Netzwerk
IP-Konfiguration: Konfigurieren von IP-Adressen und Netzwerkeinstellungen
Unternehmen mit erweiterten Netzwerkkonfigurationen können mehrere IP-Adressen auf den Ethernet-Ports des B Series Appliances konfigurieren. Die Verwendung mehrerer Ports kann die Sicherheit verbessern oder Verbindungen über nicht standardmäßige Netzwerke ermöglichen. Wenn z. B. Mitarbeiter ohne Internet-Zugriff netzwerkferne Unterstützung benötigen, verwenden Sie einen Port für Ihr internes privates Netzwerk und einen anderen für das öffentliche Internet. Hiermit geben Sie den weltweiten Benutzern die Möglichkeit, auf Systeme zuzugreifen, ohne gegen Ihre Netzwerksicherheitsrichtlinien zu verstoßen.
NIC-Teaming kombiniert die physischen NICs Ihres Systems in einer einzigen logischen Schnittstelle. NIC-Teaming wird im aktiven Backup-Modus durchgeführt. Eine der NICs wird für den gesamten Netzwerkverkehr verwendet. Wird die Verbindung zu dieser NIC abgebrochen, wird der andere NIC aktiv. Vor der Aktivierung von NIC-Teaming sollten Sie sicherstellen, dass beide NICs zum gleichen Netzwerksegment verbunden sind (Subnetz), und dass IP-Adressen nur unter einer der bestehenden NICs konfiguriert wurden.
Wenn Sie eine virtuelle oder Cloud-Gerät-Umgebung verwenden, ist die Option NIC-Teaming aktivieren nicht verfügbar.
Obwohl jedem Network Interface Controller (NIC) mehrere IP-Adressen zugewiesen werden können, sollten Sie NICs nicht so konfigurieren, dass sie eine IP-Adresse im selben Subnetz wie die andere NIC aufweisen. In diesem Szenario kommt es zu Paketverlusten bei Paketen von der IP an der NIC, die nicht das Standard-Gateway besitzt. Erwägen Sie folgende Beispielkonfiguration:
- eth0 ist mit dem Standard-Gateway 192.168.1.1 konfiguriert
- eth0 ist mit 192.168.1.5 konfiguriert
- eth1 ist mit 192.168.1.10 konfiguriert
- Sowohl eth0 als auch eth1 sind mit dem gleichen Subnetz-Switch verbunden
In dieser Konfiguration wird Verkehr beider NICs an das Standard-Gateway (192.168.1.1) gesandt, unabhängig davon, welche NIC Verkehr erhalten hat. Mit dem dynamischen Adressauflösungsprotokoll (ARP) konfigurierte Switches senden Pakete zufällig entweder an eth0 (192.168.1.5) oder eth1 (192.168.1.10), nicht aber an beide. Wenn eth0 diese Pakete vom für eth1 zugewiesenen Switch erhält, verwirft eth0 die Pakete. Einige Switches sind mit einem statischen ARP konfiguriert. Diese Switches verwerfen alle von eth1 erhaltenen Pakete, da diese NIC das Standard-Gateway aufweist und nicht in der statischen ARP-Tabelle des Gateways aufgeführt ist. Wenn Sie redundante NICs am gleichen Subnetz konfigurieren möchten, verwenden Sie NIC-Teaming.
Standardmäßig ist das Dynamische Hostkonfigurationsprotokoll (DHCP) für Ihr B Series Appliance aktiviert. DHCP ist ein Netzwerkprotokoll, das einen DHCP-server nutzt, um die Verteilung von Netzwerkparametern wie IP-Adressen zu steuern. So können Systeme diese Parameter automatisch anfordern. Dies reduziert den manuellen Konfigurationsaufwand. Ist diese Option aktiviert, wird eine IP-Adresse vom DHCP-Server zugewiesen, die dann vom Pool verfügbarer IP-Adressen entfernt wird.
Um mehr über DHCP zu erfahren, lesen Sie weiter unter Was ist DHCP? .
Klicken Sie auf Details einblenden, um die Übertragungs- und Empfangsdaten für jeden Ethernet-Port auf dem B Series Appliance anzuzeigen und zu prüfen.
Konfigurieren Sie im Abschnitt Globale Netzwerkkonfiguration den Hostnamen für Ihr B Series Appliance.
Das Feld Hostname muss keine technischen Anforderungen erfüllen. Es hat keine Auswirkungen darauf, mit welchem Hostnamen Client-Anwendungen oder Remote-Benutzer sich verbinden. Wenn der von der Client-Software verwendete Hostname geändert werden muss, benachrichtigen Sie den BeyondTrust Technical Support über die benötigten Änderungen, damit der Support eine Softwareaktualisierung bereitstellen kann. Das Feld Hostname existiert hauptsächlich, damit Sie zwischen mehreren B Series Applianceen unterscheiden können. Ebenfalls wird es als lokale Serverkennung verwendet, wenn SMTP-Verbindungen zum Versenden von E-Mail-Benachrichtigungen aufgebaut werden. Dies ist nützlich, wenn der SMTP-Relay-Server unter /appliance > Sicherheit > E-Mail-Konfiguration nicht zugänglich ist. In diesem Fall muss der konfigurierte Hostname möglicherweise mit der Reverse-DNS-Abfrage der IP-Adresse des B Series Appliances übereinstimmen.
Konfigurieren Sie ein Standard-Gateway und wählen Sie, welcher Ethernet-Port genutzt werden sollen. Geben Sie eine IP-Adresse für einen oder mehrere DNS-Server ein. Wenn DHCP aktiviert ist, bietet Ihnen der DHCP-Lease ein Standard-Gateway und eine Liste von DNS-Servern in bevorzugter Reihenfolge. Jegliche statisch konfigurierte DNS-Server aus dem Feld Benutzerdefinierte DNS-Server werden zuerst kontaktiert, gefolgt von über DHCP erhaltenen DNS-Servern. Falls diese lokalen DNS-Server nicht verfügbar sind, können Sie mit der Option Auf öffentliche DNS-Server zurück verschieben des B Series Appliance die Möglichkeit geben, öffentlich verfügbare DNS-Server von OpenDNS zu verwenden.
Besuchen Sie für weitere Informationen zu OpenDNS bitte www.opendns.com.
Geben Sie Ihrem B Series Appliance die Möglichkeit, auf Pings zu antworten, wenn Sie in der Lage sein möchten zu testen, ob der Host funktioniert. Legen Sie den Hostnamen oder die IP-Adresse für einen NTP-Server (Network Time Protocol) fest, mit dem Ihr B Series Appliance synchronisiert werden soll.
Zwei Einstellungen sind im Bereich Portnummer-Einstellungen verfügbar: Server-Listen-Ports und Standard-URL-Ports. Beachten Sie bei deren Konfiguration, dass Verbindungen zu gültigen Ports aufgrund der unter /appliance > Sicherheit > Geräteverwaltung und /login > Verwaltung > Sicherheit vorgenommenen Netzwerkeinschränkungen abgelehnt werden können. Auch das Gegenteil gilt: Verbindungen zu ungültigen Ports werden abgelehnt, auch wenn diese Verbindungen die Netzwerkeinschränkungen erfüllen.
Der Bereich Server-Listen-Ports ermöglicht es Ihnen, Ports zu konfigurieren, die das B Series Appliance überprüft. Sie können bis zu 15 durch Komma getrennte Ports für HTTP und 15 durch Komma getrennte Ports für HTTPS angeben. Jeder Port darf nur einmal in maximal einem Feld erscheinen. Das B Series Appliance reagiert auf HTTP-Verbindungen zu einem der im HTTP-Feld aufgeführten Ports und das B Series Appliance reagiert auf HTTPS-Verbindungen zu einem der im HTTPS-Feld aufgeführten Ports. Sie können die integrierten Listen-Ports (80 und 443) nicht ändern.
Um über einen bestimmten Port auf das B Series Appliance zuzugreifen, nutzen Sie einen Browser, der die Angabe des Ports in der URL zulässt (z. B. support.example.com:8200). Über das B Series Appliance heruntergeladene Clients versuchen, über die auf der Seite /login > Status > Informationen unter Client-Software verwendet standardmäßig zuerst angegebenen Ports Verbindungen aufzubauen. Diese Ports sind nicht über /login oder /appliance konfigurierbar. Um sie zu ändern, müssen Sie den BeyondTrust-Support kontaktieren und eine neue Aktualisierung für Ihr B Series Appliance kompilieren lassen. Nach der Installation legt die Aktualisierung die Standard-Ports fest, die vom BeyondTrust-Support als Parameter für die Aktualisierung konfiguriert wurden.
Standard-URL-Ports werden bei der Erzeugung von URLs verwendet, die zurück auf das B Series Appliance zeigen, wie etwa über die zugriffskonsole generierte Sitzungsschlüssel. Wenn die Standardports am Netzwerk gesperrt sind (oder aus anderen Gründen nicht verwendet werden können), können Sie die Standard-URL-Ports ändern, damit URLs mit den benutzerdefinierten Ports generiert werden. Eingegebene Ports sollten ebenfalls als Server-Listen-Ports konfiguriert sein. Andernfalls kann keine Verbindung über die Standardports hergestellt werden. Wenn Sie zum Beispiel 8080 im Feld Standard-URL-Port eingeben, geben Sie 8080 auch im Feld HTTP- oder HTTPS-Listen-Port ein. Anders als die Listen-Port-Felder können Sie nicht mehr als einen Port in einem der URL-Port-Felder eingeben. Sie können den gleichen Port nicht in beiden Feldern eingeben.
Wählen Sie beim Hinzufügen oder Bearbeiten einer IP-Adresse aus, ob diese IP aktiviert oder deaktiviert werden soll. Wählen Sie den Netzwerk-Port aus, auf dem diese IP funktionieren soll. Im Feld IP-Adresse wird die Adresse festgelegt, der Ihr B Series Appliance antworten kann, während Subnetzmaske BeyondTrust die Kommunikation mit anderen Geräten ermöglicht.
Beim Bearbeiten einer IP-Adresse im gleichen Subnetz wie eine andere IP-Adresse für dieses B Series Appliance sollten Sie festlegen, ob diese IP-Adresse als Primär festgelegt werden soll. Ist diese Option aktiviert, legt das B Series Appliance diese IP-Adresse als primäre oder ursprüngliche IP-Adresse für das Subnetz fest. Dies stellt beispielsweise sicher, dass jeglicher Netzwerkverkehr vom B Series Appliance dieses Subnetzes mit den definierten Firewall-Regeln übereinstimmt.
Über Zugriffstyp können Sie den Zugriff über diese IP auf die öffentliche Webseite oder alle Clients (einschließlich mobiler und Web-Konsolen) außerhalb des normalen Web-Datenverkehrs beschränken. Nutzen Sie Beide zulassen (Web- und Sitzungsverkehr), damit der Zugriff sowohl über die öffentliche Webseite als auch über alle Clients möglich ist.
Sie können den Web- und Sitzungsverkehr trennen, indem Sie die Konfiguration des Netzes ändern. Der genaue Vorgang hängt von der bestehenden Konfiguration des Netzwerks ab. Weitere Informationen erhalten Sie beim Support.
Um den Zugriff auf die /login-Schnittstelle einzuschränken, legen Sie Netzwerkeinschränkungen unter /login > Verwaltung > Sicherheit fest. Um den Zugriff auf die /appliance-Schnittstelle einzuschränken, legen Sie Netzwerkeinschränkungen unter /appliance > Sicherheit > Geräteverwaltung fest.
Bei Anzeige der Verwaltungs-IP-Adresse1, bietet das Telnet-Server-Dropdownmenü drei Einstellungen: Vollständig, Vereinfacht und Deaktiviert, wie unten erläutert. Diese Einstellungen ändern die Menüoptionen für den Telnet-Server, der nur auf dieser privaten IP verfügbar ist und in Wiederherstellungssituationen nach einem Notfall verwendet werden kann. Da die Telnet-Funktion speziell mit der integrierten privaten IP verbunden ist, erscheint sie nicht unter den anderen konfigurierten IP-Adressen.
| Einstellung | Funktion |
|---|---|
| Vollständig | Aktiviert den Telnet-Server mit vollständiger Funktionalität |
| Vereinfacht | Ermöglicht vier Optionen: FIPS-Fehler anzeigen, Gerät auf Originalstandards zurücksetzen, Herunterfahren und Neustart |
| Deaktiviert | Deaktiviert den Telnet-Server vollständig |
