模块特定的功能

该功能只适用于 V3.1 及更高版本的 SCALANCE S602。

含义

在幻象模式下，安全模块在内部接口或外部接口上都没有自己的 IP 地址。 而是由安全模块在运行期间通过安全模块内部接口所连接的节点（其 IP 地址参数在组态期间未知）获取其外部接口的 IP 地址。 可以更改内部节点的 IP 地址及外部接口处相应的 IP 地址。 由于内部节点基于其 MAC 地址进行识别，因此只针对学到的 MAC 地址更改 IP 地址。 在安全模块的内部接口未组态或获取任何 IP 地址。

至于 MAC 地址，安全模块在外部接口上的所有传出数据包（来自内部节点的响应）中，将内部节点的 MAC 地址替换为安全模块的 MAC 地址。

激活幻象模式

选择待编辑的模块。

在本地安全设置中，选择“模式”(Mode) 条目。

选择“幻象模式”(Ghost mode) 选项。

可组态的模块属性

在幻象模式下，可在本地安全设置中组态以下模块属性：

外部接口 [P1] 红色

防火墙

时钟同步

日志设置

SNMP

由于无法在幻象模式下组态 DNS 服务器，因此无法实现 FQDN 分辨率。

标识内部节点的要求

仅在内部节点发起与外部网络通信伙伴的数据通信时，安全模块才能获取内部节点的 IP 地址。
除此之外，安全模块在获取 IP 地址时不会提供任何服务器服务。 仅在数据包由内部节点发送到安全模块后，安全模块才能回复来自外部的查询。

用于传入和传出数据连接的端口分配

由于安全模块的外部接口和内部节点具有相同的 IP 地址，必须通过 TCP/UDP 端口对网络组件进行明确编址。 因此，可将端口分配给安全模块或内部节点。 下表显示了用于传入和传出数据连接的针对相关设备的端口分配：

可识别的 IP 地址和子网掩码

安全模块只识别 IP 地址处于网络类别 A、B 或 C 范围内的内部节点。子网掩码由安全模块按照相应的网络类别标识（请参见“网络类别及相应的子网掩码”表）。 必须输入用于内部节点的标准路由器，才能正确确定子网掩码。

IP 地址处于网络类别 D 和 E 范围内的节点会被安全模块拒绝。

组态限制

安全模块较多可识别一个内部节点。 如果存在多个内部节点，安全模块将做出如下反应：

如果防火墙组态适当，则安全模块在内部网络中首先识别出的设备将获准访问外部网段。

内部网络区域中任何附加节点的数据流量都会根据发送方地址在传出方向上的 2 级（MAC 层）被阻止。

调试后加载组态和诊断

从内部节点获取 IP 地址后，安全模块在外部接口的 IP 地址可以与较初为安全模块组态的 IP 地址不同。 要加载组态或运行诊断，需要在 STEP 7 中为到外部接口的连接* IP 地址（由安全模块在运行期间从内部节点获取）。 这可在本地安全设置或直接在“高级下载”(Advanced download) 或“在线连接”(Connect online) 对话框中实现。 有关建立在线连接的详细信息，请参见以下部分： 下载组态

外部接口上分层网络的路由信息

如果安全模块的外部接口具有带子网转换的分层网络，则安全模块需从内部节点中获取相关的路由信息。 为此，内部节点必须响应发送给它的 ICMP 查询。 不需要对 ICMP 广播做出响应。