IPsec 隧道: 创建和分配组组态内部网络节点 使用学习模式学习内部节点 自动查找用于隧道通信的节点 组态和操作隧道通信时的一大优点是在网桥模式下 SCALANCES 模块可以在内部接口上自动 查找节点。安全模块会在运行期间检测新节点。对于检测到的节点,将发信号通知属于同一 VPN 组的安全模块。这样就可以随时在组的隧道中进行两个方向的数据交换。 可检测节点 检测到以下节点: • 具有 IP 功能的网络节点 具有 IP功能的网络节点在发送对 ICMP 子网广播的 ICMP 响应时会被发现。 如果路由器传递 ICMP 广播,则其下游的 IP节点会被发现。 • ISO 网络节点 您也可以示教不具有 IP 功能但可通过 ISO 协议寻址的网络节点。 仅当这些节点回复 XID或 TEST 数据包时才会被获知到。 TEST 和 XID(交换标识)是用 于在第 2层交换信息的辅助协议。通过发送带广播地址的数据包,可定位这些网络节点。 • PROFINET 节点 可以使用DCP(发现和基本组态协议)来查找 PROFINET 节点。 必须对不满足这些条件的网络节点进行手动组态。还需要手动组态位于内部路由器另一侧的子网。 如何访问该功能 1. 选择模块。 2. 在本地安全设置中,选择“VPN >结点”(VPN > Nodes) 条目。 启用/禁用获知模式 默认情况下,将在每个安全模块的组态中启用学习功能。•安全模块在连接内部子网的接口上和连接 DMZ 网络的接口上支持 DHCP。 安全模块在以 下模式下运行时,对动态地址分配范围内的 IP地址会存在以下的更多要求: – 网桥模式 范围必须在安全模块定义的网络中。 – 路由模式 范围必须在安全模块定义的内部子网中。 注意DMZ 网络始终代表一个单独的子网。当在 DMZ 接口上使用 DHCP 时,请确保可用的 IP 地址范围(动态 IP 地址)处在DMZ 子网中。 • 必须通过输入起始 IP 地址和终止 IP 地址来完全指定可用 IP 地址范围。 此终止地址必须 大于起始地址。• 在“静态地址分配”(Static address assignments) 输入区域的地址列表中输入的 IP 地址必须在安全模块的内部子网或 DMZ 子网的地址范围内。 参见 运行一致性检查 (页 440) 组态代理 ARP 概述 代理ARP 允许路由器响应主机的 ARP 查询。主机在网络中由路由器分隔,但使用相同的 IP 地 址范围。 如果 PC1 向 PC2发送一个 ARP 请求,PC1 将收到 ARP 响应和接口的硬件地址(安全模块端 口的 MAC 地址),在该接口上收到的查询来自于PC1 和 PC2 之间的安全模块,而不是来自 于 PC2。查询 PC1 随后将其数据发送到安全模块,安全模块再将数据转发到 PC2。如何访问该功能 安全模块必须为 VPN 组的成员并处于网桥模式下,其内部接口才可使用此功能。 1. 选择要编辑的安全模块。 2.在本地安全设置中,选择“代理 ARP”(Proxy ARP) 条目。 3. 如果安全模块要代替特定连接伙伴来响应自身 LAN 的ARP 查询,请输入相应的 IP 地址。
也可以完全禁用SCALANCE S 的学习功能。在这种情况下,需要对参与隧道通信的所有内部 网络节点进行手动组态。 何时禁用自动获知模式是有用的?安全模块的默认设置假设内部网络始终是安全的;也就是说,正常情况下,不会有网络节点 连接到不可信的内部网络。如果内部网络是静态网络(即内部节点的数量及其地址不发生变化),则禁用学习模式可能 有效。如果禁用获知模式,则会减少介质上的负载以及内部网络中根据获知数据包得出的节点。 安 全的性能也会略微提高,因为不需要处理获知数据包。注意: 在获知模式下,会检测内部网络中的所有节点。 与 VPN 组态限制有关的信息仅与内 部网络中通过 VPN 进行通信的节点有关。说明 如果对多于 128 个内部节点进行操作,则会超出允许的组态限制,并导致非法操作状态。由于网络流量中存在动态变化,这会导致已获知的内部节点被新出现的以前未知的内部节点替 换。 参见 手动组态内部子网(页 633) 手动组态 IP 网络节点 含义 除了使用“启用内部节点的学习功能”(Enable learning ofinternal nodes) 复选框启用学习模 式来使安全模块自动学习内部网络节点,还可以在“内部 IP 节点”(InternalIP nodes) 条目中 手动输入要学习的网络节点,这样可以使它们用于 VPN 隧道通信。 网络节点的 MAC 地址可作为选项进行指定。 要求 • 安全模块处于网桥模式下。 • 安全模块是 VPN 组的成员。如何访问该功能 1. 选择待编辑的模块。2. 在本地安全设置中,选择“VPN > 节点 > 内部 IP 结点”(VPN > Nodes >Internal IP nodes) 条目。 手动组态 MAC 网络节点 含义 除了使用“启用内部节点的学习功能”(Enablelearning of internal nodes) 复选框启用学习模 式来使安全模块自动学习内部网络节点,还可以在“内部 MAC节点”(Internal MAC nodes) 条 目中手动输入要学习的网络节点,这样可以使它们用于 VPN 隧道通信。 要求 •安全模块处于网桥模式下。 • 安全模块是 VPN 组的成员。 如何访问该功能 1. 选择待编辑的模块。 2.在本地安全设置中,选择“VPN > 节点 > 内部 MAC 结点”(VPN > Nodes >Internal MAC nodes) 条目。 手动组态内部子网 要求 • 安全模块是 VPN 组的成员。 如何访问该功能 1.选择待编辑的模块。 2. 在本地安全设置中,选择“VPN > 节点 > 内部子网”(VPN > Nodes >Internal subnets) 条目。路由器和防火墙冗余 概览 含义 运行期间,可通过路由器和防火墙冗余对安全模块SCALANCE S623(V4 及更高版本)和 SCALANCE S627-2M(V4及更高版本)的故障自动进行补偿。为此,通过激活两个安全模 块的路由器和防火墙冗余将 SCALANCE S623 或 SCALANCES627-2M 类型的两个安全模块 以构成冗余关系的方式分在一个组中。决定正常模式下冗余关系的哪个安全模块为被动模块(次模块)。设置正常运行时冗余关系的哪个安全模块为主动模块(主模块)。操作期间,如果主模块出现故障,则次模块将自动接管其功能,充当防火墙和 (NAT/NAPT) 路由器。为确保两个安全模块的组态相同,须通过它们的 DMZ 接口将这两个安全模块连接在一起,并在运行期间同步它们的组态。这种情况下,所涉及安全模块的 DMZ 接口不能用于其 他用途。 地址冗余 除了其模块 IP地址外,两个安全模块还在外部接口和内部接口上共用一个公共的 IP 地址,从 而在其中一个安全模块出现故障时,无需修改 IP地址。为此,需要为冗余关系的外部和内 部接口组态一个 IP 地址。 冗余关系对安全模块的影响在安全模块之间创建冗余关系时,这些安全模块的一些属性会自动调整以建立与冗余关系的 兼容性。以下属性受该调整的影响: 模块属性对模块属性的影响 运行模式 如有必要,模式将切换为“路由模式”(Routing mode) 选项。 VPN 组的成员 如有必要,将从VPN 组中移除安全模块。 接口组态 如有必要,将启用安全模块的内部接口和 DMZ 接口。 如有必要,将为所有接口组态 IP分配方法“静态地 址”。冗余关系中安全模块的组态 启用路由器和防火墙冗余并选择冗余关系的主模块后,一些模块属性只能使用主模块进行组态。此时为主模块组态的属性将应用于冗余关系,无法为次模块组态这些属性。可以为冗余 关系组态以下属性: •冗余关系的基本设置(次模块、网络参数) • 防火墙(单独为各个安全模块组态 IP 服务的标准规则)。 • 路由 • NAT/NAPT路由(非 1:1 NAT) 上面列出的属性值Zui初采自冗余关系的主模块。各安全模块的下列设置保持激活状态,将安全模块加入冗余关系中也如此。组态 主模块这些属性不会影响次模块。 •接口组态(无法禁用接口和切换 VIP 分配方法“静态地址”)。 • IP 服务的标准规则(防火墙) • DDNS • 时钟同步 •日志设置 • SNMP • RADIUS 说明 在冗余关系的安全模块上加载组态(仅适用于 V4 及更高版本的 SCALANCES623/S627-2M) 针对主模块组态的冗余关系的属性必须加载到主模块和次模块。要加载该组态,必须使用工程师站可通过其访问安全模块的物理 IP 地址。不能使用冗余关系的虚拟 IP 地址进行加载。 说明 使用路由器和防火墙冗余时组态路由在冗余关系中,在主次模块之间仅同步在“路由”(Routing) 条目中主模块的本地安全设置中静态组态的路由信息。由于使用标准路由器,不会同步动态生成的路由条目。当使用路由和防火墙冗余时,建议静态组态所有已知路由器。在安全模块之间创建冗余关系 要求 安全模块 SCALANCES623/S627-2M(V4 及更高版本)未分配给任何其他冗余关系。 步骤 1.选择在正常运行时作为主动安全模块运行的安全模块(主模块)。 2. 在本地安全设置中,选择“路由器和防火墙冗余”(Router andfirewall redundancy) 条目。 3. 选中“路由器和防火墙冗余”(Router and firewallredundancy) 复选框。 4. 在“次模块”(Secondary module)下拉列表中,选择在正常运行时作为被动安全模块运行的安 全模块。 结果: 已经在安全模块之间创建了冗余关系。 组态冗余关系如何访问该功能 1. 选择冗余关系的主模块。 2. 在本地安全设置中,选择“路由器和防火墙冗余”(Router andfirewall redundancy) 条目。 组态冗余关系的网络参数 可组态参数 含义 IP 地址 (IP address)冗余关系的虚拟外部或内部接口的 IP 地址。 IP 地址必 须位于主模块的外部子网或内部子网中。 子网掩码 (Subnet mask)冗余关系的虚拟外部或内部接口的子网掩码 MAC 地址 (MAC address)(仅适用于 V4.0.1 及更高版 本的SCALANCE S623/S627-2M) 冗余关系的虚拟外部或内部接口的 MAC 地址有关组态网络参数的一般信息,请参见以下部分: 组态 IP 地址参数 (页 593) 组态防火墙 在主模块上组态冗余关系的IP 数据滤规则。 支持通信方向“从外部到内部”和“从内 部到外部”。