SIEMENS西门子 SCALANCE XB108-2交换机 6GK5 108-2BB00-2AB2

              软件（安全功能）•保持固件为新。定期检查设备的安全更新。有关这方面的信息，请参见工业安全网站。• 请持续关注由 siemens productcert出版的安全建议。• 仅激活使用设备所需的协议。• 通过访问控制列表 (acl) 中的规则限制对设备管理的访问。• vlan结构化选项可针对 dos 攻击和未经授权的访问提供保护。请检查该功能在您的环境下是否实用或有效。•通过中央记录服务器对更改和访问进行记录。在受保护的网络区域内运行记录服务器，并定期检查记录信息。验证说明可访问性风险 -数据损失风险请勿丢失设备的密码。只能通过将设备复位为出厂设置（这会完全删除所有组态数据）来恢复对设备的访问。•使用设备之前，请更换所有用户帐户、访问模式和应用程序（如适用）的默认密码。• 定义密码分配规则。•使用密码强度高的密码。避免使用密码强度弱的密码（如，password1、123456789、abcdefgh）或重复字符（如，abcabc）。此建议也适用于对设备组态的对称密码/密钥。•确保密码受保护且只透露给授权的人员。• 请勿对多个用户名和系统使用相同的密码。• 将密码存储在安全位置（非在线），以便在丢失时使用。•定期更改密码以tigao安全性。scalance xb-200/xc-200/xf-200ba/xp-200/xr-300wg webbased management v4.3.1配置手册, 11/2021, c79000-g8952-c360-13 27•如果已知或者疑似有未经授权的人员知道了密码，则必须更改密码。• 通过 radius执行用户验证时，请确保所有通信均在安全环境中进行或均受到安全通道的保护。• 注意在端点之间不提供自身验证的链路层协议，例如 arp 或ipv4。攻击者可利用这些协议中的漏洞来攻击连接到您的第 2 层网络的主机、交换机和路由器，例如，通过操纵子网中系统的 arp缓存或使其中毒并随后拦截数据liuliang。对于非安全第 2层协议，必须采取适当的安全措施，以防对网络进行未经授权的访问。对本地网络的物理访问可以是安全的，也可以使用更高层的协议。证书和密钥•设备带有含密钥的预装 x.509 证书。将该证书替换为自制的含密钥证书。使用由可靠外部或内部认证机构签署的证书。可通过wbm（“system > load and save”）安装证书。• 使用认证机构，包括密钥撤销与管理，来签署证书。•确保用户自定义的私人密钥都受到保护，未授权人员无法访问。• 如果存在可疑的安全违规，请立即更改所有证书和密钥。• 使用“pkcs#12”格式的具有密码保护的证书。• 使用密钥长度为 4096 位的证书。•基于服务器和客户端侧的指纹验证证书，避免“中间人”攻击。为此，请使用第二条安全传输路径。• 将设备送至 siemens进行维修之前，请使用临时的一次性证书和密钥替换当前证书和密钥，这些证书和密钥在设备返厂时会被销毁。

             1) 受限 2)不包括 dna 设备3) 仅 scalance xc-200g4) 仅 scalance xc-200geec硬件的可用性下表列出了工业以太网交换机的硬件。我们保留进行技术更改的权利。1) 设备名称中有标识符“poe”按钮的功能：2)恢复出厂默认设置3) 设置故障掩码2.3 组态限制设备的组态限制下表列出了设备基于 web 的管理和命令行接口的组态限制。1) 使用scalance xb-200 和 scalance xr-300wg 时，dhcp 池和可管理 ipv4地址数量取决于端口数量。端口的数量对应于 dhcp 池和可管理 ipv4 地址的大数量。2) 这是 ip 接口。3) 具有 y功能的设备不支持 vlan。4) 如果超出每个设备的大 mac 验证数量，则重置数值超限的端口的所有 mac验证。如果超出每个端口的大 mac 验证数量，则重置所有端口 mac 验证。5) 以下内容适用于 scalance xc-200 和scalance xp-200 产品组的设备：由于一个链路汇聚至少包含 2 个端口，因此链路汇聚的大数量取决于端口数量。具有多 8个端口的设备中多可以有 4 个链路汇聚，而具有 8 个以上端口的设备中多可以有 8 个链路汇聚。6) scalancexc-200g 产品组的设备支持 8 个队列。所有其它 xc-200 设备都支持 4 个队列。7) 对于以下设备，大帧大小（入口）为2048 字节： - 具有组合端口的设备（型号标识的后缀为“c”） - poe 型（型号标识的后缀为“poe”） 以下设备支持 10kb 巨型帧： - 所有千兆位型号（型号标识的后缀为“g”），还包括具有组合端口的型号 -所有支持以太网供电的设备（型号标识的后缀为“poe”） - scalance xc216-4c对于其它所有 xc-200设备，大帧大小为 1632 字节。8) scalance xp-200 的千兆位端口支持 10 kb的巨型帧。对于其它所有端口，大帧大小为 1632 字节。9) 可为 scalance xb-200 / xr-300wg /xc-200 / xp-200 / xf-200ba 组态的 ntp/sntp 服务器的大数。说明2.3 组态限制scalancexb-200/xc-200/xf-200ba/xp-200/xr-300wg web based managementv4.3.1配置手册, 11/2021, c79000-g8952-c360-13 2510) 为避免可能的网络干扰，在环节点（mrp环、hrp 环、冗余耦合）上多组态 35 个 vlan。请注意，这只是一个建议。组态中没有自动限制。2.4安装和操作的要求工业以太网交换机的安装和操作要求必须具有能够联网的 pg/pc，才能对工业以太网交换机进行组态。如果没有可用的dhcp 服务器，则必须使用安装了 sinec pni 的 pg/pc 来为工业以太网交换机首次分配 ip地址。对于其它组态设置，需要使用有 telnet 或 internet 浏览器的 pg/pc。

         安全/非安全协议和服务•应避免使用或禁用非安全协议或服务，例如，http、telnet 和tftp。由于历史原因，这些协议可用，但并不适用于安全应用。请慎重对设备使用非安全协议。• 检查是否有必要使用以下协议和服务：–未验证和未加密的端口– mrp、hrp– igmp 监听– lldp– syslog– radius– dhcp 选项 66/67–tftp– gmrp 和 gvrp• 以下协议具有安全备选方法：– http → https– telnet → ssh–snmpv1/v2c → snmpv3检查是否有必要使用 snmpv1/v2c。snmpv1/v2c的分类为非安全协议。使用阻止写访问的选项。设备会为您提供适合的设置选项。如果 snmp已启用，请更改团体名称。如果不需要不受限制的访问，请通过 snmp 限制访问。使用 snmpv3 的验证和加密机制。•在物理保护措施未阻止设备访问时使用安全协议。• 如果需要非安全协议和服务，请仅在受保护的网络区域内运行该设备。•将可用于外部的服务和协议限制到少。• 要使用 dcp 功能，请在调试后启用“只读”(read only) 模式。• 如果使用radius 来管理对设备的访问，需激活安全协议和服务。可用协议以下列表概要介绍了打开的协议端口。该表包括以下列：• 协议•端口网络安全相关建议scalance xb-200/xc-200/xf-200ba/xp-200/xr-300wg web basedmanagement v4.3.1配置手册, 11/2021, c79000-g8952-c360-13 29• 默认端口状态–打开端口的出厂设置为“打开”。– 关闭端口的出厂设置为“关闭”。• 可组态端口– ✓端口状态可更改。– --端口状态不可更改。•验证指定是否对通信伙伴进行验证。•加密指定传输是否已加密。可用协议的列表（通过本地网络进行本地访问）以下是所有可用协议和服务以及用于访问设备的相应端口的列表。ip地址由网络 id 和主机 id 两部分组成，因此可以创建不同的子网。根据用作网络 id 与主机 id的 ip 地址字节，可以将 ip地址归到特定的地址类别中。子网掩码可用主机 id的位创建子网。起始位代表子网地址，其余位代表子网中的主机地址。子网由子网掩码定义。子网掩码的结构与 ip地址的结构一致。如果子网掩码中的一位为“1”，则该位属于子网地址的 ip 地址中的相应位置，否则属于计算机地址。b 类网络示例：b类网络的标准子网地址是 255.255.0.0；也就是说，可用后两个字节来定义子网。如果必须定义 16 个子网，则必须将子网地址的第3 个字节设为 11110000（二进制表示）。在这种情况下，子网掩码为 255.255.240.0。要查明两个 ip地址是否属于同一个子网，将拿这两个 ip 地址与子网掩码按位进行逻辑与运算。如果两个逻辑运算的结果相同，则说明两个 ip地址属于同一子网，例如 141.120.246.210和 141.120.252.108。scalancexb-200/xc-200/xf-200ba/xp-200/xr-300wg web based managementv4.3.1配置手册, 11/2021, c79000-g8952-c360-13 33在局域网之外，网络 id 和主机 id之间的区别并不重要，在这种情况下，将根据完整的 ip地址传送数据包。说明在子网掩码的位表示中，必须按左对齐方式设置“1”，也就是说，“1”之间不能有“0”。4.2 ip地址的初始分配组态选项不能使用基于 web 的管理 (web based management, wbm) 为工业以太网交换机分配初始ip地址，因为这个组态工具只能在事先已经具有 ip 地址的情况下使用。可通过以下方法将 ip 地址分配给未组态的设备：•dhcp（出厂设置）• sinec pni (sinec primary networkinitialization)此程序用于对网络设备进行初始调试，采用 dcp 协议检测网络中的设备并分配 ip 地址。

           • step 7在 step 7中，可以组态拓扑、设备名称和 ip地址。如果将未组态的工业以太网交换机连接至控制器，控制器会自动为工业以太网交换机分配已组态的设备名称和 ip 地址。– step7scalance xb-200：v5.5.4 及更高版本scalance xp-200：v5.5.4 hf9及更高版本scalance xc-200：v5.5.4 hf11 及更高版本scalance xr-300wg：v5.6及更高版本scalance xf-200ba：v5.6 hf3 及更高版本scalance xc-200g：v5.6 hsp11及更高版本有关使用 step 7 分配 ip 地址的详细信息，请参见文档“组态硬件和通信连接 step 7”的“profinet io系统组态步骤”部分。– step 7 basic 或 professionalscalance xb-200：v13 sp1及更高版本scalance xc-200：v14 及更高版本scalance xp-200：v14 及更高版本scalancexr-300wg：v15 及更高版本scalance xf-200ba：v15 及更高版本scalance xc-200g，具有 8个端口的设备：v15 及更高版本scalance xc-200g，具有 8 个以上端口的设备：v16 及更高版本有关使用 step 7分配 ip 地址的详细信息，请参见在线帮助“信息系统”的“寻址profinet 设备”部分。• 使用 cli通过串行接口分配有关通过串行接口分配 ip 地址的更多信息，请参见相关设备的操作说明。另请参见“简介”部分中的“文档说明”一段。•ncm pc有关使用 ncm pc 分配 ip 地址的详细信息，请参见文档“调试 pc 站 - 手册及快速入门”的“创建profinet io 系统”部分。说明交付产品时以及恢复出厂设置后，dhcp 为启用状态。如果局域网中有 dhcp服务器，且能回应工业以太网交换机的 dhcp 请求，则在设备初次启动时会自动分配 ip 地址、子网掩码和网关。