MAC 规则 (SC-600) 默认情况下,允许在设备与 vlan1 或 vlan2 之间交换 ARP 帧的设备上存在 MAC 数据滤 规则。可通过将条目“ARP”选为 MAC 数据滤规则中的协议来定义自己的 ARP 规则。您自 己的 ARP 规则还应考虑在组态设备所使用的 PC。 含义 MAC 数据滤规则的处理基于以下评估: • 规则中输入的参数 • 规则在规则集中的顺序 显示框说明 该表包含以下列: • 选择 (Select) 激活要删除的行中的复选框。 • 协议 (Protocol) 显示 MAC 协议的版本。 • 操作 (Action) 选择传入 MAC 数据包的处理方式: – “Accept”– 数据包可通过。 – “Drop”– 数据包被丢弃且未通知发送方。预定义 MAC 规则 (Pre-defined MAC rules) (SC-600) WBM 页面包含预定义的 MAC 数据滤规则。如果创建了自己的 MAC 数据滤规则,则 其优先级高于预定义 MAC 数据滤规则。可以在此页面中设置应通过哪个接口访问设备 的哪些 MAC 服务。 说明 • 接口 (Interface) 与设置相关的接口。接口/子网列表是动态的,其依据“第 3 层 > 子网”(Layer 3 > Subnet) 中的设置不同而显示不同内容。 • 允许访问下列 MAC 服务: – 全部 (All) 所有预定义的 MAC 服务,不过滤 – ARP 允许通过 ARP 访问设备或桥接的子网。 如果对此设置进行更改,可能导致无法再访问设备。 – DCP 允许通过 DCP 访问设备或桥接的子网。 – IPv4 允许通过 IPv4 访问设备、桥接的子网或路由的子网。根据协议,需要以下输入: • 对于以太网协议: – 类型/长度 • 对于 ISO-LLC 协议: – DSAP:目标服务访问点:LLC 接收方地址 – SSAP:源服务访问点:LLC 发送方地址 – CTRL:LLC 控制域 • 对于 SNAP: – OUI:组织唯一标识符:MAC 地址的前三个字节 = 制造商标识 – OUI 类型 (OUI Type):协议类型/标识状态同步 (SC600) 在该 WBM 页面上设置通过网络实现相互同步的两个 SC600 的防火墙状态。 防火墙允许网络数据时,会为该事件创建防火墙状态。需要该防火墙状态,这样对数 据包的响应才能通过防火墙,而无需为其创建额外的规则。 同步防火墙状态会将此信息传 送给另一个设备。通过使用 VRRP,可确保已建立的连接不会再次建立,而是使用现有的防 火墙状态。传出查询由防火墙记录在动态状态表中。会自动禁止来自之前没有查询(即,状态表中没有 相应条目)的外部网络的直接查询。 说明 保护与防火墙状态同步的连接 防火墙状态同步不使用任何加密或验证。因此,只要专门针对在两个防火墙间实现同步的连 接进行保护。 尽可能通过专用 VLAN 接口直接连接两个防火墙。如果无法保护该连接不受外部访问,请创 建 IPsec VPN 连接进行同步。也可通过 VPN 组进行组态 也可通过 VPN 组来组态 IPsec 连接,参见 IPsec VPN 隧道:创建和分配 VPN 组 (页 549)部分。 通过 VPN 组进行组态的过程中,远程地址和远程子网是 STEP 7 根据接口名称确定的: • 接口名称“INT”:STEP 7 将接口作为内部接口进行处理。 • 接口名称“EXT”:STEP 7 将接口作为外部接口进行处理。 将设备添加到 VPN 组时,STEP 7 仅会在外部接口之间创建 VPN 连接。因此,只有内部接口 上的本地子网会通过 VPN 连接在一起。其它 VPN 连接需要手动组态。 通过 VPN 组进行组态时的注意事项 与 SCALANCE S-600 V3 设备相比,应注意以下特性: • 通过 VPN 组分配指定发起连接建立的权限。 • 在连接特定的 VPN 设置中,设备显示为连接伙伴,但不可进行编辑。选择设备后,接口 可调整到其它伙伴设备。 • 就 VPN 模式而言,设备始终起着路由设备的作用。 • VPN 组属性会应用到 VPN 组成员的本地属性中。与以下参数相关,VPN 组的属性可在本 地覆盖。 – 阶段 1:输入尝试、DPD、DPD 周期、DPD 超时 – 阶段 2:Lifebyte、协议、端口(范围)、自动防火墙规则 综述 可在此页面中组态 VPN 的基本设置。说明 该页面包含以下内容: • Activate IPsec VPN 启用或禁用 VPN 的 IPsec 协议。 • Enforce strict CRL Policy 启用后,将根据 CRL(Certificate Revocation List,证书撤销列表)检查证书的有效性。证 书撤销列表列出了由认证机构签发且在设置的到期日期前已失效的证书。您可以在“证书 (页 900)”页面组态要使用的证书撤销列表。 • NAT Keep Alive Time Interval 指定发送保持连接帧的时间间隔。如果在两个 VPN 端点之间存在 NAT 设备,则当存在非 活动的情况时,连接将会从其动态 NAT 表中删除。为防止出现此种情况,应发送保持连 接消息。 • IKEv2 DPD Retries 指定将 IKEv2 连接认定为中断前允许的失败尝试次数。该设置适用于所有 IKEv2 连接。 • IKEv2 DPD Retry Interval[s] 指定发送失败尝试的时间间隔。 • IKEv2 先闭后断 (IKEv2 Make-Before-Break) 启用后,会创建 IKE 和所有 IPSec 安全分配的副本,并删除原有设置。这样可避免重新验 证期间出现 VPN 通信中断的情况。该设置要求两个 VPN 端点均可处理重叠 SA 远程端点 在此页面上,可以组态远程伙伴(VPN 端点)。 说明 该页面包含以下内容: • 远程端点名称 (Remote End Name) 输入远程站的名称,然后单击“创建”(Create) 可创建新的远程站。 该表包含以下列: • 选择 (Select) 选中要删除的行中的复选框。 • 名称 (Name) 显示伙伴的名称。连接 可在此页面组态 VPN 连接的基本设置。使用这些设置,设备(本地端点)可建立到伙伴的 非安全 VPN 隧道。可在 WBM 页面“Authentication”中指定安全设置。 说明 如果使用“NETMAP” • 仅支持自动防火墙规则 • 不能为“操作” (Operation) 选择设置“请求时” (on demand)。 说明 通过同一 VPN 端点的多个 IPsec VPN 连接 如果已通过同一 VPN 端点与不同远程子网创建 IPsec VPN 连接,则组态的第一个 VPN 连接 (索引Zui小的连接)为主连接(父连接)。 通过主连接,可创建并建立其它所有 IPsec VPN 连接(子连接)。如果所有 VPN 隧道现在均 已建立,并且主连接终止,所有子连接也会中断。DPD 超时时间已过后,所有 IPsec VPN 连 接会通过主连接重新建立。 如果只有一个子连接终止,那么主连接和其它子连接保持不变。 说明 该页面包含以下框: • Connection name 输入 VPN 连接的名称,然后单击“创建”可创建新的连接。 该表包含以下列: • Select 选中要删除的行中的复选框。 • Name 显示 VPN 连接的名称。说明 该表包含以下列: • 名称 (Name) 显示与设置相关的 VPN 连接的名称。 • 验证 (Authentication) 选择验证方法。对于 VPN 连接,要求伙伴必须使用相同的验证方法。 – 已禁用 未选择验证方法。无法建立连接。 – 远程证书 使用远程证书进行验证。可在“远程证书”(Remote Certificate) 中指定证书。 – CA 证书 使用认证机构的证书进行验证。可在“CA 证书”中指定证书。如果要建立到 SINEMA RC 的 IPsec 连接,则稍后需通过 WBM 添加证书并将其下载到设备。 – PSK 使用密钥进行验证。可在“PSK”中组态密钥。 说明 对于“PSK”验证方法,指定“本地 ID”(Local ID) 和“远程 ID”(Remote ID)。如果条目保 持为空,IPSec 将使用接口的 IP 地址作为 ID 并阻止 VPN 隧道进行设置。说明 该表包含以下列: • 名称 (Name) 显示与设置相关联的 VPN 连接的名称。 • 默认密码 (Default Ciphers) 启用后,会在连接建立期间将预设列表传输到 VPN 连接伙伴。该列表包含三种算法(加 密、验证、密钥导出)的组合。要建立 VPN 连接,VPN 连接伙伴必须至少支持其中的一 种组合。该选择取决于密钥交换方法。更多信息,请参见“IPsec VPN”部分 • 加密 (Encryption) 对于阶段 1,选择所需的加密算法。只有在“默认密码”(Default Ciphers) 禁用后才可选择。 该选择取决于密钥交换方法。更多信息,请参见“IPsec VPN”部分。 说明 CCM 和 GCM 这两种 AES 模式各自包含单独的数据验证机制。如果使用 AES x CCM 模式 进行加密,则在验证时也会使用相同的模式。然后,仅伪随机函数源自“验 证”(Authentication) 参数。要建立 VPN 连接,所有设备需要使用相同的设置。阶段 2:数据交换(ESP = 封装安全有效载荷) 在此页面中,可以为 IPsec 数据交换协议设置参数。此阶段中的整个通信使用标准化安全协 议 ESP 进行加密,您可以为其设置以下协议参数。 说明 该表包含以下列: • 名称 (Name) 显示与设置相关联的 VPN 连接的名称。 • 默认密码 (Default Ciphers) 启用后,会在连接建立期间将预设列表传输到 VPN 连接伙伴。该列表包含三种算法(加 密、验证、密钥导出)的组合。要建立 VPN 连接,VPN 连接伙伴必须至少支持其中的一 种组合。更多信息,请参见“IPsec VPN”部分。