KNX IP Secure - Vorbereitung
Dies sind die empfohlenen IP-bezogenen Maßnahmen, die vor dem Einrichten von IP-Secure zu treffen sind:
- Frames basierend auf MAC-Adressen filtern
- Nicht die voreingestellte KNXnet/IP Multicast-Adresse (224.0.23.12) verwenden
- Für KNX verwendete IP-Ports niemals freigeben
- Den Standardgateway für KNXnet/IP-Router auf 0 setzen
- Firewalls verwenden
- Für den Internetzugang: VPN verwenden
- Drahtlose Zugangspunkte genau überprüfen
Workflow
- Das Zertifikat hinzufügen
- Den Sicherheitsmodus einstellen
- Entsprechend konfigurieren
- Inbetriebnahme
1 Zertifikat hinzufügen
Ein Zertifikat wird als QR-Code und als 25 menschenlesbarer Zeichencode zur Verfügung gestellt. Die 25 Zeichen können verwendet werden, wenn der ETS-Computer keine Kamera an Bord hat, um den QR-Code zu scannen.
Weitere Einzelheiten zum Workflow finden Sie hier.
2 Den Sicherheitsmodus einstellen
Um den Sicherheitsmodus eines Gerätes zu aktivieren, muss dessen sogenanntes "Sichere Inbetriebnahme-Attribut in ETS gesetzt werden. An dieser Stelle ist es sehr wichtig zu wissen, ob der Sicherheitsmodus des Geräts bereits aktiviert war (z. B. wurde es vorher in einem anderen Projekt verwendet) oder nicht (d. h. es ist noch in der Box).
- Wenn sein Sicherheitsmodus nicht aktiv ist, dann ist sein Tool-Schlüssel = FDSK, d. h. sein Zertifikat eingeben/scannen
- Wenn sein Sicherheitsmodus aktiv ist, stellen Sie entweder sicher, dass Sie das ETS-Projekt verwenden, über das das Gerät zuvor in Betrieb genommen wurde, oder führen Sie einen Master-Reset durch, der seinen Tool-Schlüssel wieder auf sein FDSK zurücksetzt.
3 Entsprechend konfigurieren
- Stellen Sie die physikalische Adresse ein
- Stellen Sie die Parameter ein
- Verknüpfen Sie die Gruppenadressen
4 Inbetriebnahme
Insbesondere die Schnittstelle und die Koppler der Anlage müssen berücksichtigt werden: d. h. sowohl bei der Konfiguration als auch bei der Laufzeit ist darauf zu achten, dass die Schnittstelle und alle Koppler zwischen dieser Schnittstelle und dem Zielgerät erweiterte Frames unterstützen. Dies ist deshalb wichtig, weil ein verschlüsseltes länger ist als das normale Pendant und dies bedeutet in fast allen Fällen, dass die verschlüsselten Telegramme nicht in einen Standard-Frame passen.