Portsicherheit

Das Gerät bietet Ihnen die Möglichkeit, jeden Port so zu konfigurieren, dass er hilft, unberechtigten Zugriff verhindert. Abhängig von Ihrer Auswahl prüft das Gerät die MAC-Adresse oder die IP-Adresse des angeschlossenen Geräts.

Im Rahmen „Konfiguration“ stellen Sie ein, ob die Portsicherheit mit MAC- oder mit IP-Adressen arbeitet.

Name

Bedeutung

MAC-basierte Portsicherheit

Quell-MAC-Adresse der empfangenen Datenpakete prüfen.

IP-basierte Portsicherheit

Die IP-basierte Portsicherheit verwendet intern die MAC-basierte Portsicherheit.
Funktionsprinzip:
Wenn sie die Funktions konfigurieren, übersetzt das Gerät die eingegebene IP-Adresse in die entsprechende MAC-Adresse. Im Betrieb prüft es die Quell-MAC-Adresse der empfangenen Datenpakete gegen die intern gespeicherte MAC-Adresse.

Tab. Konfiguration der Portsicherheit global für alle Ports


In der Port-Tabelle stellen Sie für jeden Port die individuellen Parameter ein.

Name

Bedeutung

Modul.Port

Portbezeichnung durch Modul- und Portnummer des Gerätes, z.B. 2.1 für den Port eins des zweiten Moduls.

Port-Status

enabled: Port ist eingeschaltet und vermittelt.

disabled: Port ist ausgeschaltet und vermittelt nicht.

Der Port ist eingeschaltet, wenn
- mit einer erlaubten Adresse auf diesen Port zugegriffen wird
oder
- versucht wird, mit einer nicht erlaubten Adresse auf den Port zuzugreifen und unter "Aktion" trapOnly oder none angewählt ist.

Der Port ist ausgeschaltet, wenn
versucht wird, mit einer nicht erlaubten Adresse auf den Port zuzugreifen und unter "Aktion" portDisable angewählt ist.

Erlaubte MAC-Adressen

MAC-Adressen der Geräte, mit denen Sie einen Datenaustausch an diesem Port erlauben.

Die grafische Benutzeroberfläche bietet Ihnen die Möglichkeit, bis zu 50 MAC-Adressen, durch Leerzeichen getrennt, einzugeben. Nach jeder MAC-Adresse können Sie, durch einen Schrägstrich getrennt, eine Zahl zur Kennzeichnung eines Adressbereichs eingeben. Diese Zahl zwischen 2 und 47 kennzeichnet die Anzahl der relevanten Bits. Beispiel:
00:80:63:01:02:00/40 steht für
00:80:63:01:02:00 to 00:80:63:01:02:FF
oder
00:80:63:00:00:00/24 steht für
00:80:63:00:00:00 to 00:80:63:FF:FF:FF

Ohne Eintrag können beliebige Geräte über diesen Port kommunizieren.

Aktuelle MAC-Adresse

Anzeige der MAC-Adresse des Gerätes, von dem der Port zuletzt Daten empfangen hat. Die grafische Benutzeroberfläche bietet Ihnen die Möglichkeit, einen Eintrag aus der Spalte „Aktuelle MAC-Adresse“ durch Ziehen bei gedrückter Maustaste in die Spalte „Erlaubte MAC-Adresse“ zu kopieren.

Erlaubte IP-Adressen

IP-Adressen der Geräte, mit denen Sie einen Datenaustausch an diesem Port erlauben.

Die grafische Benutzeroberfläche bietet Ihnen die Möglichkeit, bis zu 10 IP-Adressen, durch Leerzeichen getrennt, einzugeben.

Ohne Eintrag können beliebige Geräte über diesen Port kommunizieren.

Aktion

Aktion, die das Gerät nach einem unberechtigten Zugriff ausführt:

  • none: keine Aktion,

  • trapOnly: Alarm verschicken,

  • portDisable: den Port durch den entsprechendem Eintrag in der Port-Konfigurationstabelle abschalten und einen Alarm verschicken.

Tab. Konfiguration der Portsicherheit pro Port

Anmerkung: Dieser Eintrag in der Port-Konfigurationstabelle ist Teil der Konfiguration und wird beim Speichern der Konfiguration mitgesichert. Siehe Laden/Speichern.
Anmerkung: Voraussetzungen, damit das Gerät einen Alarm (Trap) senden kann: Siehe Alarme (Traps).
Anmerkung: Die IP-Portsicherheit arbeitet intern auf Layer 2. Das Gerät übersetzt eine erlaubte IP-Adresse intern in eine erlaubte MAC-Adresse, wenn Sie die IP-Adresse eintragen. Dazu verwendet es eine ARP-Anfrage.Voraussetzungen für die IP-basierte Portsicherheit:Haben Sie als erlaubte IP-Adresse die eines Router-Interface eingetragen, gelten alle von diesem Interface versandten Pakete als erlaubt, da sie die selbe MAC-Quelladresse enthalten.Sendet ein angeschlossenes Gerät Pakete mit der erlaubten IP-Adresse, aber einer anderen MAC-Adresse, verweigert der Switch diesen Datenverkehr. Wenn Sie das Gerät mit der erlaubten IP-Adresse gegen ein anderes mit der selben IP-Adresse austauschen, tragen Sie auf dem Switch die IP-Adresse erneut ein, damit der Switch die neue MAC-Adresse lernt.

Schaltflächen

Schaltfläche

Bedeutung

“Schreiben”

Überträgt die Änderungen in den flüchtigen Speicher (RAM) des Gerätes. Um die Änderungen permanent zu speichern, öffnen Sie den Dialog Grundeinstellungen:Laden/Speichern, wählen den Speicherort für die Gerätekonfiguration und klicken auf “Sichern”.

“Laden”

Aktualisiert die Felder mit den Werten, die im flüchtigen Speicher (RAM) des Gerätes gespeichert sind.

“Assistent”

Öffnet den “Assistenten”.

Mit dem “Assistenten” weisen Sie einem Port die zulässigen MAC‑Adressen zu.

“Hilfe”

Öffnet die Online-Hilfe.

Tab. Schaltflächen


Assistent – Port auswählen

Der “Assistent” unterstützt Sie dabei, die Geräte-Ports mit einem oder mehreren erwünschten Absendern zu verknüpfen.

Parameter

Bedeutung

“Port auswählen”

Legt den Geräte-Port fest, dem Sie im nächsten Schritt die Absender zuweisen.

Tab. Assistent im Dialog Sicherheit:Portsicherheit, Seite “Port auswählen”


Assistent – Adressen

Der “Assistent” unterstützt Sie dabei, die Geräte-Ports mit einem oder mehreren erwünschten Absendern zu verknüpfen. Wenn Sie die Einstellungen festgelegt haben, klicken Sie auf “Fertig”. Um die Änderungen anschließend zu speichern, klicken Sie im Dialog Sicherheit:Portsicherheit auf “Schreiben”.

Parameter

Bedeutung

“Erlaubte MAC-Adressen”

Listet die MAC-Adressen auf, die auf den Port zugreifen dürfen.

Mögliche Werte:

  • Gültige Unicast-MAC-Adresse

Klicken Sie “Hinzufügen”, um die MAC-Adressen in das Feld “Erlaubte MAC-Adressen” zu übertragen.

“MAC-Adresse”

Definiert die MAC-Adressen, die auf den Port zugreifen dürfen.

Mögliche Werte:

  • Gültige Unicast-MAC-Adresse

    Geben Sie den Wert in einem der folgenden Formate ein:

    • ohne Trennzeichen, z. B. 001122334455

    • durch Leerzeichen getrennt, z. B. 00 11 22 33 44 55

    • durch Doppelpunkte getrennt, z. B. 00:11:22:33:44:55

    • durch Bindestriche getrennt, z. B. 00-11-22-33-44-55

    • durch Punkte getrennt, z. B. 00.11.22.33.44.55

    • durch Punkte nach jedem 4. Zeichen getrennt, z. B.0011.2233.4455

Klicken Sie “Hinzufügen”, um die MAC-Adressen in das Feld “Erlaubte MAC-Adressen” zu übertragen.

“Mask”

Definiert die Anzahl der wesentlichen Stellen im MAC-Adressbereich.

Mögliche Werte:

  • 1..48

Dieses Feld bietet Ihnen die Möglichkeit, die Anzahl der wesentlichen Stellen in CIDR-Schreibweise anzugeben. Beispiel: 00:11:22:33:44:00/40 bedeutet, dass der Port jenen Geräten den Netzzugang erlaubt, deren MAC-Adresse mit den ersten 5 Hexadezimal-Zahlengruppen übereinstimmt.

“Hinzufügen”

Überträgt die im Feld “MAC-Addresse” eingetragenen Werte in das Feld “Erlaubte MAC-Adressen”.

“Löschen”

Löscht die im Feld “Erlaubte MAC-Adressen” ausgewählten Einträge.

Tab. Assistent im Dialog Sicherheit:Portsicherheit, Seite “Adressen”


Assistent – Aktion

Dieser Dialog legt die Aktionen fest, die das Gerät ausführt, wenn ein unauthorisierter Zugriff auf den Port erfolgt.

Name

Bedeutung

Aktion

Aktion, die das Gerät nach einem unberechtigten Zugriff ausführt:

Mögliche Werte:

  • none

    Der Port leitet weiter, ohne auf den eingehenden Verkehr hinzuweisen.

  • trapOnly

    Das Gerät sendet einen Trap an das Management-Terminal.

  • portDisable

    Das Gerät schaltet den Port durch den entsprechendem Eintrag in der Port-Konfigurationstabelle ab und verschickt einen Trap an das aktive Management-Terminal.

Tab. Assistent im Dialog Sicherheit:Port-Sicherheit, Seite “Aktion”

Nach Schließen des Assistenten klicken Sie auf “Schreiben”, um Ihre Einstellungen zu speichern.

Anmerkung: Voraussetzungen, damit das Gerät einen Alarm (Trap) senden kann: Siehe Alarme (Traps).

Schaltflächen

Schaltfläche

Bedeutung

“Zurück”

Zeigt die vorherige Seite wieder an. Änderungen gehen dabei verloren.

“Weiter”

Übernimmt die Änderungen und öffnet die nächste Seite.

“Fertig”

Übernimmt die Änderungen und schließt die Konfiguration ab.

“Abbrechen”

Beendet den Assistenten. Änderungen gehen dabei verloren.

Tab. Schaltflächen