secure Core Technology In diesem Abschnitt werden Secure Core Technology (SCT) und das Anzeigen der CPU-Auslastung beschrieben. Das Gerät verarbeitet neben dem Datenverkehr für Endbenutzer folgende Arten von Datenverkehr: • Verwaltungsverkehr • Protokollverkehr • Snooping-Verkehr Zu starker Datenverkehr belastet die Prozessorleistung und kann den normalen Gerätebetrieb beeinträchtigen.
9 Administration: Erkennung Dieser Abschnitt enthält Informationen zum Konfigurieren von Discovery. Die folgenden Themen werden behandelt: • Bonjour • LLDP und CDP • Konfigurieren von LLDP • Konfigurieren von CDP Bonjour Als Bonjour-Client führt das Gerät regelmäßig einen Broadcast von Bonjour Discovery-Protokollpaketen an direkt verbundene IP-Subnetze durch und weist damit auf sein Vorhandensein und die von ihm angebotenen Services (beispielsweise HTTP, HTTPS und Telnet) hin.
Administration: Erkennung Bonjour 9 Wenn Bonjour Discovery aktiviert ist, stoppt das Gerät sämtliche ServicetypAnkündigungen und antwortet auf keinerlei Serviceanforderungen von Netzwerkverwaltungsanwendungen. So aktivieren Sie Bonjour global, wenn sich das System im Schicht-2Systemmodus befindet: SCHRITT 1 Klicken Sie auf Administration > Discovery – Bonjour. SCHRITT 2 Wählen Sie Aktivieren aus, um Bonjour Discovery auf dem Gerät global zu aktivieren. SCHRITT 3 Klicken Sie auf Übernehmen.
9 Administration: Erkennung LLDP und CDP So konfigurieren Sie Bonjour, wenn sich das Gerät im Schicht-3-Systemmodus befindet: SCHRITT 1 Klicken Sie auf Administration > Discovery – Bonjour. SCHRITT 2 Wählen Sie die Option Aktivieren aus, um Bonjour Discovery global zu aktivieren. SCHRITT 3 Klicken Sie auf Übernehmen, um die aktuelle Konfigurationsdatei zu aktualisieren. SCHRITT 4 Zum Aktivieren von Bonjour für eine Schnittstelle klicken Sie auf Hinzufügen.
9 Administration: Erkennung LLDP und CDP Standardmäßig werden CDP/LLDP-Pakete verworfen, wenn CDP/LLDP global deaktiviert ist. Sie können das Verwerfen bzw. Fluten von eingehenden CDP- und LLDP-Paketen auf der Seite „CDP-Eigenschaften“ bzw. „LLDP-Eigenschaften“ konfigurieren. • Für Auto-Smartport muss CDP und/oder LLDP aktiviert sein. Mit AutoSmartport wird eine Schnittstelle automatisch basierend auf der von der Schnittstelle empfangenen CDP/LLDP-Ankündigung konfiguriert.
9 Administration: Erkennung Konfigurieren von LLDP Konfigurieren von LLDP In diesem Abschnitt wird beschrieben, wie Sie LLDP konfigurieren.
9 Administration: Erkennung Konfigurieren von LLDP LLDP-Konfigurations-Workflow Im Folgenden finden Sie Beispiele und eine vorgeschlagene Reihenfolge für Aktionen, die Sie mit der LLDP-Funktion ausführen können. Weitere Anleitungen für die LLDPKonfiguration finden Sie im Abschnitt „LLDP/CDP“. Die LLDP-Konfigurationsseiten können Sie über das Menü Administration > Discovery – LLDP aufrufen. 1.
9 Administration: Erkennung Konfigurieren von LLDP • TLV-Bekanntgabeintervall: Geben Sie das Zeitintervall in Sekunden ein, nach dem jeweils Updates von LLDP-Ankündigungen gesendet werden sollen, oder verwenden Sie die Standardeinstellung. • Intervall für SNMP-Benachrichtigungen über Topologieänderungen: Geben Sie den Mindestzeitraum zwischen zwei SNMP-Benachrichtigungen ein.
9 Administration: Erkennung Konfigurieren von LLDP Bearbeiten von LLDP-Porteinstellungen Auf der Seite „Porteinstellungen“ können Sie LLDP- und SNMP-Benachrichtigungen für einzelne Ports aktivieren und die in LLDP-PDUs gesendeten TLVs eingeben. Die LLDP-MED-TLVs, die angekündigt werden sollen, können Sie auf der Seite „LLDP-MED-Porteinstellungen“ auswählen. Ebenso können Sie den TLV für die Verwaltungsadresse des Geräts konfigurieren.
9 Administration: Erkennung Konfigurieren von LLDP • Verfügbare optionale TLVs: Wählen Sie die Informationen, die vom Gerät veröffentlicht werden sollen, indem Sie das TLV in die Liste Ausgewählte optionale TLVs verschieben. Die verfügbaren TLVs enthalten die folgenden Informationen: - Portbeschreibung: Informationen zum Port, einschließlich Hersteller, Produktname und Hardware- bzw. Software-Version. - Systemname: Name, der dem System zugewiesen ist (in alphanumerischem Format).
9 Administration: Erkennung Konfigurieren von LLDP • - Ohne: Die IP-Verwaltungsadresse wird nicht angekündigt. - Manuelle Ankündigung: Wählen Sie diese Option und die anzukündigende IP-Verwaltungsadresse. Es wird empfohlen, diese Option auszuwählen, wenn sich das Gerät im Schicht-3-Systemmodus befindet und mit mehreren IP-Adressen konfiguriert ist (dies ist bei SG500X/ESW2-550X-Geräten immer der Fall).
9 Administration: Erkennung Konfigurieren von LLDP Medienendpunktgerät eingeschlossen werden. Das Medienendpunktgerät muss seinen Verkehr gemäß den Vorgaben in der empfangenen Richtlinie senden. Beispielsweise kann eine Richtlinie für VoIP-Verkehr erstellt werden, die folgende Anweisungen für VoIP-Telefone enthält: • Sprachdaten über VLAN 10 als Paket mit Tag und mit 802.1p-Priorität 5 senden. • Sprachverkehr mit DSCP 46 senden.
9 Administration: Erkennung Konfigurieren von LLDP • VLAN-ID: Geben Sie die ID des VLANs ein, an das der Datenverkehr gesendet werden soll. • VLAN-Tag: Wählen Sie aus, ob der Datenverkehr mit oder ohne Tag erfolgen soll. • Benutzerpriorität: Wählen Sie die Priorität, die von dieser Netzwerkrichtlinie auf den Datenverkehr angewendet werden soll. Dies ist der CoS-Wert. • DSCP-Wert: Wählen Sie den DSCP-Wert, der mit den von Nachbarn gesendeten Anwendungsdaten verknüpft werden soll.
9 Administration: Erkennung Konfigurieren von LLDP So konfigurieren Sie LLDP-MED auf den einzelnen Ports: SCHRITT 1 Klicken Sie auf Administration > Discovery – LLDP > LLDP-MED- Porteinstellungen. Diese Seite enthält die LLDP-MED-Einstellungen für alle Ports, einschließlich der aktivierten TLVs. SCHRITT 2 Aus der Meldung oben auf der Seite geht hervor, ob die LLDP MED- Netzwerkrichtlinie für die Sprachanwendung automatisch generiert wird (siehe LLDP (Übersicht)).
9 Administration: Erkennung Konfigurieren von LLDP - Standort-Hausadresse: Geben Sie die Hausadresse ein, die von LLDP veröffentlicht werden soll. - Standort (ECS) ELIN: Geben Sie den Standort des Emergency Call Service (ECS) ELIN ein, der von LLDP veröffentlicht werden soll. SCHRITT 5 Klicken Sie auf Übernehmen. Die LLDP MED-Porteinstellungen werden in die aktuelle Konfigurationsdatei geschrieben.
9 Administration: Erkennung Konfigurieren von LLDP Tabelle für LLDP-Portstatus • Schnittstelle: Kennung des Ports. • LLDP-Status: Die LLDP-Veröffentlichungsoption. • LLDP-MED-Status: Aktiviert oder deaktiviert. • PoE, lokal: Angekündigte PoE-Informationen, lokal. • Remote-PoE: Die vom Nachbarn angekündigten PoE-Informationen. • Anzahl Nachbarn: Anzahl der erkannten Nachbarn. • Nachbarfunktionen des 1. Geräts: Zeigt die aktivierten primären Gerätefunktionen des Nachbarn an, z. B.
9 Administration: Erkennung Konfigurieren von LLDP • Unterstützte Systemfunktionen: Die primären Funktionen des Geräts, wie z. B. Bridge, WLAN-AP oder Router. • Aktivierte Systemfunktionen: Die aktivierte(n) primäre(n) Funktion(en) des Geräts. • Port-ID-Subtyp: Art der Port-Kennung, die angezeigt wird. • Port-ID: Kennung des Ports. • Portbeschreibung: Informationen zum Port, einschließlich Hersteller, Produktname und Hardware- bzw. Software-Version.
9 Administration: Erkennung Konfigurieren von LLDP 802.3-Details • Maximale 802.3-Frame-Größe: Die maximal unterstützte IEEE-802.3Frame-Größe. 802.3-Link-Aggregation • Aggregationsfähigkeit: Angabe, ob die Schnittstelle aggregiert werden kann. • Aggregationsstatus: Angabe, ob die Schnittstelle aggregiert ist. • Aggregations-Port-ID: Angekündigte ID der aggregierten Schnittstelle. 802.
9 Administration: Erkennung Konfigurieren von LLDP • PoE-Gerätetyp: PoE-Typ des Ports, zum Beispiel „powered“. • PoE-Stromquelle: Stromquelle des Ports. • PoE-Strompriorität: Strompriorität des Ports. • PoE-Stromwert: Stromwert des Ports. • Hardware-Version: Versionsnummer der Hardware. • Firmware-Version: Versionsnummer der Firmware. • Software-Version: Versionsnummer der Software. • Seriennummer: Seriennummer des Geräts. • Herstellername: Name des Herstellers des Geräts.
9 Administration: Erkennung Konfigurieren von LLDP Anzeigen von LLDP-Nachbarinformationen Die Seite „LLDP-Nachbarinformationen“ enthält Informationen, die von Nachbargeräten empfangen wurden. Nach einem Timeout (auf der Grundlage des Werts, der vom Nachbar-Time-toLive-TLV empfangen wurde, während dessen keine LLDP-PDU von einem Nachbarn empfangen wurde), werden die Informationen gelöscht.
9 Administration: Erkennung Konfigurieren von LLDP • Port-ID-Subtyp: Art der Port-Kennung, die angezeigt wird. • Port-ID: Kennung des Ports. • Portbeschreibung: Informationen zum Port, einschließlich Hersteller, Produktname und Hardware- bzw. Software-Version. • Systemname: Veröffentlichter Name des Systems. • Systembeschreibung: Beschreibung der Netzwerk-Entität (in alphanumerischem Format).
9 Administration: Erkennung Konfigurieren von LLDP • Betriebs-MAU-Typ: Art der Medium Attachment Unit (MAU). Die MAU führt physische Schichtfunktionen aus, einschließlich der Konvertierung digitaler Daten von der Ethernet-Schnittstellenkollisionserkennung und der BitInjektion in das Netzwerk, z. B. 100BASE-TX-Vollduplexmodus. 802.3 Power via MDI • Port-Klasse für MDI Power-Unterstützung: Angekündigte Port-Klasse für Power-Unterstützung.
9 Administration: Erkennung Konfigurieren von LLDP • Lokal-Rx-Echo: Gibt den vom lokalen Link-Partner wiedergegebenen RxWert des Remote-Link-Partners an. MED-Details • Unterstützte Funktionen: Für den Port aktivierte MED-Funktionen. • Aktuelle Funktionen: Vom Port angekündigte, aktivierte MED-TLVs. • Geräteklasse: LLDP-MED-Endpunktgeräteklasse. Die möglichen Geräteklassen sind: - Endpunktklasse 1: Eine allgemeine Endpunktklasse, die grundlegende LLDP-Services bietet.
9 Administration: Erkennung Konfigurieren von LLDP PPVID-Tabelle • VID: Protokoll-VLAN-ID. • Unterstützt: Unterstützte Port- und Protokoll-VLAN-IDs. • Aktiviert: Aktivierte Port- und Protokoll-VLAN-IDs. VLAN-IDs • VID: Port- und Protokoll-VLAN-ID. • VLAN-Namen: Angekündigte VLAN-Namen. Protokoll-IDs • Protokoll-ID-Tabelle: Angekündigte Protokoll-IDs. Standortinformationen Geben Sie die folgenden Datenstrukturen in Hexadezimalzeichen ein, wie in Abschnitt 10.2.
9 Administration: Erkennung Konfigurieren von LLDP Zugriff auf die LLDP-Statistik Auf der Seite „LLDP-Statistik“ werden LLDP-Statistikinformationen für die einzelnen Ports angezeigt. So können Sie die LLDP-Statistik anzeigen: SCHRITT 1 Klicken Sie auf Administration > Discovery – LLDP > LLDP-Statistik. Für die einzelnen Ports werden folgende Felder angezeigt: • Schnittstelle: Kennung der Schnittstelle. • Gesamte Tx-Frames: Anzahl der übertragenen Frames.
9 Administration: Erkennung Konfigurieren von LLDP Auf der Seite „LLDP-Überlastung“ wird die Anzahl der Bytes mit LLDP/LLDP-MEDInformationen, die Anzahl der verfügbaren Bytes für zusätzliche LLDPInformationen sowie der Überlastungsstatus der einzelnen Schnittstellen angezeigt. So können Sie die LLDP-Überlastungsinformationen anzeigen: SCHRITT 1 Klicken Sie auf Administration > Discovery – LLDP > LLDP-Überlastung.
9 Administration: Erkennung Konfigurieren von LLDP • LLDP MED-Netzwerkrichtlinien - Größe (Byte) : Gesamtgröße der LLDP-MED-Netzwerkrichtlinienpakete in Byte. - Status: Angabe, ob die LLDP-MED-Netzwerkrichtlinienpakete übertragen wurden oder ob sie überlastet waren. • Erweiterte LLDP MED Power via MDI - Größe (Byte) : Gesamtgröße der Pakete für „Erweiterte LLDP MED Power via MDI“ in Byte.
9 Administration: Erkennung Konfigurieren von CDP Konfigurieren von CDP In diesem Abschnitt wird beschrieben, wie Sie CDP konfigurieren.
9 Administration: Erkennung Konfigurieren von CDP Unter Identifizieren des Smartport-Typs wird beschrieben, wie CDP zum Identifizieren von Geräten für die Smartport-Funktion verwendet wird. So geben Sie allgemeine CDP-Eigenschaften ein: SCHRITT 1 Klicken Sie auf Administration > Discovery – CDP > Eigenschaften. SCHRITT 2 Geben Sie die Parameter ein. • CDP-Status: Wählen Sie diese Option, um CDP für das Gerät zu aktivieren.
9 Administration: Erkennung Konfigurieren von CDP • • • 157 CDP-Übertragungsgeschwindigkeit: Die Rate (in Sekunden), mit der CDPAnkündigungsupdates gesendet werden. Folgende Optionen sind möglich: - Standard verwenden: Die Standardrate (60 Sekunden) wird verwendet. - Benutzerdefiniert: Geben Sie die Rate in Sekunden ein. Format der Geräte-ID: Wählen Sie das Format der Geräte-ID aus (MACAdresse oder Seriennummer).
9 Administration: Erkennung Konfigurieren von CDP SCHRITT 3 Klicken Sie auf Übernehmen. Die LLDP-Eigenschaften werden definiert. Bearbeiten von CDP-Schnittstelleneinstellungen Auf der Seite „Schnittstelleneinstellungen“ können Administratoren CDP für einzelne Ports aktivieren bzw. deaktivieren. Außerdem können Benachrichtigungen ausgelöst werden, wenn Konflikte mit CDP-Nachbarn vorliegen. Der Konflikt kann sich auf Voice-VLAN-Daten, natives VLAN oder Duplex beziehen.
9 Administration: Erkennung Konfigurieren von CDP SCHRITT 2 Wählen Sie einen Port aus, und klicken Sie auf Bearbeiten. Auf dieser Seite sind die folgenden Felder verfügbar: • Schnittstelle: Wählen Sie die Schnittstelle aus, die definiert werden soll. • CDP-Status: Wählen Sie diese Option aus, um die CDPVeröffentlichungsoption für den Port zu aktivieren oder zu deaktivieren.
9 Administration: Erkennung Konfigurieren von CDP • • Geräte-ID-TLV - Geräte-ID-Typ: Der Typ der Geräte-ID, die im Geräte-ID-TLV angekündigt wird. - Geräte-ID: Die Geräte-ID, die im Geräte-ID-TLV angekündigt wird. Systemnamens-TLV - • Adress-TLV - • Natives VLAN: Die Kennung des nativen VLANs, die im nativen VLAN-TLV angekündigt wird. Voll-/Halbduplex-TLV - • Plattform: Die Kennung der im Plattform-TLV angekündigten Plattform.
9 Administration: Erkennung Konfigurieren von CDP • TLV für erweiterte Vertrauensstell. - • TLV für CoS für nicht vertrauenswürdige Ports - • Erweitertes Trust: Wenn diese Option aktiviert ist, ist der Port vertrauenswürdig, das heißt, dem Host bzw. Server, von dem das Paket empfangen wird, wird vertraut, die Pakete selbst zu kennzeichnen. In diesem Fall werden die an einem solchen Port empfangenen Pakete nicht erneut gekennzeichnet.
9 Administration: Erkennung Konfigurieren von CDP Anzeigen von CDP-Nachbarinformationen Auf der Seite „CDP-Nachbarinformationen“ werden CDP-Informationen angezeigt, die von Nachbargeräten empfangen wurden. Nach einem Timeout (auf der Grundlage des Werts, der vom Nachbar-Time-toLive-TLV empfangen wurde, während dessen keine CDP-PDU von einem Nachbarn empfangen wurde), werden die Informationen gelöscht.
9 Administration: Erkennung Konfigurieren von CDP • Funktionen: Die primären Funktionen des Geräts. Die Funktionen werden durch zwei Oktette angegeben. Die Bits 0 bis 7 kennzeichnen Sonstige, Repeater, Bridge, WLAN-AP, Router, Telefon, DOCSIS-Kabelgerät bzw. Station. Die Bits 8 bis 15 sind reserviert. • Plattform: Die Kennung der Plattform des Nachbarn. • Nachbarschnittstelle: Die Schnittstellennummer des Nachbarn, über den der Frame eingegangen ist. • Natives VLAN: Das native VLAN des Nachbarn.
9 Administration: Erkennung Konfigurieren von CDP So zeigen Sie die CDP-Statistik an: SCHRITT 1 Klicken Sie auf Administration > Discovery – CDP > CDP-Statistik. Für jede Schnittstelle werden die folgenden Felder angezeigt: Empfangene/gesendete Pakete: • Version 1: Die Anzahl der empfangenen bzw. gesendeten Pakete mit CDPVersion 1. • Version 2: Die Anzahl der empfangenen bzw. gesendeten Pakete mit CDPVersion 2. • Gesamt: Die Gesamtanzahl der empfangenen bzw. gesendeten CDP-Pakete.
10 Portverwaltung In diesem Abschnitt werden die Portkonfiguration, die Link-Aggregation und die Green Ethernet-Funktion beschrieben. Die folgenden Themen werden behandelt: • Konfigurieren von Ports • Festlegen der Portkonfiguration • Link-Aggregation • UDLD • Konfigurieren von Green Ethernet Konfigurieren von Ports Führen Sie zum Konfigurieren von Ports folgende Aktionen durch: 1. Konfigurieren Sie den Port auf der Seite „Porteinstellungen“. 2. Aktivieren bzw.
10 Portverwaltung Festlegen der Portkonfiguration 7. Falls PoE vom Gerät unterstützt wird und für dieses aktiviert ist, konfigurieren Sie das Gerät wie unter Portverwaltung: PoE beschrieben. Festlegen der Portkonfiguration Ports können auf den folgenden Seiten konfiguriert werden: Porteinstellungen Auf der Seite „Porteinstellungen“ werden die globalen und die spezifischen Einstellungen für alle Ports angezeigt.
10 Portverwaltung Festlegen der Portkonfiguration • Porttyp: Zeigt den Porttyp und die Geschwindigkeit an. Folgende Optionen sind möglich: - Kupferports: Reguläre Ports, keine Kombinationsports; unterstützen die folgenden Werte: 10M, 100M und 1000M (Typ: Kupfer). - Kupfer-Kombinationsports: Kombinationsport, an den ein CAT5Kupferkabel angeschlossen ist; unterstützt die folgenden Werte: 10M, 100M und 1000M (Typ: ComboC).
10 Portverwaltung Festlegen der Portkonfiguration (Access Control List, Zugriffssteuerungsliste). Beim Reaktivierungsvorgang wird der Port ohne Berücksichtigung der Gründe für seine Außerkraftsetzung wieder aktiviert. • Autom. Aushandlung: Mit dieser Option aktivieren Sie die automatische Aushandlung für den Port.
10 Portverwaltung Festlegen der Portkonfiguration - 100 voll: Geschwindigkeit von 100 MBit/s und voller Duplex-Modus. - 1000 voll: Geschwindigkeit von 1000 MBit/s und voller Duplex-Modus. • Betriebsankündigung: Zeigt die Funktionen an, die dem Nachbargerät des Ports zurzeit angekündigt wurden. Die möglichen Optionen sind im Feld Administrationsankündigung angegeben. • Nachbarankündigung: Zeigt die Funktionen an, die vom Nachbargerät (LinkPartner) angekündigt werden.
10 Portverwaltung Festlegen der Portkonfiguration • - Von geschützten Ports empfangene Pakete können nur an ungeschützte Ausgangs-Ports weitergeleitet werden. Die Filterregeln von geschützten Ports werden auch auf Pakete angewendet, die durch Software weitergeleitet werden, beispielsweise durch Snooping-Anwendungen. - Der Schutz von Ports besteht unabhängig von einer VLANMitgliedschaft.
10 Portverwaltung Link-Aggregation • ACL-Verweigerung: Wählen Sie diese Option aus, um das Wiederherstellungsverfahren nach Fehlern für den Fehlerwiederherstellungsstatus der Art „ACL-Verweigerung“ zu aktivieren. • STP BPDU Guard: Wählen Sie diese Option aus, um das Wiederherstellungsverfahren nach Fehlern für den Fehlerwiederherstellungsstatus der Art „STP BPDU Guard“ zu aktivieren.
10 Portverwaltung Link-Aggregation Link-Aggregation (Übersicht) LACP (Link Aggregation Control Protocol, Link-Aggregationsteuerungsprotokoll) ist Bestandteil der IEEE-Spezifikation 802.3az, gemäß der mehrere physische Ports gebündelt werden können, sodass ein einziger logischer Kanal (LAG) entsteht. LAGs bewirken eine Vervielfachung der Bandbreite, erhöhte Flexibilität der Ports und Verknüpfungsredundanz zwischen zwei Geräten.
10 Portverwaltung Link-Aggregation LAG-Verwaltung Eine LAG wird vom System wie ein einzelner logischer Port behandelt. Dabei verfügt die LAG ähnlich wie ein normaler Port über Port-Attribute, wie Zustand und Geschwindigkeit. Das Gerät unterstützt 32 LAGs mit bis zu acht Ports in einer LAG-Gruppe. Jede LAG weist folgende Merkmale auf: • Alle Ports in einer LAG müssen denselben Medientyp aufweisen.
10 Portverwaltung Link-Aggregation 2. Konfigurieren Sie auf der Seite „LAG-Einstellungen“ verschiedene Aspekte der LAG, beispielsweise die Geschwindigkeit und die Flusssteuerung. Führen Sie zum Konfigurieren einer dynamischen LAG folgende Aktionen durch: 1. Aktivieren Sie LACP für die LAG. Weisen Sie der dynamischen LAG bis zu 16 Kandidatenports zu, indem Sie auf der Seite „LAG-Verwaltung“ die Ports in der Portliste auswählen und in die Liste LAG-Mitglieder verschieben. 2.
10 Portverwaltung Link-Aggregation So definieren Sie die Mitgliedsports oder Kandidatenports in einer LAG: SCHRITT 1 Wählen Sie die zu konfigurierende LAG aus, und klicken Sie auf Bearbeiten. SCHRITT 2 Geben Sie Werte für die folgenden Felder ein: • LAG: Wählen Sie die LAG-Nummer aus. • LAG-Name: Geben Sie den LAG-Namen oder einen Kommentar ein. • LACP: Wählen Sie diese Option aus, um LACP für die ausgewählte LAG zu aktivieren. Dadurch wird die LAG zu einer dynamischen LAG.
10 Portverwaltung Link-Aggregation • LAG-Typ: Zeigt den Port-Typ der LAG an. • Administrativer Status: Legen Sie fest, ob die ausgewählte LAG aktiv oder nicht aktiv sein soll. • Betriebsstatus: Zeigt an, ob die LAG momentan in Betrieb ist. • Leitungsstatus SNMP-Traps: Wählen Sie diese Option aus, um die Generierung von SNMP-Traps zu aktivieren, die Benachrichtigungen bei Änderungen am Link-Status des Ports im LAG versenden.
10 Portverwaltung Link-Aggregation • Administrationsankündigung: Wählen Sie die Funktionen aus, die von der LAG angekündigt werden sollen. Folgende Optionen sind möglich: - Max. Fähigkeit: Alle LAG-Geschwindigkeiten und beide Duplex-Modi sind verfügbar. - 10 voll: Die LAG kündigt eine Geschwindigkeit von 10 MBit/s an, und voller Duplexmodus wird verwendet. - 100 voll: Die LAG kündigt eine Geschwindigkeit von 100 MBit/s an, und voller Duplexmodus wird verwendet.
10 Portverwaltung Link-Aggregation Die ausgewählten potentiellen Ports der LAG sind alle mit demselben RemoteGerät verbunden. Sowohl die lokalen Switches als auch die Remote-Switches haben eine LACP-Systempriorität. Mit dem folgenden Algorithmus wird bestimmt, ob LACP-Portprioritäten des lokalen Geräts oder des Remote-Geräts angewendet werden: Die LACPSystempriorität des lokalen Geräts wird mit der LACP-Systempriorität des Remote-Geräts verglichen.
10 Portverwaltung Link-Aggregation Wenn mehrere für LACP konfigurierte Ports konfiguriert sind und der Link an einem oder mehreren Ports hochgefahren wird, für diese Ports aber keine LACPAntworten vom Link-Partner empfangen werden, wird der erste Port mit hochgefahrenem Link der LACP-LAG hinzugefügt und aktiviert (die anderen Ports werden zu Nichtkandidaten). Auf diese Weise kann das Nachbargerät beispielsweise seine IP-Adresse über DHCP und seine Konfiguration über die Autokonfiguration beziehen.
10 Portverwaltung UDLD UDLD Weitere Informationen hierzu finden Sie unter Portverwaltung: Unidirectional Link Detection. PoE Weitere Informationen hierzu finden Sie unter Portverwaltung: PoE. Konfigurieren von Green Ethernet In diesem Kapitel wird die Green Ethernet-Funktion beschrieben, mit der auf dem Gerät Strom gespart werden kann.
10 Portverwaltung Konfigurieren von Green Ethernet • Modus für kurze Reichweite: Diese Funktion ermöglicht Stromeinsparungen bei kurzen Kabeln. Nach der Analyse der Kabellänge wird die Stromversorgung an die verschiedenen Kabellängen angepasst. Wenn ein Kabel kürzer als 50 m ist, verbraucht das Gerät beim Senden von Frames über das Kabel weniger Strom. Dadurch wird Energie gespart. Dieser Modus wird nur an RJ45-GE-Ports unterstützt und gilt nicht für Kombinationsports.
10 Portverwaltung Konfigurieren von Green Ethernet Energieeinsparung durch Deaktivieren der Port-LEDs Durch Deaktivieren der Port-LEDs kann der Benutzer zusätzliche, von den GeräteLEDs verbrauchte Energie einsparen. Da sich die Geräte meist in einem nicht besetzten Raum befinden, wäre es Energieverschwendung, diese LEDs leuchten zu lassen.
10 Portverwaltung Konfigurieren von Green Ethernet 802.3az EEE unterstützt den IEEE 802.3-MAC-Betrieb mit 100 MBit/s und 1000 MBit/s: Die optimalen Parameter für beide Geräte werden mithilfe von LLDP ausgewählt. Wenn LLDP vom Link-Partner nicht unterstützt wird oder deaktiviert ist, kann 802.3az EEE zwar verwendet werden, befindet sich jedoch möglicherweise nicht im optimalen Betriebsmodus. Die 802.
10 Portverwaltung Konfigurieren von Green Ethernet Erkennung auf Link-Ebene für 802.3az EEE Zusätzlich zu den oben beschriebenen Funktionen werden die 802.3az EEEFunktionen und -Einstellungen mithilfe von Frames angekündigt, die auf den organisationsspezifischen TLVs basieren, die in Anhang G des IEEE Std 802.1ABProtokolls (LLDP) definiert sind. LLDP wird verwendet, um den 802.3az EEEBetrieb nach Abschluss der automatischen Aushandlung weiter zu optimieren. Das 802.
10 Portverwaltung Konfigurieren von Green Ethernet Konfigurations-Workflow für 802.3az EEE In diesem Abschnitt wird beschrieben, wie Sie die 802.3az EEE-Funktion konfigurieren und die zugehörigen Zähler anzeigen. SCHRITT 1 Stellen Sie sicher, dass die automatische Aushandlung für den Port aktiviert ist, indem Sie die Seite Portverwaltung > Porteinstellungen öffnen. a. Wählen Sie einen Port aus und öffnen Sie die Seite „Porteinstellung bearbeiten“. b.
10 Portverwaltung Konfigurieren von Green Ethernet Festlegen globaler Green Ethernet-Eigenschaften Auf der Seite „Eigenschaften“ können Sie die Konfiguration des Green EthernetModus für das Gerät anzeigen und ändern. Auf der Seite wird auch die aktuelle Stromeinsparung angezeigt. So aktivieren Sie Green Ethernet und EEE und zeigen Stromeinsparungen an: SCHRITT 1 Klicken Sie auf Portverwaltung > Green Ethernet > Eigenschaften.
10 Portverwaltung Konfigurieren von Green Ethernet Einstellen der Green Ethernet-Eigenschaften für Ports Auf der Seite „Porteinstellungen“ werden die aktuellen Green Ethernet- und EEEModi pro Port angezeigt. Auf der Seite „Porteinstellung bearbeiten“ können Sie Green Ethernet für einen Port konfigurieren. Damit die Green Ethernet-Modi für einen Port in Betrieb genommen werden können, müssen die entsprechenden Modi global auf der Seite „Eigenschaften“ aktiviert sein.
10 Portverwaltung Konfigurieren von Green Ethernet HINWEIS Der Modus für kurze Reichweite wird nur an RJ45-GE-Ports unterstützt und gilt nicht für Kombinationsports. • 802.3 Energy Efficient Ethernet (EEE): Der Status des Ports im Hinblick auf die EEE-Funktion: - Administrativ: Zeigt an, ob EEE aktiviert wurde. - Operativ: Zeigt an, ob EEE zurzeit am lokalen Port in Betrieb ist.
11 Portverwaltung: Unidirectional Link Detection In diesem Abschnitt wird die Arbeitsweise der UDLD-Funktion (Unidirectional Link Detection) beschrieben.
Portverwaltung: Unidirectional Link Detection UDLD-Betrieb 11 Alle verbundenen Geräte müssen UDLD unterstützen, damit das Protokoll die unidirektionalen Verbindungen erfolgreich erkennt. Wenn nur das lokale Gerät UDLD unterstützt, kann das Gerät den Status der Verbindung nicht ermitteln. In diesem Fall wird der Status der Verbindung auf „Undefiniert“ gesetzt. Der Benutzer kann konfigurieren, ob Ports im Status „Undefiniert“ heruntergefahren werden oder vielmehr Benachrichtigungen auslösen sollen.
11 Portverwaltung: Unidirectional Link Detection UDLD-Betrieb - • Wenn der Status der Verbindung nicht definiert ist, wird der Port nicht heruntergefahren. Der Status wird in diesem Fall in „Undefiniert“ geändert, und es wird eine Benachrichtigung versendet. Aggressiv Wenn es sich um eine unidirektionale Verbindung handelt oder die Verbindung den Status „Undefiniert“ aufweist, wird der Port heruntergefahren.
Portverwaltung: Unidirectional Link Detection UDLD-Betrieb • 11 Wenn UDLD-Nachrichten nicht vor Ablauf des definierten Zeitrahmens von einem benachbarten Gerät eingehen, wird der Verbindungsstatus des Ports auf „Undefiniert“ gesetzt, außerdem werden die folgenden Schritte ausgeführt: - Das Gerät läuft im normalen UDLD-Modus: Es wird eine Benachrichtigung gesendet. - Das Gerät läuft im aggressiven UDLD-Modus: Der Port wird heruntergefahren.
11 Portverwaltung: Unidirectional Link Detection Verwendungshinweise Wenn die UDLD-Modi auf dem lokalen und dem benachbarten Gerät voneinander abweichen, verhalten sich die Geräte wie folgt: • Wenn der UDLD-Status der Verbindung „Bidirektional“ oder „Unidirektional“ lautet, fahren beide Geräte ihre Ports herunter.
Portverwaltung: Unidirectional Link Detection Abhängigkeiten von anderen Funktionen 11 Außerdem sollten Sie bei der Konfiguration von UDLD Folgendes berücksichtigen: • Legen Sie das Nachrichtenintervall gemäß der Dringlichkeit fest, nach der Ports mit einer unidirektionalen Verbindung heruntergefahren werden müssen.
11 Portverwaltung: Unidirectional Link Detection Standardeinstellungen und Konfiguration Standardeinstellungen und Konfiguration Die folgenden Standardwerte sind für diese Funktion verfügbar: • UDLD ist standardmäßig auf allen Ports auf dem Gerät deaktiviert. • Das Standardnachrichtenintervall ist auf 15 Sekunden eingestellt. • Die Standardablaufzeit beträgt 45 Sekunden (das Dreifache des Nachrichtenintervalls).
Portverwaltung: Unidirectional Link Detection Konfigurieren von UDLD 11 Workflow 2: So ändern Sie die UDLD-Konfiguration eines Fiber-Ports oder aktivieren UDLD auf einem Kupfer-Port: SCHRITT 1 Öffnen Sie die Seite Portverwaltung > Globale UDLD-Einstellungen. a. Wählen Sie einen Port aus. b. Wählen Sie entweder Standard, Deaktiviert, Normal oder Aggressiv als UDLD-Status für den Port aus. Wenn Sie „Standard“ auswählen, empfängt der Port die globale Einstellung. SCHRITT 2 Klicken Sie auf Übernehmen.
11 Portverwaltung: Unidirectional Link Detection Konfigurieren von UDLD So führen Sie eine globale Konfiguration von UDLD durch: SCHRITT 1 Klicken Sie auf Portverwaltung > UDLD > Globale UDLD-Einstellungen. SCHRITT 2 Geben Sie Werte für die folgenden Felder ein: • Nachrichtenintervall: Geben Sie das Intervall zwischen zwei gesendeten UDLD-Nachrichten ein. Dieses Feld gilt für Fiber- und Kupfer-Ports. • Fiber-Port-UDLD-Standardstatus: Dieses Feld gilt nur für Fiber-Ports.
Portverwaltung: Unidirectional Link Detection Konfigurieren von UDLD • • • 11 UDLD-Status: Die folgenden Status sind möglich: - Deaktiviert: UDLD ist auf allen Fiber-Ports auf dem Gerät deaktiviert. - Normal: Das Gerät fährt eine Schnittstelle herunter, wenn es erkennt, dass es sich um eine unidirektionale Verbindung handelt. Es sendet eine Benachrichtigung, wenn die Verbindung den Status „Undefiniert“ aufweist.
11 Portverwaltung: Unidirectional Link Detection Konfigurieren von UDLD UDLD-Nachbarn So zeigen Sie alle Geräte an, die mit dem lokalen Gerät verbunden sind: SCHRITT 1 Klicken Sie auf Portverwaltung > UDLD > UDLD-Nachbarn. Die folgenden Felder werden für alle UDLD-aktivierten Ports angezeigt: • Schnittstellenname: Der Name des lokalen, UDLD-aktivierten Ports. • Nachbarinformationen: • 199 - Geräte-ID: Die ID des Remote-Geräts. - Geräte-MAC-Adresse: Die MAC-Adresse des Remote-Geräts.
12 Smartport In diesem Dokument wird die Smartport-Funktion beschrieben.
12 Smartport Was ist ein Smartport? Ein Smartport-Makro kann anhand des Makronamens oder anhand des dem Makro zugeordneten Smartport-Typs auf eine Schnittstelle angewendet werden. Die Anwendung eines Smartport-Makros anhand des Makronamens ist nur über die CLI möglich. Details hierzu finden Sie im CLI-Handbuch. Es gibt zwei Möglichkeiten, ein Smartport-Makro anhand des Smartport-Typs auf eine Schnittstelle anzuwenden: • Statischer Smartport: Sie weisen einer Schnittstelle manuell einen Smartport-Typ zu.
12 Smartport Smartport-Typen Smartport-Typen Smartport-Typen beziehen sich auf die Typen der Geräte, die mit Smartports verbunden werden oder verbunden werden sollen. Das Gerät unterstützt folgende Smartport-Typen: • Drucker • Desktop • Gast • Server • Host • IP-Kamera • IP-Telefon • IP-Telefon + Desktop • Switch • Router • WLAN-Zugriffspunkt Die Namen der Smartport-Typen entsprechen jeweils dem mit der Schnittstelle verbundenen Gerätetyp.
12 Smartport Smartport-Typen Nachfolgend werden die Beziehungen zwischen Smartport-Typen und AutoSmartport beschrieben.
12 Smartport Smartport-Makros Wenn Auto-Smartport einer Schnittstelle einen Smartport-Typ zuweist und die Schnittstelle nicht dauerhaft für Auto-Smartport konfiguriert ist, wird ihr Smartport-Typ in den folgenden Fällen mit dem Status „Standard“ erneut initialisiert: • - Für die Schnittstelle wird ein Link-Aktivierungs- bzw. LinkDeaktivierungsvorgang ausgeführt. - Das Gerät wird neu gestartet. - Alle mit der Schnittstelle verbundenen Geräte sind fällig geworden.
12 Smartport Smartport-Makros Die Makroquelle kann mit dem Befehl „show parser macro name [Makroname]“ im privilegierten Ausführungsmodus der CLI ermittelt werden oder indem Sie auf der Seite „Smartport-Typ-Einstellungen“ auf die Schaltfläche Makro-Quelle anzeigen klicken. Jedem Smartport-Typ wird ein Paar aus Makro und entsprechendem Anti-Makro zugeordnet. Mit dem Makro wenden Sie die Konfiguration an und mit dem AntiMakro entfernen Sie sie.
Smartport Makrofehler und der Zurücksetzungsvorgang 12 • Wenn in der Startkonfigurationsdatei ein statischer Smartport-Typ angegeben ist, wird der Smartport-Typ der Schnittstelle auf diesen statischen Typ festgelegt.
12 Smartport Funktionsweise von Smartport Funktionsweise von Smartport Sie können ein Smartport-Makro anhand des Makronamens oder anhand des mit dem Makro verknüpften Smartport-Typs auf eine Schnittstelle anwenden. Die Anwendung eines Smartport-Makros anhand des Makronamens ist nur über die CLI möglich. Details hierzu finden Sie im CLI-Handbuch.
12 Smartport Auto-Smartport Auto-Smartport Damit Auto-Smartport Schnittstellen automatisch Smartport-Typen zuweist, muss die Auto-Smartport-Funktion global und an den Schnittstellen, die mit AutoSmartport konfiguriert werden sollen, aktiviert sein. Standardmäßig ist AutoSmartport aktiviert und kann alle Schnittstellen konfigurieren. Der den einzelnen Schnittstellen zugewiesene Smartport-Typ wird durch die an den einzelnen Schnittstellen empfangenen CDP- und LLDP-Pakete bestimmt.
12 Smartport Auto-Smartport Identifizieren des Smartport-Typs Wenn Auto-Smartport global (auf der Seite „Eigenschaften“) und für eine Schnittstelle (auf der Seite „Schnittstelleneinstellungen“) aktiviert ist, wendet das Gerät ein Smartport-Makro anhand des Smartport-Typs des verbundenen Geräts an. Auto-Smartport leitet die Smartport-Typen der verbundenen Geräte aus den CDP- und/oder LLDP-Ankündigungen der Geräte ab.
12 Smartport Auto-Smartport Zuordnung von CDP-Funktionen zu Smartport-Typen (Fortsetzung) Funktionsname CDP-Bit Smartport-Typ Remote verwaltetes Gerät 0x100 Ignorieren CAST-Telefonport 0x200 Ignorieren 2-Port-MAC-Relais 0x400 Ignorieren Zuordnung von LLDP-Funktionen zu Smartport-Typen Funktionsname LLDP-Bit Smartport-Typ Sonstige 1 Ignorieren Repeater IETF RFC 2108 2 Ignorieren MAC-Bridge IEEE Std. 802.1D 3 Switch WLAN-Zugriffspunkt IEEE Std. 802.
12 Smartport Auto-Smartport Mehrere mit dem Port verbundene Geräte Das Gerät leitet den Smartport-Typ eines verbundenen Geräts von den Funktionen ab, die das Gerät in seinen CDP- und/oder LLDP-Paketen ankündigt. Wenn mehrere Geräte über eine Schnittstelle mit dem Gerät verbunden sind, betrachtet Auto-Smartport bei der Zuweisung des richtigen Smartport-Typs jede über diese Schnittstelle empfangene Funktionsankündigung.
12 Smartport Fehlerbehandlung HINWEIS Die Dauerhaftigkeit der auf die Schnittstellen angewendeten Smartport-Typen ist nur dann zwischen Neustarts wirksam, wenn die aktuelle Konfiguration mit dem auf die Schnittstellen angewendeten Smartport-Typ in der Startkonfigurationsdatei gespeichert ist.
12 Smartport Allgemeine Smartport-Aufgaben Allgemeine Smartport-Aufgaben In diesem Abschnitt werden einige der allgemeinen Aufgaben zum Einrichten von Smartport und Auto-Smartport beschrieben. Workflow 1: Um Auto-Smartport global für das Gerät zu aktivieren und einen Port mit Auto-Smartport zu konfigurieren, führen Sie folgende Schritte aus: SCHRITT 1 Um die Auto-Smartport-Funktion für das Gerät zu aktivieren, öffnen Sie die Seite „Smartport > Eigenschaften“.
12 Smartport Allgemeine Smartport-Aufgaben SCHRITT 5 Klicken Sie auf Übernehmen. Workflow 3: Um die Standardeinstellungen für Smartport-Makros anzupassen und/oder ein benutzerdefiniertes Makropaar an einen Smartport-Typ zu binden, führen Sie die folgenden Schritte aus: Mit diesem Verfahren erreichen Sie Folgendes: • Sie zeigen die Makroquelle an. • Sie ändern die Parameterstandardeinstellungen. • Sie stellen die Werkseinstellungen für die Parameter wieder her.
12 Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche SCHRITT 4 Klicken Sie auf Bearbeiten. Ein neues Fenster wird geöffnet, in dem Sie auf Zurücksetzen klicken können, um die Schnittstelle zurückzusetzen.
Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche 12 Smartport-Eigenschaften So konfigurieren Sie die Smartport-Funktion global: SCHRITT 1 Klicken Sie auf Smartport > Eigenschaften. SCHRITT 2 Geben Sie die Parameter ein. • Administrativer Auto-Smartport: Wählen Sie hier aus, ob Auto-Smartport global aktiviert oder deaktiviert sein soll. Folgende Optionen stehen zur Verfügung: - Deaktivieren: Wählen Sie diese Option aus, um Auto-Smartport auf dem Gerät zu deaktivieren.
12 Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche Smartport-Typeinstellungen Auf der Seite „Smartport-Typ-Einstellungen“ können Sie die Smartport-TypEinstellungen bearbeiten und die Makroquelle anzeigen. Standardmäßig ist jeder Smartport-Typ einem Paar aus integrierten SmartportMakros zugeordnet. Weitere Informationen zu Makros und Anti-Makros finden Sie unter Smartport-Typen.
Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche 12 Die Makropaare werden anhand des Namens gebildet. Dies wird im Abschnitt „Smartport-Makro“ beschrieben. • Makroparameter: Zeigt die folgenden Felder für drei Parameter in dem Makro an: - Name von Parameter: Der Name des Parameters in dem Makro. - Wert von Parameter: Der aktuelle Wert des Parameters in dem Makro. Diesen Wert können Sie hier ändern. - Beschreibung von Parameter: Die Beschreibung des Parameters.
12 Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche Sie müssen die notwendigen Korrekturen vornehmen, bevor Sie auf Erneut anwenden klicken. Tipps für die Fehlerbehebung finden Sie im Abschnitt Allgemeine Smartport-Aufgaben. • Erneutes Anwenden eines Smartport-Makros auf eine Schnittstelle. In manchen Fällen müssen Sie möglicherweise ein Smartport-Makro erneut anwenden, um die Konfiguration einer Schnittstelle auf den aktuellen Stand zu bringen.
Smartport Konfigurieren von Smartport über die webbasierte Benutzeroberfläche • 12 Klicken Sie auf Alle unbekannten Smartports zurücksetzen. Wenden Sie dann das Makro wie oben beschrieben erneut an. Daraufhin werden alle Schnittstellen mit dem Typ „Unbekannt“ zurückgesetzt, das heißt, für alle Schnittstellen wird wieder der Typ „Standard“ festgelegt. Wenn Sie den Fehler im Makro und/oder in der aktuellen Schnittstellenkonfiguration korrigiert haben, können Sie ein neues Makro anwenden.
12 Smartport Integrierte Smartport-Makros - Wert von Parameter: Der aktuelle Wert des Parameters in dem Makro. Diesen Wert können Sie hier ändern. - Beschreibung von Parameter: Die Beschreibung des Parameters. SCHRITT 3 Klicken Sie auf Zurücksetzen, um eine Schnittstelle, die (aufgrund der nicht erfolgreichen Anwendung eines Makros) den Status „Unbekannt“ aufweist, auf „Standard“ festzulegen. Auf der Hauptseite können Sie das Makro erneut anwenden.
Smartport Integrierte Smartport-Makros 12 Desktop [desktop] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port. #macro description Desktop #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
12 Smartport Integrierte Smartport-Makros Drucker [printer] #macro description printer #macro keywords $native_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
Smartport Integrierte Smartport-Makros 12 Gast [guest] #macro description guest #macro keywords $native_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
12 Smartport Integrierte Smartport-Makros Server [server] #macro description server #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
Smartport Integrierte Smartport-Makros 12 Host [host] #macro description host #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
12 Smartport Integrierte Smartport-Makros IP-Kamera [ip_camera] #macro description ip_camera #macro keywords $native_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
Smartport Integrierte Smartport-Makros 12 IP-Telefon [ip_phone] #macro description ip_phone #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
12 Smartport Integrierte Smartport-Makros no smartport storm-control include-multicast # spanning-tree portfast auto # @ IP-Telefon + Desktop [ip_phone_desktop] #macro description ip_phone_desktop #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
Smartport Integrierte Smartport-Makros 12 smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ Switch [switch] #macro description switch #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
12 Smartport Integrierte Smartport-Makros Router [router] #macro description router #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
Smartport Integrierte Smartport-Makros 12 Zugriffspunkt [ap] #macro description ap #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Ohne Tags betriebenes VLAN, das auf dem Port konfiguriert wird.
13 Portverwaltung: PoE Die Power-over-Ethernet-Funktion (PoE) steht nur bei PoE-basierten Geräten zur Verfügung. Eine Liste der PoE-basierten Geräte finden Sie im Abschnitt Gerätemodelle. In diesem Abschnitt wird beschrieben, wie Sie die PoE-Funktion verwenden. HINWEIS Die PoE-Funktion ist auf den SG500XG/ESW2-550X-Geräten nicht verfügbar.
13 Portverwaltung: PoE PoE am Gerät • Es macht doppelte Verkabelungssysteme in Unternehmen überflüssig und reduziert somit die Installationskosten deutlich.
13 Portverwaltung: PoE PoE am Gerät Überlegungen zur PoE-Konfiguration In Bezug auf die PoE-Funktion sind zwei Faktoren zu berücksichtigen: • Die Leistung, die das PSE-Gerät bereitstellen kann. • Die Leistung, die das PD-Gerät tatsächlich zu verbrauchen versucht. Sie können Folgendes festlegen: • Die maximale Leistung, die ein PSE-Gerät für ein PD-Gerät bereitstellen kann. • Sie können während des Gerätebetriebs zwischen den Modi Klassenbegrenzung und Port-Begrenzung wechseln.
13 Portverwaltung: PoE PoE am Gerät HINWEIS Wenn ein PoE-Gerät mit niedrigerer Spannung über PoE an das SG500-Gerät angeschlossen und auf beiden Seiten über PoE-fähige Ports verbunden wird, kann das Niederspannungsgerät keine anderen Geräte mehr mit Strom versorgen. Sie können dies vermeiden, indem Sie die PoEUnterstützung im SG500 deaktivieren oder einen Nicht-PoE-Port verwenden.
13 Portverwaltung: PoE Konfigurieren von PoE-Eigenschaften Konfigurieren von PoE-Eigenschaften Auf der Seite PoE-Eigenschaften können Sie den Portbegrenzungsmodus oder den Klassenbegrenzungsmodus für PoE auswählen und die zu generierenden PoE-Traps festlegen. Diese Einstellungen werden im Voraus festgelegt. Wenn das PD-Gerät eine Verbindung hergestellt hat und Leistung verbraucht, benötigt es möglicherweise deutlich weniger als die maximal zulässige Leistung.
Portverwaltung: PoE Konfigurieren von PoE-Einstellungen 13 • Verbrauchte Leistung: Die aktuell von den PoE-Ports verbrauchte Leistung. • Verfügbare Leistung: Nennleistung minus verbrauchte Leistung. SCHRITT 3 Klicken Sie auf Übernehmen, um die PoE-Eigenschaften zu speichern.
13 Portverwaltung: PoE Konfigurieren von PoE-Einstellungen Beispiel für PoE-Priorität: Annahme: Ein Gerät mit 48 Ports stellt insgesamt 375 Watt bereit. Der Administrator konfiguriert alle Ports, um maximal 30 Watt zuzuweisen. Dadurch ergeben sich 1440 Watt (48 x 30 Ports), was zu viel ist. Das Gerät kann nicht alle Ports mit ausreichend Strom versorgen und stellt den Strom daher nach Priorität bereit. Der Administrator legt die Priorität der einzelnen Ports fest und weist den Ports jeweils Leistung zu.
13 Portverwaltung: PoE Konfigurieren von PoE-Einstellungen • Maximale Leistungszuweisung: Dieses Feld wird nur angezeigt, wenn auf der Seite „PoE-Eigenschaften“ der Leistungsmodus „Leistungslimit“ festgelegt ist. Zeigt die an diesem Port maximal zulässige Leistung an. • Klasse: Dieses Feld wird nur angezeigt, wenn auf der Seite PoEEigenschaften der Leistungsmodus „Klassenbegrenzung“ festgelegt ist.
14 VLAN-Verwaltung In diesem Abschnitt werden die folgenden Themen behandelt: • VLANs • Konfigurieren der VLAN-Standardeinstellungen • Erstellen von VLANs • Konfigurieren der VLAN-Schnittstelleneinstellungen • Definieren der VLAN-Mitgliedschaft • GVRP-Einstellungen • VLAN-Gruppen • Voice-VLAN • Zugriffsport-Multicast-TV-VLAN • Kundenport-Multicast-TV-VLAN VLANs Bei einem VLAN handelt es sich um eine logische Gruppe von Ports, mit der die zugeordneten Geräte über die Ethernet-MAC-Schicht
14 VLAN-Verwaltung VLANs ein Mitglied mit Tag eines VLAN, wenn alle für diesen Port bestimmten Pakete in dem VLAN ein VLAN-Tag besitzen. Ein Port kann Mitglied eines VLANs ohne Tag und mehrerer VLANs mit Tag sein. Ein Port im VLAN-Zugriffsmodus kann nur Mitglied eines VLAN sein. Befindet er sich im allgemeinen oder Trunk-Modus, kann der Port zu einem oder mehreren VLANs gehören. Aspekte der VLAN-Adresssicherheit und -Skalierbarkeit.
14 VLAN-Verwaltung VLANs VLAN-Rollen VLANs werden im Schicht-2-Systemmodus verwendet. Der gesamte VLANVerkehr (Unicast/Broadcast/Multicast) verbleibt in diesem VLAN. An andere VLANs angeschlossene Geräte besitzen über die Ethernet-MAC-Schicht keine direkte Verbindung zueinander. Geräte aus unterschiedlichen VLANs können nur über Router der Schicht 3 miteinander kommunizieren. Ein IP-Router muss beispielsweise den IP-Verkehr zwischen VLANs routen, wenn jedes VLAN ein IPSubnetz repräsentiert.
14 VLAN-Verwaltung VLANs Mit QinQ fügt das Gerät ein ID-Tag hinzu (das so genannte Service-Tag (S-Tag)), um Verkehr über das Netzwerk weiterzuleiten. Das S-Tag wird verwendet, um Verkehr zwischen verschiedenen Kunden zu trennen und dabei die VLAN-Tags der Kunden beizubehalten. Der Verkehr der Kunden wird mit einem S-Tag mit TPID 0x8100 gekapselt, wobei es keine Rolle spielt, ob es sich ursprünglich um Verkehr mit C-Tag oder ohne Tag handelte.
14 VLAN-Verwaltung Konfigurieren der VLAN-Standardeinstellungen Konfigurieren der VLAN-Standardeinstellungen Bei Verwendung der werkseitig festgelegten Standardeinstellungen erstellt das Gerät automatisch VLAN 1 als Standard-VLAN. Der standardmäßige Schnittstellenstatus aller Ports ist „Trunk“, und alle Ports sind als Mitglieder des Standard-VLANs ohne Tag konfiguriert.
14 VLAN-Verwaltung Erstellen von VLANs So ändern Sie das Standard-VLAN: SCHRITT 1 Klicken Sie auf VLAN-Verwaltung > VLAN-Standardeinstellungen. SCHRITT 2 Geben Sie den Wert in das folgende Feld ein: • Aktuelle Standard-VLAN-ID: Zeigt die aktuelle Standard-VLAN-ID an. • Standard-VLAN-ID nach Neustart: Geben Sie eine neue VLAN-ID ein, durch die die Standard-VLAN-ID nach dem Neustart ersetzt werden soll. SCHRITT 3 Klicken Sie auf Übernehmen.
14 VLAN-Verwaltung Konfigurieren der VLAN-Schnittstelleneinstellungen - Statisch: Das VLAN ist benutzerdefiniert. - Standard: Das VLAN ist das Standard-VLAN. SCHRITT 2 Klicken Sie auf Hinzufügen, um ein neues VLAN hinzuzufügen. Auf dieser Seite können Sie ein einzelnes VLAN oder mehrere VLANs erstellen. SCHRITT 3 Um ein einzelnes VLAN zu erstellen, wählen Sie das Optionsfeld VLAN aus, und geben die VLAN-ID (VID) und optional den VLAN-Namen ein.
VLAN-Verwaltung Konfigurieren der VLAN-Schnittstelleneinstellungen 14 - Zugriff: Die Schnittstelle ist ein Mitglied ohne Tag in einem einzelnen VLAN. Ein in diesem Modus konfigurierter Port wird als Zugriffs-Port bezeichnet. - Trunk: Die Schnittstelle ist ein Mitglied ohne Tag in höchstens einem VLAN, und sie ist ein Mitglied mit Tag in null oder mehreren VLANs. Ein in diesem Modus konfigurierter Port wird als Trunk-Port bezeichnet.
14 VLAN-Verwaltung Definieren der VLAN-Mitgliedschaft Definieren der VLAN-Mitgliedschaft Auf den Seiten „Port zu VLAN“ und „Port-VLAN-Mitgliedschaft“ werden die VLANMitgliedschaften der Ports in verschiedenen Darstellungen angezeigt. Auf diesen Seiten können Sie Mitgliedschaften für VLANs hinzufügen oder entfernen. Ist die Standard-VLAN-Mitgliedschaft für einen Port nicht zugelassen, kann dieser Port kein Mitglied in anderen VLANs sein. Dem Port wird die interne VID 4095 zugewiesen.
14 VLAN-Verwaltung Definieren der VLAN-Mitgliedschaft SCHRITT 3 Sie ändern die Registrierung einer Schnittstelle für das VLAN, indem Sie in der folgenden Liste die gewünschte Option wählen: • Verboten: Die Schnittstelle darf dem VLAN nicht hinzugefügt werden, auch nicht über die GVRP-Registrierung. Wenn ein Port nicht Mitglied eines anderen VLAN ist, wird der Port durch das Aktivieren dieser Option Teil des internen VLAN 4095 (mit einer reservierten VID).
14 VLAN-Verwaltung Definieren der VLAN-Mitgliedschaft • Wenn der Port authentifiziert ist, erhält er die Mitgliedschaft in dem VLAN, in dem er konfiguriert wurde. So weisen Sie einen Port einem oder mehreren VLANs zu: SCHRITT 1 Klicken Sie auf VLAN-Verwaltung > Port-VLAN-Mitgliedschaft. SCHRITT 2 Wählen Sie einen Schnittstellentyp (Port oder LAG) aus und klicken Sie auf Los. Die folgenden Felder werden für alle Schnittstellen des ausgewählten Typs angezeigt: • Schnittstelle: Port-/LAG-ID.
14 VLAN-Verwaltung GVRP-Einstellungen - PVID: Die Port-PVID wird auf dieses VLAN eingestellt. Wenn sich die Schnittstelle im Zugriffs-Modus oder Trunk-Modus befindet, richtet das Gerät die Schnittstelle im VLAN automatisch als Mitglied ohne Tag ein. Wenn sich die Schnittstelle im allgemeinen Modus befindet, müssen Sie die VLAN-Mitgliedschaft manuell konfigurieren. SCHRITT 5 Klicken Sie auf Übernehmen. Die Einstellungen werden geändert und in die aktuelle Konfigurationsdatei geschrieben.
14 VLAN-Verwaltung VLAN-Gruppen Definieren von GVRP-Einstellungen So definieren Sie GVRP-Einstellungen für eine Schnittstelle: SCHRITT 1 Klicken Sie auf VLAN-Verwaltung > GVRP-Einstellungen. SCHRITT 2 Wählen Sie Globaler GVRP-Status aus, um GVRP global zu aktivieren. SCHRITT 3 Klicken Sie auf Übernehmen, um den globalen GVRP-Status einzustellen. SCHRITT 4 Wählen Sie einen Schnittstellentyp (Port oder LAG) aus und klicken Sie auf Los, um alle Schnittstellen dieses Typs anzuzeigen.
14 VLAN-Verwaltung VLAN-Gruppen Wenn mehrere Klassifizierungsschemas definiert sind, werden Pakete in der folgenden Reihenfolge einem VLAN zugewiesen: • Tag: Wenn das Paket über ein Tag verfügt, wird das VLAN dem Tag entnommen. • MAC-basiertes VLAN: Wenn ein MAC-basiertes VLAN definiert ist, wird das VLAN der Zuordnung von Quell-MAC zu VLAN an der Eingangsschnittstelle entnommen.
14 VLAN-Verwaltung VLAN-Gruppen SKU Systemmodus Unterstützung von MACbasierten VLAN-Gruppen SG500X Nativ Ja Basis-Hybrid – Schicht 2 Ja Basis-Hybrid – Schicht 3 Nein Wie Sx500 Ja SG500XG Workflow So definieren Sie eine MAC-basierte VLAN-Gruppe: 1. Weisen Sie die MAC-Adresse einer VLAN-Gruppen-ID zu (auf der Seite „MACbasierte Gruppen“). 2. Für jede erforderliche Schnittstelle: a. Weisen Sie die VLAN-Gruppe einem VLAN zu (auf der Seite „MAC-basierte Gruppen für VLAN“).
14 VLAN-Verwaltung VLAN-Gruppen • Gruppen-ID: Geben Sie eine benutzerdefinierte VLAN-Gruppen-ID ein. SCHRITT 4 Klicken Sie auf Übernehmen. Die MAC-Adresse wird einer VLAN-Gruppe zugewiesen. Zuordnen von VLAN-Gruppen zu VLANs pro Schnittstelle Unter Tabelle 1 finden Sie eine Beschreibung der Verfügbarkeit dieser Funktion. Ports/LAGs müssen sich im allgemeinen Modus befinden.
14 VLAN-Verwaltung VLAN-Gruppen Workflow So definieren Sie eine protokollbasierte VLAN-Gruppe: 1. Definieren Sie auf der Seite „Protokollbasierte Gruppen“ eine Protokollgruppe. 2. Weisen Sie auf der Seite „Protokollbasierte Gruppen zu VLAN“ die Protokollgruppe für jede Schnittstelle einem VLAN zu. Die Schnittstellen müssen sich im allgemeinen Modus befinden. Außerdem kann ihnen kein dynamisches VLAN (DVA) zugewiesen sein.
14 VLAN-Verwaltung VLAN-Gruppen • Protokollwert: Geben Sie das Protokoll für die LLC-SNAP-Kapselung (rfc 1042) ein. • DSAP-SSAP: Geben Sie diese Werte für die LLC-Kapselung ein. • Gruppen-ID: Geben Sie eine Protokollgruppen-ID ein. SCHRITT 4 Klicken Sie auf Übernehmen. Die Protokollgruppe wird hinzugefügt und in die aktuelle Konfigurationsdatei geschrieben.
14 VLAN-Verwaltung Voice-VLAN Voice-VLAN In einem LAN werden Sprachgeräte wie beispielsweise IP-Telefone, VoIPEndpunkte und Sprachsysteme im gleichen VLAN platziert. Dieses VLAN wird als Voice-VLAN bezeichnet. Wenn sich die Sprachgeräte in verschiedenen VoiceVLANs befinden, werden für die Kommunikation IP-Router (Schicht 3) benötigt.
14 VLAN-Verwaltung Voice-VLAN • Mit IP Centrex- oder ITSP-Host: Dieses Bereitstellungsmodell wird vom Cisco CP-79xx, von SPA5xx-Telefonen und von SPA8800-Endpunkten unterstützt. Bei diesem Modell wird das von den Telefonen verwendete VLAN durch die Netzwerkkonfiguration bestimmt. Getrennte Voice- und Daten-VLANs können verwendet werden, dies muss jedoch nicht der Fall sein. Die Telefone und VoIP-Endpunkte werden bei einem nicht vor Ort installierten SIP-Proxy in der „Cloud“ registriert.
14 VLAN-Verwaltung Voice-VLAN • Auto-Voice-VLAN Im Auto-Voice-VLAN-Modus kann das Voice-VLAN das Standard-VoiceVLAN sein, manuell konfiguriert werden oder von externen Geräten wie beispielsweise einem UC3xx oder UC5xx und von Switches, die das VoiceVLAN in CDP oder VSDP ankündigen, gelernt werden. VSDP ist ein von Cisco definiertes Protokoll für die Erkennung von Sprachservices.
14 VLAN-Verwaltung Voice-VLAN Auto-Voice-VLAN, Auto-Smartports, CDP und LLDP Standardeinstellungen Gemäß den Werkseinstellungen sind CDP, LLDP und LLDP-MED im Gerät aktiviert, Auto-Smartport ist aktiviert, der QoS-Basismodus mit vertrauenswürdigem DSCP ist aktiviert und alle Ports sind Mitglieder von Standard-VLAN 1, das auch dem Standard-Voice-VLAN entspricht.
14 VLAN-Verwaltung Voice-VLAN • Wenn mehrere Nachbar-Switches und/oder -Router (beispielsweise Unified Communications-Geräte (UC) von Cisco) ihr Voice-VLAN ankündigen, wird das Voice-VLAN des Geräts mit der niedrigsten MAC-Adresse verwendet. HINWEIS Wenn Sie das Gerät mit einem UC-Gerät von Cisco verbinden möchten, müssen Sie möglicherweise den Port am UC-Gerät mit dem Befehl switchport voice vlan konfigurieren, um sicherzustellen, dass das UCGerät sein Voice-VLAN in CDP am Port ankündigt.
14 VLAN-Verwaltung Voice-VLAN • Wenn sich ein Gerät, das eine Verbindung mit einem Port herstellt, über CDP und/oder LLDP als Sprachendpunkt ankündigt, wird der Port von AutoSmartport automatisch dem Voice-VLAN hinzugefügt. Dazu wird das entsprechende Smartport-Makro auf den Port angewendet (wenn keine anderen Geräte am Port vorhanden sind, die eine im Konflikt stehende oder höhere Funktion ankündigen).
14 VLAN-Verwaltung Voice-VLAN • Das Voice-VLAN unterstützt DVA (Dynamic VLAN Assignment) nicht. • Das Voice-VLAN kann nicht das Gast-VLAN sein, wenn sich das Voice-VLAN im OUI-Modus befindet. Wenn sich das Voice-VLAN im Modus „Autom.“ befindet, kann das Voice-VLAN das Gast-VLAN sein. • Die Voice-VLAN-QoS-Entscheidung hat Priorität vor allen anderen QoSEntscheidungen, ausgenommen die Richtlinie/ACL QoS-Entscheidung.
14 VLAN-Verwaltung Voice-VLAN SCHRITT 7 Konfigurieren Sie LLDP/CDP gemäß der Beschreibung im Abschnitt Konfigurieren von LLDP bzw. Konfigurieren von CDP. SCHRITT 8 Aktivieren Sie die Smartport-Funktion an den relevanten Ports auf der Seite „Smartport > Schnittstelleneinstellungen“. HINWEIS Schritt 7 und Schritt 8 sind optional, da sie standardmäßig aktiviert sind. Workflow 2: So konfigurieren Sie die Telefonie-OUI-Methode: SCHRITT 1 Öffnen Sie die Seite „VLAN-Verwaltung > Voice-VLAN > Eigenschaften“.
14 VLAN-Verwaltung Voice-VLAN • Konfigurieren Sie den Voice-VLAN-Modus (Telefonie-OUI oder Auto-VoiceVLAN). • Konfigurieren Sie, wie Auto-Voice-VLAN ausgelöst wird. So können Sie Voice-VLAN-Eigenschaften anzeigen und konfigurieren: SCHRITT 1 Klicken Sie auf VLAN-Verwaltung > Voice-VLAN > Eigenschaften. • Die im Gerät konfigurierten Voice-VLAN-Einstellungen werden im Block Voice-VLAN-Einstellungen (Administrationsstatus) angezeigt.
14 VLAN-Verwaltung Voice-VLAN • Auto-Voice-VLAN-Aktivierung: Wenn Auto-Voice-VLAN aktiviert wurde, wählen Sie eine der folgenden Optionen aus, um Auto-Voice-VLAN zu aktivieren: - Sofort: Auto-Voice-VLAN wird für das Gerät sofort aktiviert und verwendet, sofern die Option aktiviert ist. - Durch externen Voice-VLAN-Auslöser : Auto-Voice-VLAN wird nur dann für das Gerät aktiviert und verwendet, wenn das Gerät ein Gerät erkennt, das das Voice-VLAN ankündigt.
14 VLAN-Verwaltung Voice-VLAN • Quelltyp: Zeigt den Typ der Quelle an, in der das Voice-VLAN vom RootGerät erkannt wurde. • CoS/802.1p: Zeigt CoS/802.1p-Werte an, die von LLDP MED als Netzwerkrichtlinie für Sprachverkehr verwendet werden sollen. • DSCP: Zeigt DSCP-Werte an, die von LLDP MED als Netzwerkrichtlinie für Sprachverkehr verwendet werden sollen. • MAC-Adresse des Root-Switch: Die MAC-Adresse des Root-Geräts für Auto-Voice-VLAN, das das Voice-VLAN erkennt bzw.
14 VLAN-Verwaltung Voice-VLAN - LLDP: In dem UC, das die Voice-VLAN-Konfiguration angekündigt hat, wird LLDP ausgeführt. - Voice-VLAN-ID: Die Kennung des angekündigten oder konfigurierten Voice-VLANs. • Voice-VLAN-ID: Die Kennung des aktuellen Voice-VLANs. • CoS/802.1p: Die angekündigten oder konfigurierten CoS/802.1p-Werte, die von LLDP MED als Netzwerkrichtlinie für Sprache verwendet werden.
14 VLAN-Verwaltung Voice-VLAN Hinzufügen von OUIs zur Telefonie-OUI-Tabelle Auf der Seite „Telefonie-OUI“ können Sie QoS-Eigenschaften für Telefonie-OUIs konfigurieren. Außerdem können Sie die Fälligkeitszeit für die automatische Mitgliedschaft konfigurieren. Wenn der angegebene Zeitraum ohne Telefonieaktivitäten verstreicht, wird der Port aus dem Voice-VLAN entfernt. Auf der Seite „Telefonie-OUI“ können Sie die vorhandenen OUIs anzeigen und neue OUIs hinzufügen.
14 VLAN-Verwaltung Voice-VLAN SCHRITT 5 Geben Sie Werte für die folgenden Felder ein: • Telefonie-OUI: Geben Sie eine neue OUI ein. • Beschreibung: Geben Sie einen OUI-Namen ein. SCHRITT 6 Klicken Sie auf Übernehmen. Die OUI wird der Telefonie-OUI-Tabelle hinzugefügt.
14 VLAN-Verwaltung Zugriffsport-Multicast-TV-VLAN • Telefonie-OUI-QoS-Modus: Wählen Sie eine der folgenden Optionen aus: - Alle: Die QoS-Attribute werden auf alle Pakete angewendet, die für das Voice-VLAN klassifiziert sind. - MAC-Adresse der Telefoniequelle: Die QoS-Attribute werden nur auf Pakete von IP-Telefonen angewendet. SCHRITT 4 Klicken Sie auf Übernehmen. Die OUI wird hinzugefügt.
14 VLAN-Verwaltung Zugriffsport-Multicast-TV-VLAN Jedes VLAN kann als Multicast-TV-VLAN konfiguriert werden. Ein einem MulticastTV-VLAN zugewiesener Port: • Tritt dem Multicast-TV-VLAN bei. • Pakete, die Egress-Ports im Multicast-TV-VLAN passieren, sind ungetaggt. • Der Frame-Typ des Ports ist auf Alle zulassen festgelegt, sodass ungetaggte Pakete zulässig sind (siehe Konfigurieren der VLANSchnittstelleneinstellungen). Die Multicast-TV-VLAN-Konfiguration wird pro Port definiert.
14 VLAN-Verwaltung Zugriffsport-Multicast-TV-VLAN Unterschiede zwischen regulären VLANs und Multicast-TVVLANs Merkmale von regulären VLANs im Vergleich zu Multicast-TV-VLANs Reguläres VLAN Multicast-TV-VLAN Der Quellport und alle Empfängerports müssen statische Mitglieder des gleichen Daten-VLANs sein. Der Quellport und die Empfängerports können nicht Mitglieder des gleichen Daten-VLANs sein. Gruppenregistrierung Die MulticastGruppenregistrierung ist immer dynamisch.
14 VLAN-Verwaltung Zugriffsport-Multicast-TV-VLAN Multicast-TV-Gruppe zu VLAN So definieren Sie die Multicast-TV-VLAN-Konfiguration: SCHRITT 1 Klicken Sie auf VLAN-Verwaltung > Zugriffsport-Multicast-TV-VLAN > Multicast- Gruppe zu VLAN. Die folgenden Felder werden angezeigt: • Multicast-Gruppe: Die IP-Adresse der Multicast-Gruppe. • Multicast-TV-VLAN: Das VLAN, dem die Multicast-Pakete zugewiesen werden. SCHRITT 2 Klicken Sie auf Hinzufügen, um eine Multicast-Gruppe einem VLAN zuzuordnen.
14 VLAN-Verwaltung Kundenport-Multicast-TV-VLAN Kundenport-Multicast-TV-VLAN Ein Triple-Play-Service stellt drei Breitbandservices über eine einzige Breitbandverbindung bereit: • Hochgeschwindigkeits-Internetzugriff • Video • Sprache Der Triple-Play-Service wird für Teilnehmer eines Dienstanbieters bereitgestellt, wobei die Schicht-2-Isolation zwischen den Teilnehmern aufrechterhalten wird. Jeder Teilnehmer hat eine CPE-MUX-Box.
14 VLAN-Verwaltung Kundenport-Multicast-TV-VLAN Workflow 1. Konfigurieren Sie einen Zugriffsport als Kundenport (auf der Seite „VLANVerwaltung > Schnittstelleneinstellungen“). Weitere Informationen finden Sie unter QinQ. 2. Konfigurieren Sie den Netzwerkport als Trunk-Port oder allgemeinen Port mit Teilnehmer und Multicast-TV-VLAN als VLANs mit Tag. (Verwenden Sie dazu die Seite „VLAN-Verwaltung > Schnittstelleneinstellungen“.) 3. Erstellen Sie ein Multicast-TV-VLAN mit bis zu 4094 verschiedenen VLANs.
14 VLAN-Verwaltung Kundenport-Multicast-TV-VLAN CPE-Port-Multicast-VLAN-Mitgliedschaft Die den Multicast-VLANs zugeordneten Ports müssen als Kundenports konfiguriert werden (siehe Konfigurieren der VLANSchnittstelleneinstellungen). Auf der Seite „Port-Multicast-VLAN-Mitgliedschaft“ können Sie diese Ports wie unter Port-Multicast-VLAN-Mitgliedschaft beschrieben Multicast-TV-VLANs zuordnen.
15 Spanning Tree In diesem Abschnitt wird das Spanning Tree-Protokoll (STP) (IEEE802.1D und IEEE802.1Q) beschrieben.
15 Spanning Tree Konfigurieren des STP-Status und der globalen Einstellungen STP ermöglicht für jede beliebige Anordnung von Switches und verbindenden Links eine Baumtopologie, die für eindeutige Pfade zwischen den Endstationen eines Netzwerks sorgt und somit Schleifen verhindert. Das Gerät unterstützt die folgenden Versionen des Spanning Tree-Protokolls: • Classic STP: Sorgt dafür, dass zwischen zwei beliebigen Endstationen immer nur ein einziger Pfad besteht und verhindert dadurch Schleifen.
Spanning Tree Konfigurieren des STP-Status und der globalen Einstellungen 15 So legen Sie den STP-Status und die globalen Einstellungen fest: SCHRITT 1 Klicken Sie auf Spanning Tree > STP-Status und globale Einstellungen. SCHRITT 2 Geben Sie die Parameter ein. Globale Einstellungen: • Spanning Tree-Status: Aktivieren oder deaktivieren Sie STP für das Gerät. • STP-Betriebsmodus: Wählen Sie den STP-Betriebsmodus aus.
15 Spanning Tree Festlegen von Spanning Tree-Schnittstelleneinstellungen • Weiterleitungsverzögerung: Legen Sie das Intervall in Sekunden fest, in dem eine Bridge in einem Lernstatus verbleibt, bevor sie Pakete weiterleitet. Weitere Informationen finden Sie unter Festlegen von Spanning TreeSchnittstelleneinstellungen. Designierte Root: • Bridge-ID: Eine Verkettung aus Bridge-Priorität und MAC-Adresse des Geräts.
Spanning Tree Festlegen von Spanning Tree-Schnittstelleneinstellungen 15 SCHRITT 3 Geben Sie die Parameter ein. • Schnittstelle: Wählen Sie den Port oder die LAG aus, für den bzw. die Spanning Tree konfiguriert wird. • STP: Aktiviert oder deaktiviert STP für den Port. • Edge-Port: Aktiviert oder deaktiviert Fast Link für den Port. Wenn der Fast Link-Modus für einen Port aktiviert ist, wird für den Port automatisch der Weiterleitungsstatus festgelegt, sofern der Port-Link aktiv ist.
15 Spanning Tree Festlegen von Spanning Tree-Schnittstelleneinstellungen Vorgang den Port, für den BPDU konfiguriert ist. In diesem Fall wird eine BPDU-Nachricht empfangen und ein entsprechender SNMP-Trap generiert. • - Globale Einstellungen verwenden: Wählen Sie diese Option, um die auf der Seite „STP-Status und globale Einstellungen“ definierten Einstellungen zu verwenden. - Filterung: Filtert BPDU-Pakete, wenn Spanning Tree bei einer Schnittstelle deaktiviert ist.
Spanning Tree Konfigurieren der Einstellungen für Rapid Spanning Tree 15 • Designierte Port-ID: Zeigt die Priorität und Schnittstelle des ausgewählten Ports an. • Designierte Kosten: Zeigt die Kosten des Ports an, der Bestandteil der STPTopologie ist. Ports mit niedrigeren Kosten werden mit geringerer Wahrscheinlichkeit blockiert, wenn STP Schleifen entdeckt. • Weiterleitungswechsel: Zeigt an, wie oft der Port vom Status Blockieren in den Status Weiterleitung gewechselt ist.
15 Spanning Tree Konfigurieren der Einstellungen für Rapid Spanning Tree SCHRITT 4 Wenn mittels STP ein Verbindungspartner ermittelt wurde, klicken Sie auf Protokollmigration aktivieren, um einen Protokollmigrationstest durchzuführen. Dadurch wird ermittelt, ob der STP verwendende Verbindungspartner noch immer vorhanden ist, und falls ja, ob dieser zu „RSTP“ oder „MSTP“ migriert ist. Falls noch immer eine STP-Verbindung besteht, kommuniziert das Gerät weiterhin über STP mit dieser.
Spanning Tree Konfigurieren der Einstellungen für Rapid Spanning Tree - 15 Backup: Bietet einen Backup-Pfad für den designierten Port-Pfad zu den Spanning Tree-Endelementen. Dadurch entsteht eine Konfiguration, bei der zwei Ports über eine Punkt-zu-Punkt-Verbindung in einer Schleife verbunden sind. Backup-Ports werden auch genutzt, wenn bei einem LAN mindestens zwei Verbindungen mit einem gemeinsam genutzten Segment bestehen. - Deaktiviert: Der Port ist kein Bestandteil des Spanning Trees.
15 Spanning Tree Multiple Spanning Tree Multiple Spanning Tree Multiple Spanning Tree Protocol (MSTP) wird verwendet, um den STP-Portstatus zwischen verschiedenen Domänen (in verschiedenen VLANs) zu trennen. So kann beispielsweise Port A in einer STP-Instanz aufgrund einer Schleife in VLAN A blockiert werden und gleichzeitig in einer anderen STP-Instanz im Weiterleitungsstatus arbeiten. Auf der Seite „MSTP-Eigenschaften“ können Sie die globalen MSTP-Einstellungen definieren. So konfigurieren Sie MSTP: 1.
15 Spanning Tree Festlegen von MSTP-Eigenschaften Damit eine MST-Region zwei oder mehr Switches enthalten kann, müssen diese dieselbe Instanzzuordnung zwischen VLANs und MST aufweisen sowie dieselbe Konfigurationsversionsnummer und denselben Regionsnamen. Switches, die in derselben MST-Region verwendet werden sollen, werden niemals durch Switches einer anderen MST-Region getrennt. Wenn sie getrennt werden, werden aus der Region zwei separate Regionen.
15 Spanning Tree Zuordnen von VLANs zu einer MSTP-Instanz Zuordnen von VLANs zu einer MSTP-Instanz Auf der Seite „VLAN zu MSTP-Instanz“ können Sie jedes VLAN einer Multiple Spanning Tree-Instanz (MSTI) zuordnen. Damit Geräte zu derselben Region gehören können, müssen sie jeweils dieselbe Zuordnung zwischen VLANs und MSTIs aufweisen. HINWEIS Einer MSTI können mehrere VLANs zugeordnet werden, aber einem VLAN kann nur eine MST-Instanz zugeordnet werden.
Spanning Tree Definieren von MSTP-Instanzeinstellungen 15 Definieren von MSTP-Instanzeinstellungen Auf der Seite „MSTP-Instanzeinstellungen“ können Sie Parameter für einzelne MST-Instanzen konfigurieren und anzeigen. Diese Einstellungen sind das instanzspezifische Äquivalent zum Abschnitt Konfigurieren des STP-Status und der globalen Einstellungen. So geben Sie Einstellungen für MSTP-Instanzen ein: SCHRITT 1 Klicken Sie auf Spanning Tree > MSTP-Instanzeinstellungen. SCHRITT 2 Geben Sie die Parameter ein.
15 Spanning Tree Festlegen von MSTP-Schnittstelleneinstellungen Festlegen von MSTP-Schnittstelleneinstellungen Auf der Seite „MSTP-Schnittstelleneinstellungen“ können Sie die MSTPPorteinstellungen für die einzelnen MST-Instanzen konfigurieren und Informationen anzeigen, die zurzeit in das Protokoll aufgenommen werden, beispielsweise die designierte Bridge für die jeweilige MST-Instanz.
Spanning Tree Festlegen von MSTP-Schnittstelleneinstellungen 15 - Mithören: Der Port in dieser Instanz befindet sich im Mithören-Modus. Der Port kann keinen Datenverkehr weiterleiten und nicht über MACAdressen informiert werden. - Lernen: Der Port in dieser Instanz befindet sich im Lernen-Modus. Der Port kann keinen Datenverkehr weiterleiten, er kann jedoch über MACAdressen informiert werden. - Weiterleiten: Der Port in dieser Instanz befindet sich im WeiterleitenModus.
15 Spanning Tree Festlegen von MSTP-Schnittstelleneinstellungen • Wenn der Verbindungspartner STP verwendet, lautet der angezeigte Portmodus „STP“. Typ: Zeigt den MST-Typ des Ports an. - Grenze: Ein Grenzport verknüpft MST-Bridges mit einem LAN in einer Remote-Region. Falls es sich bei dem Port um einen Grenzport handelt, wird auch angezeigt, ob das Gerät auf der anderen Seite der Verknüpfung im RSTP-Modus oder im STP-Modus betrieben wird.
16 Verwalten von MAC-Adresstabellen In diesem Abschnitt wird beschrieben, wie Sie dem System MAC-Adressen hinzufügen. Die folgenden Themen werden behandelt: • Konfigurieren von statischen MAC-Adressen • Verwalten von dynamischen MAC-Adressen • Definieren reservierter MAC-Adressen MAC-Adresstypen Es gibt zwei MAC-Adresstypen: statisch und dynamisch.
16 Verwalten von MAC-Adresstabellen Konfigurieren von statischen MAC-Adressen Konfigurieren von statischen MAC-Adressen Statische MAC-Adressen werden einer bestimmten physischen Schnittstelle und einem bestimmten VLAN des Geräts zugewiesen. Wenn diese Adresse an einer anderen Schnittstelle erkannt wird, wird sie ignoriert und nicht in die Adresstabelle geschrieben. So definieren Sie eine statische Adresse: SCHRITT 1 Klicken Sie auf MAC-Adresstabellen > Statische Adressen.
Verwalten von MAC-Adresstabellen Verwalten von dynamischen MAC-Adressen 16 Verwalten von dynamischen MAC-Adressen Die Tabelle der dynamischen Adressen (Bridging-Tabelle) enthält die MACAdressen, die durch Überwachen der Quelladressen von am Gerät eingehenden Frames ermittelt werden. Um das Überlaufen dieser Tabelle zu verhindern und Platz für neue MACAdressen freizugeben, wird eine Adresse gelöscht, wenn über einen bestimmten Zeitraum kein entsprechender Verkehr empfangen wird.
16 Verwalten von MAC-Adresstabellen Definieren reservierter MAC-Adressen SCHRITT 4 Klicken Sie auf Los. Die Tabelle der dynamischen MAC-Adressen wird abgefragt und die Ergebnisse angezeigt. Zum Löschen aller dynamischen MAC-Adressen klicken Sie auf Tabelle löschen. Definieren reservierter MAC-Adressen Wenn das Gerät einen Frame mit einer Ziel-MAC-Adresse empfängt, die zu einem reservierten Bereich gehört (gemäß IEEE-Standard), kann der Frame verworfen oder überbrückt werden.
17 Multicast In diesem Abschnitt wird die Funktion der Multicast-Weiterleitung beschreiben.
17 Multicast Multicast-Weiterleitung Damit die Multicast-Weiterleitung in IP-Subnetzen funktioniert, müssen die Knoten und Router Multicast-fähig sein. Ein Multicast-fähiger Knoten muss folgende Funktionen erfüllen: • Senden und Empfangen von Multicast-Paketen. • Registrieren der Multicast-Adressen, die der Knoten mit lokalen Routern abhört, damit lokale und entfernte Router das Multicast-Paket an die Knoten übertragen können.
17 Multicast Multicast-Weiterleitung In einem Schicht-2-Multicast-Service empfängt ein Schicht-2-Switch einen einzelnen Frame, der an eine bestimmte Multicast-Adresse gerichtet ist. Er erstellt Kopien des Frames, die an die jeweiligen Ports übertragen werden.
17 Multicast Multicast-Weiterleitung Folgende Versionen werden unterstützt: • IGMP v1/v2/ v3 • MLD v1/v2 • Ein einfacher IGMP-Snooping-Abfrager Zur Unterstützung des IGMP-Protokolls in einem bestimmten Subnetz ist ein IGMP-Abfrager erforderlich. Im Allgemeinen ist ein Multicast-Router gleichzeitig ein IGMP-Abfrager. Wenn mehrere IGMP-Abfrager in einem Subnetz vorhanden sind, wählen die Abfrager einen einzigen Abfrager als Hauptabfrager aus.
17 Multicast Definieren von Multicast-Eigenschaften - Bei IPv6 erfolgt die Zuordnung, indem die unteren 32 Bit der MulticastAdresse dem Präfix 33:33 angefügt werden. Die IPv6-Multicast-Adresse FF00:1122:3344 wird beispielsweise der Schicht-2-Multicast-Adresse 33:33:11:22:33:44 zugeordnet. Definieren von Multicast-Eigenschaften Auf der Seite „Eigenschaften“ können Sie den Bridge-Multicast-Filterstatus konfigurieren. Standardmäßig werden alle Multicast-Frames an alle Ports im VLAN geflutet.
17 Multicast Hinzufügen von MAC-Gruppenadressen Durch Auswahl des Weiterleitungsmodus können Sie die Methode definieren, die die Hardware zur Erkennung von Multicast-Flow verwendet. Hierzu können Sie eine der folgenden Optionen verwenden: MAC-Gruppenadresse, IPGruppenadresse oder Quellspezifische IP-Gruppenadresse. (S,G) wird von IGMPv3 und MLDv2 unterstützt. IGMPv1/2 und MLDv1 unterstützen dagegen nur (*,G), das heißt lediglich die Gruppen-ID.
Multicast Hinzufügen von MAC-Gruppenadressen 17 Wenn ein Frame von einem VLAN empfangen wird, das für die Weiterleitung von Multicast-Strömen an MAC-Gruppenadressen konfiguriert ist, und die Zieladresse eine Schicht-2-Multicast-Adresse ist, wird der Frame an alle Ports weitergeleitet, die Mitglied der MAC-Gruppenadresse sind.
17 Multicast Hinzufügen von MAC-Gruppenadressen SCHRITT 5 Geben Sie die Parameter ein. • VLAN-ID: Definiert die VLAN-ID der neuen Multicast-Gruppe. • MAC-Gruppenadresse: Definiert die MAC-Adresse der neuen MulticastGruppe. SCHRITT 6 Klicken Sie auf Übernehmen. Die MAC-Multicast-Gruppe wird in der aktuellen Konfigurationsdatei gespeichert. Zum Konfigurieren und Anzeigen der Registrierung der Schnittstellen in der Gruppe, wählen Sie eine Adresse aus, und klicken Sie auf Details.
Multicast Hinzufügen von IP-Multicast-Gruppenadressen 17 Hinzufügen von IP-Multicast-Gruppenadressen Die Seite „IP-Multicast-Gruppenadresse“ ähnelt der Seite „MACGruppenadresse“ mit der Ausnahme, dass Multicast-Gruppen durch IP-Adressen identifiziert werden. Auf der Seite „IP-Multicast-Gruppenadresse“ können Sie IP-Multicast-Gruppen abfragen und hinzufügen. Gehen Sie wie folgt vor, um IP-Multicast-Gruppen zu definieren und anzuzeigen: SCHRITT 1 Klicken Sie auf Multicast > IP-Multicast-Gruppenadresse.
17 Multicast Konfigurieren von IGMP-Snooping • IP-Multicast-Gruppenadresse: Definiert die IP-Adresse der neuen Multicast-Gruppe. • Quellspezifisch: Zeigt an, dass der Eintrag eine bestimmte Quelle enthält, und fügt die Adresse im Feld Quell-IP-Adresse ein. Ist dies nicht der Fall, wird der Eintrag als (*,G)-Eintrag mit einer IP-Gruppenadresse einer beliebigen IPQuelle hinzugefügt. • Quell-IP-Adresse: Definiert die Quelladresse, die eingefügt werden soll. SCHRITT 7 Klicken Sie auf Übernehmen.
17 Multicast Konfigurieren von IGMP-Snooping Standardmäßig leitet ein Schicht-2-Gerät Multicast-Frames an alle Ports des entsprechenden VLAN weiter, wobei der Frame im Wesentlichen wie ein Broadcast behandelt wird. Mit IGMP-Snooping leitet das Gerät Multicast-Frames an Ports weiter, an denen Multicast-Clients registriert sind. HINWEIS Das Gerät unterstützt IGMP-Snooping nur für statische VLANs. Für dynamische VLANs unterstützt es kein IGMP-Snooping.
17 Multicast Konfigurieren von IGMP-Snooping Wenn IGMP-Snooping global aktiviert ist, kann das den Netzwerkverkehr überwachende Gerät erkennen, welche Hosts eine Anfrage zum Empfang von Multicast-Verkehr gestellt haben. Das Gerät führt nur dann IGMP-Snooping aus, wenn sowohl IGMP-Snooping als auch Bridge-Multicast-Filterung aktiviert sind. SCHRITT 3 Wählen Sie ein VLAN aus, und klicken Sie auf Bearbeiten. In einem Netzwerk kann nur jeweils ein IGMP-Abfrager vorhanden sein.
17 Multicast Konfigurieren von IGMP-Snooping • Abfragezähler letztes Mitglied für Betrieb: Geben Sie die Anzahl der gruppenspezifischen IGMP-Abfragen ein, die gesendet wurden, bevor das Gerät annimmt, dass keine Mitglieder mehr in der Gruppe vorhanden sind, wenn das Gerät der ausgewählte Abfrager ist. • Abfragezähler letztes Mitglied für Betrieb: Zeigt den Wert für das letzte Mitglied des Abfragezähler für Betrieb an.
17 Multicast MLD-Snooping MLD-Snooping Hosts verwenden das MLD-Protokoll, um ihre Teilnahme an Multicast-Sitzungen zu melden. Das Gerät verwendet MLD-Snooping, um Multicast-Mitgliedschaftslisten zu erstellen. Auf der Grundlage dieser Listen werden Multicast-Pakete nur an Geräteports weitergeleitet, an denen Hostknoten vorhanden sind, die Mitglieder der Multicast-Gruppen sind. Das Gerät unterstützt keine MLD-Abfrager.
17 Multicast MLD-Snooping So aktivieren Sie MLD-Snooping und konfigurieren es auf einem VLAN: SCHRITT 1 Klicken Sie auf Multicast > MLD-Snooping. SCHRITT 2 Aktivieren oder deaktivieren Sie den MLD-Snooping-Status. Wenn MLD- Snooping global aktiviert ist, kann das den Netzwerkverkehr überwachende Gerät erkennen, welche Hosts eine Anfrage zum Empfang von Multicast-Verkehr gestellt haben. Das Gerät führt nur dann MLD-Snooping aus, wenn sowohl MLD-Snooping als auch Bridge-Multicast-Filterung aktiviert sind.
17 Multicast Abfragen von IGMP/MLD-IP-Multicast-Gruppen • Max. Abfrageantwortintervall für Betrieb: Geben Sie die Verzögerung ein, mit der der maximale Antwortcode berechnet werden soll, der in den allgemeinen Abfragen eingegeben wurde. • Abfragezähler letztes Mitglied: Geben Sie den Wert für den Abfragezähler für das letzte Mitglied ein, der verwendet werden soll, wenn das Gerät den Wert nicht aus den Nachrichten ableiten kann, die vom ausgewählten Abfrager gesendet wurden.
Multicast Definieren von Multicast-Router-Ports 17 Gehen Sie wie folgt vor, um eine IP-Multicast-Gruppe abzufragen: SCHRITT 1 Klicken Sie auf Multicast > IGMP/MLD-IP-Multicast-Gruppe. SCHRITT 2 Legen Sie den Typ der Snooping-Gruppe fest, nach dem gesucht werden soll: IGMP oder MLD. SCHRITT 3 Geben Sie einige oder alle der folgenden Abfragefilterkriterien ein: • Gruppenadresse ist gleich: Definiert die MAC-Adresse oder IP-Adresse der Multicast-Gruppe, die abgefragt werden soll.
17 Multicast Definieren von Multicast-Router-Ports So können Sie mit dem Multicast-Router verbundene dynamisch erkannte Ports statisch konfigurieren oder anzeigen: SCHRITT 1 Klicken Sie auf Multicast > Multicast-Router-Port. SCHRITT 2 Geben Sie einige oder alle der folgenden Abfragefilterkriterien ein: • VLAN-ID ist gleich: Wählen Sie die VLAN-ID für die beschriebenen RouterPorts aus. • IP-Version ist gleich: Wählen Sie die vom Multicast-Router unterstützte IPVersion aus.
Multicast Definieren des Multicast-Merkmals „Alle weiterleiten“ 17 Definieren des Multicast-Merkmals „Alle weiterleiten“ Auf der Seite „Alle weiterleiten“ können Sie die Ports und/oder LAGs konfigurieren, die Multicast-Ströme von einem bestimmten VLAN empfangen sollen, sowie die Konfiguration anzeigen. Für diese Funktion muss die BridgeMulticast-Filterung auf der Seite „Eigenschaften“ aktiviert sein. Wenn die Filterung deaktiviert ist, wird der gesamte Multicast-Verkehr an Ports auf dem Gerät geflutet.
17 Multicast Definieren der Einstellungen für nicht registriertes Multicast Definieren der Einstellungen für nicht registriertes Multicast Multicast-Frames werden im Allgemeinen an alle Ports im VLAN weitergeleitet. Wenn IGMP/MLD-Snooping aktiviert ist, lernt das Gerät das Vorhandensein von Multicast-Gruppen und überwacht, welche Ports welcher Multicast-Gruppe beigetreten sind. Es ist auch möglich, Multicast-Gruppen statisch zu konfigurieren.
Multicast Definieren der Einstellungen für nicht registriertes Multicast 17 SCHRITT 3 Klicken Sie auf Übernehmen. Die Einstellungen werden gespeichert und die aktuelle Konfigurationsdatei wird aktualisiert.
18 IP-Konfiguration IP-Schnittstellenadressen können manuell vom Benutzer oder automatisch von einem DHCP-Server konfiguriert werden. Dieser Abschnitt enthält Informationen zum Definieren der Geräte-IP-Adressen (manuell oder durch Konfigurieren des Geräts als DHCP-Client).
18 IP-Konfiguration Übersicht • Im Schicht-3-Systemmodus verfügt das Gerät sowohl über IP-RoutingFunktionen als auch über Funktionen des Schicht-2-Systemmodus. In diesem Systemmodus behält ein Schicht-3-Port einen großen Teil der Schicht-2-Funktionalität, beispielsweise das Spanning Tree-Protokoll und die VLAN-Mitgliedschaft.
18 IP-Konfiguration Übersicht Wenn das Gerät innerhalb von 60 Sekunden keine DHCPv4-Antwort erhält, sendet es weiterhin DHCPDISCOVER-Anfragen und übernimmt die Standard-IPv4Adresse: 192.168.1.254/24. IP-Adresskollisionen erfolgen, wenn dieselbe IP-Adresse im selben IP-Subnetz von mehr als einem Gerät verwendet wird. Adresskollisionen erfordern administrative Maßnahmen am DHCP-Server und/oder an den Geräten, die an der Kollision mit dem Gerät beteiligt sind.
18 IP-Konfiguration Übersicht Schicht-3-IP-Adressierung Im Schicht-3-Systemmodus kann das Gerät über mehrere IP-Adressen verfügen. Jede IP-Adresse kann bestimmten Ports, LAGs oder VLANs zugeordnet werden. Diese IP-Adressen werden auf den Seiten „IPv4-Schnittstelle“ und „IPv6Schnittstellen“ im Schicht-3-Systemmodus konfiguriert. Dies bietet eine größere Netzwerkflexibilität gegenüber dem Schicht-2-Systemmodus, in dem nur eine einzige IP-Adresse konfiguriert werden kann.
18 IP-Konfiguration Übersicht Wenn sich der Switch im Schicht-2-Systemmodus befindet, werden die folgenden Regeln unterstützt: • Es wird nur eine Loopback-Schnittstelle unterstützt. • Es können zwei IPv4-Schnittstellen konfiguriert werden: eine auf einem VLAN- oder Ethernet-Port und eine weitere auf der Loopback-Schnittstelle. • Wenn die IPv4-Adresse auf dem Standard-VLAN konfiguriert wurde und das Standard-VLAN geändert wird, verschiebt der Switch die IPv4-Adresse auf den neuen Standard-VLAN.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen IPv4-Verwaltung und -Schnittstellen IPv4-Schnittstelle IPv4-Schnittstellen können auf dem Gerät definiert werden, wenn es sich im Schicht-2- oder Schicht-3-Systemmodus befindet. Definieren einer IPv4-Schnittstelle im Schicht-2-Systemmodus Dieser Abschnitt ist für die folgenden Geräte nicht relevant: SG500X, ESW2-550X oder SG500XG.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Konfigurieren Sie zum Konfigurieren einer statischen IP-Adresse die folgenden Felder: • IP-Adresse: Geben Sie die IP-Adresse ein und konfigurieren Sie jeweils eines der folgenden Felder für die Maske: - Netzwerkmaske: Wählen Sie die IP-Adressmaske, und geben Sie sie ein. - Präfixlänge: Wählen Sie die IPv4-Präfixlänge, und geben Sie sie ein.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen SCHRITT 3 Klicken Sie auf Übernehmen. Die IPv4-Schnittstelleneinstellungen werden in die aktuelle Konfigurationsdatei geschrieben. Definieren einer IPv4-Schnittstelle im Schicht-3-Systemmodus Die Seite IPv4-Schnittstelle wird verwendet, wenn sich das Gerät im Schicht-3Systemmodus befindet. In diesem Modus können mehrere IP-Adressen für die Geräteverwaltung konfiguriert werden, und es stehen Routing-Services zur Verfügung.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen • IP-Adresstyp: Als statisch oder „DHCP“ definierte IP-Adresse. - Dynamische IP-Adresse: Vom DHCP-Server abgerufen. - Statisch: Manuell eingegeben. • IP-Adresse: Konfigurierte IP-Adresse für die Schnittstelle. • Maske: Konfigurierte IP-Adressmaske. • Status: Ergebnis der Prüfung auf IP-Adressduplikation. - Mit Vorbehalt: Die Prüfung auf IP-Adressduplikation hat kein endgültiges Resultat ergeben.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen SCHRITT 6 Wählen Sie „Dynamische Adresse“ oder „Statische Adresse“ aus. SCHRITT 7 Wenn Sie Statische Adresse ausgewählt haben, geben Sie die IP-Adresse für diese Schnittstelle ein, und geben Sie eines der folgenden Felder ein: • Netzwerkmaske: Die IP-Maske für diese Adresse. • Präfixlänge: Länge des IPv4-Präfixes. SCHRITT 8 Klicken Sie auf Übernehmen. Die IPv4-Adresseinstellungen werden in die aktuelle Konfigurationsdatei geschrieben.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen • • • Maske: Wählen Sie unter folgenden Optionen aus, und geben Sie die entsprechenden Informationen ein: - Netzwerkmaske: Das IP-Routenpräfix für die IP-Zieladresse. - Präfixlänge: Das IP-Routenpräfix für die IP-Zieladresse. Routentyp: Wählen Sie den Routentyp. - Ablehnen: Ablehnen der Route und Beenden des Routing zum Zielnetzwerk über alle Gateways.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen ARP Das Gerät verwaltet eine ARP-Tabelle (Address Resolution Protocol) für alle bekannten Geräte, die sich in den direkt mit dem Gerät verbundenen IP-Subnetzen befinden. Ein direkt verbundenes IP-Subnetz ist ein Subnetz, mit dem eine IPv4Schnittstelle des Geräts verbunden ist. Wenn das Gerät ein Paket an ein lokales Gerät senden bzw. routen muss, sucht es in der ARP-Tabelle nach der MACAdresse des Geräts.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen SCHRITT 3 Klicken Sie auf Übernehmen. Die globalen ARP-Einstellungen werden in die aktuelle Konfigurationsdatei geschrieben. In der ARP-Tabelle werden die folgenden Felder angezeigt: • Schnittstelle: Die IPv4-Schnittstelle des direkt verbundenen IP-Subnetzes, in dem sich das IP-Gerät befindet. • IP-Adresse: Die IP-Adresse des IP-Geräts. • MAC-Adresse: Die MAC-Adresse des IP-Geräts.
IP-Konfiguration IPv4-Verwaltung und -Schnittstellen 18 HINWEIS Die Funktion „ARP-Proxy“ ist nur verfügbar, wenn sich das Gerät im L3-Modus befindet. Der ARP-Proxy erkennt das Ziel des Datenverkehrs und bietet als Antwort eine weitere MAC-Adresse an. Wenn ein Host als ARP-Proxy für einen anderen Host fungiert, lenkt dies den LAN-Verkehr effektiv zu diesem Host.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen SCHRITT 4 Geben Sie die Nummer des UDP-Zielports für die Pakete ein, die das Gerät weiterleiten soll. Wählen Sie einen bekannten Port in der Dropdown-Liste aus oder klicken Sie auf das Optionsfeld für den Port, um die Nummer manuell einzugeben. SCHRITT 5 Geben Sie die IP-Zieladresse ein, an die die UDP-Pakete weitergeleitet werden sollen. Wenn 0.0.0.0 in das Feld eingegeben ist, werden UDP-Pakete verworfen. Wenn im Feld 255.255.255.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Transparentes DHCP-Relais Führen Sie für transparentes DHCP-Relais bei Verwendung eines externen DHCPRelais-Agents die folgenden Schritte aus: • Aktivieren Sie DHCP-Snooping. • Aktivieren Sie die Einfügung von Option 82. • Deaktivieren Sie DHCP-Relais. Bei regulärem DHCP-Relais: • Aktivieren Sie DHCP-Relais. • Die Einfügung von Option 82 muss nicht aktiviert werden.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen • DHCP-Client und DHCP-Server sind mit verschiedenen VLANs verbunden. In diesem Fall kann nur DHCP-Relais DHCP-Nachrichten zwischen DHCPClient und DHCP-Server übertragen. Unicast-DHCP-Nachrichten werden von regulären Routern übergeben. Wenn DHCP-Relais in einem VLAN ohne IP-Adresse aktiviert ist oder wenn das Gerät kein Router ist (Schicht-2Gerät), wird daher ein externer Router benötigt.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Im Folgenden wird beschrieben, wie DHCP-Anforderungspakete behandelt werden, wenn sowohl DHCP-Snooping als auch DHCP-Relais aktiviert ist. DHCP-Relais DHCP-Relais VLAN mit IP-Adresse VLAN ohne IP-Adresse Paket geht ohne Option 82 ein. Paket geht mit Option 82 ein. Paket geht ohne Option 82 ein. Paket geht mit Option 82 ein. Einfügung von Option 82 deaktiviert Paket wird ohne Option 82 gesendet.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Im Folgenden wird beschrieben, wie DHCP-Antwortpakete behandelt werden, wenn DHCP-Snooping deaktiviert ist: Einfügung von Option 82 deaktiviert DHCP-Relais DHCP-Relais VLAN mit IP-Adresse VLAN ohne IP-Adresse Paket geht ohne Option 82 ein. Paket geht mit Option 82 ein. Paket geht ohne Option 82 ein. Paket wird ohne Option 82 gesendet. Paket wird mit Relais: Verder ursprüngli- wirft chen Option Option 82. 82 gesendet.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Im Folgenden wird beschrieben, wie DHCP-Antwortpakete behandelt werden, wenn sowohl DHCP-Snooping als auch DHCP-Relais aktiviert ist. Einfügung von Option 82 deaktiviert DHCP-Relais DHCP-Relais VLAN mit IP-Adresse VLAN ohne IP-Adresse Paket geht ohne Option 82 ein. Paket geht mit Paket geht Option 82 ein. ohne Option 82 ein. Paket geht mit Option 82 ein. Paket wird ohne Option 82 gesendet.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Die DHCP-Snooping-Bindungsdatenbank wird außerdem von den Funktionen IP Source Guard und Dynamic ARP Inspection verwendet, um legitime Paketquellen zu ermitteln. Für DHCP vertrauenswürdige Ports Ports können für DHCP vertrauenswürdig oder nicht vertrauenswürdig sein. Standardmäßig sind alle Ports nicht vertrauenswürdig. Verwenden Sie zum Erstellen eines vertrauenswürdigen Ports die Seite „DHCP-SnoopingSchnittstelleneinstellungen“.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen SCHRITT 4 Der DHCP-Server sendet ein DHCPOFFER-Paket, um eine IP-Adresse anzubieten, DHCPACK, um eine IP-Adresse zuzuweisen, oder DHCPNAK, um die Adressenanforderung abzulehnen. SCHRITT 5 Das Gerät untersucht das Paket. Wenn in der DHCP-Snooping-Bindungstabelle ein dem Paket entsprechender Eintrag vorhanden ist, ersetzt das Gerät diesen bei Erhalt von DHCPACK durch eine IP-MAC-Bindung.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Pakettyp Von nicht vertrauenswürdiger Eingangsschnittstelle eingehend DHCPDECLINE Nur an vertrauenswürdige Überprüfen, ob in der Schnittstellen weiterleiten. Datenbank Informationen vorhanden sind. Wenn die Informationen vorhanden sind und nicht der Schnittstelle entsprechen, an der die Nachricht empfangen wurde, wird das Paket gefiltert.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen DHCP-Standardoptionen Option Standardzustand DHCP-Snooping Aktiviert Einfügung von Option 82 Nicht aktiviert Option 82-Passthrough Nicht aktiviert MAC-Adresse bestätigen Aktiviert DHCP-SnoopingBindungsdatenbank sichern Nicht aktiviert DHCP-Relais Deaktiviert Konfigurieren des DHCP-Workflows So konfigurieren Sie DHCP-Relais und DHCP-Snooping: SCHRITT 1 Aktivieren Sie DHCP-Snooping und/oder DHCP-Relais auf der Seite IP- Konfiguration >
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Eigenschaften So konfigurieren Sie DHCP-Relais, DHCP-Snooping und Option 82: SCHRITT 1 Klicken Sie auf IP-Konfiguration > IPv4-Verwaltung und -Schnittstellen > DHCP-Snooping/-Relais > Eigenschaften oder Sicherheit > DHCP-Snooping. Geben Sie Werte für die folgenden Felder ein: • Option 82: Wählen Sie Option 82 aus, um Option 82-Informationen in Pakete einzufügen. • DHCP-Relais: Wählen Sie diese Option aus, um DHCP-Relais zu aktivieren.
IP-Konfiguration IPv4-Verwaltung und -Schnittstellen 18 So aktivieren Sie DHCP-Snooping bzw. DHCP-Relais an bestimmten Schnittstellen: SCHRITT 1 Klicken Sie auf IP-Konfiguration > IPv4-Verwaltung und -Schnittstellen > DHCP- Snooping/-Relais > Schnittstelleneinstellungen. SCHRITT 2 Klicken Sie zum Aktivieren von DHCP-Relais oder DHCP-Snooping an einer Schnittstelle auf Hinzufügen. SCHRITT 3 Wählen Sie die Schnittstelle und die zu aktivierenden Funktionen aus: DHCP- Relais oder DHCP-Snooping.
18 IP-Konfiguration IPv4-Verwaltung und -Schnittstellen Beachten Sie die folgenden Punkte bezüglich der Wartung der DHCP-SnoopingBindungsdatenbank: • Das Gerät aktualisiert die DHCP-Snooping-Bindungsdatenbank nicht, wenn eine Station zu einer anderen Schnittstelle wechselt. • Wenn ein Port nicht aktiv ist, werden die Einträge für diesen Port nicht gelöscht. • Wenn DHCP-Snooping für ein VLAN deaktiviert ist, werden die für dieses VLAN erfassten Bindungseinträge entfernt.
18 IP-Konfiguration DHCP-Server SCHRITT 2 Zum Hinzufügen eines Eintrags klicken Sie auf Hinzufügen. SCHRITT 3 Geben Sie Werte für die Felder ein: • VLAN-ID: Das VLAN, in dem ein Paket erwartet wird. • MAC-Adresse: Die MAC-Adresse des Pakets. • IP-Adresse: Die IP-Adresse des Pakets. • Schnittstelle: Die Einheit, der Slot oder die Schnittstelle, an der bzw. dem ein Paket erwartet wird. • Typ: Folgende Feldwerte sind möglich: • - Dynamisch: Der Eintrag hat eine begrenzte Lease-Dauer.
18 IP-Konfiguration DHCP-Server Zeitspanne ungültig und der Client muss eine neue IP-Adresse anfordern. Verwenden Sie hierzu die Seite „Netzwerkpools“. Abhängigkeiten zwischen Funktionen • Es ist nicht möglich, einen DHCP-Server und einen DHCP-Client gleichzeitig auf demselben System zu konfigurieren, dies bedeutet: Wenn eine Schnittstelle für den DHCP-Client aktiviert wurde, ist es nicht möglich, den DHCP-Server global zu aktivieren.
18 IP-Konfiguration DHCP-Server Clients die IP-Adresse aus dem konfigurierten Pool empfangen sollen. Verwenden Sie dazu die Seite „IP-Konfiguration > IPv4-Schnittstelle“. SCHRITT 7 Rufen Sie die Seite „Addressbindung“ auf, um die zugewiesenen IP-Adressen anzuzeigen. Auf dieser Seite können IP-Adressen gelöscht werden.
18 IP-Konfiguration DHCP-Server So erstellen Sie einen Pool mit IP-Adressen und definieren deren Lease-Dauer: SCHRITT 1 Klicken Sie auf IP-Konfiguration > IPv4-Verwaltung und -Schnittstellen > DHCP- Server > Netzwerkpool, um die Seite „Netzwerkpool“ anzuzeigen. Die zuvor definierten Netzwerkpools werden angezeigt. SCHRITT 2 Klicken Sie auf Hinzufügen, um einen neuen Netzwerkpool zu definieren.
18 IP-Konfiguration DHCP-Server • IP-Adresse Standardrouter (Option 3): Geben Sie die IP-Adresse des Standardrouters für den DHCP-Client ein. • IP-Adresse DNS-Server (Option 6): Wählen Sie einen der DNS-Server des Geräts aus (sofern bereits konfiguriert) oder wählen Sie Sonstiges und geben Sie die IP-Adresse des DNS-Servers ein, der für den DHCP-Client zur Verfügung steht. • Domänenname (Option 15): Geben Sie den Domänennamen für einen DHCP-Client ein.
18 IP-Konfiguration DHCP-Server • Name der Konfigurationsdatei (file): Geben Sie den Namen der als Konfigurationsdatei verwendeten Datei ein. Ausgeschlossene Adressen Standardmäßig geht der DHCP-Server davon aus, dass alle Adressen in einem Pool Clients zugewiesen werden können. Einzelne IP-Adressen oder IPAdressbereiche können jedoch ausgeschlossen werden. Diese Adressen werden aus allen DHCP-Pools ausgeschlossen.
18 IP-Konfiguration DHCP-Server • • Maske: Geben Sie die Netzwerkmaske des statischen Hosts ein. - Netzwerkmaske: Aktivieren Sie das Kontrollkästchen und geben Sie die Netzwerkmaske des statischen Hosts ein. - Präfixlänge: Aktivieren Sie das Kontrollkästchen und geben Sie die Anzahl der Bits ein, aus denen das Adresspräfix besteht. Kennungstyp: Legen Sie fest, wie der statische Host identifiziert werden soll.
18 IP-Konfiguration DHCP-Server Die Verwendung von M-Knoten ist für größere Netzwerke in der Regel nicht empfehlenswert, da der bevorzugte Einsatz von Broadcasts (BKnoten) zu erhöhtem Netzwerkverkehr führt. - Peer-to-Peer (P-Knoten): Die Registrierung und Auflösung von Computernamen in IP-Adressen erfolgt durch Punkt-zu-PunktKommunikation mit einem NetBIOS-Namensserver. - Broadcast (B-Knoten): Die Registrierung und Auflösung von NetBIOSNamen in IP-Adressen erfolgt mithilfe von IP-Broadcast-Nachrichten.
18 IP-Konfiguration DHCP-Server So konfigurieren Sie eine oder mehrere DHCP-Optionen: SCHRITT 1 Klicken Sie auf IP-Konfiguration > IPv4-Verwaltung und -Schnittstellen > DHCP- Server > DHCP-Optionen. Daraufhin werden die zuvor konfigurierten DHCP-Optionen angezeigt.
18 IP-Konfiguration DHCP-Server • Wert: Wenn es sich bei dem Typ nicht um einen booleschen Wert handelt, geben Sie den Wert ein, der für diesen Code gesendet werden soll. • Beschreibung: Geben Sie für Dokumentationszwecke eine Textbeschreibung ein. Adressbindung Auf der Seite „Adressbindung“ können Sie die vom Gerät zugewiesenen IPAdressen und ihre zugehörigen MAC-Adressen anzeigen und entfernen.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen - Abgelehnt: Die IP-Adresse wurde angeboten, jedoch nicht akzeptiert, daher wird sie nicht zugeordnet. - Abgelaufen: Die Lease der IP-Adresse ist abgelaufen. - Vorab zugeordnet: Ein Eintrag befindet zwischen dem Angebot und dem Zeitpunkt des Versands des DHCP ACK durch den Client in einem vorab zugeordneten Status. Anschließend erfolgt die Zuordnung.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen Statisches IPv6-Routing Wie auch beim IPv4-Routing werden Frames, die nicht an die MAC-Adresse des Geräts, sondern an eine dem Gerät nicht bekannte IPv6-Adresse gerichtet sind, an ein Gerät für den nächsten Hop weitergeleitet. Dieses Gerät kann die Endstation des Ziels oder ein Router in der Nähe des Ziels sein.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen SCHRITT 2 Geben Sie Werte für die folgenden Felder ein: • IPv6-Routing (nur Schicht-3-Systemmodus): Wählen Sie diese Option, um IPv6-Routing zu aktivieren. Wenn diese Option nicht aktiviert ist, fungiert das Gerät als Host (statt als Router) und kann zwar Verwaltungspakete empfangen, aber keine Pakete weiterleiten. Wenn das Routing aktiviert ist, kann das Gerät die IPv6-Pakete weiterleiten.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen IPv6-Schnittstelle Eine IPv6-Schnittstelle kann für einen Port, eine LAG, ein VLAN, eine LoopbackSchnittstelle oder einen Tunnel konfiguriert werden. Eine Tunnelschnittstelle wird mit einer IPv6-Adresse auf der Basis von Einstellungen konfiguriert, die auf der Seite „IPv6-Tunnel“ definiert werden.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen SCHRITT 5 Um die Schnittstelle als DHCPv6-Client zu konfigurieren, sodass sie Informationen vom DHCPv6-Server empfangen kann (z. B. SNTP-Konfigurations- und DNSInformationen), geben Sie Werte in die folgenden Felder für den DHCPv6-Client ein: • Statuslos: Wählen Sie diese Option, um die Schnittstelle als statuslosen DHCPv6-Client zu aktivieren. Damit aktivieren Sie den Empfang der Konfigurationsdaten von einem DHCP-Server.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • IPv6-Umleitungen (nur Schicht 3): Wählen Sie diese Option, um ICMP-IPv6Benachrichtigungen über Umleitungen zu aktivieren. Diese Nachrichten informieren andere Geräte darüber, Datenverkehr statt an dieses an ein anderes Gerät zu senden. SCHRITT 7 Klicken Sie auf Übernehmen, um die IPv6-Verarbeitung für die ausgewählte Schnittstelle zu aktivieren.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • DHCPv6-Serverpriorität: Priorität des DHCPv6-Servers. • Mindest-Informationsaktualisierungszeit: Siehe oben. • Informationsaktualisierungszeit: Siehe oben. • Empfangene Informationsaktualisierungszeit: Vom DHCPv6-Server empfangene Aktualisierungsrate. • Verbleibende Informationsaktualisierungszeit: Verbleibende Zeit bis zur nächsten Aktualisierung. • DNS-Server: Vom DHCPv6-Server empfangene Liste der DNS-Server.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen Beim Konfigurieren eines ISATAP-Tunnels wird die Ziel-IPv4-Adresse vom Router bereitgestellt. Beachten Sie Folgendes: • - Der ISATAP-Schnittstelle wird eine IPv6-Link Local-Adresse zugewiesen. Der Schnittstelle wird die initiale IP-Adresse zugewiesen, dann wird die Schnittstelle aktiviert. - Wenn eine ISATAP-Schnittstelle aktiv ist, wird die IPv4-Adresse des ISATAP-Routers über DNS unter Verwendung einer ISATAP-zu-IPv4Zuordnung aufgelöst.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Robustheit: Wird verwendet, um das Intervall für die Router-Anfragen zu berechnen. Je größer die Zahl, desto häufiger die Abfragen. HINWEIS Der ISATAP-Tunnel ist nicht in Betrieb, wenn die zugrunde liegende IPv4-Schnittstelle nicht in Betrieb ist. SCHRITT 4 Klicken Sie auf Übernehmen, um die ISATAP-Parameter in der aktuellen Konfigurationsdatei zu speichern.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen - Schnittstelle: Wählen Sie die Schnittstelle, deren IPv4-Adresse als Quelladresse des Tunnels verwendet werden soll. Wenn diese Schnittstelle mehrere IPv4-Adressen hat, wird die niedrigste IPv4-Adresse als Quelladresse verwendet. Wenn die niedrigste IPv4Adresse von der Schnittstelle entfernt wird (vollständig entfernt oder auf eine andere Schnittstelle übertragen), wird die nächst höhere IPv4Adresse als lokale IPv4-Adresse verwendet.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen SCHRITT 4 Geben Sie Werte für die Felder ein. • IPv6-Schnittstelle: Zeigt die Schnittstelle an, für die die IPv6-Adresse definiert werden soll. Wenn ein * angezeigt wird, bedeutet dies, dass die IPv6-Schnittstelle nicht aktiviert ist, aber konfiguriert wurde. • IPv6-Adresstyp: Wählen Sie den Typ der hinzuzufügenden IPv6-Adresse. - Link Local: Eine IPv6-Adresse, die Hosts mit einer einzigen Netzwerkverbindung eindeutig kennzeichnet.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • EUI-64: Der EUI-64-Parameter wird verwendet, um den Schnittstellen-IDAnteil der globalen IPv6-Adresse unter Verwendung des EUI-Formats basierend auf der MAC-Adresse eines Geräts zu identifizieren. SCHRITT 5 Klicken Sie auf Übernehmen. Die aktuelle Konfigurationsdatei wird aktualisiert. IPv6-Router-Konfiguration In den folgenden Abschnitten wird die Konfiguration von IPv6-Routern beschrieben.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Hop-Limit: Dies ist der Wert, der vom Router angekündigt wird. Wenn dieser Wert nicht null ist, wird er vom Host als Hop-Limit verwendet. • Flag für verwaltete Adresskonfiguration: Wählen Sie dieses Flag, wenn angeschlossene Hosts mithilfe der statusbehafteten automatischen Konfiguration Adressen beziehen sollen. Hosts können gleichzeitig statusbehaftete und statuslose automatische Konfiguration verwenden.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Erreichbare Zeit: Geben Sie den Zeitraum in Sekunden an, in dem ein Remote-IPv6-Knoten als erreichbar gilt (Benutzerdefiniert) oder wählen Sie Standard verwenden, um den Systemstandardwert zu verwenden. SCHRITT 4 Klicken Sie auf Übernehmen, um die Konfiguration in der aktuellen Konfigurationsdatei zu speichern.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Benutzerdefiniert: Geben Sie einen Wert ein. Bevorzugte Gültigkeitsdauer: Verbleibender Zeitraum in Sekunden, in dem dieses Präfix weiterhin bevorzugt verwendet wird. Nach Ablauf dieses Zeitraums darf das Präfix nicht mehr als Quelladresse in der Kommunikation verwendet werden. An dieser Schnittstelle empfangene Pakete werden jedoch erwartungsgemäß verarbeitet. Die bevorzugte Gültigkeitsdauer darf die Gültigkeitsdauer nicht überschreiten.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen Liste der IPv6-Standardrouter Auf der Seite „Liste der IPv6-Standardrouter“ können Sie die standardmäßigen IPv6-Routeradressen konfigurieren und anzeigen. Die Liste enthält die Router, die Kandidaten für die Festlegung als Standardrouter für das Gerät für nicht lokalen Datenverkehr sind (die Liste kann leer sein). Das Gerät wählt nach dem Zufallsprinzip einen Router aus der Liste aus. Das Gerät unterstützt einen statischen IPv6-Standardrouter.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen SCHRITT 2 Klicken Sie auf Hinzufügen, um einen statischen Standard-Router hinzuzufügen. SCHRITT 3 Geben Sie Werte für die folgenden Felder ein: • Nächster Hop: Die IP-Adresse des nächsten Ziels, an das das Paket gesendet wird. Dieses Feld besteht aus folgenden Optionen: - Global: Eine IPv6-Adresse, bei der es sich um einen globalen UnicastIPv6-Typ handelt, der in anderen Netzwerken sichtbar und von diesen aus erreichbar ist.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen So definieren Sie IPv6-Nachbarn: SCHRITT 1 Klicken Sie im Schicht-2-Systemmodus auf Administration > Verwaltungsschnittstelle > IPv6-Nachbarn. Klicken Sie im Schicht-3-Systemmodus auf IP-Konfiguration > IPv6-Verwaltung und -Schnittstellen > IPv6-Nachbarn. Sie können unter Tabelle löschen eine Option auswählen, um einige oder alle IPv6-Adressen in der IPv6-Nachbartabelle zu löschen. • Nur statische: Zum Löschen der statischen IPv6-Adresseinträge.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Router: Gibt an, ob der Nachbar ein Router ist (Ja oder Nein). SCHRITT 2 Zum Hinzufügen eines Nachbarn zur Tabelle klicken Sie auf Hinzufügen. SCHRITT 3 Geben Sie Werte für die folgenden Felder ein: • Schnittstelle: Die Nachbar-IPv6-Schnittstelle, die hinzugefügt werden soll. • IPv6-Adresse: Geben Sie die der Schnittstelle zugewiesene IPv6Netzwerkadresse ein. Die Adresse muss eine gültige IPv6-Adresse sein.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen zu einer vollen Länge mit 32 Bits. Wurde nur der Parameter Kleiner als definiert, erstreckt sich der Bereich vom Wert des Netzwerk-/Längenarguments bis hin zum Parameter Kleiner als. Wurde sowohl das Argument für Größer als als auch das Argument für Kleiner als definiert, bezieht sich der Bereich auf die Werte zwischen Größer als und Kleiner als.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • IPv6-Präfix: Das IP-Route-Präfix. • Präfixlänge: Die Länge des IP-Route-Präfix. • Größer als: Die Mindestpräfixlänge, die für Übereinstimmungen verwendet wird. Wählen Sie eine der folgenden Optionen aus: • • - Kein Limit: Es muss keine Mindestpräfixlänge für Übereinstimmungen verwendet werden. - Benutzerdefiniert: Die Mindestpräfixlänge, für die eine Übereinstimmung erzielt werden muss.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen So zeigen Sie IPv6-Routen an oder fügen manuell eine Route hinzu: So zeigen Sie IPv6-Routing-Einträge im Schicht-2-Systemmodus an: SCHRITT 1 Klicken Sie auf Administration > Verwaltungsschnittstelle > IPv6-Routen. oder So zeigen Sie IPv6-Routing-Einträge im Schicht-3-Systemmodus an: Klicken Sie auf IP-Konfiguration > IPv6-Verwaltung und -Schnittstellen > IPv6Routen.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen • Routentyp: Methode, wie das Ziel angefügt wird, und die Methode zum Abfragen des Eintrags. Verfügbare Werte sind: - Lokal: Ein direkt verbundenes Netzwerk, dessen Präfix von der IPv6Adresse eines manuell konfigurierten Geräts abgeleitet wird. - Dynamisch: Das Ziel ist eine indirekt angehängte IPv6-Subnetzadresse (remote). Der Eintrag wurde dynamisch über das ND- oder ICMPProtokoll bezogen.
18 IP-Konfiguration IPv6-Verwaltung und -Schnittstellen Globale Ziele So konfigurieren Sie eine Liste mit DHCPv6-Servern, an die alle DHCPv6-Pakete weitergeleitet werden: SCHRITT 1 Klicken Sie auf IP-Konfiguration > IPv6-Verwaltung und -Schnittstellen > DHCPv6-Relais > Globale Ziele. SCHRITT 2 Klicken Sie zum Hinzufügen eines DHCPv6-Standardservers auf Hinzufügen.
18 IP-Konfiguration Domänenname • IPv6-Adresstyp: Geben Sie den Typ der Zieladresse ein, an die Clientnachrichten weitergeleitet werden. Mögliche Adresstypen: Link Local, Global oder Multicast (All_DHCP_Relay_Agents_and_Servers). • DHCPv6-Server-IP-Adresse: Geben Sie die Adresse des DHCPv6Servers ein, an den Pakete weitergeleitet werden. • IPv6-Schnittstelle: Geben Sie die Schnittstelle ein, an der Pakete übertragen werden, wenn der Adresstyp des DHCPv6-Servers Link Local oder Multicast lautet.
18 IP-Konfiguration Domänenname • Abrufintervall: Geben Sie an, wie oft (in Sekunden) das Gerät DNSAbfragepakete senden soll, nachdem die Anzahl der Wiederholungen überschritten wurde. - Standard verwenden: Wählen Sie diese Option, um den Standardwert zu verwenden. Dieser Wert = 2 * (Abrufwiederholungen + 1) * Abruf-Timeout. • Benutzerdefiniert: Wählen Sie diese Option, um einen benutzerdefinierten Wert einzugeben.
18 IP-Konfiguration Domänenname • IPv6-Adresstyp: Wählen Sie den IPv6-Adresstyp aus (falls IPv6 verwendet wird). Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung. Link Local-Adressen besitzen das Präfix FE80, können nicht weitergeleitet und nur für die Kommunikation im lokalen Netzwerk verwendet werden. Es wird nur eine Link LocalAdresse unterstützt.
18 IP-Konfiguration Domänenname • Schnittstelle: Schnittstelle der IP-Adresse des Servers für diese Domäne. • Präferenz: Reihenfolge, in der die Domänen verwendet werden (von niedrig zu hoch). Hierdurch wird die Reihenfolge bestimmt, in der nicht qualifizierte Namen bei DNS-Abfragen vervollständigt werden. Hostzuordnung Die Zuordnungen von Hostnamen zu IP-Adressen werden in der Hostzuordnungstabelle (DNS-Cache) gespeichert.
18 IP-Konfiguration Domänenname • IP-Version: Die Version der Host-IP-Adresse. • Typ: Gibt an, ob der Eintrag im Cache dynamisch oder statisch ist. • Status: Zeigt die Ergebnisse der Zugriffsversuche auf den Host an. - OK : Versuch erfolgreich. - Negativer Cache: Versuch fehlgeschlagen, nicht wiederholen. - Keine Rückmeldung: Es wurde keine Antwort empfangen, das System kann den Versuch jedoch wiederholen. • TTL: Bei dynamischen Einträgen Verbleibdauer im Cache.
18 IP-Konfiguration Domänenname Wählen Sie die Option Tabelle löschen aus, um einige oder alle Einträge in der Hostzuordnungstabelle zu löschen. 387 • Nur statische: Die statischen Hosts werden gelöscht. • Nur dynamische: Die dynamischen Hosts werden gelöscht. • Alle dynamischen und statischen: Die statischen und dynamischen Hosts werden gelöscht.
19 IP-Konfiguration: RIPv2 In diesem Abschnitt wird die Funktion des RIP-Protokolls Version 2 (Routing Information Protocol) beschrieben. Die folgenden Themen werden behandelt: • Übersicht • Funktionsweise von RIP im Gerät • Konfigurieren von RIP HINWEIS RIP wird auf den folgenden Geräten unterstützt: - SG500X/SG500XG im Standalone-Stacking-Modus. - SG500X/SG500XG in den erweiterten Hybrid-Stacking-Modi im Schicht-3-Systemmodus.
19 IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät HINWEIS Das Steuerelement für IP-Routing steht nur bei den SG500X-/ESW2-550X- Modellen zur Verfügung. Aktivieren Sie das IP-Routing auf der Seite Konfiguration > Verwaltungs- und IP-Schnittstelle > IPv4-Schnittstelle.
IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät 19 Offset-Konfiguration Eine RIP-Nachricht enthält für jede Route eine Metrik (Anzahl der Hops). Ein Offset ist eine zusätzliche Zahl, die einer Metrik hinzugefügt wird und sich auf die Kosten von Pfaden auswirkt. Der Offset wird pro Schnittstelle festgelegt und kann sich beispielsweise auf die Geschwindigkeit, die Verzögerung oder eine andere Eigenschaft der jeweiligen Schnittstelle beziehen.
19 IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät Router rD kann Daten an rA über rB oder rC senden. Da rC nur Fast Ethernet-Ports (FE) unterstützt und rB Gigabit Ethernet-Ports (GE) unterstützt, sind die Pfadkosten von Router rD zu Router rA über Router rC höher (Pfadkosten erhöhen sich um 4) als die des Pfads über Router rB (Pfadkosten erhöhen sich um 2). Daher wird die Weiterleitung des Verkehrs über Router rB bevorzugt.
19 IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät Ankündigen von Standardrouteneinträgen an IP-Schnittstellen Für die Beschreibung einer Standardroute wird die spezielle Adresse 0.0.0.0 verwendet. Eine Standardroute wird verwendet, um das Mithören jedes möglichen Netzwerks in den Routing-Updates zu verhindern, wenn mindestens ein eng verbundener Router im System bereit ist, Verkehr an die nicht explizit aufgeführten Netzwerke zu übertragen. Diese Router erstellen RIP-Einträge für die Adresse 0.0.
19 IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät Dadurch ergibt sich das folgende Verhalten: • - Wenn der Metrikwert einer Route kleiner gleich 15 ist, wird bei der Ankündigung dieser Route der Wert im RIP-Protokoll verwendet. - Wenn der Metrikwert einer statischen Route größer als 15 ist, wird die Route anderen Routern mit RIP nicht angekündigt. Benutzerdefinierte Metrik RIP verwendet den vom Benutzer eingegebenen Metrikwert.
19 IP-Konfiguration: RIPv2 Funktionsweise von RIP im Gerät RIP-Authentifizierung Sie können die Authentifizierung von RIP-Meldungen über die IP-Schnittstelle deaktivieren oder eine der folgenden Authentifizierungsmethoden aktivieren: • Unverschlüsselt oder Kennwort: Verwendet ein Schlüsselkennwort (Zeichenfolge), das zusammen mit der Route an einen anderen Router gesendet wird. Der empfangende Router vergleicht den Schlüssel mit seinem eigenen konfigurierten Schlüssel.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP Konfigurieren von RIP Die folgenden Aktionen können ausgeführt werden. • • 395 Obligatorische Aktionen: - Globales Aktivieren oder Deaktivieren des RIP-Protokolls über die Seite „RIPv2-Eigenschaften“.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP RIPv2-Eigenschaften So aktivieren oder deaktivieren Sie RIP im Gerät: SCHRITT 1 Klicken Sie auf IP-Konfiguration > RIPv2 > RIPv2-Eigenschaften. SCHRITT 2 Wählen Sie nach Bedarf die folgenden Optionen aus: • RIP: Folgende Optionen stehen zur Verfügung: - Aktivieren: Aktiviert RIP. - Deaktivieren: Deaktiviert RIP. Wenn Sie RIP deaktivieren, wird die RIPKonfiguration im System gelöscht.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP SCHRITT 5 Verbundene Route neu verteilen: Wählen Sie diese Option aus, um die Funktion zu aktivieren (Beschreibung unter „Neuverteilen statischer Routenkonfigurationen“). SCHRITT 6 Wenn Verbundene Route neu verteilen aktiviert ist, wählen Sie eine Option für das Feld Statische Metrik neu verteilen aus.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP • Passiv: Gibt an, ob RIP-Meldungen mit Routen-Updates an der angegebenen Schnittstelle gesendet werden dürfen. Wenn das Feld nicht aktiviert ist, werden keine RIP-Updates gesendet (passiv). • Versatz: Gibt die Metriknummer der angegebenen IP-Schnittstelle an. Dieser Wert gibt basierend auf der Geschwindigkeit der Schnittstelle die zusätzlichen Kosten für die Verwendung dieser Schnittstelle an.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP • Eingangsverteilliste: Mit dieser Option können Sie Filter für die eingehenden RIP-Routen bestimmter IP-Adressen in einer Zugriffsliste konfigurieren. Wenn dieses Feld aktiviert ist, wählen Sie unten den Namen der Zugriffsliste aus. • Name der Zugriffsliste: Wählen Sie den Namen der Zugriffsliste (die eine Liste mit IP-Adressen enthält) zur Filterung eingehender RIP-Routen an einer bestimmten Schnittstelle aus.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP SCHRITT 2 Zum Löschen aller Schnittstellenzähler klicken Sie auf Alle Schnittstellenzähler löschen. Anzeigen der RIPv2-Peer-Datenbank So zeigen Sie die RIP-Peer-Datenbank (Nachbarn) an: SCHRITT 1 Klicken Sie auf IP-Konfiguration > RIPv2 > RIPv2-Peer-Router-Datenbank. Für die Peer-Router-Datenbank werden die folgenden Felder angezeigt: • IP-Adresse des Routers: In der Schicht-2-Schnittstelle definierte IPSchnittstelle.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP Erstellen einer Zugriffsliste So legen Sie die globale Konfiguration einer Zugriffsliste fest: SCHRITT 1 Klicken Sie auf IP-Konfiguration > Zugriffsliste > Zugriffslisteneinstellungen. SCHRITT 2 Zum Hinzufügen einer neuen Zugriffsliste klicken Sie auf Hinzufügen, um die Seite „Zugriffsliste hinzufügen“ zu öffnen, und geben Sie Werte für die folgenden Felder ein: • Name: Definieren Sie einen Namen für die Zugriffsliste.
19 IP-Konfiguration: RIPv2 Konfigurieren von RIP • • • Quell-IPv4-Adresse: Quell-IPv4-Adresse. Folgende Optionen stehen zur Verfügung: - Beliebig: Alle IP-Adressen sind enthalten. - Benutzerdefiniert: Geben Sie eine IP-Adresse ein. Quell-IPv4-Maske: Maskentyp und Wert für die Quell-IPv4-Adresse. Folgende Optionen stehen zur Verfügung: - Netzwerkmaske: Geben Sie die Netzwerkmaske ein (beispielsweise 255.255.0.0). - Präfixlänge: Geben Sie die Präfixlänge ein. Aktion: Aktion für die Zugriffsliste.
20 IP-Konfiguration: VRRP In diesem Kapitel wird die Funktionsweise von VRRP (Virtual Router Redundancy Protocol) beschrieben und Sie erfahren, wie Sie virtuelle Router mit VRRP über die grafische Weboberfläche konfigurieren. HINWEIS Die SF500-Modelle unterstützen die VRRP-Funktion nicht.
20 IP-Konfiguration: VRRP Übersicht Einschränkungen VRRP wird nur auf SG500X-/ESW2-550X-Switches unterstützt. VRRP-Topologie Die folgende Abbildung zeigt eine LAN-Topologie, in der VRRP konfiguriert ist. In diesem Beispiel verwenden die Router A, B und C VRRP und bilden einen virtuellen Router. Die IP-Adresse des virtuellen Routers ist die gleiche, die Sie für die Ethernet-Schnittstelle von Router A konfiguriert haben (198.168.2.1).
20 IP-Konfiguration: VRRP Übersicht Router B und C fungieren als virtuelle Router-Backups. Wenn beim virtuellen Routermaster ein Fehler auftritt, wird der mit der höchsten Priorität konfigurierte Router zum virtuellen Routermaster und nimmt den Dienst für die LAN-Hosts mit minimaler Unterbrechung auf. HINWEIS Die Priorität der VRRP-Router hängt von folgenden Faktoren ab: Wenn der VRRP-Router der Besitzer ist, hat er die Priorität 255 (höchste Priorität).
20 IP-Konfiguration: VRRP Übersicht VRRP-Topologie für Lastenausgleich In dieser Topologie sind zwei virtuelle Router konfiguriert. Für den virtuellen Router 1 ist rA der Besitzer der IP-Adresse 192.168.2.1 und der virtuelle Routermaster. rB ist das virtuelle Router-Backup für rA. Die Clients 1 und 2 sind mit der Standard-Gateway-IP-Adresse 192.168.2.1 konfiguriert. Für den virtuellen Router 2 ist rB der Besitzer der IP-Adresse 192.168.2.2 und der virtuelle Routermaster.
20 IP-Konfiguration: VRRP Konfigurierbare Elemente von VRRP Konfigurierbare Elemente von VRRP Einem virtuellen Router muss eine unter allen virtuellen Routern im gleichen LAN eindeutige Kennung (Virtual Router Identifier, VRID) zugewiesen werden. Alle VRRP-Router, die den gleichen virtuellen Router unterstützen, müssen mit allen Informationen zu dem virtuellen Router einschließlich seiner VRID konfiguriert sein.
IP-Konfiguration: VRRP Konfigurierbare Elemente von VRRP 20 Folgende Situationen sind möglich, wenn Sie einen virtuellen Router konfigurieren: • Alle vorhandenen VRRP-Router des virtuellen Routers verwenden VRRPv3. Konfigurieren Sie in diesem Fall den neuen VRRP-Router für die Verwendung von VRRPv3. • Alle vorhandenen VRRP-Router des virtuellen Routers verwenden VRRPv2. Konfigurieren Sie in diesem Fall den neuen VRRP-Router für die Verwendung von VRRPv2.
20 IP-Konfiguration: VRRP Konfigurierbare Elemente von VRRP • Wenn ein VRRP-Router (der physische Router) Besitzer der IP-Adressen des virtuellen Routers ist, kann die IP-Adresse des virtuellen Routers nicht über DHCP zugewiesen werden, sondern sie muss manuell im VRRP-Router konfiguriert werden.
IP-Konfiguration: VRRP Konfigurierbare Elemente von VRRP 20 Priorität und Vorrang bei VRRP-Routern Ein wichtiger Aspekt des VRRP-Redundanzmodells ist die Möglichkeit, jedem VRRP-Router eine VRRP-Priorität zuzuweisen. Die VRRP-Priorität muss ausdrücken, wie effizient ein VRRP-Router als Backup eines im VRRP-Router definierten virtuellen Routers fungieren würde.
20 IP-Konfiguration: VRRP Konfigurieren von VRRP Das Bekanntgabeintervall wird in ms angegeben (Bereich: 50 - 40950, Standard: 1000). Ein leerer Wert ist ungültig. • Bei VRRP-Version 3 wird das betriebsspezifische Bekanntgabeintervall auf 10 ms abgerundet. • Bei VRRP-Version 2 wird das betriebsspezifische Bekanntgabeintervall auf die nächste Sekunde abgerundet. Minimaler Betriebswert: 1 Sekunde.
20 IP-Konfiguration: VRRP Konfigurieren von VRRP • Wenn Nein aktiviert ist, müssen Sie die Adressen des virtuellen Routers in das Feld IP-Adresse des virtuellen Routers eingeben. Wenn Sie hier mehrere IP-Adressen hinzufügen, trennen Sie sie wie folgt: 1.1.1.1, 2.2.2.2. • Quell-IP-Adresse: Wählen Sie die IP-Adresse aus, die in VRRP-Nachrichten verwendet werden soll. Die standardmäßige Quell-IP-Adresse ist die niedrigste der für die Schnittstelle definierten IP-Adressen.
20 IP-Konfiguration: VRRP Konfigurieren von VRRP • Master/Backup-Status: Der virtuelle Router des Masters oder Backups. • Versatzzeit: Die Zeit, die zur Berechnung des Masterdeaktivierungsintervalls verwendet wird. • Masterdeaktivierungsintervall: Das Zeitintervall, gemäß dem das Backup den Master als „Deaktiviert“ erklärt. • Vorrangmodus: Der Vorrangmodus ist aktiviert.
20 IP-Konfiguration: VRRP Konfigurieren von VRRP • Ungültige TTL: Zeigt die Anzahl der Pakete mit ungültigen Werten für Timeto-live an. • Ungültiger VRRP-Pakettyp: Zeigt die Anzahl der Pakete mit ungültigen VRRP-Pakettypen an. • Ungültige VRRP-ID: Zeigt die Anzahl der Pakete mit ungültigen VRRP-IDs an. • Ungültige Protokoll-ID: Zeigt die Anzahl der Pakete mit ungültigen Protokollnummern an. • Ungültige IP-Liste: Zeigt die Anzahl der Pakete mit ungültigen IP-Listen an.
21 Sicherheit In diesem Abschnitt werden Sicherheit und Zugriffssteuerung für das Gerät beschrieben. Im System stehen verschiedene Arten von Sicherheitsmaßnahmen zur Verfügung. In der folgenden Themenliste sind die verschiedenen Arten von Sicherheitsfunktionen aufgeführt, die in diesem Abschnitt beschrieben werden. Einige Funktionen werden bei mehr als einer Art von Sicherheitsmaßnahme oder Kontrolle verwendet, daher erscheinen sie in der Themenliste unten zweimal.
21 Sicherheit Definieren von Benutzern Die Steuerung des Zugriffs von Endbenutzern auf das Netzwerk über das Gerät wird in den folgenden Abschnitten beschrieben: • Verwaltungszugriffsmethode • Konfigurieren von TACACS+ • Konfigurieren von RADIUS • Konfigurieren der Portsicherheit • 802.1X • Definieren von Zeitbereichen Der Schutz vor anderen Netzwerkbenutzern wird in den folgenden Abschnitten beschrieben.
21 Sicherheit Definieren von Benutzern Einrichten von Benutzerkonten Auf der Seite „Benutzerkonten“ können Sie weitere Benutzer eingeben, die berechtigt sind, auf das Gerät zuzugreifen (Lesezugriff oder Lese- und Schreibzugriff), oder die Kennwörter vorhandener Benutzer ändern. Wenn Sie einen Benutzer der Ebene 15 (wie unten beschrieben) hinzugefügt haben, wird der Standardbenutzer aus dem System entfernt. HINWEIS Sie können nicht alle Benutzer löschen.
21 Sicherheit Definieren von Benutzern • Kennwort bestätigen: Geben Sie erneut das Kennwort ein. • Kennwortsicherheitsmessung: Zur Bestimmung der Kennwortsicherheit. Die Richtlinie für die Kennwortsicherheit und -komplexität wird auf der Seite „Kennwortsicherheit“ konfiguriert. • Benutzerebene: Wählen Sie die Berechtigungsebene des hinzuzufügenden bzw. zu bearbeitenden Benutzers aus.
21 Sicherheit Definieren von Benutzern • Kennwortfälligkeitszeit: Geben Sie ein, nach wie vielen Tagen ein Benutzer aufgefordert wird, sein Kennwort zu ändern. HINWEIS Die Kennwortfälligkeit gilt auch für Kennwörter, die aus null Zeichen bestehen (kein Kennwort). SCHRITT 3 Wählen Sie Einstellungen für Kennwortkomplexität aus, um die Komplexitätsregeln für Kennwörter zu aktivieren.
21 Sicherheit Konfigurieren von TACACS+ • Das neue Kennwort darf nicht mit dem aktuellen identisch sein: Wenn diese Option ausgewählt ist, muss sich bei einer Kennwortänderung das neue Kennwort vom alten unterscheiden. SCHRITT 5 Klicken Sie auf Übernehmen. Die Kennworteinstellungen werden in die aktuelle Konfigurationsdatei geschrieben. HINWEIS Sie können die CLI zum Konfigurieren der Übereinstimmung von Benutzername und Kennwort sowie der Übereinstimmung von Hersteller und Kennwort verwenden.
21 Sicherheit Konfigurieren von TACACS+ Einige TACACS+-Server unterstützen eine einzelne Verbindung, mit der das Gerät alle Informationen über eine einzige Verbindung empfangen kann. Wenn der TACACS+-Server dies nicht unterstützt, kehrt das Gerät zu mehreren Verbindungen zurück. Abrechnung über einen TACACS+-Server Der Benutzer kann die Abrechnung von Anmeldesitzungen entweder über einen RADIUS- oder über einen TACACS+-Server aktivieren.
21 Sicherheit Konfigurieren von TACACS+ Interaktionen mit anderen Funktionen Die Abrechnungsfunktion kann nicht gleichzeitig auf einem RADIUS- und einem TACACS+-Server aktiviert werden. Workflow Gehen Sie wie folgt vor, um einen TACACS+-Server zu verwenden: SCHRITT 1 Erstellen Sie ein Konto für einen Benutzer auf dem TACACS+-Server. SCHRITT 2 Konfigurieren Sie diesen Server zusammen mit den anderen Parametern auf den Seiten „TACACS+“ und „TACACS+-Server hinzufügen“.
21 Sicherheit Konfigurieren von TACACS+ SCHRITT 3 Geben Sie die folgenden Standardparameter ein: • Schlüsselzeichenfolge: Geben Sie die standardmäßige Schlüsselzeichenfolge ein, die für die Kommunikation mit allen TACACS+Servern im Modus Verschlüsselt oder Unverschlüsselt verwendet wird. Das Gerät kann so konfiguriert werden, dass entweder dieser Schlüssel oder ein für einen bestimmten Server eingegebener Schlüssel verwendet wird (dieser wird auf der Seite „TACACS+-Server hinzufügen“ eingegeben).
21 Sicherheit Konfigurieren von TACACS+ SCHRITT 6 Geben Sie die Parameter ein. • Serverdefinition: Wählen Sie eine der folgenden Methoden zum Identifizieren des TACACS+-Servers: - Nach IP-Adresse: Wenn Sie diese Option ausgewählt haben, geben Sie in das Feld Server-IP-Adresse/Name die IP-Adresse des Servers ein. - Nach Name: Wenn Sie diese Option ausgewählt haben, geben Sie in das Feld IP-Adresse/Name des Servers den Namen des Servers ein.
21 Sicherheit Konfigurieren von RADIUS • Schlüsselzeichenfolge: Geben Sie die Standardschlüsselzeichenfolge ein, die zur Authentifizierung und Verschlüsselung zwischen dem Gerät und dem TACACS+-Server verwendet wird. Der Schlüssel muss mit dem auf dem TACACS+-Server konfigurierten Schlüssel übereinstimmen. Eine Schlüsselzeichenfolge wird verwendet, um den Datenaustausch unter Verwendung von MD5 zu verschlüsseln.
21 Sicherheit Konfigurieren von RADIUS Eine Organisation kann über einen RADIUS-Server (Remote Authorization Dial-In User Service) zentralisierte 802.1X- oder MAC-basierte Netzwerkzugriffssteuerung für alle Geräte bereitstellen. So können Authentifizierung und Autorisierung für alle Geräte in der Organisation auf einem Server verarbeitet werden.
21 Sicherheit Konfigurieren von RADIUS RADIUS-Workflow Gehen Sie wie folgt vor, um einen RADIUS-Server zu verwenden: SCHRITT 1 Erstellen Sie ein Konto für das Gerät auf dem RADIUS-Server. SCHRITT 2 Konfigurieren Sie diesen Server zusammen mit den anderen Parametern auf den Seiten „RADIUS“ und „RADIUS-Server hinzufügen“. HINWEIS Wenn mehrere RADIUS-Server konfiguriert wurden, wählt das Gerät den zu verwendenden RADIUS-Server anhand der konfigurierten Prioritäten der verfügbaren RADIUS-Server aus.
21 Sicherheit Konfigurieren von RADIUS • Timeout für Antwort: Geben Sie die Zeit in Sekunden ein, die das Gerät auf eine Antwort vom RADIUS-Server warten soll, bevor es die Abfrage erneut startet oder zum nächsten Server umschaltet. • Stillstandszeit: Geben Sie die Zeit in Minuten ein, die verstreichen soll, bevor ein nicht antwortender RADIUS-Server bei Serviceanforderungen umgangen wird. Wenn der Wert 0 ist, wird der Server nicht umgangen.
21 429 Sicherheit Konfigurieren von RADIUS • IP-Version: Wählen Sie die Version der IP-Adresse des RADIUS-Servers aus. • IPv6-Adresstyp: Zeigt an, dass der IPv6-Adresstyp „Global“ verwendet wird. • IPv6-Adresstyp: Wählen Sie den IPv6-Adresstyp aus (falls IPv6 verwendet wird). Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung.
21 Sicherheit Konfigurieren von RADIUS • Authentifizierungsport: Geben Sie die UDP-Portnummer des RADIUSServers für Authentifizierungsanforderungen ein. • Abrechnungsport: Geben Sie die UDP-Portnummer des RADIUS-Servers für Abrechnungsanforderungen ein. • Wiederholungen: Geben Sie ein, wie viele Anforderungen an den RADIUSServer gesendet werden sollen, bevor angenommen wird, dass ein Fehler aufgetreten ist.
21 Sicherheit Schlüsselverwaltung Schlüsselverwaltung Schlüsselverwaltung HINWEIS Diese Funktion ist nur für SG500X/ESW2-550X-Geräte relevant. In diesem Abschnitt wird beschrieben, wie Sie Schlüsselketten für Anwendungen und Protokolle wie beispielsweise RIP konfigurieren. Unter RIP-Authentifizierung wird beschrieben, wie die Schlüsselkette von RIP für die Authentifizierung verwendet wird.
21 Sicherheit Schlüsselverwaltung HINWEIS Sie können Werte für Lebensdauer für Paketempfang und Lebensdauer für Paket senden eingeben. „Lebensdauer für Paketempfang“ gibt an, wann die Schlüsselkennung für das Empfangen von Paketen gültig ist. „Lebensdauer für Paket senden“ gibt an, wann die Schlüsselkennung für das Senden von Paketen gültig ist. • Lebensdauer für Paketempfang/Lebensdauer für Paket senden: Gibt an, wann Pakete mit diesem Schlüssel akzeptiert werden.
21 Sicherheit Schlüsselverwaltung - Sekunden: Die Anzahl der Sekunden, in denen die Schlüsselkennung gültig ist. SCHRITT 3 Klicken Sie auf Übernehmen. Die Einstellungen werden in die aktuelle Konfigurationsdatei geschrieben. Erstellen von Schlüsseleinstellungen Auf der Seite „Schlüsselketteneinstellungen“ können Sie einer bereits vorhandenen Schlüsselkette einen Schlüssel hinzufügen. SCHRITT 1 Klicken Sie auf Sicherheit > Schlüsselverwaltung > Schlüsseleinstellungen.
21 Sicherheit Verwaltungszugriffsmethode • Anfangsdatum: Geben Sie das Datum ein, ab dem die Schlüsselkennung gültig ist. • Startzeit: Geben Sie die Uhrzeit ein, ab der die Schlüsselkennung am Anfangsdatum gültig ist. • Endzeit: Geben Sie das Datum ein, bis zu dem die Schlüsselkennung gültig ist. Wählen Sie eine der folgenden Optionen: • - Unbegrenzt: Die Lebensdauer der Schlüsselkennung ist nicht begrenzt. - Dauer. Die Lebensdauer der Schlüsselkennung ist begrenzt.
21 Sicherheit Verwaltungszugriffsmethode Zugriffsprofile bestehen aus einer oder mehreren Regeln. Die Regeln werden in der Reihenfolge ihrer Priorität innerhalb des Zugriffsprofils (von oben nach unten) angewendet. Regeln bestehen aus Filtern, die die folgenden Elemente umfassen: • Zugriffsmethoden: Methoden für den Zugriff auf das Gerät und dessen Verwaltung.
21 Sicherheit Verwaltungszugriffsmethode Wenn ein Versuch, auf das Gerät zuzugreifen, das aktive Zugriffsprofil verletzt, gibt das Gerät eine SYSLOG-Meldung aus, um den Systemadministrator über den Versuch zu benachrichtigen. Wenn ein Nur-Konsole-Zugriffsprofil aktiviert wurde, kann es nur über eine direkte Verbindung von der Verwaltungsstation zum physischen Konsolen-Port am Gerät deaktiviert werden. Weitere Informationen finden Sie unter Definieren von Profilregeln.
21 Sicherheit Verwaltungszugriffsmethode SCHRITT 6 Geben Sie die Parameter ein. • Regelpriorität: Geben Sie die Regelpriorität ein. Wenn ein Paket mit einer Regel abgeglichen wird, wird Benutzergruppen der Zugriff auf das Gerät entweder gewährt oder verweigert. Die Regelpriorität ist beim Abgleich von Paketen mit Regeln ein zentraler Punkt, da Pakete auf First-Match-Basis abgeglichen werden. Eins ist die höchste Priorität.
21 Sicherheit Verwaltungszugriffsmethode • Schnittstelle: Geben Sie die Schnittstellennummer ein, wenn Sie „Benutzerdefiniert“ ausgewählt haben. • Anwenden auf Quell-IP-Adresse: Wählen Sie den Typ der Quell-IPAdresse, auf die das Zugriffsprofil angewendet werden soll. Das Feld QuellIP-Adresse ist für ein Subnetzwerk gültig. Wählen Sie unter den folgenden Werten: - Alle: Gilt für alle Typen von IP-Adressen.
21 Sicherheit Verwaltungszugriffsmethode Beispielsweise können Sie den Zugriff auf das Gerät von sämtlichen IP-Adressen aus beschränken, mit Ausnahme von IP-Adressen, die dem IT-Verwaltungszentrum zugeordnet sind. Auf diese Weise kann das Gerät immer noch verwaltet werden, hat aber eine weitere Sicherheitsschicht hinzugewonnen. So fügen Sie Profilregeln einem Zugriffsprofil hinzu: SCHRITT 1 Klicken Sie auf Sicherheit > Verwaltungszugriffsmethode > Profilregeln.
21 Sicherheit Verwaltungszugriffsmethode • Aktion: Wählen Sie Zulassen, um Benutzer zuzulassen, die unter Verwendung der konfigurierten Zugriffsmethode von der in dieser Regel definierten Schnittstelle bzw. IP-Adresse aus auf das Gerät zugreifen möchten. Sie können auch Verweigern wählen, um den Zugriff zu verweigern. • Anwenden für Schnittstelle: Wählen Sie die Schnittstelle aus, die mit der Regel verbunden werden soll. Folgende Optionen sind möglich: - Alle: Gilt für alle Ports, VLANs und LAGs.
21 Sicherheit Verwaltungszugriffsauthentifizierung Verwaltungszugriffsauthentifizierung Sie können den verschiedenen Verwaltungszugriffsmethoden Authentifizierungsmethoden zuweisen, wie z. B. SSH, Konsole, Telnet, HTTP und HTTPS. Diese Authentifizierung kann lokal oder auf einem TACACS+- oder RADIUS-Server ausgeführt werden. Damit der RADIUS-Server Zugriff auf das webbasierte Konfigurationsdienstprogramm gewährt, muss er die Zeichenfolge „cisco-avpair = shell:priv-lvl=15“ zurückgeben.
Sicherheit Sicheres Verwalten sensibler Daten (SSD) • 21 Lokal: Benutzername und Kennwort werden mit den auf dem lokalen Gerät gespeicherten Daten verglichen. Diese Benutzernamen- und Kennwortpaare werden auf der Seite „Benutzerkonten“ definiert. HINWEIS Die Authentifizierungsmethoden Lokal oder Keine müssen stets als Letztes ausgewählt werden. Alle nach Lokal oder Keine ausgewählten Authentifizierungsmethoden werden ignoriert. SCHRITT 4 Klicken Sie auf Übernehmen.
21 Sicherheit SSL-Server 3. Importieren Sie das signierte Zertifikat in das Gerät. Standardeinstellungen und Konfiguration Das Gerät enthält standardmäßig ein Zertifikat, das Sie ändern können. HTTPS ist standardmäßig aktiviert. Authentifizierungseinstellungen für SSL-Server Möglicherweise müssen Sie ein neues Zertifikat generieren, um das Standardzertifikat im Gerät zu ersetzen.
21 Sicherheit SSL-Server • Organisationsname: Gibt den Namen der Organisation an. • Ort: Gibt den Namen des Orts oder der Stadt an. • Bundesland: Gibt den Namen des Bundeslands an. • Land: Gibt den Ländernamen an. • Dauer: Gibt die Gültigkeitsdauer eines Zertifikats in Tagen an. SCHRITT 5 Klicken Sie auf Zertifikatsanforderung generieren. Daraufhin wird ein Schlüssel erstellt, der in der Zertifizierungsstelle (Certification Authority, CA) eingegeben werden muss.
21 Sicherheit SSH-Server Daraufhin wird die Schaltfläche Details mit dem Zertifikat und dem RSASchlüsselpaar angezeigt. Von hier aus können Sie das Zertifikat und das RSASchlüsselpaar in ein anderes Gerät kopieren (mit Kopieren und Einfügen). Wenn Sie auf Sensible Daten verschlüsselt anzeigen klicken, werden die privaten Schlüssel in verschlüsselter Form angezeigt. SSH-Server Weitere Informationen hierzu finden Sie unter Sicherheit: SSH-Server.
Sicherheit Konfigurieren von TCP-/UDP-Services 21 So konfigurieren Sie TCP-/UDP-Services: SCHRITT 1 Klicken Sie auf Sicherheit > TCP-/UDP-Services. SCHRITT 2 Aktivieren oder deaktivieren Sie die folgenden TCP-/UDP-Services für die angezeigten Services. • HTTP-Service: Gibt an, ob der HTTP-Service aktiviert oder deaktiviert ist. • HTTPS-Service: Gibt an, ob der HTTPS-Service aktiviert oder deaktiviert ist. • SNMP-Service: Gibt an, ob der SNMP-Service aktiviert oder deaktiviert ist.
21 Sicherheit Definieren der Sturmsteuerung • Anwendungsinstanz: Die Serviceinstanz des UDP-Service. (Wenn beispielsweise zwei Absender Daten an das gleiche Ziel senden.) SCHRITT 3 Klicken Sie auf Übernehmen. Die Services werden in die aktuelle Konfigurationsdatei geschrieben. Definieren der Sturmsteuerung Wenn Broadcast-, Multicast- oder unbekannte Unicast-Frames empfangen werden, werden sie dupliziert, und an alle in Frage kommenden Ausgangs-Ports wird eine Kopie gesendet.
21 Sicherheit Konfigurieren der Portsicherheit • Ratenschwellenwert Sturmsteuerung: Geben Sie die Maximalrate für die Weiterleitung unbekannter Pakete ein. Der Standardwert für diesen Schwellenwert entspricht 10.000 für FE-Geräte und 100.000 für GE-Geräte. • Sturmsteuerungsmodus: Wählen Sie einen der folgenden Modi aus: - Unbekanntes Unicast, Multicast und Broadcast: Zählt unbekannten Unicast-, Multicast- und Broadcast-Verkehr zusammen und vergleicht die Summe mit dem Bandbreiten-Schwellenwert.
21 Sicherheit Konfigurieren der Portsicherheit • Permanent sichern: Behält die aktuellen dem Port zugeordneten dynamischen MAC-Adressen bei und lernt die maximale Anzahl der am Port zulässigen Adressen (festgelegt mit „Maximale Anzahl zulässiger Adressen“). Neulernen und Fälligkeit sind deaktiviert. • Bei Zurücksetzen sicher löschen: Löscht nach dem Zurücksetzen die aktuellen dynamischen MAC-Adressen, die dem Port zugeordnet sind.
21 Sicherheit Konfigurieren der Portsicherheit • Lernmodus: Wählen Sie die Art der Port-Sperre. Damit dieses Feld konfiguriert werden kann, muss der Status der Schnittstelle „nicht gesperrt“ sein. Der Lernmodus wird nur dann aktiviert, wenn das Feld Schnittstellenstatus gesperrt ist. Um den Lernmodus zu ändern, muss die Eingabe unter „Schnittstellenstatus“ gelöscht werden. Nach dem Ändern des Lernmodus kann „Schnittstellenstatus“ wieder eingegeben werden.
21 Sicherheit 802.1X • Trap: Wählen Sie die Aktivierung von Traps, wenn ein Paket bei einem gesperrten Port eingeht. Dies ist relevant bei Verstößen gegen Sperren. Bei der klassischen Sperre ist jede empfangene neue Adresse ein Verstoß. Bei der beschränkten dynamischen Sperre ist jede neue Adresse, die die Höchstzahl erlaubter Adressen überschreitet, ein Verstoß. • Trap-Frequenz: Geben Sie die Mindestzeit in Sekunden ein, die zwischen Traps verstreichen soll. SCHRITT 4 Klicken Sie auf Übernehmen.
21 Sicherheit Denial of Service-Sicherung Es gibt keine Interaktionen mit anderen Funktionen. SCT kann auf der Seite „Denial of Service > Denial of Service-Sicherung > Security Suite-Einstellungen“ (Schaltfläche Details) überwacht werden. Arten von DoS-Angriffen Die folgenden Pakettypen oder sonstigen Strategien können bei einem Denial of Service-Angriff eingesetzt werden: • TCP-SYN-Pakete: Diese Pakete haben oft eine falsche Absenderadresse.
21 Sicherheit Denial of Service-Sicherung Dabei werden durch automatisierte Routinen Schwachstellen in Programmen ausgenutzt, die Remoteverbindungen auf den Remote-Hosts zulassen, die Ziel des Angriffs sind. Jeder Handler kann bis zu eintausend Agenten kontrollieren. • Invasor-Trojaner: Mithilfe eines Trojaners kann der Angreifer einen ZombieAgent herunterladen (sofern dieser nicht bereits im Trojaner selbst enthalten ist). Außerdem können Angreifer mithilfe automatisierter Tools in Systeme eindringen.
21 Sicherheit Denial of Service-Sicherung Abhängigkeiten zwischen Funktionen Zugriffssteuerungslisten (ACLs) und erweiterte QoS-Richtlinien sind nicht aktiv, wenn für einen Port der DoS-Schutz aktiviert ist. Wenn Sie entweder versuchen, die DoS-Prävention für eine Schnittstelle zu aktivieren, für die eine ACL definiert ist, oder eine ACL für eine Schnittstelle zu definieren, für die die DoS-Prävention aktiviert ist, wird jeweils eine Fehlermeldung angezeigt.
21 Sicherheit Denial of Service-Sicherung SCHRITT 2 Klicken Sie neben CPU-Auslastung auf Details, um die Seite „CPU-Auslastung“ aufzurufen und die Anzeige der CPU-Ressourcenauslastung zu aktivieren. SCHRITT 3 Klicken Sie neben TCP-SYN-Schutz auf Bearbeiten, um die Seite „SYN-Schutz“ aufzurufen und diese Funktion zu aktivieren. SCHRITT 4 Wählen Sie DoS-Prävention, um die Funktion zu aktivieren. • Deaktivieren: Deaktivieren der Funktion.
21 Sicherheit Denial of Service-Sicherung Bei aktivierter SYN-Schutzfunktion werden die von jedem Netzwerkport pro Sekunde bei der CPU eingehenden SYN-Pakete gezählt. Wenn die Anzahl größer als der benutzerdefinierte Schwellenwert ist, wird für den Port eine Regel zur Ablehnung aller SYN-Pakete mit dieser MAC-Adresse angewendet. Die Bindung dieser Regel an den Port wird jeweils nach Ablauf des benutzerdefinierten Intervalls (Zeitspanne für SYN-Schutz) aufgehoben.
21 Sicherheit Denial of Service-Sicherung • Angegriffen: Für diese Schnittstelle wurde ein Angriff ermittelt. Letzter Angriff: Datum des letzten vom System ermittelten SYN-FINAngriffs und der Systemaktion (Berichtet oder Blockiert und berichtet). Ungültige Adressen Auf der Seite „Ungültige Adressen“ können IP-Adressen eingegeben werden, die bei Auftauchen im Netzwerk auf einen Angriff hinweisen. Pakete von diesen Adressen werden verworfen.
21 Sicherheit Denial of Service-Sicherung SCHRITT 3 Um eine ungültige Adresse hinzuzufügen, klicken Sie auf Hinzufügen. SCHRITT 4 Geben Sie die Parameter ein. • IP-Version: Die unterstützte IP-Version. Aktuell wird nur IPv4 unterstützt. • IP-Adresse: Geben Sie eine IP-Adresse ein, die abgelehnt werden soll. Folgende Werte sind gültig: • - Aus der Liste reservierter Adressen: Wählen Sie eine bekannte IPAdresse aus der Liste reservierter Adressen aus.
21 Sicherheit Denial of Service-Sicherung • TCP-Port: Geben Sie den Ziel-TCP-Port ein, für den die Filterung aktiviert werden soll: - Bekannte Ports: Wählen Sie einen Port aus der Liste aus. - Benutzerdefiniert: Geben Sie eine Port-Nummer ein. - Alle Ports: Wählen Sie diese Option, wenn die Filterung für alle Ports aktiviert werden soll. SCHRITT 4 Klicken Sie auf Übernehmen. Der SYN-Filter wird definiert und die aktuelle Konfigurationsdatei wird aktualisiert.
21 Sicherheit Denial of Service-Sicherung • Präfixlänge: Wählen Sie die Präfixlänge aus, und geben Sie die Anzahl der Bits ein, die das Präfix der Quell-IP-Adresse umfasst. SYN-Ratenbegrenzung: Geben Sie die Anzahl SYN-Pakete ein, deren Empfang zulässig sein soll. SCHRITT 4 Klicken Sie auf Übernehmen. Der SYN-Ratenschutz wird definiert und die aktuelle Konfiguration wird aktualisiert.
21 Sicherheit DHCP-Snooping IP-Fragmentfilterung Auf der Seite „IP-fragmentiert“ können Sie fragmentierte IP-Pakete blockieren. So konfigurieren Sie die Blockierung fragmentierter IP-Pakete: SCHRITT 1 Klicken Sie auf Sicherheit > Denial of Service-Sicherung > IP-Fragmentfilterung. SCHRITT 2 Klicken Sie auf Hinzufügen. SCHRITT 3 Geben Sie die Parameter ein. • Schnittstelle: Wählen Sie die Schnittstelle aus, für die die IPFragmentierung definiert werden soll.
21 Sicherheit IP Source Guard IP Source Guard IP Source Guard ist eine Sicherheitsfunktion, mit der Sie Datenverkehrsangriffe verhindern können, die entstehen, wenn ein Host die IP-Adresse seines Nachbarn zu verwenden versucht. Wenn IP Source Guard aktiviert ist, überträgt das Gerät IP-Datenverkehr von Clients nur an IP-Adressen, die in der DHCP-Snooping-Bindungsdatenbank enthalten sind. Dazu gehören durch DHCP-Snooping hinzugefügte Adressen sowie manuell hinzugefügte Einträge.
21 Sicherheit IP Source Guard Filterung Wenn IP Source Guard für einen Port aktiviert ist, gilt Folgendes: • Aufgrund von DHCP-Snooping zulässige DHCP-Pakete werden zugelassen. • Wenn die Filterung von Quell-IP-Adressen aktiviert ist, gilt Folgendes: - IPv4-Verkehr: Nur Verkehr mit einer dem Port zugeordneten Quell-IPAdresse ist zulässig. - Nicht-IPv4-Verkehr: Zulässig (einschließlich ARP-Paketen).
21 Sicherheit IP Source Guard Konfigurieren von IP Source Guard an Schnittstellen Wenn IP Source Guard für vertrauenswürdige Ports/LAGs aktiviert ist, werden aufgrund von DHCP-Snooping zulässige DHCP-Pakete übertragen. Wenn die Filterung von Quell-IP-Adressen aktiviert ist, wird die Paketübertragung wie folgt zugelassen: • IPv4-Verkehr: Nur IPv4-Verkehr mit einer dem jeweiligen Port zugeordneten Quell-IP-Adresse ist zulässig. • Nicht-IPv4-Verkehr: Sämtlicher Nicht-IPv4-Verkehr ist zulässig.
21 Sicherheit IP Source Guard HINWEIS Auf der Seite „Bindungsdatenbank“ werden nur die Einträge aus der DHCP- Snooping-Bindungsdatenbank angezeigt, die für Ports definiert sind, an denen IP Source Guard aktiviert ist. Um die DHCP-Snooping-Bindungsdatenbank und die TCAM-Verwendung anzuzeigen, legen Sie Inaktive einfügen fest: SCHRITT 1 Klicken Sie auf Sicherheit > IP Source Guard > Bindungsdatenbank. SCHRITT 2 Die DHCP-Snooping-Bindungsdatenbank verwendet zum Verwalten der Datenbank TCAM-Ressourcen.
21 Sicherheit ARP-Prüfung Zum Anzeigen einer Teilmenge dieser Einträge geben Sie die entsprechenden Suchkriterien ein und klicken Sie auf Los. ARP-Prüfung ARP ermöglicht die IP-Kommunikation innerhalb einer Schicht-2-BroadcastDomäne durch Zuordnen von IP-Adressen zu MAC-Adressen.
21 Sicherheit ARP-Prüfung Host A, B und C sind mit dem Switch an den Schnittstellen A, B und C verbunden, die sich alle im gleichen Subnetz befinden. Die IP- und MAC-Adressen stehen in Klammern. So verwendet beispielsweise Host A die IP-Adresse IA und die MACAdresse MA. Wenn Host A auf der IP-Schicht mit Host B kommunizieren muss, sendet er eine ARP-Anforderung für die MAC-Adresse, die IP-Adresse B zugeordnet ist. Host B antwortet mit einer ARP-Antwort.
21 Sicherheit ARP-Prüfung • Wenn die IP-Adresse des Pakets nicht gefunden wurde und DHCPSnooping für das VLAN des Pakets aktiviert ist, wird die DHCP-SnoopingBindungsdatenbank nach dem -Paar des Pakets durchsucht. Wenn das -Paar gefunden wurde und die MAC-Adresse und die Schnittstelle in der Datenbank mit der MAC-Adresse des Pakets und der Eingangsschnittstelle übereinstimmen, ist das Paket gültig.
21 Sicherheit ARP-Prüfung ARP-Standardeinstellungen Die folgende Tabelle beschreibt die ARP-Standardeinstellungen: Option Standardzustand Dynamische ARP-Prüfung Nicht aktiviert ARP-Paketvalidierung Nicht aktiviert ARP-Prüfung im VLAN aktiviert Nicht aktiviert Protokollpufferintervall SYSLOG-Nachrichten für gelöschte Pakete werden alle fünf Sekunden generiert.
21 Sicherheit ARP-Prüfung • • ARP-Paketvalidierung: Wählen Sie diese Option aus, um die folgenden Überprüfungen zu aktivieren: - Quell-MAC: Vergleicht die Quell-MAC-Adresse des Pakets im EthernetHeader mit der MAC-Adresse des Absenders in der ARP-Anforderung. Diese Überprüfung wird für ARP-Anforderungen und -Antworten ausgeführt. - Ziel-MAC: Vergleicht die Ziel-MAC-Adresse des Pakets im EthernetHeader mit der MAC-Adresse der Zielschnittstelle. Diese Überprüfung wird für ARP-Antworten ausgeführt.
21 Sicherheit ARP-Prüfung SCHRITT 2 Zum Festlegen eines Ports bzw. einer LAG als nicht vertrauenswürdig wählen Sie den Port oder die LAG aus und klicken Sie auf Bearbeiten. SCHRITT 3 Wählen Sie Vertrauenswürdig oder Nicht vertrauenswürdig aus und klicken Sie auf Übernehmen, um die Einstellungen in der aktuellen Konfigurationsdatei zu speichern.
21 Sicherheit Sicherheit des ersten Hops SCHRITT 3 Wählen Sie eine Zugriffssteuerungsgruppe aus und geben Sie Werte für die Felder ein: • MAC-Adresse: Die MAC-Adresse des Pakets. • IP-Adresse: Die IP-Adresse des Pakets. SCHRITT 4 Klicken Sie auf Übernehmen. Die Einstellungen werden definiert und die aktuelle Konfigurationsdatei wird aktualisiert.
22 Sicherheit: 802.1X-Authentifizierung In diesem Abschnitt wird die 802.1X-Authentifizierung beschrieben. Die folgenden Themen werden behandelt: • 802.1X – Überblick • Authentifikator – Übersicht • Allgemeine Aufgaben • 802.1X-Konfiguration über die Benutzeroberfläche • Definieren von Zeitbereichen • Unterstützung für Authentifizierungsmethoden und Portmodi 802.1X – Überblick Die 802.
22 Sicherheit: 802.1X-Authentifizierung 802.1X – Überblick Dieser wird in der Abbildung unten beschrieben: Client Client Authentifizierungsserver 370574 Authentifikator Ein Netzwerkgerät kann auf einem Port entweder als Client/Anfrager, als Authentifikator oder als beides auftreten. Client oder Anfrager Ein Client oder Anfrager ist ein Netzwerkgerät, das Zugang zum LAN erbittet. Der Client wird mit einem Authentifikator verbunden. Wenn der Client das 802.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht • Mehrfachsitzungen: Unterstützt die Client-basierte Authentifizierung mit mehreren Clients pro Port. Weitere Informationen finden Sie unter Port-Hostmodi. Es werden die folgenden Authentifizierungsmethoden unterstützt: • 802.1X-basiert: Wird bei allen Authentifizierungsmodi unterstützt. • MAC-basiert: Wird bei allen Authentifizierungsmodi unterstützt. • Webbasiert: Wird nur in den Mehrfachsitzungsmodi unterstützt. Bei der 802.
Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht 22 Paket mit der integrierten EAP-Erfolgsmeldung, sobald es die 802.1XEAPOL-Startnachricht erhält. Dies ist der Standardstatus. • Nicht-Autorisierung erzwingen Die Port-Authentifizierung wird deaktiviert, und der Port überträgt den gesamten Datenverkehr über das Gast-VLAN und nicht authentifizierte VLANs. Weitere Informationen finden Sie unter Definieren der Host- und Sitzungsauthentifizierung. Der Switch sendet 802.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht Ein Benutzer kann festlegen, dass Datenverkehr ohne Tags von einem autorisierten Host erneut einem VLAN zugeordnet wird, der im Rahmen des Authentifizierungsprozesses durch einen RADIUS-Server zugewiesen wurde. Datenverkehr mit Tags wird nur dann weitergeleitet, wenn er zu einem zugewiesenen RADIUS-VLAN oder zu den nicht authentifizierten VLANs gehört. Die RADIUS-VLAN-Zuordnung auf einem Port wird auf der Seite „Sicherheit > 802.
Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht 22 Datenverkehr mit Tags, der zu einem nicht authentifizierten VLAN gehört, wird immer überbrückt, und zwar unabhängig davon, ob der Host autorisiert ist oder nicht.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht Wenn eine Authentifizierungsmethode für einen Client erfolgreich beendet wird, der durch eine Authentifizierungsmethode mit niedrigerer Priorität authentifiziert wird, werden die Attribute der neuen Authentifizierungsmethode angewendet. Sollte die neue Methode scheitern, wird der Client über die alte Methode autorisiert. 802.1X-basierte Authentifizierung Der 802.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht Abbildung 2 MAC-basierte Authentifizierung Benutzerdaten RADIUS-Protokoll Authentifikator Benutzername = MAC-Adresse Kennwort = MAC-Adresse Authentifizierungsserver 370576 EAP-Protokoll Client Diese Methode weist keine spezifische Konfiguration auf. Webbasierte Authentifizierung Die webbasierte Authentifizierung wird verwendet, um Endbenutzer zu authentifizieren, die Zugriff auf ein Netzwerk über einen Switch beantragen.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht Der Benutzer verfügt nun über eine authentifizierte Sitzung. Die Sitzung bleibt während ihrer Verwendung geöffnet. Wenn die Sitzung nach Ablauf eines bestimmten Zeitintervalls nicht verwendet wird, wird sie geschlossen. Das Zeitintervall wird durch den Systemadministrator definiert und als „Ruhezeit“ bezeichnet.
22 Sicherheit: 802.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht • Die Mitglieds-Ports müssen manuell als Mitglieder mit Tag konfiguriert werden. • Der Mitglieds-Port muss ein Trunk- und/oder allgemeiner Port sein. Ein Zugriffs-Port kann nicht Mitglied eines nicht authentifizierten VLAN sein. Das Gast-VLAN, falls konfiguriert, ist ein statisches VLAN mit den folgenden Charakteristika: • Es muss von einem vorhandenen statischen VLAN aus definiert sein.
Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht 22 RADIUS-VLAN-Zuordnung oder Dynamische VLANZuordnung Ein autorisierter Client kann über einen RADIUS-Server einem VLAN zugewiesen werden, wenn diese Option auf der Seite „Port-Authentifizierung“ aktiviert wurde. Dies wird entweder als „Dynamische VLAN-Zuweisung“ (DVA) oder „Zugewiesenes RADIUS-VLAN“ bezeichnet. In diesem Handbuch wird die Benennung „Zugewiesenes RADIUS-VLAN“ verwendet.
22 Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht Datenverkehr mit und ohne Tags, der zum zugewiesenen RADIUS-VLAN gehört, wird über dieses VLAN überbrückt. Datenverkehr, der nicht zu nicht authentifizierten VLANs gehört, wird verworfen. • Vollständiger Mehrfachsitzungsmodus Datenverkehr mit und ohne Tags, der nicht zu nicht authentifizierten VLANs gehört und vom Client eingeht, wird dem zugewiesenen RADIUS-VLAN auf Basis von TCAM-Regeln zugewiesen und über das VLAN überbrückt.
Sicherheit: 802.1X-Authentifizierung Authentifikator – Übersicht 22 Folgende Optionen stehen zur Verfügung: • Beschränken: Generiert einen Trap, wenn eine Station, bei deren MACAdresse es sich nicht um die MAC-Adresse des Anfragers handelt, versucht, auf die Schnittstelle zuzugreifen. Die Mindestdauer zwischen Traps beträgt 1 Sekunde. Diese Frames werden weitergeleitet, die zugehörigen Quelladressen wurden jedoch nicht gelernt.
22 Sicherheit: 802.1X-Authentifizierung Allgemeine Aufgaben Allgemeine Aufgaben Workflow 1: So aktivieren Sie die 802.1X-Authentifizierung auf einem Port: SCHRITT 1 Klicken Sie auf „Sicherheit > 802.1X/MAC/Web-Authentifizierung > Eigenschaften“. SCHRITT 2 Aktivieren Sie die Port-basierte Authentifizierung. SCHRITT 3 Wählen Sie die Authentifizierungsmethode aus. SCHRITT 4 Klicken Sie auf Übernehmen. Die aktuelle Konfigurationsdatei wird aktualisiert. SCHRITT 5 Klicken Sie auf Sicherheit > 802.
Sicherheit: 802.1X-Authentifizierung Allgemeine Aufgaben 22 Workflow 3: So konfigurieren Sie die 802.1X-basierte oder webbasierte Authentifizierung: SCHRITT 1 Klicken Sie auf Sicherheit > 802.1X/MAC/Web-Authentifizierung > Port- Authentifizierung. SCHRITT 2 Wählen Sie den erforderlichen Port aus, und klicken Sie auf Bearbeiten. SCHRITT 3 Geben Sie Werte in die erforderlichen Felder für den Port ein. Die Felder auf dieser Seite werden unter Definieren der 802.1X-PortAuthentifizierung näher beschrieben.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche Workflow 6: So konfigurieren Sie nicht authentifizierte VLANs: SCHRITT 1 Klicken Sie auf „Sicherheit > 802.1X/MAC/Web-Authentifizierung > Eigenschaften“. SCHRITT 2 Wählen Sie ein VLAN aus, und klicken Sie auf Bearbeiten. SCHRITT 3 Wählen Sie ein VLAN aus. SCHRITT 4 Wahlweise können Sie Authentifizierung deaktivieren, um das VLAN zu einem nicht authentifizierten VLAN zu machen. SCHRITT 5 Klicken Sie auf Übernehmen.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 der Server verfügbar ist, aber die Anmeldeinformationen des Benutzers nicht korrekt sind, wird der Zugriff verweigert und die Sitzung wird beendet. - RADIUS: Der Benutzer wird auf dem RADIUS-Server authentifiziert. Wenn keine Authentifizierung durchgeführt wird, wird die Sitzung nicht zugelassen. - Ohne: Der Benutzer wird nicht authentifiziert. Die Sitzung wird zugelassen.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche • Gehen Sie wie folgt vor, wenn sich der Switch im Schicht-2-Switch-Modus befindet: - Traps für das Fehlschlagen der Web-Authentifiz.: Wählen Sie diese Option aus, um einen Trap zu generieren, wenn die WebAuthentifizierung scheitert. - Traps für die erfolgreiche Web-Authentifizierung: Wählen Sie diese Option aus, um einen Trap zu generieren, wenn die WebAuthentifizierung erfolgreich verläuft.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 SCHRITT 3 Geben Sie die Parameter ein. • Schnittstelle: Wählen Sie einen Port aus. • Aktuelle Port-Steuerung: Der aktuelle Status der Port-Autorisierung. Wenn der Status Autorisiert ist, wird der Port entweder authentifiziert, oder die Administrations-Port-Steuerung ist Autorisierung erzwingen.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche VLAN global für einen bestimmten Port aktiviert ist, wird das Gast-VLAN den nicht autorisierten Ports automatisch als VLAN ohne Tag zugewiesen. - Gelöscht: Gast-VLAN ist für den Port deaktiviert. • 802.1X-basierte Authentifizierung: Die 802.1X-Authentifizierung ist die einzige auf dem Port ausgeführte Authentifizierungsmethode.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 HINWEIS Wenn der Port nicht den Status „Autorisierung erzwingen“ oder „Nicht-Autorisierung erzwingen“ aufweist, befindet er sich im automatischen Modus und der Authentifikator zeigt den Status der ausgeführten Authentifizierung an. Nachdem der Port authentifiziert ist, wird der Status als „Authentifiziert“ angezeigt.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche • Server-Timeout: Geben Sie den Zeitraum in Sekunden ein, der verstreichen soll, bevor EAP-Anforderungen erneut an den Authentifizierungsserver gesendet werden. SCHRITT 4 Klicken Sie auf Übernehmen. Die Porteinstellungen werden in die aktuelle Konfigurationsdatei geschrieben.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 Einstellungen für Einzelhostverstöße: • Aktion bei Verstoß: Wählen Sie die Aktion, die auf Pakete angewendet werden soll, die an der Schnittstelle im Einzel-Sitzungs-/Einzel-Host-Modus von einem Host ankommen, dessen MAC-Adresse nicht die MAC-Adresse des Anfragers ist. Folgende Optionen sind möglich: - Schützen (Verwerfen): Die Pakete werden verworfen.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche • Authentifizierungsmethode: Die Methode, mit der die letzte Sitzung authentifiziert wurde. • Authentifizierungsserver: Der RADIUS-Server. • MAC-Adresse: Die MAC-Adresse des Anfragers. • VLAN-ID: Das Port-VLAN. Gesperrte Clients So zeigen Sie Clients an, die aufgrund fehlgeschlagener Anmeldeversuche gesperrt wurden, und heben die Sperre für gesperrte Clients auf: SCHRITT 1 Klicken Sie auf „Sicherheit > 802.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 So fügen Sie eine Sprache für die webbasierte Authentifizierung hinzu: SCHRITT 1 Klicken Sie auf „Sicherheit > 802.1X/MAC/Web-Authentifizierung > Anpassung der Web-Authentifizierung“. SCHRITT 2 Klicken Sie auf Hinzufügen. SCHRITT 3 Wählen Sie eine Sprache in der Dropdown-Liste Sprache aus. SCHRITT 4 Wählen Sie Als Standard-Anzeigesprache festlegen aus, wenn diese Sprache die Standardsprache ist.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche • - Hintergrundfarbe von Kopf- und Fußzeilen: Geben Sie den ASCII-Code für die Hintergrundfarbe für die Kopf- und Fußzeile ein. Die ausgewählte Farbe wird im Feld „Text“ angezeigt. - Textfarbe von Kopf- und Fußzeilen: Geben Sie den ASCII-Code für die Textfarbe für die Kopf- und Fußzeile ein. Die ausgewählte Farbe wird im Feld „Text“ angezeigt. - Hyperlink-Farbe: Geben Sie den ASCII-Code der Hyperlink-Farbe ein.
Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche 22 SCHRITT 7 Klicken Sie auf Bearbeiten3. Die folgenden Felder werden angezeigt: • Begrüßungsmeldung: Geben Sie den Text der Nachricht ein, die angezeigt wird, wenn sich der Endbenutzer anmeldet. • Nachricht mit Anweisungen: Geben Sie Anweisungen ein, die dem Endbenutzer angezeigt werden. • RADIUS-Authentifizierung: Zeigt an, ob die RADIUS-Authentifizierung aktiviert ist.
22 Sicherheit: 802.1X-Authentifizierung 802.1X-Konfiguration über die Benutzeroberfläche • Geschäftsbedingungen – Inhalt: Geben Sie den Text der Nachricht ein, die als Geschäftsbedingungen angezeigt werden soll. SCHRITT 10 Klicken Sie auf Übernehmen, um diese Einstellung in die aktuelle Konfigurationsdatei zu speichern. SCHRITT 11 Klicken Sie auf Bearbeiten5. Die folgenden Felder werden angezeigt: • Copyright: Wählen Sie diese Option aus, um einen Copyright-Text anzuzeigen.
22 Sicherheit: 802.1X-Authentifizierung Definieren von Zeitbereichen Definieren von Zeitbereichen Eine Erläuterung dieser Funktion finden Sie unter Zeitbereich. Unterstützung für Authentifizierungsmethoden und Portmodi In der folgenden Tabelle werden die Kombinationen der unterstützten Authentifizierungsmethoden und Portmodi erläutert. AuthentifizieEinzelhost rungsverfahren Mehrfachhost Mehrfachsitzungen Gerät im Schicht-3Systemmodus Gerät im Schicht-2Systemmodus 802.
22 Sicherheit: 802.1X-Authentifizierung Unterstützung für Authentifizierungsmethoden und Portmodi Modusverhalten In der folgenden Tabelle wird erläutert, wie authentifizierter und nicht authentifizierter Datenverkehr in verschiedenen Szenarios behandelt wird.
22 Sicherheit: 802.1X-Authentifizierung Unterstützung für Authentifizierungsmethoden und Portmodi Vollständige Mehrfachsitzungen Nicht authentifizierter Datenverkehr Authentifizierter Datenverkehr Mit Gast-VLAN Ohne Gast-VLAN Mit Radius-VLAN Ohne Radius-VLAN Ungetaggt Getaggt Ungetaggt Getaggt Ungetaggt Getaggt Ungetaggt Getaggt Frames werden dem GastVLAN erneut zugewiesen. Frames werFrames den ignowerden dem Gast- riert.
23 Sicherheit: IPv6-Sicherheit des ersten Hops In diesem Abschnitt wird beschrieben, wie die Funktion „Sicherheit des ersten Hops“ (FHS) arbeitet und wie Sie sie auf der Benutzeroberfläche konfigurieren.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Sicherheit des ersten Hops – Übersicht Abbildung 6 Sicherheitskonfiguration des ersten Hops IPv6-Host (Endknoten) IPv6-Router 370572 Switch des ersten Hops Überwachen Auf jedem VLAN, auf dem diese Funktion aktiviert ist, wird eine separate und unabhängige Instanz der IPv6-Sicherheit des ersten Hops ausgeführt.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Sicherheit des ersten Hops – Übersicht IPv6-Sicherheit des ersten Hops – Komponenten Die IPv6-Sicherheit des ersten Hops umfasst die folgenden Funktionen: • IPv6-Sicherheit des ersten Hops – Allgemeines • RA Guard • ND-Prüfung • Integrität der Nachbarbindung • DHCPv6 Guard Diese Komponenten können auf VLANs aktiviert und deaktiviert werden.
Sicherheit: IPv6-Sicherheit des ersten Hops Sicherheit des ersten Hops – Übersicht 23 Weitergeleitete RA-, CPA- und ICMPv6-Weiterleitungsnachrichten werden an die RA Guard-Funktion weitergeleitet. RA Guard validiert diese Nachrichten, löscht ungültige Nachrichten und leitet zulässige Nachrichten an die ND-Prüffunktion weiter. Die ND-Prüfung validiert diese Nachrichten, löscht ungültige Nachrichten und leitet zulässige Nachrichten an die IPv6 Source Guard-Funktion weiter.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Routerankündigungs-Guard Abbildung 7 IPv6-Sicherheit des ersten Hops – Perimeter H1 H2 Switch D IPv6-FHS Switch C IPv6-FHS Switch B IPv6-FHS IPv6-FHS R1 370573 IPv6-FHS Der Befehl device-role auf dem Richtlinienkonfigurationsbildschirm für die Nachbarbindung gibt den Perimeter an. Jeder Switch für die IPv6-Sicherheit des ersten Hops baut Bindungen für Nachbarn auf Basis einer Edge-Partitionierung auf.
Sicherheit: IPv6-Sicherheit des ersten Hops Nachbarerkennungsprüfung 23 Filtern empfangener RA-, CPA- und ICMPv6Umleitungsnachrichten RA Guard verwirft RA- und CPA-Nachrichten, die auf Schnittstellen eingehen, die nicht die Rolle eines Routers ausführen. Die Schnittstellenrolle wird auf der Seite „Sicherheit > IPv6-Sicherheit des ersten Hops > RA Guard-Einstellungen“ konfiguriert.
23 Sicherheit: IPv6-Sicherheit des ersten Hops DHCPv6 Guard Ausgangsfilterung Die ND-Prüfung blockiert die Weiterleitung von RS- und CPS-Nachrichten auf Schnittstellen, die als Hostschnittstellen konfiguriert wurden. DHCPv6 Guard DHCPv6 Guard verarbeitet die weitergeleiteten DHCPv6-Nachrichten.
Sicherheit: IPv6-Sicherheit des ersten Hops Integrität der Nachbarbindung 23 Standardmäßig ist diese Validierung deaktiviert. Ist diese Funktion aktiviert, werden Adressen gegen die Präfixe auf der Seite „Bindungseinstellungen der Nachbarn“ validiert. Statische Präfixe, die für die Adressprüfung verwendet werden, können auf der Seite „Tabelle zur Nachbarbindung“ hinzugefügt werden.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Integrität der Nachbarbindung • NBI-NDP unterstützt IPv6-Adressbindungen nur bei IPv6-Adressen, die aus NDP-Nachrichten erlernt wurden. Die Quelladressvalidierung für Datennachrichten wird über den IPv6-Quelladress-Guard bereitgestellt. • Bei NBI-NDP basiert der Nachweis des Adressbesitzes auf dem Prinzip der Reihenfolge des Eingangs der Anforderung (First-Come, First-Served).
Sicherheit: IPv6-Sicherheit des ersten Hops Schutz vor Angriffen 23 NBI-NDP unterstützt einen Timer für die gesamte Lebensdauer. Die Werte des Timers können auf der Seite „Bindungseinstellungen der Nachbarn“ konfiguriert werden. Der Timer wird immer dann neu gestartet, wenn die eingehende IPv6Adresse bestätigt wird. Wenn der Timer abläuft, sendet das Gerät zur Prüfung des Nachbarn bis zu zwei DAD-NS-Nachrichten innerhalb kurzer Intervalle.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Schutz vor Angriffen Die NB-Integrität bietet wie folgt Schutz gegen solche Angriffe: • Wenn die jeweilige IPv6-Adresse nicht bekannt ist, wird die NS-Nachricht (Nachbaranfragenachricht) nur auf innere Schnittstellen weitergeleitet. • Ist die jeweilige IPv6-Adresse bekannt, wird die NS-Nachricht nur an die Schnittstelle weitergeleitet, an die die IPv6-Adresse gebunden ist.
Sicherheit: IPv6-Sicherheit des ersten Hops Richtlinien, globale Parameter und Systemstandardeinstellungen 23 Schutz vor NBD-Cache-Spoofing Ein IPv6-Router unterstützt den Cache für das Nachbarerkennungsprotokoll (NDP), das die IPv6-Adresse für das letzte Hop-Routing mit der MAC-Adresse verknüpft. Ein böswilliger Host könnte IPv6-Nachrichten mit einer abweichenden IPv6Zieladresse für die Weiterleitung des letzten Hops versenden und damit einen Overflow des NBD-Cache bewirken.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Richtlinien, globale Parameter und Systemstandardeinstellungen • Standardrichtlinien können nicht gelöscht werden. Sie können nur die durch den Benutzer hinzugefügte Konfiguration löschen. Benutzerdefinierte Richtlinien Sie können Richtlinien definieren, die von den Standardrichtlinien abweichen. Wenn eine benutzerdefinierte Richtlinie an eine Schnittstelle angehängt wird, wird die Standardrichtlinie von dieser Schnittstelle gelöst.
Sicherheit: IPv6-Sicherheit des ersten Hops Allgemeine Aufgaben 23 Allgemeine Aufgaben Sicherheit des ersten Hops – Allgemeiner Workflow SCHRITT 1 Geben Sie auf der Seite „FHS-Einstellungen“ die Liste der VLANs ein, auf denen diese Funktion aktiviert ist. SCHRITT 2 Legen Sie auf der gleichen Seite die Funktion „Globale Protokollierung des Paketlöschens“ fest. SCHRITT 3 Konfigurieren Sie ggf.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Allgemeine Aufgaben SCHRITT 4 Fügen Sie die Richtlinie an ein VLAN, einen Port oder ein LAG an; gehen Sie dazu entweder auf die Seite „Richtlinienanlage (VLAN)“ oder auf die Seite „Richtlinienanlage (Port)“. Nachbarerkennungsprüfungs-Workflow SCHRITT 1 Geben Sie auf der Seite „ND-Prüfungseinstellungen“ die Liste der VLANs ein, auf denen diese Funktion aktiviert ist.
Sicherheit: IPv6-Sicherheit des ersten Hops Standardeinstellungen und Konfiguration 23 Standardeinstellungen und Konfiguration Wenn die IPv6-Sicherheit des ersten Hops auf einem VLAN aktiviert ist, leitet der Switch die folgenden Nachrichten standardmäßig weiter: • Router-Ankündigungsnachrichten • Router-Anfragenachrichten • Nachbarankündigungsnachrichten • Nachbaranfragenachrichten • ICMPv6-Umleitungsnachrichten • CPA-Nachrichten • Zertifikatpfadanfragenachricht • DHCPv6-Nachrichten Die F
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche So konfigurieren Sie die allgemeine Sicherheit des ersten Hops auf Ports oder LAGs: SCHRITT 1 Klicken Sie auf „Sicherheit > Sicherheit des ersten Hops > FHS-Einstellungen“. SCHRITT 2 Geben Sie Werte in die Felder für die globale Konfiguration ein: • FHS-VLAN-Liste: Geben Sie mindestens ein VLAN ein, auf dem die Sicherheit des ersten Hops aktiviert ist.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche 23 So konfigurieren Sie RA Guard auf Ports oder LAGs: SCHRITT 1 Klicken Sie auf „Sicherheit > Sicherheit des ersten Hops > RA Guard- Einstellungen“. SCHRITT 2 Geben Sie Werte in die Felder für die globale Konfiguration ein: • RA Guard-VLAN-Liste: Geben Sie mindestens ein VLAN ein, auf dem RA Guard aktiviert ist.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • • - Ein: Aktiviert die Überprüfung des bekannt gemachten Flag „Verwaltete sonstige“. - Aus: Der Wert des Flag muss 0 sein. Minimale Routerpriorität: Dieses Feld zeigt an, ob die RA Guard-Richtlinie den Wert für die minimale bekannt gemachte Standard-Routerpriorität in RA-Nachrichten innerhalb einer RA Guard-Richtlinie überwacht.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche 23 DHCPv6 Guard-Einstellungen Auf der Seite „DHCPv6 Guard-Einstellungen“ können Sie die DHCPv6 GuardFunktion auf einer definierten Gruppe mit VLANs aktivieren und die globalen Konfigurationswerte für diese Funktion festlegen.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • • • Geräterolle: Wählen Sie entweder Server oder Client aus, um die Rolle des mit dem Port für DHCPv6 Guard verbundenen Geräts zu definieren. - Geerbt: Die Rolle des Geräts wird entweder vom VLAN oder den Systemstandardeinstellungen (Client) übernommen. - Client: Die Rolle des Geräts lautet „Client“. - Host: Die Rolle des Geräts lautet „Host“.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche 23 So konfigurieren Sie die ND-Prüfung auf Ports oder LAGs: SCHRITT 1 Klicken Sie auf „Sicherheit > Sicherheit des ersten Hops > ND- Prüfungseinstellungen“. SCHRITT 2 Geben Sie Werte in die Felder für die globale Konfiguration ein: • ND-Prüfung – VLAN-Liste: Geben Sie mindestens ein VLAN ein, auf dem die ND-Prüfung aktiviert ist.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche - Aktivieren: Aktivieren Sie die Prüfung der Quell-MAC-Adresse gegen die Verbindungsschichtadresse. - Deaktivieren: Deaktivieren Sie die Prüfung der Quell-MAC-Adresse gegen die Verbindungsschichtadresse. SCHRITT 5 Klicken Sie ggf. entweder auf Richtlinie an VLAN anfügen oder auf Richtlinie an Schnittstelle anfügen.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • 23 Eintragslimits für Nachbarbindung: Wählen Sie diese Option aus, um die maximale Anzahl von Einträgen für die Nachbarbindung pro Schnittstellenoder Adresstyp festzulegen. - Einträge pro VLAN: Legen Sie das Limit für die Nachbarbindung gemäß der Anzahl der VLANs fest. - Einträge pro Schnittstelle: Legen Sie das Limit für die Nachbarbindung pro Schnittstelle fest.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche SCHRITT 2 Um eine Richtlinie an ein VLAN anzuhängen, klicken Sie auf Hinzufügen, und geben Sie Werte in die folgenden Felder ein: • Richtlinientyp: Wählen Sie diese Option aus, um den Richtlinientyp auszuwählen, der an die Schnittstelle angehängt werden soll. • Richtlinienname: Wählen Sie den Namen der Richtlinie aus, die an die Schnittstelle angehängt werden soll.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche 23 Tabelle zur Nachbarbindung So fügen Sie Einträge zur Tabelle „Nachbarbindung“ hinzu oder ändern diese: SCHRITT 1 Klicken Sie auf „Sicherheit > Sicherheit des ersten Hops > Tabelle zur Nachbarbindung“. SCHRITT 2 Wählen Sie eine der folgenden Optionen zum Löschen der Tabelle aus: • Nur statische: Löschen Sie alle statischen Einträge in der Tabelle.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • • • RA Guard-Status - RA Guard-Status in aktuellem VLAN: „RA Guard“ ist auf dem aktuellen VLAN aktiviert. - Geräterolle: Die RA-Geräterolle. - Flag für verwaltete Konfiguration: Die Prüfung des Flags für die verwaltete Konfiguration ist aktiviert. - Flag für andere Konfiguration: Die Prüfung der Flag für die andere Konfiguration ist aktiviert.
Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • 23 - Geräterolle: Die DHCP-Geräterolle. - Antwortpräfixe zuordnen: Die Prüfung von DHCP-Antwortpräfixes ist aktiviert. - Serveradresse zuordnen: Die Prüfung von DHCP-Serveradressen ist aktiviert. - Minimale Priorität: Die Prüfung der minimalen Priorität ist aktiviert. - Maximale Priorität: Die Prüfung der maximalen Priorität ist aktiviert.
23 Sicherheit: IPv6-Sicherheit des ersten Hops Konfigurieren der Sicherheit des ersten Hops über die grafische Weboberfläche • - NS: Nachbaranfragenachrichten - RS: Router-Anfragenachrichten - CPS: Zertifikatpfadanfragenachrichten DHCPv6-Nachrichten: Die Anzahl der eingegangenen und überbrückten Nachrichten wird für die verschiedenen DHCPv6-Nachrichtentypen angezeigt. Die folgenden Felder werden in der Tabelle „Gelöschte FHS-Nachricht“ angezeigt.
24 Sicherheit: SSH-Client In diesem Abschnitt wird die SSH-Clientfunktion des Geräts beschrieben.
24 Sicherheit: SSH-Client Schutzmethoden Wenn Dateien über TFTP oder HTTP heruntergeladen werden, ist die Datenübertragung ungeschützt. Beim Herunterladen von Dateien über SCP werden die Informationen über einen sicheren Kanal vom SCP-Server auf das Gerät heruntergeladen. Der Erstellung dieses sicheren Kanals geht eine Authentifizierung voraus, die sicherstellt, dass der Benutzer den Vorgang ausführen darf.
24 Sicherheit: SSH-Client Schutzmethoden Dann müssen Sie den Benutzernamen und das Kennwort auf dem Gerät erstellen. Wenn Daten vom Server auf das Gerät übertragen werden, müssen der vom Gerät angegebene Benutzername und das entsprechende Kennwort mit dem Benutzernamen und Kennwort auf dem Server übereinstimmen. Die Daten können mit einem während der Sitzung ausgehandelten einmaligen symmetrischen Schlüssel verschlüsselt werden.
24 Sicherheit: SSH-Client SSH-Serverauthentifizierung Wenn im Netzwerk mehrere Switches vorhanden sind, kann die Erstellung öffentlicher und privater Schlüssel für alle Switches Zeit raubend sein, da Sie jeden einzelnen öffentlichen und privaten Schlüssel erstellen und dann auf den SSH-Server laden müssen. Eine zusätzliche Funktion erleichtert diesen Prozess durch die Möglichkeit, den verschlüsselten privaten Schlüssel sicher an alle Switches im System zu übertragen.
24 Sicherheit: SSH-Client SSH-Clientauthentifizierung • - Wenn eine übereinstimmende IP-Adresse bzw. ein übereinstimmender Hostname, aber kein übereinstimmender Fingerprint gefunden wurde, wird die Suche fortgesetzt. Wenn kein übereinstimmender Fingerprint gefunden wurde, wird die Suche abgeschlossen und die Authentifizierung schlägt fehl. - Wenn keine übereinstimmende IP-Adresse bzw. kein übereinstimmender Hostname gefunden wurde, wird die Suche abgeschlossen und die Authentifizierung schlägt fehl.
24 Sicherheit: SSH-Client Vorbereitung • - arcfour - aes192-cbc - aes256-cbc Algorithmen für den Nachrichtenauthentifizierungscode - hmac-sha1 - hmac-md5 HINWEIS Kompressionsalgorithmen werden nicht unterstützt. Vorbereitung Vor der Verwendung der SCP-Funktion müssen Sie die folgenden Aktionen ausführen: • Wenn Sie die Authentifizierungsmethode mit Kennwort verwenden, müssen Sie auf dem SSH-Server einen Benutzernamen und ein Kennwort einrichten.
24 Sicherheit: SSH-Client Allgemeine Aufgaben SCHRITT 2 Wenn Sie die Kennwortmethode ausgewählt haben, führen Sie die folgenden Schritte aus: a. Erstellen Sie auf der Seite „SSH-Benutzerauthentifizierung“ ein globales Kennwort oder erstellen Sie auf der Seite „Firmware/Sprache aktualisieren/ sichern“ oder „Konfiguration/Protokoll sichern“ ein temporäres Kennwort, wenn Sie die sichere Datenübertragung tatsächlich aktivieren. b.
24 Sicherheit: SSH-Client SSH-Clientkonfiguration über die grafische Oberfläche Workflow 2: So importieren Sie die öffentlichen und privaten Schlüssel von einem Gerät auf ein anderes: SCHRITT 1 Generieren Sie auf der Seite „SSH-Benutzerauthentifizierung“ einen öffentlichen oder privaten Schlüssel. SCHRITT 2 Legen Sie auf der Seite „Sicheres Verwalten sensibler Daten (SSD) > Eigenschaften“ die SSD-Eigenschaften fest und erstellen Sie eine neue lokale Passphrase.
Sicherheit: SSH-Client SSH-Clientkonfiguration über die grafische Oberfläche 24 So wählen Sie eine Authentifizierungsmethode aus und legen Benutzername und Kennwort bzw. Schlüssel fest: SCHRITT 1 Klicken Sie auf Sicherheit > SSH-Client > SSH-Benutzerauthentifizierung. SCHRITT 2 Wählen Sie eine SSH-Benutzerauthentifizierungsmethode aus. Dies ist die für Secure Copy (SCP) definierte globale Methode. Wählen Sie eine der Optionen aus: • Nach Kennwort: Dies ist die Standardeinstellung.
24 Sicherheit: SSH-Client SSH-Clientkonfiguration über die grafische Oberfläche • Fingerprint: Der anhand des Schlüssels generierte Fingerprint. SCHRITT 6 Wählen Sie für einen RSA- oder DSA-Schlüssel RSA oder DSA aus und führen Sie eine der folgenden Aktionen aus: • Generieren: Generiert einen neuen Schlüssel. • Bearbeiten: Zeigt die Schlüssel an, die Sie kopieren und auf einem anderen Gerät einfügen können. • Löschen: Löscht den Schlüssel. • Details: Zeigt die Schlüssel an.
Sicherheit: SSH-Client SSH-Clientkonfiguration über die grafische Oberfläche 24 • IP-Version: Wenn Sie den SSH-Server über die IP-Adresse festlegen, können Sie hier angeben, ob die IP-Adresse eine IPv4- oder eine IPv6Adresse ist. • IP-Adresstyp: Wenn die IP-Adresse des SSH-Servers eine IPv6-Adresse ist, wählen Sie als Adresstyp IPv6 aus. Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung.
24 Sicherheit: SSH-Client SSH-Clientkonfiguration über die grafische Oberfläche • IP-Adresstyp: Wenn die IP-Adresse des SSH-Servers eine IPv6-Adresse ist, wählen Sie als Adresstyp IPv6 aus. Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung. Link Local-Adressen besitzen das Präfix FE80, können nicht weitergeleitet und nur für die Kommunikation im lokalen Netzwerk verwendet werden.
25 Sicherheit: SSH-Server In diesem Abschnitt wird beschrieben, wie Sie eine SSH-Sitzung im Gerät aufbauen. Die folgenden Themen werden behandelt: • Übersicht • Allgemeine Aufgaben • Seiten für die SSH-Serverkonfiguration Übersicht Mit der SSH-Serverfunktion können Benutzer eine SSH-Sitzung im Gerät erstellen. Dies ist vergleichbar mit dem Aufbauen einer Telnet-Sitzung. Der Unterschied ist jedoch, dass die Sitzung geschützt ist. Öffentliche und private Schlüssel werden automatisch im Gerät generiert.
25 Sicherheit: SSH-Server Allgemeine Aufgaben Allgemeine Aufgaben In diesem Abschnitt werden einige allgemeine Aufgaben beschrieben, die Sie mit der SSH-Serverfunktion ausführen.
Sicherheit: SSH-Server Seiten für die SSH-Serverkonfiguration 25 SCHRITT 3 Melden Sie sich bei Gerät B an und öffnen Sie die Seite „SSH- Serverauthentifizierung“. Wählen Sie den RSA-Schlüssel oder den DSA-Schlüssel aus, klicken Sie auf Bearbeiten und fügen Sie den Schlüssel von Gerät A ein. Seiten für die SSH-Serverkonfiguration In diesem Abschnitt werden die zum Konfigurieren der Funktion SSH-Server verwendeten Seiten beschrieben.
25 Sicherheit: SSH-Server Seiten für die SSH-Serverkonfiguration • Nicht aktiviert: Nach der erfolgreichen Authentifizierung mit öffentlichem SSH-Schlüssel wird der Benutzer, abhängig von den auf der Seite „Verwaltungszugriffsauthentifizierung“ konfigurierten Authentifizierungsmethoden, erneut authentifiziert. Diese Seite ist optional. Sie müssen in SSH nicht mit Benutzerauthentifizierung arbeiten.
Sicherheit: SSH-Server Seiten für die SSH-Serverkonfiguration 25 SSH-Serverauthentifizierung Beim Starten des Geräts mit Werkseinstellungen werden automatisch öffentliche und private RSA- und DSA-Schlüssel generiert. Die einzelnen Schlüssel werden auch automatisch erstellt, wenn der entsprechende von einem Benutzer konfigurierte Schlüssel vom Benutzer gelöscht wird.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Secure Sensitive Data (SSD) ist eine Architektur, die den Schutz sensibler Daten (beispielsweise Kennwörter und Schlüssel) auf einem Gerät ermöglicht. Die Funktion nutzt Passphrases, Verschlüsselung, Zugriffssteuerung und Benutzerauthentifizierung, um eine sichere Lösung für die Verwaltung sensibler Daten bereitzustellen.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln 26 SSD bietet Benutzern die Flexibilität, die gewünschte Schutzstufe für ihre sensiblen Daten zu konfigurieren. Die Möglichkeiten reichen von sensiblen Daten in unverschlüsselter Form ohne Schutz über minimalen Schutz mit Verschlüsselung auf der Grundlage der Standard-Passphrase bis zum besseren Schutz mit Verschlüsselung auf der Grundlage einer benutzerdefinierten Passphrase.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln Leseberechtigungen bestimmen, auf welche Weise sensible Daten angezeigt werden können: nur in verschlüsselter Form, nur in unverschlüsselter Form, sowohl in verschlüsselter als auch in unverschlüsselter Form oder überhaupt nicht. Die SSD-Regeln selbst werden als sensible Daten geschützt. Ein Gerät kann insgesamt 32 SSD-Regeln unterstützen. Ein Gerät erteilt einem Benutzer die SSD-Leseberechtigung der SSD-Regel, die der Identität bzw.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln • - Sicheres XML-SNMP: Gibt an, dass die Regel nur für XML über HTTPS oder SNMPv3 mit Datenschutz gilt. Ein Gerät unterstützt möglicherweise nicht alle sicheren XML- und SNMP-Kanäle. - Unsicheres XML-SNMP: Gibt an, dass die Regel nur für XML über HTTP oder SNMPv1/v2 sowie SNMPv3 ohne Datenschutz gilt. Ein Gerät unterstützt möglicherweise nicht alle sicheren XML- und SNMP-Kanäle.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln - Verschlüsselt: Sensible Daten werden in verschlüsselter Form angezeigt. - Unverschlüsselt: Sensible Daten werden in unverschlüsselter Form angezeigt. Jeder Verwaltungskanal lässt bestimmte Leseberechtigungen zu. Diese werden nachfolgend zusammengefasst.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln 26 • Sie können den Zugriff durch einen bestimmten SNMPv3-Benutzer steuern, indem Sie eine SSD-Regel mit einem Benutzernamen konfigurieren, der dem SNMPv3-Benutzernamen entspricht. • Es muss immer mindestens eine Regel mit Leseberechtigung vorhanden sein: „Nur unverschlüsselt“ oder „Beide“, da nur Benutzer mit diesen Berechtigungen auf die SSD-Seiten zugreifen können.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Regeln Wenn ein Benutzer aus einem Kanal eine Aktion ausführt, bei der ein alternativer Kanal verwendet wird, wendet das Gerät die Leseberechtigung und den Standardlesemodus aus der SSD-Regel an, die den Benutzeranmeldeinformationen und dem alternativen Kanal entspricht.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Eigenschaften • 26 Die Leseberechtigung der auf den Sitzungsbenutzer angewendeten SSDRegel wird geändert und ist nicht mehr mit dem aktuellen Lesemodus der Sitzung kompatibel. In diesem Fall kehrt der Sitzungslesemodus zum Standardlesemodus der SSD-Regel zurück. SSD-Eigenschaften Bei SSD-Eigenschaften handelt es sich um einen Satz von Parametern, die in Verbindung mit den SSD-Regeln die SSD-Umgebung eines Geräts definieren und steuern.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Eigenschaften Wenn höhere Sicherheit und besserer Schutz gewünscht werden, sollte ein Administrator SSD auf einem Gerät so konfigurieren, dass eine benutzerdefinierte Passphrase anstelle der Standard-Passphrase verwendet wird. Eine benutzerdefinierte Passphrase sollte als gut gehütetes Geheimnis behandelt werden, damit die Sicherheit der sensiblen Daten im Gerät nicht gefährdet wird.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Eigenschaften • 26 Beschränkt: Das Gerät beschränkt das Exportieren seiner Passphrase in eine Konfigurationsdatei. Der Modus „Beschränkt“ schützt die verschlüsselten sensiblen Daten in einer Konfigurationsdatei von Geräten, die die Passphrase nicht kennen. Dieser Modus sollte verwendet werden, wenn ein Benutzer die Passphrase nicht in einer Konfigurationsdatei verfügbar machen möchte.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien Lesemodus Jede Sitzung hat einen Lesemodus. Dieser bestimmt, wie sensible Daten angezeigt werden. Der Lesemodus kann „Unverschlüsselt“ lauten, sodass sensible Daten als normaler Text angezeigt werden, oder „Verschlüsselt“, sodass sensible Daten in verschlüsselter Form angezeigt werden. Konfigurationsdateien Eine Konfigurationsdatei enthält die Konfiguration eines Geräts.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien 26 • Bei einer textbasierten Konfiguration ohne SSD-Indikator wird davon ausgegangen, dass sie keine sensiblen Daten enthält. • Der SSD-Indikator wird verwendet, um SSD-Leseberechtigungen für textbasierte Konfigurationsdateien zu erzwingen. Er wird jedoch ignoriert, wenn die Konfigurationsdateien in die aktuelle Konfigurationsdatei oder die Startkonfigurationsdatei kopiert werden.
26 563 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien • Wenn eine Quellkonfigurationsdatei verschlüsselte sensible Daten enthält, ohne dass ein SSD-Steuerungsblock vorhanden ist, lehnt das Gerät die Quelldatei ab und der Kopiervorgang schlägt fehl. • Wenn in der Quellkonfigurationsdatei kein SSD-Steuerungsblock vorhanden ist, wird die SSD-Konfiguration in der Startkonfigurationsdatei auf die Standardeinstellungen zurückgesetzt.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien 26 Aktuelle Konfigurationsdatei Eine aktuelle Konfigurationsdatei enthält die Konfiguration, die zurzeit vom Gerät verwendet wird. Ein Benutzer kann die sensiblen Daten in verschlüsselter oder unverschlüsselter Form aus einer aktuellen Konfigurationsdatei abrufen. Dabei gelten die SSD-Leseberechtigung und der aktuelle SSD-Lesemodus der Verwaltungssitzung.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien Der Service für die automatische Spiegelkonfiguration ist standardmäßig aktiviert. Um die automatische Spiegelkonfiguration als aktiviert oder deaktiviert zu konfigurieren, klicken Sie auf Administration > Dateiverwaltung > Konfigurationsdateieigenschaften.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurationsdateien 26 Automatische Konfiguration sensibler Daten ohne Benutzereingriff Bei der automatischen SSD-Konfiguration ohne Benutzereingriff werden Zielgeräte mit verschlüsselten sensiblen Daten automatisch konfiguriert, ohne dass die Zielgeräte manuell mit der Passphrase vorkonfiguriert werden müssen, deren Schlüssel zum Verschlüsseln der sensiblen Daten verwendet wird.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) SSD-Verwaltungskanäle HINWEIS Geräte, die sofort einsatzbereit sind oder die Werkseinstellungen verwenden, greifen mithilfe des Standardbenutzers „anonymous“ auf den SCP-Server zu. SSD-Verwaltungskanäle Geräte können über Verwaltungskanäle wie beispielsweise Telnet, SSH und das Internet verwaltet werden.
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Menü-CLI und Kennwortwiederherstellung 26 Menü-CLI und Kennwortwiederherstellung Die Oberfläche der Menü-CLI kann nur von Benutzern verwendet werden, die über die Leseberechtigung „Beide“ oder „Nur unverschlüsselt“ verfügen. Andere Benutzer werden abgelehnt. In der Menü-CLI werden sensible Daten immer in unverschlüsselter Form angezeigt.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurieren von SSD • Steuerung der Konfigurationsdateiintegrität: Wählen Sie diese Option aus, um die Funktion zu aktivieren. Weitere Informationen hierzu finden Sie unter Steuerung der Konfigurationsdateiintegrität. SCHRITT 3 Wählen Sie einen Lesemodus für die aktuelle Sitzung aus (siehe Elemente einer SSD-Regel).
Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurieren von SSD • • • - Ebene 15: Gibt an, dass die Regel für alle Benutzer mit Berechtigungsebene 15 gilt. - Alle: Gibt an, dass die Regel für alle Benutzer gilt. 26 Kanal: Diese Option definiert die Sicherheitsstufe des Eingabekanals, für den die Regel gilt: Wählen Sie eine der folgenden Optionen aus: - Sicher: Gibt an, dass die Regel nur für sichere Kanäle gilt (Konsole, SCP, SSH und HTTPS), nicht für die Kanäle SNMP und XML.
26 Sicherheit: Sicheres Verwalten sensibler Daten (SSD) Konfigurieren von SSD SCHRITT 3 Die folgenden Aktionen können ausgeführt werden: 571 • Standard wiederherstellen: Stellt die ursprüngliche Version einer von einem Benutzer geänderten Standardregel wieder her. • Standard für alle Regeln wiederherstellen: Stellt die ursprüngliche Version aller von einem Benutzer geänderten Regeln wieder her und entfernt alle benutzerdefinierten Regeln.
27 Zugriffssteuerung Die Funktion Zugriffssteuerungsliste (Access Control List, ACL) ist Teil des Sicherheitsmechanismus. ACL-Definitionen dienen als einer der Mechanismen zur Definition von Datenverkehrsflüssen, die eine bestimmte Quality of Service (Servicequalität, QoS) erhalten. Weitere Informationen finden Sie unter Quality of Service. ACLs ermöglichen es Netzwerkmanagern, Muster (Filter und Aktionen) für den eingehenden Datenverkehr zu definieren.
27 Zugriffssteuerung Zugriffssteuerungslisten Das Gerät unterstützt maximal 512 ACLs und maximal 512 ACEs. Wenn ein Paket mit einem ACE-Filter übereinstimmt, wird die ACE-Aktion durchgeführt und die Verarbeitung dieser ACL gestoppt. Wenn das Paket nicht mit dem ACE-Filter übereinstimmt, wird das nächste ACE verarbeitet. Wenn alle ACEs einer ACL abgearbeitet worden sind, ohne dass eine Übereinstimmung gefunden wurde, und wenn eine weitere ACL vorhanden ist, wird diese in ähnlicher Weise abgearbeitet.
27 Zugriffssteuerung Zugriffssteuerungslisten • • IP-ACL: Schicht 3 von IP-Frames wird geprüft, wie in IPv4-basierte ACLs beschrieben. IPv6-ACL: Schicht 3 von IPv4-Frames wird geprüft, wie in Definieren einer IPv6-basierten ACL beschrieben. Wenn ein Frame mit einem Filter in einer ACL übereinstimmt, wird er als ein „Flow“ mit dem Namen dieser ACL definiert.
27 Zugriffssteuerung Definieren MAC-basierter ACLs • Löschen Sie auf der Seite Konfigurieren einer Richtlinie (Bearbeiten) die Klassenzuordnung, die die ACL enthält, aus der Richtlinie. • Löschen Sie auf der Seite Definieren von Klassenzuordnungen die Klassenzuordnung, die die ACL enthält. Erst dann kann die ACL gemäß der Beschreibung in diesem Abschnitt geändert werden.
27 Zugriffssteuerung Definieren MAC-basierter ACLs So fügen Sie einer ACL Regeln (ACEs) hinzu: SCHRITT 1 Klicken Sie auf Zugriffssteuerung > MAC-basiertes ACE. SCHRITT 2 Wählen Sie eine ACL aus, und klicken Sie auf Los. Die ACEs in der ACL werden aufgelistet. SCHRITT 3 Klicken Sie auf Hinzufügen. SCHRITT 4 Geben Sie die Parameter ein. • ACL-Name: Zeigt den Namen der ACL an, zu der ein ACE hinzugefügt wird. • Priorität: Geben Sie die Priorität der ACE ein.
27 Zugriffssteuerung IPv4-basierte ACLs HINWEIS Geben Sie die Maske 0000 0000 0000 0000 0000 0000 1111 1111 ein (damit gleichen Sie Bits mit der Ziffer 0 ab, während Bits mit der Ziffer 1 nicht abgeglichen werden). Sie müssen die Ziffer 1 in eine dezimale Ganzzahl umwandeln und schreiben für vier Nullen jeweils 0. Da in diesem Beispiel gilt 1111 1111 = 255, wird die folgende Maske geschrieben: 0.0.0.255.
27 Zugriffssteuerung IPv4-basierte ACLs • Flag-Werte für TCP-Frames • ICMP- und IGMP-Typ und -Code • Quell- bzw. Ziel-IP-Adresse (einschließlich Platzhalter) • DSCP- bzw. IP-Prioritätswert HINWEIS ACLs werden außerdem als Bauelemente von Flow-Definitionen für die Pro-Flow- Behandlung bei QoS verwendet (siehe Erweiterter QoS-Modus). Auf der Seite „IPv4-basierte ACL“ können Sie dem System ACLs hinzufügen. Die Regeln werden auf der Seite „IPv4-basiertes ACE“ definiert.
27 Zugriffssteuerung IPv4-basierte ACLs So fügen Sie einer IPv4-basierten ACL Regeln (ACEs) hinzu: SCHRITT 1 Klicken Sie auf Zugriffssteuerung > IPv4-basiertes ACE. SCHRITT 2 Wählen Sie eine ACL aus, und klicken Sie auf Los. Für die ausgewählte ACL werden alle aktuell definierten IP-ACEs angezeigt. SCHRITT 3 Klicken Sie auf Hinzufügen. SCHRITT 4 Geben Sie die Parameter ein. • ACL-Name: Zeigt den Namen der ACL an. • Priorität: Geben Sie die Priorität ein.
27 Zugriffssteuerung IPv4-basierte ACLs - IGP: Interior Gateway Protocol - UDP: User Datagram Protocol - HMP: Host Mapping Protocol - RDP: Reliable Datagram Protocol - IDPR: Inter-Domain Policy Routing Protocol - IPV6: IPv6- über IPv4-Tunneling - IPV6:ROUT: Abgleich von Paketen, die zur IPv6-über-IPv4-Route durch ein Gateway gehören - IPV6:FRAG: Abgleich von Paketen, die zum IPv6-über-IPv4-FragmentHeader gehören - IDPR: Inter-Domain Routing Protocol - RSVP: ReSerVation Protocol - AH:
27 Zugriffssteuerung IPv4-basierte ACLs • Quell-IP-Platzhaltermaske: Geben Sie die Maske zur Definition einer Reihe von IP-Adressen ein. Beachten Sie, dass diese Maske sich von Masken, die sonst verwendet werden, z. B. Subnetzmasken, unterscheidet. Hier bedeutet das Festlegen eines Bits auf 1 „indifferent“ und 0 bedeutet, dass dieser Wert maskiert werden soll.
27 Zugriffssteuerung IPv4-basierte ACLs • Servicetyp: Der Servicetyp des IP-Pakets. - Beliebig: Jeder beliebige Servicetyp. - Abzugleichender DSCP: Differentiated Serves Code Point (DSCP), mit dem Übereinstimmung bestehen soll. - Abzugleichende IP-Priorität: Die IP-Priorität ist ein TOS-Modell (Type of Service), mit dessen Hilfe das Netzwerk die entsprechenden QoSZusagen bereitstellt.
27 Zugriffssteuerung IPv6-basierte ACLs IPv6-basierte ACLs Auf der Seite „IPv6-basierte ACL“ können Sie IPv6-ACLs anzeigen und erstellen, mit denen ausschließlich auf IPv6 basierender Datenverkehr überprüft wird. Mit IPv6-ACLs können keine IPv6-über-IPv4- oder ARP-Pakete überprüft werden. HINWEIS ACLs werden außerdem als Bauelemente von Flow-Definitionen für die Pro-Flow- Behandlung bei QoS verwendet (siehe Erweiterter QoS-Modus).
27 Zugriffssteuerung IPv6-basierte ACLs • Aktion: Wählen Sie die Aktion aus, die dem mit dem ACE übereinstimmenden Paket zugewiesen werden soll. Verfügbare Optionen sind: - Zulassen: Pakete weiterleiten, die die ACE-Kriterien erfüllen. - Verweigern: Pakete löschen (Drop), die die ACE-Kriterien erfüllen. - Herunterfahren: Pakete löschen (Drop), die die ACE-Kriterien erfüllen und den Port deaktivieren, an den die Pakete adressiert waren.
27 Zugriffssteuerung IPv6-basierte ACLs • Ziel-IP-Adresse: Wählen Sie Beliebig, wenn alle Zieladressen akzeptabel sind, oder Benutzerdefiniert, um eine Zieladresse oder einen Bereich von Zieladressen einzugeben. • Wert der Ziel-IP-Adresse: Geben Sie die IP-Adresse ein, mit der die Ziel-IPAdresse abgeglichen werden soll, sowie gegebenenfalls deren Maske. • Länge des Ziel-IP-Präfixes: Geben Sie die Präfixlänge der IP-Adresse ein.
27 Zugriffssteuerung Definieren einer ACL-Bindung • Abzugleichender ICMP-Typ: Nummer des Meldungstyps, der zu Filterzwecken verwendet werden soll. ICMP-Code: Die ICMP-Meldungen können ein Code-Feld aufweisen, das angibt, wie mit der Meldung zu verfahren ist. Durch Auswahl einer der folgenden Optionen können Sie konfigurieren, ob anhand dieses Codes gefiltert werden soll. - Beliebig: Alle Codes akzeptieren. - Benutzerdefiniert: Geben Sie einen ICMP-Code zu Filterzwecken ein.
27 Zugriffssteuerung Definieren einer ACL-Bindung SCHRITT 3 Klicken Sie auf Los. Für jeden ausgewählten Schnittstellentyp werden alle Schnittstellen dieses Typs mit einer Liste ihrer aktuellen ACLs angezeigt: • Schnittstelle: Kennung der Schnittstelle. • MAC-ACL: ACLs des Typs MAC, die an die Schnittstelle gebunden sind (falls vorhanden). • IPv4-ACL: ACLs des Typs IPv4, die an die Schnittstelle gebunden sind (falls vorhanden).
27 Zugriffssteuerung Definieren einer ACL-Bindung So binden Sie eine ACL an ein VLAN: SCHRITT 1 Klicken Sie auf Zugriffssteuerung > ACL-Bindung (VLAN). SCHRITT 2 Wählen Sie ein VLAN aus, und klicken Sie auf Bearbeiten. Wenn das von Ihnen benötigte VLAN nicht angezeigt wird, fügen Sie ein neues VLAN hinzu. SCHRITT 3 Wählen Sie eine der folgenden Optionen aus: • MAC-basierte ACL auswählen: Wählen Sie eine MAC-basierte ACL aus, die an die Schnittstelle gebunden werden soll.
28 Quality of Service Die Funktion Quality of Service (QoS, Servicequalität) wird auf das gesamte Netzwerk angewendet, damit der Netzwerkverkehr entsprechend den erforderlichen Kriterien priorisiert wird, also der gewünschte Datenverkehr bevorzugt behandelt wird.
Quality of Service Funktionen und Komponenten von QoS 28 QoS beinhaltet Folgendes: • Klassifizierung des Datenverkehrs: Jedes eingehende Paket wird basierend auf dem Paketinhalt und/oder dem Port als Bestandteil eines bestimmten Verkehrsflusses klassifiziert. Die Klassifizierung erfolgt anhand von Zugriffssteuerungslisten (Access Control Lists, ACLs), und nur der Datenverkehr, der die ACL-Kriterien erfüllt, wird gemäß CoS oder QoS klassifiziert.
28 Quality of Service Funktionen und Komponenten von QoS Das Header-Feld, dem vertraut werden soll, wird auf der Seite „Globale Einstellungen“ eingegeben. Jedem Wert in diesem Feld wird eine Ausgangswarteschlange zugewiesen, an die der Frame gesendet wird. Je nachdem, ob der Vertrauensmodus CoS/802.1p oder DSCP verwendet wird, verwenden Sie für die Zuweisung die Seite „CoS/802.1p zu Warteschlange“ oder die Seite „DSCP zu Warteschlange“. • Erweiterter Modus: Quality of Service (QoS) auf Datenflussebene.
Quality of Service Funktionen und Komponenten von QoS 28 QoS-Workflow Führen Sie zum Konfigurieren der allgemeinen QoS-Parameter die folgenden Aktionen durch: SCHRITT 1 Wählen Sie auf der Seite „QoS-Eigenschaften“ den QoS-Modus für das System aus (Basismodus, erweiterter Modus oder Deaktiviert, wie im Abschnitt QoS-Modi beschrieben). Bei den folgenden Schritten des Workflows wird davon ausgegangen, dass Sie QoS aktiviert haben.
28 Quality of Service Konfigurieren von QoS – Allgemein b. Konfigurieren Sie den erweiterten Modus wie unter Workflow für das Konfigurieren des erweiterten QoS-Modus beschrieben. Konfigurieren von QoS – Allgemein Die Seite „QoS-Eigenschaften“ enthält Felder zum Festlegen des QoS-Modus für das System (Basismodus, erweiterter Modus oder Deaktiviert, wie im Abschnitt QoS-Modi beschrieben). Zusätzlich kann die CoS-Standardpriorität für die einzelnen Schnittstellen festgelegt werden.
28 Quality of Service Konfigurieren von QoS – Allgemein Zum Festlegen von QoS für eine Schnittstelle wählen Sie diese aus und klicken Sie auf Bearbeiten. SCHRITT 1 Geben Sie die Parameter ein. • Schnittstelle: Wählen Sie den Port oder die LAG aus. • Standard-CoS: Wählen Sie den CoS-Standardwert aus, der eingehenden Paketen zugewiesen werden soll (die kein VLAN-Tag besitzen). SCHRITT 2 Klicken Sie auf Übernehmen.
28 Quality of Service Konfigurieren von QoS – Allgemein Die Warteschlangenmodi können auf der Seite „Warteschlange“ ausgewählt werden. Wenn als Warteschlangemodus die strikte Priorität verwendet wird, werden die Warteschlangen gemäß der Priorität bedient. Dabei wird zunächst Warteschlange 4 oder Warteschlange 8 (die Warteschlange mit der höchsten Priorität) bearbeitet. Sobald diese abgeschlossen wurde, wird mit der nächstniedrigeren Warteschlange fortgefahren.
28 Quality of Service Konfigurieren von QoS – Allgemein SCHRITT 3 Klicken Sie auf Übernehmen. Die Warteschlangen werden konfiguriert und die aktuelle Konfigurationsdatei wird aktualisiert. Zuordnen von CoS/802.1p zu einer Warteschlange Auf der Seite „CoS/802.1p zu Warteschlange“ können Sie 802.1p-Prioritäten Ausgangswarteschlangen zuordnen. In der Tabelle CoS/802.1p zu Warteschlange werden die Ausgangswarteschlangen der eingehenden Pakete basierend auf der in ihren VLAN-Tags angegebenen 802.
28 Quality of Service Konfigurieren von QoS – Allgemein In der folgenden Tabelle wird die Standardzuordnung bei acht Warteschlangen beschrieben: 802.
28 Quality of Service Konfigurieren von QoS – Allgemein So ordnen Sie CoS-Werte Ausgangswarteschlangen zu: SCHRITT 1 Klicken Sie auf Quality of Service > Allgemein > CoS/802.1p zu Warteschlange. SCHRITT 2 Geben Sie die Parameter ein. • 802.1p: Zeigt die Werte der 802.1p-Prioritäts-Tags an, die einer Ausgangswarteschlange zugewiesen werden sollen, wobei „0“ für die niedrigste und „7“ für die höchste Priorität steht. • Ausgabewarteschlange: Wählen Sie die Ausgangswarteschlange aus, der die 802.
28 Quality of Service Konfigurieren von QoS – Allgemein In den folgenden Tabellen wird die Standardzuordnung von DSCP zu Warteschlangen für Systeme mit vier und acht Warteschlangen beschrieben: DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange DSCP Warteschlange 599 63 55 47 39 31 23 15 7 3 3 4 3 3 2 1 1 62 54 46 38 30 22 14 6 3 3 4 3 3 2 1 1 61 53 45 37 29 21 13 5 3 3 4 3 3 2
28 Quality of Service Konfigurieren von QoS – Allgemein In den folgenden Tabellen wird die Standardzuordnung von DSCP zu Warteschlangen für ein System mit acht Warteschlangen beschrieben, bei dem 7 die höchste Stufe ist und 8 zur Stack-Kontrolle verwendet wird.
28 Quality of Service Konfigurieren von QoS – Allgemein In den folgenden Tabellen wird die Standardzuordnung von DSCP zu Warteschlangen für Systeme mit acht Warteschlangen beschrieben, bei dem 8 die höchste Stufe ist: 601 DSCP 63 55 47 39 31 23 15 7 Warteschlange 7 7 8 6 5 4 3 1 DSCP 62 54 46 38 30 22 14 6 Warteschlange 7 7 8 6 5 4 3 1 DSCP 61 53 45 37 29 21 13 5 Warteschlange 7 7 8 6 5 4 3 1 DSCP 60 52 44 36 28 20 12 4 Warteschlange 7 7
28 Quality of Service Konfigurieren von QoS – Allgemein So ordnen Sie DSCP Warteschlangen zu: SCHRITT 1 Klicken Sie auf Quality of Service > Allgemein > DSCP zu Warteschlange. Die Seite „DSCP zu Warteschlange“ enthält die Option Eingangs-DSCP. Der DSCP-Wert im eingehenden Paket und die zugehörige Klasse werden angezeigt. SCHRITT 2 Wählen Sie die Ausgabewarteschlange (Warteschlange zur Weiterleitung des Datenverkehrs) aus, der der DSCP-Wert zugeordnet wird. SCHRITT 3 Klicken Sie auf Übernehmen.
28 Quality of Service Konfigurieren von QoS – Allgemein SCHRITT 3 Wählen Sie die Port- oder LAG-Schnittstelle aus. Switches der 500-Serie verfügen außerdem über eine Option zum Auswählen der Einheit bzw. des Ports. SCHRITT 4 Geben Sie Werte in die Felder für die ausgewählte Schnittstelle ein: • Eingangsratenbegrenzung: Wählen Sie diese Option aus, um die Eingangsratenbegrenzung zu aktivieren; der zugehörige Wert wird im folgenden Feld festgelegt.
28 Quality of Service Konfigurieren von QoS – Allgemein Konfigurieren der Ausgangskontrolle auf WarteschlangenEbene Zusätzlich zur Begrenzung der Übertragungsrate pro Port, die auf der Seite „Bandbreite“ vorgenommen werden kann, kann durch das Gerät auch die Übertragungsrate ausgewählter ausgehender Frames pro Warteschlange an einem Port begrenzt werden. Die Ausgangsratenbegrenzung wird durch die Kontrolle der Ausgabelast erreicht. Durch das Gerät werden alle Frames außer Verwaltungsframes begrenzt.
28 Quality of Service Konfigurieren von QoS – Allgemein SCHRITT 6 Klicken Sie auf Übernehmen. Die Bandbreiteneinstellungen werden in die aktuelle Konfigurationsdatei geschrieben. VLAN-Eingangsratenbegrenzung HINWEIS Die Funktion zur VLAN-Ratenbegrenzung ist nicht verfügbar, wenn das Gerät im Schicht-3-Systemmodus betrieben wird. Die Ratenbegrenzung auf VLAN-Ebene können Sie auf der Seite „VLANEingangsratenbegrenzung“ festlegen. Sie ermöglicht die Begrenzung des Datenverkehrs in VLANs.
28 Quality of Service QoS-Basismodus • Committed Information Rate (CIR): Geben Sie ein, welche durchschnittliche Datenmenge höchstens im VLAN akzeptiert werden kann (in Kilobytes pro Sekunde). • Committed Burst Size (CBS): Geben Sie die maximal zulässigen Datenspitzen für die Ausgangsschnittstelle ein (in Bytes). Diese Datenmenge darf selbst dann gesendet werden, wenn dadurch kurzfristig die erlaubte Höchstbandbreite überschritten wird. Dieser Wert kann nicht für LAGs eingegeben werden.
28 Quality of Service QoS-Basismodus Workflow für das Konfigurieren des QoS-Basismodus Führen Sie zum Konfigurieren des QoS-Basismodus folgende Aktionen durch: 1. Wählen Sie auf der Seite „QoS-Eigenschaften“ den Basismodus für das System aus. 2. Wählen Sie auf der Seite „Globale Einstellungen“ das Vertrauensverhalten aus. Das Gerät unterstützt den CoS/802.1p-Vertrauensmodus und den DSCPVertrauensmodus. Der CoS/802.1p-Vertrauensmodus verwendet die 802.1pPriorität im VLAN-Tag.
28 Quality of Service QoS-Basismodus • DSCP: Der gesamte IP-Datenverkehr wird basierend auf dem DSCP-Feld im IP-Header Warteschlangen zugeordnet. Die tatsächliche Zuordnung des DSCP zu Warteschlangen können Sie auf der Seite DSCP zu Warteschlange konfigurieren. Falls es sich bei dem Datenverkehr nicht um IP-Datenverkehr handelt, wird dieser der Warteschlange für die beste Leistung zugeordnet. • CoS/802.1p-DSCP: Je nachdem, welche Option festgelegt ist, CoS/802.1p oder DSCP.
28 Quality of Service Erweiterter QoS-Modus QoS-Status des Ports ist aktiviert: Die Priorisierung des am Port eingehenden Datenverkehrs basiert auf dem systemweit konfigurierten Vertrauensmodus; hierbei kann es sich entweder um den CoS/802.1pVertrauensmodus oder den DSCP-Vertrauensmodus handeln. So geben Sie die QoS-Einstellungen auf Schnittstellenebene ein: SCHRITT 1 Klicken Sie auf Quality of Service > QoS-Basismodus > Schnittstelleneinstellungen.
28 Quality of Service Erweiterter QoS-Modus • Die QoS einer Klassenzuordnung (genauer gesagt eines Klassenzuordnungsflusses) wird durch die zugehörige Überwachungsvorrichtung durchgesetzt. Es gibt zwei Typen von Überwachungsvorrichtungen, die Einzelüberwachungsvorrichtung und die Gesamtüberwachungsvorrichtung. Jede Überwachungsvorrichtung wird mit einer QoS-Spezifikation konfiguriert.
28 Quality of Service Erweiterter QoS-Modus Die erweiterten QoS-Einstellungen bestehen aus drei Teilen: • Definitionen der Regeln, mit denen die Frames übereinstimmen müssen; alle Frames, die mit einer einzelnen Gruppe von Regeln übereinstimmen, werden als Datenfluss betrachtet. • Definition der Aktionen, die auf die regelkonformen Frames in den einzelnen Datenflüssen angewendet werden sollen. • Verbindung der Kombinationen von Regeln und Aktionen mit einer oder mehreren Schnittstellen.
28 Quality of Service Erweiterter QoS-Modus • Gesamtüberwachungsvorrichtung: Erstellen Sie auf der Seite „Gesamtüberwachungsvorrichtung“ für jeden Datenfluss eine QoS-Aktion, durch die alle übereinstimmenden Frames an dieselbe Überwachungsvorrichtung (Gesamtüberwachungsvorrichtung) gesendet werden. Erstellen Sie auf der Seite „Richtlinientabelle“ eine Richtlinie, durch die einer Klassenzuordnung die Gesamtüberwachungsvorrichtung zugewiesen wird. 5.
28 Quality of Service Erweiterter QoS-Modus SCHRITT 3 Wählen Sie im Feld Standardmodus-Status den standardmäßigen Vertrauensmodus für den erweiterten QoS-Modus aus („Vertrauenswürdig“ oder „Nicht vertrauenswürdig“). Damit wird die QoS-Basisfunktionalität für erweitertes QoS bereitgestellt, sodass Sie CoS/DSCP für erweitertes QoS standardmäßig vertrauen können (ohne eine Richtlinie erstellen zu müssen).
28 Quality of Service Erweiterter QoS-Modus Wenn die Aktion bei Überschreitung „Profilexternes DSCP“ ist, ersetzt das Gerät den ursprünglichen DSCP-Wert der profilexternen IP-Pakete basierend auf der Tabelle „Profilexterne DSCP-Zuordnung“ durch einen neuen Wert. Anhand der neuen Werte weist das Gerät diesen Paketen Ressourcen und die Ausgangswarteschlange zu. Außerdem ersetzt das Gerät den ursprünglichen DSCP-Wert der profilexternen Pakete physisch durch den neuen DSCP-Wert.
28 Quality of Service Erweiterter QoS-Modus Festlegen von Klassenzuordnungen Eine Klassenzuordnung definiert einen Datenverkehrsfluss mithilfe von ACLs (Access Control Lists, Zugriffskontrolllisten). Eine Klassenzuordnung kann auf einer Kombination von MAC-ACL, IP-ACL und IPv6-ACL basieren. Klassenzuordnungen können so konfiguriert sein, dass entweder beliebige oder alle Paketkriterien erfüllt werden müssen.
28 Quality of Service Erweiterter QoS-Modus • Übereinstimmung mit ACL-Typ: Die Kriterien, mit denen ein Paket übereinstimmen muss, damit es als Bestandteil des in der Klassenzuordnung definierten Datenflusses betrachtet wird. Folgende Optionen sind möglich: - IP: Ein Paket muss mit einer der beiden IP-basierten ACLs in der Klassenzuordnung übereinstimmen. - MAC : Ein Paket muss mit der MAC-basierten ACL in der Klassenzuordnung übereinstimmen.
28 Quality of Service Erweiterter QoS-Modus Eine Überwachungsvorrichtung wird mit einer QoS-Spezifikation konfiguriert. Es gibt zwei Arten von Überwachungsvorrichtungen: • (Reguläre) Einzelüberwachungsvorrichtung: Eine Einzelüberwachungsvorrichtung wendet die QoS basierend auf der QoSSpezifikation der Überwachungsvorrichtung auf eine einzige Klassenzuordnung und einen einzigen Datenfluss an.
28 Quality of Service Erweiterter QoS-Modus • Eine Aktion, die auf Frames angewendet wird, die den Grenzwert überschreiten (so genannter profilexterner Datenverkehr); dabei können solche Frames in ihrem aktuellen Zustand weitergeleitet werden, gelöscht werden oder mit einem neuen DSCP-Wert weitergeleitet werden, durch den sie für die gesamte nachfolgende Verarbeitung im Gerät als Frames mit einer niedrigeren Priorität gekennzeichnet sind.
28 Quality of Service Erweiterter QoS-Modus • Eingangs-CBS: Geben Sie die maximal zulässigen Datenspitzen ein (in Bytes); der Wert darf über dem CIR-Wert liegen. Eine Beschreibung hierzu finden Sie auf der Seite „Bandbreite“. • Aktion bei Überschreitung: Wählen Sie die Aktion aus, die bei eingehenden Paketen ausgeführt werden soll, die die CIR überschreiten. Folgende Werte sind möglich: - Weiterleiten: Pakete, die den festgelegten CIR-Wert überschreiten, werden weitergeleitet.
28 Quality of Service Erweiterter QoS-Modus So fügen Sie eine QoS-Richtlinie hinzu: SCHRITT 1 Klicken Sie auf Quality of Service > Erweiterter QoS-Modus > Richtlinientabelle. Auf dieser Seite werden die definierten Richtlinien angezeigt. SCHRITT 2 Klicken Sie auf Tabelle für Richtlinien-Klassenzuordnungen, um die Seite „Richtlinien-Klassenzuordnungen“ anzuzeigen. oder Klicken Sie auf Hinzufügen, um die Seite „Richtlinientabelle hinzufügen“ zu öffnen.
28 Quality of Service Erweiterter QoS-Modus • Aktionstyp: Wählen Sie die Aktion für die CoS/802.1p- und/oder DSCPEingangswerte aller übereinstimmenden Pakete aus. - Standardmodus für Vertrauen verwenden: Der CoS/802.1p- und/oder DSCP-Eingangswert wird ignoriert. Die übereinstimmenden Pakete werden nach dem Prinzip der besten Leistung gesendet. - Immer vertrauen: Wenn diese Option ausgewählt ist, vertraut das Gerät dem CoS/802.1p- und DSCP-Wert des übereinstimmenden Pakets.
28 Quality of Service Erweiterter QoS-Modus • Gesamtüberwachungsvorrichtung: Nur im Schicht-2--Systemmodus verfügbar. Wenn der Richtlinientyp Gesamt lautet, wählen Sie eine zuvor (auf der Seite „Gesamtüberwachungsvorrichtung“) definierte Gesamtüberwachungsvorrichtung aus. Wenn für den Richtlinientyp die Option Einzeln verwendet wird, geben Sie die folgenden QoS-Parameter ein: • Eingangs-CIR: Geben Sie die CIR (Committed Information Rate) in kbit/s ein.
28 Quality of Service Verwalten der QoS-Statistik HINWEIS Sie können einen Port an eine Richtlinie oder an eine ACL binden, jedoch nicht an beide. So legen Sie die Richtlinienbindung fest: SCHRITT 1 Klicken Sie auf Quality of Service > Erweiterter QoS-Modus > Richtlinienbindung. SCHRITT 2 Wählen Sie einen Richtliniennamen und bei Bedarf einen Schnittstellentyp aus. SCHRITT 3 Klicken Sie auf Los. Die Richtlinie wird ausgewählt.
28 Quality of Service Verwalten der QoS-Statistik Anzeigen der Statistik für Einzelüberwachungsvorrichtungen Auf der Seite „Statistik für Einzelüberwachungsvorrichtung“ wird die Anzahl der von einer Schnittstelle empfangenen profilinternen und profilexternen Pakete angezeigt, die die Bedingungen erfüllen, die in der Klassenzuordnung einer Richtlinie definiert sind. HINWEIS Diese Seite wird nicht angezeigt, wenn das Gerät im Schicht-3-Modus betrieben wird.
28 Quality of Service Verwalten der QoS-Statistik Anzeigen der Statistik für Gesamtüberwachungsvorrichtungen So zeigen Sie die Statistik für Gesamtüberwachungsvorrichtungen an: SCHRITT 1 Klicken Sie auf Quality of Service > QoS-Statistik > Statistik für Gesamtüberwachungsvorrichtung. Auf dieser Seite werden folgende Felder angezeigt: • Name der Gesamtüberwachungsvorrichtung: Die Überwachungsvorrichtung, auf der die Statistik basiert. • Profilinterne Byte: Anzahl der empfangenen profilinternen Pakete.
28 Quality of Service Verwalten der QoS-Statistik • 60 Sek: Die Statistik wird alle 60 Sekunden aktualisiert. Zählersatz: Folgende Optionen sind möglich: - Satz 1: Zeigt die Statistik für Satz 1 an, die alle Schnittstellen und Warteschlangen mit hoher Löschpriorität (DP, Drop Precedence) enthält. - Satz 2: Zeigt die Statistik für Satz 2 an, die alle Schnittstellen und Warteschlangen mit niedriger Löschpriorität enthält.
28 Quality of Service Verwalten der QoS-Statistik SCHRITT 4 Klicken Sie auf Übernehmen. Der Zähler für die Warteschlangenstatistik wird hinzugefügt und die aktuelle Konfigurationsdatei wird aktualisiert.
29 SNMP In diesem Abschnitt wird die SNMP-Funktion (Simple Network Management Protocol) beschrieben. Mit dieser Funktion können Netzwerkgeräte verwaltet werden.
29 SNMP SNMP-Versionen und -Workflow SNMPv1 und SNMPv2 Für die Steuerung des Zugangs zum System wird eine Liste von CommunityEinträgen festgelegt. Jeder Community-Eintrag besteht aus einer CommunityZeichenfolge und der zugehörigen Zugriffsberechtigung. Das System reagiert nur auf SNMP-Nachrichten, in denen die Community angegeben ist, die über die richtigen Berechtigungen verfügt und sich im richtigen Betriebsmodus befindet.
29 SNMP SNMP-Versionen und -Workflow SNMP-Workflow HINWEIS Aus Sicherheitsgründen ist SNMP standardmäßig deaktiviert. Damit Sie das Gerät über SNMP verwalten können, müssen Sie SNMP auf der Seite „Sicherheit > TCP/UDP-Services“ aktivieren. Zum Konfigurieren von SNMP wird folgende Vorgehensweise empfohlen: Falls Sie sich für die Verwendung von SNMPv1 oder SNMPv2 entschieden haben: SCHRITT 1 Navigieren Sie zur Seite „SNMP > Communitys“ und klicken Sie auf Hinzufügen.
29 SNMP Modell-OIDs Falls Sie sich für die Verwendung von SNMPv3 entschieden haben: SCHRITT 1 Definieren Sie auf der Seite „Engine-ID“ die SNMP-Engine. Erstellen Sie eine eindeutige Engine-ID oder verwenden Sie die Standard-Engine-ID. Beim Anwenden einer Engine-ID-Konfiguration wird die SNMP-Datenbank gelöscht. SCHRITT 2 Definieren Sie optional auf der Seite „Ansichten“ SNMP-Ansichten. Dadurch wird der Bereich der für eine Community oder Gruppe verfügbaren OIDs begrenzt.
29 SNMP Modell-OIDs Modellname Beschreibung Objekt-ID SF500-48 10/100 Stackable Managed Switch mit 48 Ports 9.6.1.80.48.1 SF500-48P 10/100 PoE Stackable Managed Switch mit 48 Ports 9.6.1.80.48.2 SG500-28 Stackable Managed Switch mit 28 GigabitPorts 9.6.1.81.28.1 SG500-28P PoE Stackable Managed Switch mit 28 Gigabit-Ports 9.6.1.81.28.2 SG500-52 Stackable Managed Switch mit 52 GigabitPorts 9.6.1.81.52.1 SG500-52P PoE Stackable Managed Switch mit 52 Gigabit-Ports 9.6.1.81.52.
29 SNMP SNMP-Engine-ID SNMP-Engine-ID Die Engine-ID wird von SNMPv3-Einheiten zu deren eindeutiger Identifizierung verwendet. Ein SNMP-Agent gilt als autoritative SNMP-Engine. Das bedeutet, dass der Agent auf eingehende Nachrichten (Get, GetNext, GetBulk, Set) reagiert und Trap-Nachrichten an einen Manager sendet. Die lokalen Informationen des Agents sind in Feldern innerhalb der Nachricht eingeschlossen.
29 SNMP SNMP-Engine-ID • Benutzerdefiniert: Geben Sie die Engine-ID des lokalen Geräts ein. Der Wert des Felds ist eine hexadezimale Zeichenfolge (Bereich: 10 - 64). Jedes Byte in der hexadezimalen Zeichenfolge wird durch zwei hexadezimale Ziffern dargestellt. Alle Remote-Engine-IDs und die zugehörigen IP-Adressen werden in der RemoteEngine-ID-Tabelle angezeigt. SCHRITT 3 Klicken Sie auf Übernehmen. Die aktuelle Konfigurationsdatei wird aktualisiert.
29 SNMP Konfigurieren von SNMP-Ansichten Konfigurieren von SNMP-Ansichten Eine Ansicht ist eine benutzerdefinierte Bezeichnung für eine Sammlung von MIBUnterstrukturen. Jede Unterstruktur-ID wird durch die Objekt-ID (OID) des Stammverzeichnisses der zugehörigen Unterstrukturen bestimmt. Für die Angabe des Stammverzeichnisses der gewünschten Unterstruktur können Sie bekannte Namen verwenden oder eine OID eingeben (siehe Modell-OIDs).
29 SNMP Erstellen von SNMP-Gruppen SCHRITT 4 Wählen Sie die Option „In Ansicht einschließen“ aus oder heben Sie deren Auswahl auf. Wenn diese Option ausgewählt ist, sind die ausgewählten MIBs in der Ansicht enthalten, anderenfalls sind sie nicht enthalten. SCHRITT 5 Klicken Sie auf Übernehmen. SCHRITT 6 Um die Ansichtskonfiguration zu überprüfen, wählen Sie die benutzerdefinierten Ansichten in der Liste Filter: Ansichtsname aus.
29 SNMP Erstellen von SNMP-Gruppen • Authentifizierung (Authentifizierung und kein Datenschutz) • Authentifizierung und Datenschutz Mithilfe von SNMPv3 können Sie steuern, welche Inhalte die einzelnen Benutzer lesen oder schreiben können und welche Benachrichtigungen sie erhalten. Mit einer Gruppe können Sie Lese- bzw. Schreibberechtigungen und eine Sicherheitsstufe definieren. Eine Gruppe ist aktiv, wenn sie einem SNMP-Benutzer oder einer SNMP-Community zugewiesen wird.
29 SNMP Verwalten von SNMP-Benutzern • Authentifizierung und Datenschutz: Authentifiziert und verschlüsselt SNMP-Nachrichten. Anzeigen: Indem Sie eine Ansicht den Lese-, Schreib- und Benachrichtigungsberechtigungen der Gruppe zuordnen, beschränken Sie den Umfang der MIB-Struktur, für die die Gruppe über Lese-, Schreib- und Benachrichtigungszugriff verfügt. - Anzeigen: Wählen Sie eine zuvor definierte Ansicht für „Lesen“, „Schreiben“ und „Benachrichtigen“ aus.
29 SNMP Verwalten von SNMP-Benutzern Damit Sie einen SNMPv3-Benutzer erstellen können, muss zunächst Folgendes vorhanden sein: • Eine Engine-ID muss zunächst für das Gerät konfiguriert werden. Verwenden Sie hierzu die Seite „Engine-ID“. • Eine SNMPv3-Gruppe muss verfügbar sein. Auf der Seite „Gruppen“ können Sie eine SNMPv3-Gruppe definieren. So zeigen Sie SNMP-Benutzer an und erstellen neue: SCHRITT 1 Klicken Sie auf SNMP > Benutzer. Diese Seite enthält die vorhandenen Benutzer.
29 SNMP Festlegen von SNMP-Communitys • Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für den zugewiesenen Gruppennamen aus. Wenn für die Gruppe keine Authentifizierung erforderlich ist, kann der Benutzer keine Authentifizierung konfigurieren. Folgende Optionen sind möglich: - Keine: Es wird keine Authentifizierung verwendet. - MD5-Kennwort: Ein Kennwort, das zum Generieren eines Schlüssels durch die MD5-Authentifizierungsmethode verwendet wird.
29 SNMP Festlegen von SNMP-Communitys Communitys werden nur in SNMPv1 und SNMPv2 definiert, da SNMPv3 nicht mit Communitys, sondern mit Benutzern arbeitet. Die Benutzer gehören Gruppen an, denen Zugriffsrechte zugewiesen wurden.
29 SNMP Festlegen von SNMP-Communitys - Global: Bei der IPv6-Adresse handelt es sich um einen globalen UnicastIPv6-Typ, der in anderen Netzwerken sichtbar und von diesen aus erreichbar ist. • Link Local-Schnittstelle: Falls es sich bei dem IPv6-Adresstyp um „Link Local“ handelt, wählen Sie aus, ob der Empfang über VLAN oder ISATAP erfolgt. • IP-Adresse: Geben Sie die IP-Adresse der SNMP-Verwaltungsstation ein.
29 SNMP Festlegen von Trap-Einstellungen SCHRITT 4 Klicken Sie auf Übernehmen. Die SNMP-Community wird definiert und die aktuelle Konfigurationsdatei wird aktualisiert. Festlegen von Trap-Einstellungen Auf der Seite „Trap-Einstellungen“ können Sie konfigurieren, ob und in welchen Fällen SNMP-Benachrichtigungen vom Gerät gesendet werden. Die Empfänger der SNMP-Benachrichtigungen können Sie auf der Seite „Benachrichtigungsempfänger SNMPv1, 2“ oder „Benachrichtigungsempfänger SNMPv3“ konfigurieren.
29 SNMP Benachrichtigungsempfänger Ein Trap-Empfänger-Eintrag enthält die IP-Adresse des Knotens sowie die SNMPAnmeldeinformationen, die der Version entsprechen, die in der Trap-Nachricht enthalten ist. Wenn ein Ereignis eintritt, für das eine Trap-Nachricht gesendet werden soll, wird diese Nachricht an alle Knoten gesendet, die in der Tabelle für Benachrichtigungsempfänger aufgeführt sind.
29 SNMP Benachrichtigungsempfänger • Erfasst IPv6-Quellschnittstelle: Wählen Sie die Quellschnittstelle aus, deren IPv6-Adresse als Quell-IPv6-Adresse in Trap-Nachrichten für die Kommunikation mit IPv6-SNMP-Servern verwendet wird. HINWEIS Wenn Sie die Option „Auto“ auswählen, übernimmt das System die Quell-IP-Adresse aus der IP-Adresse, die auf der ausgehenden Schnittstelle definiert wurde. SCHRITT 3 Klicken Sie auf Hinzufügen. SCHRITT 4 Geben Sie die Parameter ein.
29 SNMP Benachrichtigungsempfänger • Community-Zeichenfolge: Wählen Sie in der Pulldown-Liste die CommunityZeichenfolge des Trap-Managers aus. Die Namen von CommunityZeichenfolgen werden aus den auf der Seite „Community“ aufgeführten Zeichenfolgen generiert. • Benachrichtigungsversion: Wählen Sie die SNMP-Version der Traps aus. Als Trap-Version kann SNMPv1 oder SNMPv2 verwendet werden. Es kann immer nur eine der beiden Versionen aktiviert sein.
29 SNMP Benachrichtigungsempfänger SCHRITT 2 Klicken Sie auf Hinzufügen. SCHRITT 3 Geben Sie die Parameter ein. 647 • Serverdefinition: Wählen Sie aus, ob der Remote-Protokollserver anhand der IP-Adresse oder des Namens angegeben wird. • IP-Version: Wählen Sie entweder IPv4 oder IPv6 aus. • IPv6-Adresstyp: Wählen Sie den IPv6-Adresstyp aus (falls IPv6 verwendet wird). Folgende Optionen sind möglich: - Link Local: Die IPv6-Adresse kennzeichnet eindeutig Hosts mit einer einzigen Netzwerkverbindung.
29 SNMP SNMP-Benachrichtigungsfilter • Sicherheitsstufe: Wählen Sie aus, welches Maß an Authentifizierung auf das Paket angewendet wird. HINWEIS Die Sicherheitsstufe hängt vom ausgewählten Benutzernamen ab. Wenn für den Benutzernamen „Keine Authentifizierung“ konfiguriert ist, entspricht die Sicherheitsstufe nur „Keine Authentifizierung“.
29 SNMP SNMP-Benachrichtigungsfilter Mithilfe des Benachrichtigungsfilters kann der Typ von SNMP-Benachrichtigungen herausgefiltert werden, die an die Verwaltungsstation gesendet werden sollen. Dies geschieht auf Grundlage der OID der zu sendenden Benachrichtigung. So legen Sie einen Benachrichtigungsfilter fest: SCHRITT 1 Klicken Sie auf SNMP > Benachrichtigungsfilter. Die Seite „Benachrichtigungsfilter“ enthält Benachrichtigungsinformationen für die einzelnen Filter.
Cisco und das Cisco-Logo sind Marken oder eingetragene Marken von Cisco und/oder Partnerunternehmen in den USA und anderen Ländern. Eine Liste der Marken von Cisco finden Sie unter folgender URL: www.cisco.com/ go/trademarks. Hier genannte Marken Dritter sind Eigentum ihrer jeweiligen Inhaber. Die Verwendung des Worts „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und einem anderen Unternehmen. (1110R) © 2012-2013 Cisco Systems, Inc. Alle Rechte vorbehalten.
© 2012-2013 Cisco Systems, Inc. Alle Rechte vorbehalten.
