Seite 1 Anwender-Handbuch Konfiguration Dualband Industrial Wireless LAN Access Point/Client BAT54-Rail, BAT54-Rail FCC, BAT54-F, BAT54-F FCC, BAT54-F X2 BAT54-F X2 FCC BAT54-Rail/F.. Technische Unterstützung Release 7.54 06/08 HAC-Support@hirschmann.de...
Seite 2 Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluß ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Hirschmann Automation and Control GmbH nach bestem Wissen erstellt. Hirschmann behält sich das Recht vor, den Inhalt dieser Druckschrift ohne Ankündigung zu ändern. Hirschmann gibt keine Garantie oder Gewähr- leistung hinsichtlich der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.
Seite 3: Inhaltsverzeichnis
Inhalt 1 Einleitung 2 System-Design 2.1 Einleitung 3 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? 3.1.1 Standardisierte Funkübertragung nach IEEE 3.1.2 Die Betriebsarten von Funk-LANs und Basis-Stationen 27 3.2 Entwicklung der WLAN-Sicherheit 3.2.1 Einige Grundbegriffe 3.2.2 WEP 3.2.3 WEPplus 3.2.4 EAP und 802.1x 3.2.5 TKIP und WPA 3.2.6 AES und 802.11i...
Seite 4 4.4.4 TFTP 4.4.5 SNMP 4.4.6 Verschlüsselte Konfiguration über SSH-Zugang 4.4.7 SSH-Authentifizierung 4.5 Abspeichern, Wiederherstellen und Erzeugen von Konfigurationsdateien 4.6 Neue Firmware mit Hirschmann FirmSafe 4.6.1 So funktioniert Hirschmann FirmSafe 4.6.2 So spielen Sie eine neue Software ein BAT54-Rail/F.. Release 7.54 06/08...
Seite 5 4.7 Wie führt man einen Gerätereset durch? 4.8 Rechteverwaltung für verschiedene Administratoren 4.8.1 Die Rechte für die Administratoren 4.8.2 Administratorenzugänge über TFTP und SNMP 4.8.3 Konfiguration der Benutzerrechte 4.8.4 Einschränkungen der Konfigurationsbefehle 4.8.5 HTTP-Tunnel 4.9 Benamte Loopback-Adressen 4.9.1 Loopback-Adressen beim ICMP Polling 4.9.2 Loopback-Adressen für Zeit-Server 4.9.3 Loopback-Adressen für SYSLOG-Clients 5 Netzwerk-Management...
Seite 6 5.7 Gruppen-Konfiguration mit LANconfig 5.7.1 Anlegen einer Gruppen-Konfiguration 5.7.2 Gerätekonfigurationen aktualisieren 5.7.3 Gruppen-Konfigurationen aktualisieren 5.7.4 Mehrere Gruppen-Konfigurationen verwenden 5.8 Rollout-Assistent 5.8.1 Allgemeine Einstellungen für den Rollout-Assistenten 214 5.8.2 Variablen 5.8.3 Vom Rollout-Assistenten auszuführende Aktionen 5.8.4 Aktionen zur Verwaltung des Rollout-Assistenten 5.9 Anzeige-Funktionen im LANmonitor 5.10 LANmonitor –...
Seite 7 6.3 Der Ping-Befehl 6.4 Monitor-Modus am Switch 6.5 Kabel-Tester 7 Sicherheit 7.1 Schutz für die Konfiguration 7.1.1 Passwortschutz 7.1.2 Die Login-Sperre 7.1.3 Einschränkung der Zugriffsrechte auf die Konfiguration254 7.2 Die Sicherheits-Checkliste 8 Firewall 8.1 Gefährdungsanalyse 8.1.1 Die Gefahren 8.1.2 Die Wege der Täter 8.1.3 Die Methoden 8.1.4 Die Opfer 8.2 Was ist eine Firewall?
Seite 8 9 Quality-of-Service 9.1 Wozu QoS? 9.2 Welche Datenpakete bevorzugen? 9.2.1 Was ist DiffServ? 9.2.2 Garantierte Mindestbandbreiten 9.2.3 Limitierte Maximalbandbreiten 9.3 Das Warteschlangenkonzept 9.3.1 Sendeseitige Warteschlangen 9.3.2 Empfangsseitige Warteschlangen 9.4 Reduzierung der Paketlänge 9.5 QoS-Parameter für Voice-over-IP-Anwendungen 9.6 QoS in Sende- oder Empfangsrichtung 9.7 QoS-Konfiguration 9.7.1 ToS- und DiffServ-Felder auswerten 9.7.2 Minimal- und Maximalbandbreiten definieren...
Seite 9 10.7 VLAN-Tags für DSL-Interfaces 10.8 VLAN Q-in-Q-Tagging 11 Routing und WAN-Verbindungen 11.1 Allgemeines 11.1.1 Brücken für Standard-Protokolle 11.1.2 Was passiert bei einer Anfrage aus dem LAN? 11.2 IP-Routing 11.2.1 Die IP-Routing-Tabelle 11.2.2 Policy-based Routing 11.2.3 Lokales Routing/ICMP-Redirect 11.2.4 Dynamisches Routing mit IP-RIP 11.2.5 SYN/ACK-Speedup 11.3 Die Konfiguration von Gegenstellen 11.3.1 Gegenstellenliste...
Seite 10 11.7 Änderung in weiteren Diensten 11.7.1 DHCP-Server 11.7.2 DHCP-Relay-Server 11.7.3 NetBIOS-Proxy 11.7.4 RIP 11.7.5 Automatische Erzeugung von VPN-Regeln 11.7.6 Firewallregeln für bestimmte lokale Netzwerke 11.7.7 Virtuelle Router 11.7.8 Defaultrouten-Filter 11.7.9 Erweitertes Port-Forwarding 11.7.10 IPX-Router 11.7.11 Zuweisung von logischen Interfaces zu Bridge-Gruppen 11.7.12 Remote-Bridge 11.7.13 PPPoE-Server 11.8 Load-Balancing...
Seite 11 11.14 Serielle Schnittstelle 11.14.1 Einleitung 11.14.2 Systemvoraussetzungen 11.14.3 Installation 11.14.4 Einstellen der seriellen Schnittstelle auf Modem-Betrieb 11.14.5 Konfiguration der Modem-Parameter 11.14.6 Direkte Eingabe von AT-Befehlen 11.14.7 Statistik 11.14.8 Trace-Ausgaben 11.14.9 Konfiguration von Gegenstellen für V.24-WAN-Schnitt- stellen 11.14.10 Konfiguration einer Backup-Verbindung auf der seriel- len Schnittstelle 11.14.11 Kontaktbelegung des BAT Modem Adapter Kits 11.15 Manuelle Definition der MTU...
Seite 12 12.5 Das SYSLOG-Modul 12.5.1 Einrichten des SYSLOG-Moduls 12.5.2 Beispielkonfiguration mit LANconfig 12.6 Zeit-Server für das lokale Netz 12.6.1 Konfiguration des Zeit-Servers unter LANconfig 12.6.2 Konfiguration des Zeit-Servers mit WEBconfig oder Telnet 12.6.3 Konfiguration der NTP-Clients 12.7 Scheduled Events 12.7.1 Zeitautomatik für LCOS-Befehle 12.7.2 CRON-Jobs mit Zeitverzögerung 12.7.3 Konfiguration der Zeitautomatik 12.8 PPPoE-Server...
Seite 13 Verwendung 13.4 Unterstützte RFCs 13.5 Glossar 14 Index BAT54-Rail/F.. Release 7.54 06/08...
Seite 14 BAT54-Rail/F.. Release 7.54 06/08...
Seite 15: Einleitung
Einleitung 1 Einleitung Anwender-Handbuch Installation und Anwender-Handbuch Konfiguration Die Dokumentation Ihres Gerätes besteht aus zwei Teilen: Dem Anwender- Handbuch Installation und dem Anwender-Handbuch Konfiguration. In den jeweiligen Benutzerhandbüchern der BAT-Geräte wird die Hard- ware dokumentiert. Neben der Beschreibung des speziellen Funktions- umfangs der verschiedenen Modelle finden Sie in den Benutzerhandbüchern Informationen über die Schnittstellen und Anzei- geelemente der Geräte sowie Anleitungen zur grundlegenden Konfigura-...
Seite 16: Lcos, Das Betriebssystem Der Bat-Geräte
’LCOS’ bezeichnet das geräteunabhängige Betriebssystem ’BAT’ steht als Oberbegriff für alle BAT-Router und BAT Router Access Points ’Hirschmann’ steht als Kurzform für den Hersteller, die Hirschmann Auto- mation and Control GmbH Gültigkeit Das vorliegende Anwender-Handbuch Konfiguration gilt für alle BAT-Router und BAT Router Access Points mit einem Firmwarestand Version 7.54 oder...
Seite 17 … haben mehrere Mitarbeiter/innen aus verschiedenen Teilen des Unter- nehmens mitgewirkt, um Ihnen die bestmögliche Unterstützung bei der Nut- zung Ihres Hirschmann-Produktes anzubieten. Sollten Sie einen Fehler finden, oder einfach nur Kritik oder Anregung zu die- ser Dokumentation äußern wollen, senden Sie bitte eine E-Mail direkt an: info@hirschmann.com.
Seite 18 Einleitung BAT54-Rail/F.. Release 7.54 06/08...
Seite 19: System-Design
System-Design 2.1 Einleitung 2 System-Design 2.1 Einleitung Das BAT-Betriebssystem LCOS ist aus einer Vielzahl von verschiedenen Software-Modulen aufgebaut, die BAT-Geräte selbst verfügen über unter- schiedliche Schnittstellen (Interfaces) zum WAN und zum LAN hin. Je nach Anwendung laufen die Daten auf dem Weg von einem Interface zum ande- ren über verschiedene Module.
Seite 20 System-Design 2.1 Einleitung Der IP-Router sorgt für das Routing der Daten auf IP-Verbindungen zwi- schen den Interfaces aus LAN und WAN. Beim IP-Redirect werden Anfragen an ausgewählte Dienste im LAN ge- zielt auf bestimmte Rechner umgeleitet. Die Firewall (mit den Diensten “Intrusion Detection”, “Denial of Service” und “Quality of Service”) umschließt den IP-Router wie eine Hülle.
Seite 21 System-Design 2.1 Einleitung Die VPN-Dienste (inklusive PPTP) erlauben das Verschlüsseln der Daten im Internet und damit den Aufbau von virtuellen privaten Netzwerken über öffentliche Datenverbindungen. Mit DSL, ADSL und ISDN stehen je nach Modell verschiedene WAN-In- terfaces zur Verfügung. Das DSLoL-Interface (DSL over LAN) ist kein physikalisches WAN-Inter- face, sondern eher eine “virtuelle WAN-Schnittstelle”.
Seite 22 System-Design 2.1 Einleitung BAT54-Rail/F.. Release 7.54 06/08...
Seite 23: Wireless Lan (Wlan)
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? 3 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Hinweis: Die folgenden Abschnitte beschreiben allgemein die Funktionalität des LCOS-Betriebssystems im Zusammenhang mit Funknetzwerken. Welche Funktionen von Ihrem Gerät unterstützt werden, entnehmen Sie bitte dem Handbuch zum jeweiligen Gerät.
Seite 24: Ieee 802.11A: 54 Mbit/S
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? IEEE 802.11b mit bis zu 11 MBit/s Übertragungsrate im 2,4 GHz Fre- quenzband. IEEE 802.11g mit bis zu 54 MBit/s Übertragungsrate im 2,4 GHz Fre- quenzband, bis zu 108 MBit/s mit Turbo-Modus (Ergänzung zum Stan- dard).
Seite 25: Ieee 802.11G: 54 Mbit/S
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? der Verbindungsqualität sinkt die Übertragungsgeschwindigkeit auf 5,5 MBit/ s, danach auf 2 und schließlich auf 1 MBit/s. Die Reichweite der Übertragung beträgt im Freien bis zu 150 m, in Gebäuden typischerweise bis zu 30 m. IEEE 802.11b ist wegen der unterschiedlichen Frequenzbänder nicht kom- patibel zu IEEE 802.11a.
Seite 26: Übertragungsraten
(Netzwerkadapter und Basis-Stationen) erreicht werden. Für weitere Reichweitengewinne empfiehlt sich der Einsatz zusätzlicher Antennen. IEEE-Standards Um ein Höchstmaß an Kompatibilität zu garantieren, hält sich Hirschmann an die Industriestandards der IEEE , die im vorhergehenden Absatz beschrie- ben wurden. Ihre BAT Basis-Station arbeitet daher problemlos und zuverläs- sig auch mit Geräten anderer Hersteller zusammen.
Seite 27: Übertragungsraten Im Kompatibilitätsmodus
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Der Betrieb der integrierten Funkkarte Ihrer Basis-Station ist jeweils nur in ei- nem Frequenzband, also entweder 2,4 GHz oder 5 GHz möglich. Der gleich- zeitige Betrieb von IEEE 802.11g und IEEE 802.11a ist nicht möglich. Da IEEE 802.11g abwärtskompatibel zu IEEE 802.11b ist, ist der gleichzeitige Betrieb dieser beiden Standards mit Geschwindigkeitseinbußen möglich.
Seite 28: Der Ad-Hoc-Modus
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Relaisfunktion zur Verbindung von Netzwerken über mehrere Access Points (Relais-Modus) Zentrale Verwaltung durch einen WLAN Controller (Managed-Modus) Der Ad-hoc-Modus Wenn zwei oder mehr Endgeräte mit kompatiblen Funk-Schnittstellen ausge- rüstet sind, so können beide direkt miteinander über Funk kommunizieren. Diese einfachste Anwendung nennt sich Ad-hoc-Modus.
Seite 29 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Anschluss an ein bestehendes LAN Ein Infrastruktur-Netzwerk eignet sich hervorragend als Ergänzung zu beste- henden LANs. Bei der Erweiterung eines LANs in Bereichen, in denen eine Verkabelung nicht möglich oder unwirtschaftlich ist, stellt das Infrastruktur- Netzwerk die ideale Lösung dar.
Seite 30: Basis-Station Als Router
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Mobilstation verlässt … wechselt in Funkzelle A und … Funkzelle B. Funkzelle B Funkzelle A Rechner drahtgebundene Netzwerkinstallation Im Beispiel ermöglicht die Roaming-Funktion der Mobilstation den Zugriff auf den Rechner in Funkzelle A auch nach ihrem Wechsel in Funkzelle B. Nach dem Funkzellenwechsel leitet die Basis-Station in Funkzelle B die Daten der Mobilstation über LAN an die Basis-Station in Funkzelle A weiter.
Seite 31 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Adresse. Die tatsächlichen Identitäten (IP-Adressen) der einzelnen Statio- nen bleiben verborgen. Firewall-Filter im Router erlauben die gezielte Sper- rung von IP-Adressen, Protokollen und Ports. Mit MAC-Adressfiltern kann auch der Zugriff von Arbeitsstationen im LAN auf die IP-Routing-Funktion des Gerätes gezielt kontrolliert werden.
Seite 32: Funk-Brücke Zwischen Zwei Ethernet-Segmenten
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Funk-Brücke zwischen zwei Ethernet-Segmenten Mit zwei Basis-Stationen können zwei LANs über Funk verbunden werden (Point-to-Point Modus). In diesem sogenannten Bridge-Modus werden auto- matisch alle Daten in das entfernte Netzwerk übertragen. Durch den Einsatz von Richtfunkantennen lassen sich auch größere Distan- zen sicher überbrücken.
Seite 33: Basis-Station Im Client-Modus
Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Basis-Station im Client-Modus Zur Anbindung von einzelnen Geräten mit einer Ethernet-Schnittstelle in ein Funk-LAN können BAT Basis-Stationen in den sogenannten Client-Modus versetzt werden, in dem sie sich wie ein herkömmlicher Funk-LAN-Adapter verhalten und nicht wie eine Basis Station. Über den Client-Modus ist es also möglich, auch Geräte wie PCs oder Drucker, die ausschließlich über eine Ethernet-Schnittstelle verfügen, in ein Funk-LAN einzubinden.
Seite 34 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? SSID='FUNKNETZ' In manchen Anwendungen ist es jedoch erwünscht, die Clients im Funknetz- werk in bestimmte Gruppen zu unterteilen, die auch mit speziellen Einstellun- gen vom Access Point behandelt werden. So kann es z.B. erforderlich sein, ein öffentlich zugängliches Funknetz ohne jegliche Verschlüsselung zu be- trieben, gleichzeitig aber auch ein geschütztes, 802.11i-, WPA- oder WEP- verschlüsseltes Funknetz im geschlossenen Modus zu betreiben.
Seite 35 Wireless LAN (WLAN) 3.1 Was ist ein WLAN? Managed-Modus Der weit verbreitete Einsatz von Wireless Access Points und Wireless Rou- tern hat zu einem deutlich komfortableren und flexibleren Zugang zu Netz- werken in Firmen, Universitäten und anderen Organisationen geführt. Mit einem zentralen WLAN-Management wird die Konfiguration der Access Points im Managed-Modus nicht mehr in den Geräten selbst vorgenommen, sondern in einer zentralen Instanz, dem WLAN-Controller.
Seite 36: Entwicklung Der Wlan-Sicherheit
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit 3.2 Entwicklung der WLAN- Sicherheit Die WLAN-Standards WPA und 802.11i sind dabei, den in der Vergangen- heit angegriffenen Ruf von WLANs bezüglich der Sicherheit wieder herzu- stellen. Die im originalen Standard vorgesehenen Verfahren haben sich in der Praxis als unzureichend erwiesen.
Seite 37: Authentizität
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Authentizität Authentizität: Nachweis der Urheberschaft von Daten und der Echtheit des Datenmaterials; die Durchführung eines solchen Nachweises bezeichnet man als Authentifizierung Integrität Ist der Zugang einmal gewährt, so möchte man sicherstellen, dass Datenpa- kete den Empfänger unverfälscht erreichen, d.h.
Seite 38: Wep
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Der Sender verfügt über ein asymmetrisches Schlüsselpaar. Den öffent- lichen Teil dieses Schlüsselpaares, also den Schlüssel zum Verschlüs- seln, überträgt er an den Empfänger, z.B. in Form eines Zertifikats. Da dieser Teil des Schlüsselpaares nicht zum Entschlüsseln genutzt werden kann, gibt es hier keine Bedenken bzgl.
Seite 39 Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit WEP ist ein symmetrisches Verschlüsselungsverfahren und benutzt als Ba- sistechnologie zur Verschlüsselung den RC4-Algorithmus, ein in anderen Bereichen bereits bekanntes und durchaus als sicher eingestuftes Verfah- ren. RC4 benutzt einen zwischen 8 und 2048 Bit langen Schlüssel, aus dem nach einem festgelegten Verfahren eine pseudo-zufällige Folge von Bytes erzeugt wird.
Seite 40: Wepplus
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit deten Schlüssel gezogen werden können, muss ein Mithörer nur einen sehr kleinen Teil des Datenverkehrs mit spezialisierte Sniffer-Tools auswerten, um die Schlüssel knacken zu können. Diese Schwachstellen degradierten WEP leider zu einem Verschlüsselungsverfahren, das bestenfalls zum Schutz eines Heimnetzwerkes gegen 'zufällige Lauscher' taugt.
Seite 41 Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Client Access Point RADIUS-Server WLAN-Anmeldung EAP/802.1x-Verhandlung Mitteilung Master Secret Sitzungsschlüssel normaler Datenverkehr neuer Sitzungsschlüssel weiterer normaler Datenverkehr Abbildung 2: Schematischer Ablauf einer WLAN-Sitzung mit EAP/802.1x In der ersten Phase meldet sich der Client wie gewohnt beim Access Point an und erreicht einen Zustand, in dem er bei normalem WEP oder WEPplus jetzt über den Access Point Daten senden und empfangen könnte –...
Seite 42 Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Der Access Point dient dabei sozusagen als 'Mittelsmann' zwischen Client und Server: er muss den Inhalt dieser Pakete nicht prüfen, er stellt lediglich sicher, dass kein anderer Datenverkehr von oder zu dem Client erfolgen kann.
Seite 43: Tkip Und Wpa
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit 3.2.5 TKIP und WPA Wie in den letzten Abschnitten klar geworden ist, ist der WEP-Algorithmus prinzipiell fehlerhaft und unsicher; die bisherigen Maßnahmen waren im we- sentlichen entweder 'Schnellschüsse' mit nur geringen Verbesserungen oder so kompliziert, dass sie für den Heimbenutzer oder kleine Installationen schlicht unpraktikabel sind.
Seite 44: Der Key-Handshake
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Der Michael-Hash stell jedoch keine besonders hohe kryptographische Hür- de dar: kann der Angreifer den TKIP-Schlüssel brechen oder verschlüsselte Pakete durch Modifikationen ähnlich wie bei WEP an der CRC-Prüfung vor- beischleusen, bleiben nicht mehr allzuviele Hürden zu überwinden. WPA de- finiert aus diesem Grund Gegenmaßnahmen, wenn eine WLAN-Karte mehr als zwei Michael-Fehler pro Minute erkennt: sowohl Client als auch Access Point brechen dann für eine Minute den Datentransfer ab und handeln da-...
Seite 45: Verhandlung Des Verschlüsselungsverfahrens
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Anwender sowohl auf dem Access Point als auch auf allen Stationen eine zwischen 8 und 32 Zeichen lange Passphrase eingeben, aus der zusammen mit der verwendeten SSID das Master-Secret über ein Hash-Verfahren be- rechnet wird.
Seite 46: Aes Und 802.11I
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit 3.2.6 AES und 802.11i Mitte 2004 wurde der lang erwartete Standard 802.11i vom IEEE verabschie- det, der das ganze Sicherheitskonzept von WLAN auf eine neue Basis stellt. Wie im vorigen Abschnitt erwähnt, hat WPA bereits eine ganze Reihe von Konzepten in 802.11i vorweggenommen –...
Seite 47: Prä-Authentifizierung Und Pmk-Caching
Wireless LAN (WLAN) 3.2 Entwicklung der WLAN-Sicherheit Prä-Authentifizierung und PMK-Caching 802.11i soll den Einsatz von WLAN auch für Sprachverbindungen (VoIP) in Unternehmensnetzen erlauben. Vor allem in Zusammenhang mit WLAN-ba- sierten schnurlosen Telefonen kommt einem schnellen Roaming, d.h. dem Wechsel zwischen Access Points ohne längere Unterbrechungen, eine be- sondere Bedeutung zu.
Seite 48: Fazit
Benutzergruppen angepasste Netze mit verschiedenen Sicherheitsstu- fen anzubieten. VLAN-Tagging ist ab LCOS Version 3.32 verfügbar. Multi-SSID ist ab LCOS 3.42 verfügbar. Hirschmann bietet ab der LCOS Version 3.50 das PSK-Verfahren an. 802.1x wird ab der LCOS-Version 3.52 unterstützt. 3.3 Absicherung des Funknetzwerks Ein drahtloses LAN verwendet –...
Seite 49 Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks Aktivieren Sie die „Closed-Network-Funktion“. Damit werden alle WLAN- Clients ausgeschlossen, die mit der allgemeinen SSID „Any“ einen Ver- bindungsaufbau versuchen und die nicht die eingestellten SSIDs kennen. (’Netzwerkeinstellungen’ → Seite 84) Verwenden Sie nicht die Standard-SSID Ihres Access Points. Wählen Sie als SSID nur solche Namen, die nicht direkt erraten werden können.
Seite 50: Leps - Bat Enhanced Passphrase Security
Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks 3.3.1 LEPS – BAT Enhanced Passphrase Security LEPS behebt die Unsicherheit von globalen Passphrases Mit den modernen Verschlüsselungsverfahren WPA und IEEE 802.11i kann der Datenverkehr im WLAN deutlich besser als mit WEP gegen unerwünsch- te „Lauschangriffe“...
Seite 51 Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks LEPS kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Ände- rung stattfinden muss. Da LEPS ausschließlich im Access Point konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.
Seite 52: Standard-Wep-Verschlüsselung
Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Zu- gangs-Liste für das Funknetzwerk auf folgenden Pfaden: Konfigurationstool Gerätetyp Menü/Tabelle WEBconfig BAT Wireless Router Experten-Konfiguration Setup WLAN Zugangs-Liste BAT Access Point WEBconfig WLAN Controller Experten-Konfiguration...
Seite 53: Background Wlan Scanning
„L00A0570FB9BF“. Dieser Schlüssel wird in den 'Einzel-WEP-Einstellungen' des Gerätes für jedes logische WLAN-Netzwerk als 'Schlüssel 1' eingetragen. Um mit einer WLAN-Karte eine Verbindung zu einem neuen Hirschmann Ac- cess Point herzustellen, muss in der WLAN-Karte die WEP128-Verschlüsse- lung aktiviert und der 13-stellige Standard-WEP-Schlüssel eingetragen werden.
Seite 54: Schnelles Roaming Von Wlan-Clients
Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks Rogue AP Detection Als Rogue bezeichnet man solche WLAN-Geräte, die unerlaubt versuchen, als Access Point oder Client Teilnehmer in einem WLAN zu werden. Rogue APs sind solche Access Points, die z.B. von den Mitarbeitern einer Firma ohne Kenntnis und Erlaubnis der System-Administratoren an das Netzwerk angeschlossen werden und so über ungesicherte WLAN-Zugänge bewusst oder unbewusst Tür und Tor für potentielle Angreifer öffnen.
Seite 55: Auswertung Des Background-Scans
Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks Auswertung des Background-Scans Die Informationen über die gefundenen Access Points können in der Statistik des BAT Wireless Router eingesehen werden. Sehr komfortabel stellt der WLANmonitor die Scan-Ergebnisse dar und bietet darüber hinaus zusätzli- che Funktionen wie das Gruppieren der Access Points oder die automati- sche Benachrichtigung per E-Mail beim Auftauchen neuer WLAN-Geräte.
Seite 56 Wireless LAN (WLAN) 3.3 Absicherung des Funknetzwerks Background-Scan-Intervall [Default: 0 Sekunden] Wird hier ein Wert angegeben, so sucht der BAT Wireless Router inner- halb dieses Intervalls zyklisch die aktuell ungenutzten Frequenzen des aktiven Bandes nach erreichbaren Access Points ab. Für BAT Wireless Router im Access-Point-Modus wird die Back- ground-Scan-Funktion üblicherweise zur Rogue AP Detection einge- setzt.
Seite 57: Konfiguration Der Wlan-Parameter
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter 3.4 Konfiguration der WLAN- Parameter Die Einstellungen für die Funknetzwerke können an verschiedenen Stellen in der Konfiguration vorgenommen werden: Manche Parameter betreffen die physikalische WLAN-Schnittstelle. Eini- ge BAT-Modelle verfügen über eine WLAN-Schnittstelle, andere Modelle haben die Möglichkeit, auch eine zweite WLAN-Karte zu verwenden.
Seite 58 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Datenverkehr nicht zulassen zwischen Stationen, die bei diesem Access Point angemeldet sind: In diesem Fall können die WLAN-Clients nur mit den mobilen Stationen in anderen erreichbaren Funknetzwerken kommu- nizieren, nicht jedoch mit den Stationen im eigenen WLAN. Datenverkehr nicht zulassen: Mit der letzen Variante schließen Sie die Kommunikation der WLAN-Clients untereinander völlig aus.
Seite 59: Access Control List
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die allgemeinen WLAN-Zugriffsein- stellungen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup WLAN Inter-Stations-Verkehr, Ueberwachen- Stationen bzw. IAAP-Protokoll (für Roaming) Terminal/Telnet cd /Setup/WLAN/Inter-Stations-Verkehr, Uebewachen-Stationen bzw. IAAP-Protokoll (für Roaming) Access Control List Mit der Access Control List (ACL) gewähren oder untersagen Sie einzelnen...
Seite 60: Verschlüsselungs-Einstellungen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Name Name für den WLAN-Client für eine leichtere Zuordnung, z.B. zu den Mit- arbeitern. Passphrase Passphrase für den WLAN-Client in Netzwerken mit 802.11i/WPA/AES- PSK. Mögliche Werte: 8 bis 63 ASCII-Zeichen. TX Bandbreitenbegrenzung Erlaubte Bandbreite für den WLAN-Client. Siehe auch ’Bandbreitenbe- grenzung im WLAN’...
Seite 61 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Der IEEE-Standard 802.11i/WPA steht für die höchste Sicherheit, die der- zeit für WLAN-Verbindungen erreicht werden kann. Dieser Standard setzt u.a auf ein neues Verschlüsselungsverfahren (AES-CCM) und erreicht im Zusammenspiel mit einigen anderen Methoden eine Sicherheit, die bis- her nur von VPN-Verbindungen erzielt werden konnte.
Seite 62 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter 802.11i (WPA)-802.1x – Wenn die die Authentifizierung über einen RADI- US-Server erfolgt, wählen Sie die Option '802.11i (WPA)-802.1x'. Achten Sie bei dieser Einstellung darauf, auch den RADIUS-Server bei den 802.1x-Einstellungen zu konfigurieren. WEP 152, WEP 128, WEP 64 – Verschlüsselung nach dem WEP-Stan- dard mit Schlüssellängen von 128, 104 bzw.
Seite 63 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Authentifizierung Wenn als Verschlüsselungsmethode eine WEP-Verschlüsselung eingestellt wurde, stehen zwei verschiedene Verfahren für die Authentifizierung der WLAN-Clients zur Verfügung: Beim 'OpenSystem'-Verfahren wird komplett auf eine Authentifizierung verzichtet. Die Datenpakete müssen von Beginn an richtig verschlüsselt übertragen werden, um von der Basisstation akzeptiert zu werden.
Seite 64 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die einzelnen Verschlüsselungs- Einstellungen der logischen WLAN-Netzwerke auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Schnittstellen WLAN-Schnittstellen Ver- schluesselungs-Einstellungen Terminal/Telnet cd /Setup/Schnittstellen/WLAN-Schnittstellen/ Verschluesselungs-Einstellungen WEP-Gruppen-Schlüssel Mit Wired Equivalent Privacy (WEP) steht ein Verfahren zur effektiven Ver-...
Seite 65 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Hinweis: Wenn bei der Verwendung von 802.1x/EAP die 'dynamische Schlüssel-Erzeugung und -Übertragung' aktiviert ist, werden die Grup- pen-Schlüssel von 802.1x/EAP verwendet und stehen damit für die WEP- Verschlüsselung nicht mehr zur Verfügung. Die Regeln für die Eingabe der Schlüssel finden Sie bei der Beschreibung der WEP-Gruppenschlüssel ’Regeln für die Eingabe von WEP-Schlüsseln’...
Seite 66: Regeln Für Die Eingabe Von Wep-Schlüsseln
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Regeln für die Eingabe von WEP-Schlüsseln Die WEP-Schlüssel können als ASCII-Zeichen oder in hexadezimaler Dar- stellung eingetragen werden. Die hexadezimale Darstellung beginnt jeweils mit den Zeichen '0x'. Die Schlüssel haben je nach WEP-Verfahren folgende Länge: Verfahren ASCII...
Seite 67: Arp-Behandlung
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Neben der Ländereinstellung finden sich in dieser Gruppe zwei weitere Pa- rameter: ARP-Behandlung Mobile Stationen im Funknetz, die sich im Stromsparmodus befinden, be- antworten die ARP-Anfragen anderer Netzteilnehmer nicht oder nur un- zuverlässig. Mit dem Aktivieren der 'ARP-Behandlung' übernimmt der Access Point diese Aufgabe und beantwortet die ARP Anfragen an Stelle der Stationen im Stromsparmodus.
Seite 68: Wlan-Routing (Isolierter Modus)
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter 3.4.3 WLAN-Routing (Isolierter Modus) In der Standardeinstellung wird der Datenverkehr zwischen LAN und WLAN „gebrückt“, also transparent übertragen. Dabei verläuft der Datenverkehr zwischen dem drahtgebundenen und den drahtlosen Netzwerk nicht über den IP-Router. Damit stehen auch die im IP-Router integrierten Funktionen Firewall und Quality-of-Service nicht für den Datenverkehr zwischen WLAN und LAN zur Verfügung.
Seite 69: Die Physikalischen Wlan-Schnittstellen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter 3.4.4 Die physikalischen WLAN-Schnittstellen Einstellung der WLAN-Karte Neben den Parametern für alle WLAN-Karten gemeinsam gelten eine Reihe von Einstellungen für jede WLAN-Karte des Access Points speziell. Konfiguration mit LANconfig Bei der Konfiguration mit LANconfig finden Sie die Einstellung der WLAN- Karte im Konfigurationsbereich 'Wireless-LAN' auf der Registerkarte 'Allge- mein'.
Seite 70: Radio-Einstellungen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Als Managed-Access Point sucht das Gerät einen zentralen WLAN- Controller, von dem es eine Konfiguration beziehen kann. Wählen Sie die Betriebsart auf der Registerkarte 'Betrieb'. Wenn das WLAN- Interface nicht benötigt wird, kann es vollständig deaktiviert werden. Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Einstellung der Betriebsart der physikalischen WLAN-Interfaces auf folgenden Pfaden:...
Seite 71 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter baren Kanälen einen zufälligen Kanal aus und prüft, ob auf diesem Kanal ein Radarsignal gefunden wird und ob auf diesem Kanal schon ein ande- res Wireless LAN arbeitet. Dieser Scan-Vorgang wird solange wieder- holt, bis ein radarfreier Kanal mit möglichst wenig anderen Netzwerken gefunden wurde.
Seite 72 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Hinweis: Damit der 60-Sekunden-Scanvorgang nicht zur unpassenden Zeit ausgelöst wird, können Sie unter WEBconfig oder Telnet im Menü /Set- up/Schnittstellen/WLAN/Radio-Einstellungen die gewünschten Zeit- punkte für den Scanvorgang einstellen, zu denen das Löschen der Datenbank erzwungen wird.
Seite 73 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Hirschmann bietet mit LCOS 7.30 (für die aktuellen Wireless Router und Access Points) sowie 7.52 (für BAT Wireless L-310agn und BAT Wireless L- 305agn) Firmware-Versionen an, die DFS 2 unterstützen. Dabei werden in der Firmware andere Schwellwerte für die Radar-Muster-Erkennung definiert...
Seite 74 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Diversity-Einstellungen Die Diversity-Einstellungen legen fest, welche Antennen zum Senden bzw. zum Empfangen verwendet werden: 'Nur auf der primären Antenne senden' (Rx-Diversity): In dieser Standard- einstellung wird über die am Main-Anschluss des Access Points ange- schlossene Antenne gesendet.
Seite 75 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Im Gegensatz dazu reduziert der Eintrag im Feld 'Sendeleistungs-Reduk- tion' die Leistung immer statisch um den dort eingetragenen Wert, ohne Berücksichtigung der anderen Parameter. Siehe dazu auch ’Geometri- sche Auslegung von Outdoor-Funknetz-Strecken’ → Seite 114. Hinweis: Durch die Sendeleistungsreduktion wird nur die abgestrahlte Lei- stung reduziert.
Seite 76: Punkt-Zu-Punkt-Verbindungen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Punkt-zu-Punkt-Verbindungen Access Points können nicht nur mit mobilen Clients kommunizieren, sie kön- nen auch Daten von einer Basisstation zur anderen übertragen. Auf der Re- gisterkarte 'Punkt-zu-Punkt' bei den Einstellungen für die physikalischen Interfaces legen Sie fest, ob auch der Datenaustausch mit anderen Access Points erlaubt sein soll.
Seite 77 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Client-Modus Wenn das BAT Router-Gerät als Client betrieben wird, können auf der Regi- sterkarte 'Client-Modus' bei den Einstellungen für die physikalischen Inter- faces noch weitere Einstellungen bzgl. des Verhaltens als Client vorgenommen werden. Netzwerktypen Mit der Auswahl der 'Netzwerktypen' wird festgelegt, ob sich die Station nur an Infrastruktur- oder auch in Adhoc-Netzwerken anmelden darf.
Seite 78: Adress-Anpassung
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Adress-Anpassung Im Client-Modus ersetzt die Clientstation üblicherweise die MAC-Adressen in den Datenpaketen der an ihr angeschlossenen Geräte durch die eigene MAC-Adresse. Der Access-Point auf der anderen Seite der Verbindung „sieht“ also immer nur die MAC-Adresse der Clientstation, nicht jedoch die MAC-Adresse der oder des angeschlossenen Rechners.
Seite 79 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Quelle: MAC-Adresse von Station 1 und Client- station Station 1 Ziel: MAC-Adresse von Access Point und Server MAC-Adresse von Station 1 Quelle: MAC-Adresse MAC-Adresse von Station 2 und Client- von Station 2 station Clientstation Server Access Point...
Seite 80: Authentifizierung Nach Eap/802.1X Für Bat Wireless Router Im Client-Modus
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Authentifizierung nach EAP/802.1X für BAT Wireless Router im Client-Modus BAT Wireless Router in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen Access Point authentifizieren. Zur Aktivie- rung der EAP/802.1X-Authentifizierung im Client-Modus wird bei den Ver- schlüsselungsmethoden für das erste logische WLAN-Netzwerk die Client- EAP-Methode ausgewählt.
Seite 81: Indoor-Funktion Für Wlan-Kanäle
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Hinweis: Beachten Sie neben der Einstellung der Client-EAP-Methode auch die entsprechende Einstellung der Betriebsart als WLAN-Client! Bei anderen logischen WLAN-Netzwerken als WLAN-1 ist die Einstellung der Client-EAP-Methode ohne Funktion. Indoor-Funktion für WLAN-Kanäle Mit der Auswahl des Frequenzbandes (2,4 oder 5 GHz) legen Sie u.a. die möglichen Kanäle fest, die für die Übertragung verwendet werden dürfen.
Seite 82: D Im 2,4 Ghz-Band Werden In Frankreich Zusätzlich Die Kanäle 8 Bis
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Gleichzeitig wird die DFS-Funktion ausgeschaltet, die Zwangsunter- brechung nach 24 Stunden entfällt. Durch diese Einschränkung wird das Risiko von Unterbrechungen durch falsche Radarerkennungen reduziert. Im 2,4 GHz-Band werden in Frankreich zusätzlich die Kanäle 8 bis 13 freigegeben, die dort nur im Indoor-Betrieb erlaubt sind.
Seite 83: Die Logischen Wlan-Schnittstellen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Link-LED-Funktion [Default: Verbindungsanzahl] Verbindungsanzahl: In dieser Betriebsart zeigt die LED mit einem „inversen Blitzen“ die Anzahl der WLAN-Clients an, die bei dem Access Point als Client eingebucht sind. Nach der Anzahl der Blitzer für jeden Client erfolgt eine kurze Pause.
Seite 84: Netzwerkeinstellungen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Netzwerkeinstellungen Aktivieren Mit dem Schalter 'WLAN-Netzwerk aktiviert' kann das logische WLAN sepa- rat ein- oder ausgeschaltet werden. SSID einstellen Stellen Sie für jedes benötigte logische Funknetzwerk auf der Registerkarte 'Netzwerk' bei den Einstellungen für die logischen Interfaces eine eindeutige SSID (den Netzwerknamen) ein.
Seite 85 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Closed-Network-Modus Sie können Ihr Funk-LAN entweder in einem öffentlichen oder in einem pri- vaten Modus betreiben. Ein Funk-LAN im öffentlichen Modus kann von Mo- bilstationen in der Umgebung ohne weiteres kontaktiert werden. Durch Aktivieren der Closed-Network-Funktion versetzen Sie Ihr Funk-LAN in einen privaten Modus.
Seite 86: Einstellungen Für Die Übertragung
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Client-Bridge-Unterstützung Aktivieren Sie diese Option für einen Access Point, wenn Sie im WLAN-Cli- ent-Modus für eine Clientstation die Client-Bridge-Unterstützung aktiviert ha- ben (’Client-Bridge-Unterstützung’ → Seite 78). Hinweis: Der Client-Bridge-Modus kann ausschließlich zwischen zwei BAT- Geräten verwendet werden.
Seite 87 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Minimale und maximale Geschwindigkeit Der Access Point handelt mit den angeschlossenen WLAN-Clients die Ge- schwindigkeit für die Datenübertragung normalerweise fortlaufend dyna- misch aus. Dabei passt der Access Point die Übertragungsgeschwindigkeit an die Empfangslage aus. Alternativ können Sie hier die minimalen und ma- ximalen Übertragungsgeschwindigkeiten fest vorgeben, wenn Sie die dyna- mische Geschwindigkeitsanpassung verhindern wollen.
Seite 88: Zusätzliche Wlan-Funktionen
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter ³ vor der eigentlichen Übertragung ein RTS-Paket an ·, das Dazu schickt · · mit einem CTS beantwortet. Das von ausgestrahle CTS ist jetzt aber in „Hörweite“ von », so dass » · mit seinem Paket an warten kann.
Seite 89 Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Konfiguration mit LANconfig Bei der Konfiguration mit LANconfig finden Sie die IEEE-802.1x-Einstellun- gen im Konfigurationsbereich 'Wireless-LAN' auf der Registerkarte '802.1X'. Entscheiden Sie hier ob Sie IEEE-802.1x aktivieren möchten. Bei aktiviertem IEEE-802.1x ist es zwingend erforderlich, einen RADIUS-Server für die IEEE-802.1x Authentifizierung anzugeben.
Seite 90: Die Beaconing-Tabelle
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter Die Beaconing-Tabelle Die Einstellungen in der Beaconing-Tabelle beeinflussen, wie die im AP-Mo- dus vom Access Point ausgestrahlten Beacons (Leuchtfeuer) versendet wer- den. Teilweise kann damit das Roaming-Verhalten von Clients beeinflusst werden, teilweise dient dies der Optimierung des MultiSSID-Betriebes für äl- tere WLAN-Clients.
Seite 91: Die Übertragungs-Tabelle
Wireless LAN (WLAN) 3.4 Konfiguration der WLAN-Parameter ode aufgeteilt. Zum Start bei 0 Kµs wird nur WLAN-1 verschickt, nach 33,3 Kµs kommt WLAN-2, nach 66,6 Kµs WLAN-3 – mit Beginn einer neuen Beacon-Periode startet der Versand wieder mit WLAN-1. einfach-Burst: In diesem Modus verschickt der Access Point die Bea- cons für die definierten WLAN-Netze immer in der gleichen Abfolge.
Seite 92: Erweiterte Wlan-Protokoll-Filter
Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Die Gesamtzahl der Versuche ist also (Soft-Retries + 1) * Hard-Retries. Der Vorteil von Soft-Retries auf Kosten von Hard-Retries ist, dass auf- grund des Raten-Adaptionalgorithmus die nächste Serie von Hard- Retries direkt mit einer niedrigeren Rate beginnt. Default: 0 3.5 Erweiterte WLAN-Protokoll- Filter...
Seite 93: Die Parameter Der Protokoll-Filter
Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Die Parameter zur Einstellung der Protokoll-Filter finden Sie auf folgenden Pfaden: Konfigurationstool Menü/Tabelle LANconfig Wireless LAN Security Protokolle WEBconfig Experten-Konfiguration Setup LAN-Bridge Protokoll-Tabelle Terminal/Telnet cd /Setup/LAN-Bridge/Protokoll-Tabelle 3.5.1 Die Parameter der Protokoll-Filter Die Protokoll-Tabelle kann bis zu 128 Einträge aufnehmen. Legen Sie für je- des Protokoll, das einer besonderen Behandlung bedarf, einen Eintrag in der Protokoll-Tabelle an.
Seite 94 Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Hinweis: Listen mit den offiziellen Protokoll- und Portnummern finden Sie im Internet unter www.iana.org. Aktion: Aktion, für die Datenpakete ausgeführt wird, die mit dieser Regel erfasst werden: Durchlassen: Das Paket wird ohne Veränderung weitergeleitet. Verwerfen: Das Paket wird vollständig verworfen.
Seite 95: Ablauf Der Filterprüfung
Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Name DHCP- Ziel-MAC- Prot. IP- Unter Anfangs Inter- Aktion Umleite- Src- Adr. Adress Netz- -Port face- werk Port Liste Adresse TEL- irrele- 00000000 0800 0.0.0.0 0.0.0.0 6 WLAN- Umlei- 192.168 vant 0000 .11.5 ICMP irrele- 00000000 0800 0.0.0.0 0.0.0.0 1 WLAN-...
Seite 96: Redirect-Funktion
Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Quell- und den Zielports werden daraufhin geprüft, ob sie im Bereich zwischen Anfangs- und End-Port liegen. Wenn keiner der spezifizierten (nicht durch Wildcards gefüllten) Werte der Regel mit den aus dem Paket ausgelesenen Werten übereinstimmt, wird die Regel als nicht zutreffend betrachtet und ausgelassen.
Seite 97 Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter Damit die umgeleiteten Pakete auf dem „Rückweg“ auch wieder den richti- gen Absender finden, werden in einer dynamischen Tabelle automatisch Fil- ter-Regeln angelegt, die für die ausgehenden Pakete auf diesem Interface genutzt werden. Diese Tabelle kann unter Status > LAN-Bridge > Verbin- dungs-Tabelle eingesehen werden.
Seite 98: Dhcp-Adress-Tracking
Wireless LAN (WLAN) 3.5 Erweiterte WLAN-Protokoll-Filter 3.5.4 DHCP-Adress-Tracking Mit dem DHCP-Adress-Tracking wird nachgehalten, welche Clients ihre IP- Adresse über DHCP erhalten haben. Die entsprechenden Informationen werden für ein Interface automatisch in einer Tabelle unter Status > LAN- Bridge-Statistiken > DHCP-Tabelle geführt. DHCP-Tracking wird auf einem Interface aktiviert, wenn für dieses Interface mindestens eine Regel definiert ist, bei denen 'DHCP-Source-MAC' auf 'Ja' steht.
Seite 99: Client-Modus
Wireless LAN (WLAN) 3.6 Client-Modus 3.6 Client-Modus Zur Anbindung von einzelnen Geräten mit einer Ethernet-Schnittstelle in ein Funk-LAN können BAT-Geräte mit WLAN-Modul in den sogenannten Client- Modus versetzt werden, in dem sie sich wie ein herkömmlicher Funk-LAN- Adapter verhalten und nicht wie ein Access Point (AP). Über den Client-Mo- dus ist es also möglich, auch Geräte wie PCs oder Drucker, die ausschließ- lich über eine Ethernet-Schnittstelle verfügen, in ein Funk-LAN einzubinden.
Seite 100: Client-Einstellungen
Wireless LAN (WLAN) 3.6 Client-Modus Zum Aktivieren des Client-Modus wechseln Sie unter LANconfig im Kon- figurationsbereich 'Wireless LAN' auf die Registerkarte 'Allgemein'. Im Abschnitt 'Interfaces' können Sie aus der Liste der die physikalischen WLAN-Einstellungen für das gewünschte WLAN-Interface auswählen. Hinweis: Je nach Modell verfügen die Geräte über ein oder mehrere WLAN- Interfaces.
Seite 101 Wireless LAN (WLAN) 3.6 Client-Modus Zum Bearbeiten der Einstellungen für den Client-Modus wechseln Sie un- ter LANconfig bei den physikalischen WLAN-Einstellungen für das ge- wünschte WLAN-Interface auf die Registerkarte 'Client-Modus'. Stellen Sie unter 'Durchsuchte Bänder' ein, ob die Clientstation nur das 2,4 GHz-, nur das 5 GHz-Band oder alle verfügbaren Bänder absuchen soll, um eine Basisstation zu finden.
Seite 102: Ssid Der Verfügbaren Netzwerke Einstellen
Wireless LAN (WLAN) 3.6 Client-Modus SSID der verfügbaren Netzwerke einstellen In den WLAN-Clients müssen die SSIDs der Netzwerke eingetragen werden, zu denen sich die Clientstationen verbinden sollen. Zum Eintragen der SSIDs wechseln Sie unter LANconfig im Konfigurati- onsbereich 'Wireless LAN' auf die Registerkarte 'Allgemein'. Im Abschnitt 'Interfaces' wählen Sie aus der Liste der logischen WLAN-Einstellungen das erste WLAN-Interface aus.
Seite 103: Erweiterte Konfiguration
Wireless LAN (WLAN) 3.6 Client-Modus Aktivieren Sie die Verschlüsselung und passen Sie die Verschlüsselungs- methode an die Einstellungen des Access Points an. BAT Wireless Router in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen Access Point authentifizieren. Wählen Sie dazu hier die gewünschte Client-EAP-Methode aus.
Seite 104 Wireless LAN (WLAN) 3.6 Client-Modus ground-Scanning kann der BAT Wireless Router im Client-Modus schon vor Verbindungsverlust Informationen über andere verfügbare Access Points sammeln. Die Umschaltung auf einen anderen Access Point erfolgt dann nicht erst, wenn die bisherige Verbindung vollständig verloren wurde, son- dern wenn ein anderer Access Point in Reichweite über ein stärkeres Signal verfügt.
Seite 105: Die Roaming-Tabelle
Wireless LAN (WLAN) 3.6 Client-Modus Unter WEBconfig oder Telnet finden Sie die Netzwerk-Einstellungen für die logischen WLAN-Interfaces auf folgenden Pfaden: Konfigurationstool Aufruf LANconfig WLAN-Interfaces Physikalische WLAN-Einstellungen Radio WEBconfig, Telnet Experten-Konfiguration > Setup > Schnittstellen > WLAN > Radio-Einstel- lungen 3.6.3 Die Roaming-Tabelle Zur genauen Steuerung, wie sich ein BAT Wireless Router in der Betriebsart 'Client' beim Roaming verhält, dienen verschiedene Schwellwerte in der Ro- aming Tabelle.
Seite 106 Wireless LAN (WLAN) 3.6 Client-Modus Roaming-Schwellwert Dieser Schwellwert gibt an, um wieviel Prozent die Signalstärke eines anderen Access Points besser sein muss, damit der Client auf den ande- ren Access Point wechselt. Default: 15 Hinweis: In anderem Zusammenhang wird die Signalstärke teilweise in dB angegeben.
Seite 107: Punkt-Zu-Punkt-Verbindungen
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen 3.7 Punkt-zu-Punkt-Verbindungen BAT Wireless Access Points können nicht nur als zentrale Station in einem Funknetzwerk arbeiten, sie können im Punkt-zu-Punkt-Betrieb auch Funk- strecken über größere Distanzen bilden. So können z. B. zwei Netzwerke über mehrere Kilometer hinweg sicher verbunden werden – ohne direkte Verkabelungen oder teure Standleitungen.
Seite 108: Allgemein Physikalische Wlan-Einstellungen
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Um die Antennen möglichst gut ausrichten zu können, kann im LANmonitor die aktuelle Signalqualität von P2P-Verbindungen angezeigt werden. Die An- zeige der Verbindungsqualität kann über das Kontext-Menü im LANmonitor geöffnet werden. Ein Klick mit der rechten Maustaste auf den Eintrag 'Punkt- zu-Punkt' erlaubt den Aufruf 'Punkt-zu-Punkt WLAN-Antennen einrichten ...' Hinweis: Der Eintrag 'Punkt-zu-Punkt' ist im LANmonitor nur sichtbar, wenn in dem überwachten Gerät mindestens eine Basisstation als Gegenstelle...
Seite 109: Konfiguration
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Bewegen Sie zunächst nur eine der beiden Antennen, bis sie den Maximal- wert erreicht haben. Stellen Sie dann die erste Antenne fest und bewegen Sie auch die zweite Antenne in die Position, bei der Sie die höchste Signal- qualität erzielen.
Seite 110 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Gefahr: Bitte beachten Sie, hier nur die MAC-Adressen der WLAN-Karten auf der anderen Seite der Verbindung einzutragen! Nicht die eigenen MAC-Adressen und nicht die MAC-Adressen von anderen Interfaces, die möglicherweise in den Basisstationen vorhanden sind. Sie finden die WLAN-MAC-Adresse auf einem Aufkleber, der unterhalb des jeweileigen Antennenanschlusses angebracht ist.
Seite 111 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Einstellungen für die Punkt-zu- Punkt-Verbindungen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Schnittstellen WLAN-Schnittstellen Interpoint-Einstellungen Terminal/Telnet cd /Setup/Schnittstellen/WLAN-Schnittstellen/ Interpoint-Einstellungen Bei der Konfiguration der Punkt-zu-Punkt-Verbindungen kann alternativ zu den MAC-Adressen auch der Stationsnamen der Gegenstellen verwendet werden.
Seite 112: Access Points Im Relais-Betrieb
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen 3.7.3 Access Points im Relais-Betrieb Access Points mit zwei Funkmodulen können Funkbrücken über mehrere Stationen hinweg aufbauen. Dabei wird jeweils ein WLAN-Modul als 'Master', das zweite als 'Slave' konfiguriert. Hinweis: Mit dem Einsatz von Relais-Stationen mit jeweils zwei WLAN-Mo- dulen wird gleichzeitig das Problem der „hidden station“...
Seite 113: Leps Für P2P-Verbindungen
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Hinweis: Verwenden Sie als Passphrase zufällige Zeichenketten von minde- stens 22 Zeichen Länge, was einer kryptographischen Stärke von 128 Bit entspricht. In der Einstellung als P2P-Master wird die hier eingetragene Passphrase verwendet, um die Zugangsberechtigung der Slaves zu prüfen. In der Ein- stellung als P2P-Slave überträgt der Access Point diese Informationen an die Gegenseite, um sich dort anzumelden.
Seite 114: Geometrische Auslegung Von Outdoor-Funknetz-Strecken
Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Mit LEPS können einzelne Punkt-zu-Punkt-Strecken (P2P) mit einer indivi- duellen Passphrase abgesichert werden. Wenn bei einer P2P-Installation ein Access Point entwendet wird und dadurch Passphrase und MAC-Adresse bekannt werden, sind alle anderen per LEPS abgesicherten WLAN-Strecken weiterhin sicher, insbesondere wenn die ACL auf einem RADIUS-Server ab- gelegt ist.
Seite 115 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Die Antennen strahlen Ihre Leistung nicht linear, sondern in einem modellab- hängigen Winkel ab. Durch die kugelförmige Ausbreitung der Wellen kommt es in bestimmten Abständen von der direkten Verbindung zwischen Sender und Empfänger zur Verstärkungen oder zu Auslöschungen der effektiven Leistung.
Seite 116 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Fresnel-Zone 1 Radius R Sicherheit: 1m Höhe des Störobjekts H Erdkrümmung E M = R + 1m + H + E (Erkrümmung) Die Höhe der Erdkrümmung (E) ergibt sich bei einer Distanz (d) zu E = d² * 0,0147 – bei einer Distanz von 8 km also immerhin schon fast 1m! Beispiel: Bei einer Distanz zwischen den beiden Antennen von 8 km ergibt sich im 2,4 GHz-Band die Masthöhe über dem höchsten Störobjekt von ca.
Seite 117 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Die Berechnung der Leistungsstrecke beginnt am Funkmodul des Sen- ders. Das Funkmodul in den BAT Access Points gibt im 802.11a-Modus die folgenden Leistungen in Abhängigkeit vom verwendeten Kanal und der Datenübertragungsrate ab: MBit/s 5,150 - 5,250 GHz 5,250 - 5,350 GHz 5,470 - 5,725 GHz 5,725 - 5,850 GHz...
Seite 118 Wireless LAN (WLAN) 3.7 Punkt-zu-Punkt-Verbindungen Bei der Funkübertragung durch die Luft reduziert sich die Leistung um die so genannte „Freiraum-Dämpfung“ x, die sich aus der Distanz d (in km) zwischen Sender und Empfänger logarithmisch berechnet zu: x = 100 + 20 * log (d) [dB] im 2,4 GHz-Band x = 105 + 20 * log (d) [dB] im 5GHz-Band Für eine 802.11a-Übertragung über eine Distanz von 4 km ergibt sich die Freiraumdämpfung x zu:...
Seite 119: Abstrahlleistung Und Maximale Distanz
Bedingungen hat, können diese Werte nur als Orientierung dienen. Abstrahlleistung und maximale Distanz Bitte entnehmen Sie die konkreten Daten der Antennen dem „Hirschmann Antenna Guide“ (als Download auf www.hirschmann-ac.com). Reduzieren der Sendeleistung In jedem Land gibt es spezielle Vorschriften über die zulässige Leistung von WLAN-Antennen, oft unterschiedlich je nach verwendetem WLAN-Standard und getrennt nach Indoor- und Outdoor-Einsatz.
Seite 120: Europäische Harmonisierung
Wireless LAN (WLAN) 3.8 WLAN nach 802.11h – ETSI 301 893 Mit der Erweiterung 802.11h wurde im September 2003 die private Nutzung des 5 GHz-Bandes schließlich auch außerhalb geschlossener Räume er- möglicht. Dabei wurden zum Schutz der militärischen Anwendungen im 5 GHz-Band die Verfahren DFS (Dynamic Frequency Selection) und TPC (Transmission Power Control) vorgeschrieben.
Seite 121 Wireless LAN (WLAN) 3.8 WLAN nach 802.11h – ETSI 301 893 Dynamic Frequency Selection – DFS Zur Priorisierung der Primäranwendungen wird das Verfahren der dyna- mischen Frequenzwahl (DFS) vorgeschrieben. DFS geht zunächst davon aus, das kein Kanal im entsprechenden Frequenzband verfügbar ist.
Seite 122: Unterschiede Zu Usa Und Asien
Wireless LAN (WLAN) 3.8 WLAN nach 802.11h – ETSI 301 893 Im Betrieb ohne DFS und TPC sind nur maximal 30 mW EIRP erlaubt. Unter Verwendung von DFS und TPC sind maximal 1000 mW EIRP als Sendeleitung erlaubt (zum Vergleich: 100 mW bei 802.11 b/g, 2,4 GHz, DFS und TPC sind hier nicht möglich).
Seite 123: Frequenzbereiche Für Indoor- Und Outdoor-Verwendung
Wireless LAN (WLAN) 3.8 WLAN nach 802.11h – ETSI 301 893 Kanal Frequenz ETSI (EU) FCC (US) Japan 5,260 GHz nein 5,280 GHz nein 5,300 GHz nein 5,320 GHz nein 5,500 GHz nein nein 5,520 GHz nein nein 5,540 GHz nein nein 5,560 GHz...
Seite 124: Bandbreitenbegrenzung Im Wlan
Wireless LAN (WLAN) 3.9 Bandbreitenbegrenzung im WLAN Hinweis: Beim Einsatz in anderen Ländern können ggf. andere Vorschriften gelten. Bitte informieren Sie sich über die aktuellen Funk-Regelungen des Landes, in dem Sie ein Funk-LAN-Gerät in Betrieb nehmen wollen, und stellen Sie in den WLAN-Einstellungen unbedingt das Land ein, in dem Sie das Gerät betreiben.
Seite 125: Einstellung Als Client
Wireless LAN (WLAN) 3.9 Bandbreitenbegrenzung im WLAN Konfiguration mit LANconfig Die maximalen Bandbreiten für die angeschlossenen Clients werden im LANconfig im Konfigurationsbereich 'Wireless-LAN' auf der Registerkarte 'Stationen' in der MAC-Zugangs-Liste eingetragen. Konfiguration mit WEBconfig, Telnet oder SSH Unter WEBconfig, Telnet oder SSH-Client finden Sie die MAC-Zugangs-Liste auf folgenden Pfaden: Konfigurationstool Menü/Tabelle...
Seite 126 Wireless LAN (WLAN) 3.9 Bandbreitenbegrenzung im WLAN Konfiguration mit WEBconfig, Telnet oder SSH Unter WEBconfig, Telnet oder SSH-Client finden Sie die Client-Einstellungen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Interfaces WLAN Client Mode Terminal/Telnet Setup/Interfaces/WLAN/Client-Mode BAT54-Rail/F.. Release 7.54 06/08...
Seite 127: Konfiguration
Konfiguration 4.1 Mittel und Wege für die Konfiguration 4 Konfiguration In diesem Kapitel geben wir Ihnen einen Überblick, mit welchen Mitteln und über welche Wege Sie auf das Gerät zugreifen können, um Einstellungen vorzunehmen. Sie finden Beschreibungen zu folgenden Themen: Konfigurationstools Kontroll- und Diagnosefunktionen von Gerät und Software Sicherung und Wiederherstellung kompletter Konfigurationen...
Seite 128: Software Zur Konfiguration
Konfiguration 4.2 Software zur Konfiguration Zum anderen die Anforderungen an zusätzliche Hard- und Software: Die In- band-Konfiguration benötigt neben dem ohnehin vorhandenen Rechner im LAN, WAN oder WLAN nur noch eine geeignete Software, beispielsweise LANconfig oder WEBconfig (vgl. folgender Abschnitt). Die Outband-Konfigu- ration benötigt zusätzlich zur Konfigurationssoftware noch einen Rechner mit serieller Schnittstelle.
Seite 129: Geräte Suchen Und Konfigurieren
Konfiguration 4.3 Geräte suchen und konfigurieren Hinweis: Bitte beachten Sie, dass alle Verfahren auf dieselben Konfigurati- onsdaten zugreifen. Wenn Sie beispielsweise in LANconfig Einstellungen ändern, hat dies auch direkte Auswirkungen auf die Werte unter WEBconfig und Telnet. Bitte beachten Sie beim Einsatz eines Terminalprogramms über die seriel- le Schnittstelle folgende Hinweise: Die Modelle BAT54-F und BAT54-F X2 verfügen über eine reduzierte serielle Schnittstelle (nur Rx, TX, Ground), das HW-Handshake muss...
Seite 130: Die Konfiguration Mit Verschiedenen Tools
Tools 4.4.1 LANconfig Rufen Sie LANconfig z.B. aus der Windows-Startleiste auf mit Start Programme Hirschmann Hirschmann LANconfig. LANconfig sucht nun automatisch im lokalen Netz nach Geräten. Wird dabei ein noch nicht konfiguriertes Gerät im lokalen Netz gefunden, startet LANconfig selbstständig den Setup-Assistenten.
Seite 131: Neue Geräte Suchen
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Ihr BAT-Gerät verfügt über eine umfangreiche eingebaute Firewall. Diese schützt Ihre Rechner auch dann, wenn keine weitere Firewall auf den Rechnern selbst – wie die „Internetverbindungsfirewall“ – ein- geschaltet ist. Neue Geräte suchen Um die Suche eines neuen Geräts manuell einzuleiten, klicken Sie auf die Schaltfläche Suchen...
Seite 132: Gerät Konfigurieren
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Doppelklick auf den Eintrag für das markierte Gerät, der Klick auf die Schalt- fläche Konfigurieren oder den Menüeintrag Gerät Konfigurieren liest die aktuellen Einstellungen aus dem Gerät aus und zeigt die allgemeinen Gerä- teinformationen an.
Seite 133: Webconfig
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools 4.4.2 WEBconfig Sie können die Einstellungen des Gerätes über einen beliebigen (auch text- basierten) Web-Browser vornehmen. Im BAT ist die Konfigurationssoftware WEBconfig integriert. Sie benötigen lediglich einen Web-Browser, um auf WEBconfig zuzugreifen. Funktioniert mit beliebigem Web-Browser WEBconfig bietet ähnliche Setup-Assistenten wie LANconfig an und bietet damit optimale Voraussetzungen für eine komfortable Konfiguration des BAT –...
Seite 134: Webconfig-Zugang In Einem Netz Ohne Dhcp-Server
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools WEBconfig-Zugang in einem Netz ohne DHCP-Server In einem Netz ohne DHCP-Server schalten unkonfigurierte BAT-Geräte nach dem Starten den eigenen DHCP-Serverdienst ein und weisen den anderen Rechner im LAN die IP-Adressen sowie Informationen über Gateways etc. zu, sofern diese auf den automatischen Bezug der IP-Adressen eingestellt sind (Auto-DHCP).
Seite 135: Telnet
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Hinweis: Die MAC-Adresse finden Sie auf einem Aufkleber auf der Geräte- unterseite. Ist im LAN kein DNS-Server vorhanden oder ist dieser nicht mit dem DHCP-Server gekoppelt, kann das Gerät nicht über den Namen erreicht werden.
Seite 136: Telnet-Sitzung Beenden
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Die Sprache der Konsole auf Deutsch ändern Der Terminalmodus steht in den Sprachen Deutsch und Englisch zur Verfü- gung. BAT werden werkseitig auf Englisch als Konsolensprache eingestellt. Im weiteren Verlauf dieser Dokumentation werden alle Konfigurationsbefeh- le in ihrer deutschen Form angegeben.
Seite 137 Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Hinweis: Zum Ausführen einiger Befehle sind Supervisor-Rechte erforder- lich. Befehl Beschreibung beginscript Versetzt eine Konsolensitzung in den Script-Modus. In diesem Zustand werden die im Folgenden eingegebenen Befehle nicht direkt in den Konfigurations-RAM im BAT übertragen, sondern zunächst in den Script-Speicher des Gerätes. ’Scrip- →...
Seite 138 Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Befehl Beschreibung sleep [-u] Wert[suffix] Verzögert die Verarbeitung der Konfigurationsbefehle um eine bestimmte Zeit- spanne oder terminiert sie auf einen bestimmten Zeitpunkt. Als Suffix sind s, m, oder h fuer Sekunden, Minuten, oder Stunden erlaubt, ohne Suffix arbeitet der Befehl in Millisekunden.
Seite 139: Tftp
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools moeglicher Eingabewert "" ist ein leerer Eingabewert NAME: Sequenz von _ 0..9 A..Z erstes Zeichen darf keine Ziffer sein keine Unterscheidung Gross/Kleinschreibung Alle Befehle, Verzeichnis- und Parameternamen können verkürzt einge- geben werden - solange sie eindeutig sind. Zum Beispiel kann der Befehl ”sysinfo”...
Seite 140: Firmware, Geräte-Konfiguration Oder Script Über Tftp Laden
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Sofern das Gerät mit einem Passwort geschützt ist, müssen Username und Passwort in den TFTP-Befehl eingebaut werden. Der Filename baut sich ent- weder aus dem Master-Passwort und dem auszuführenden Kommando (für Supervisoren) oder aus der Kombination von Username und Passwort (für lokale Administratoren), die durch einen Doppelpunkt getrennt sind, und nachgestelltem Kommando zusammen.
Seite 141: Snmp
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Beispiele: Mit dem folgenden Befehl wird eine Firmwaredatei mit dem Namen 'LC- 1811-5.00.0019.upx' aus dem Verzeichnis 'LCOS/500' vom Server mit der IP-Adresse '192-168.2.200' in das Gerät geladen: LoadFirmware -s 192-168.2.200 -f LCOS/500/LC-1811-5.00.0019.upx Mit dem folgenden Befehl wird ein zur MAC-Adresse passendes Script vom Server mit der IP-Adresse '192-168.2.200' in das Gerät geladen: LoadScript -s 192-168.2.200 -f %m.lcs Werden die Parameter -s und/oder -f nicht angegeben, verwendet das Ge-...
Seite 142: Verschlüsselte Konfiguration Über Ssh-Zugang
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools 4.4.6 Verschlüsselte Konfiguration über SSH- Zugang Neben den bisherigen Möglichkeiten, ein BAT über Telnet oder Terminalpro- gramm zu konfigurieren, gibt es ab der LCOS-Version 4.0 zusätzlich einen Zugang über SSH. Mit einem entsprechenden SSH-Client wie PuTTy kön- nen Sie so eine verschlüsselte Verbindung zum Gerät herstellen und die bei der Konfiguration übertragenen Daten so vor dem Abhören innerhalb des Netzwerks schützen.
Seite 143: Ssh-Authentifizierung
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Zur Konfiguration verwenden Sie die gleichen Befehle wie über Telnet oder Terminalprogramm (’Befehle für die Kommandozeile’ → Seite 136). 4.4.7 SSH-Authentifizierung Das SSH-Protokoll erlaubt grundsätzlich zwei verschiedene Authentifizie- rungs-Mechanismen: Mit Benutzername und Kennwort Mit Hilfe eines öffentlichen Schlüssels (Public Key) Beim Public-Key-Verfahren wird ein Schlüsselpaar aus privatem und öffent- lichem Schlüssel verwendet –...
Seite 144: Eintragen Von Benutzern In Den Öffentlichen Schlüssel
Konfiguration 4.4 Die Konfiguration mit verschiedenen Tools Eintragen von Benutzern in den öffentlichen Schlüssel Die öffentlichen Schlüssel werden in der folgenden Syntax erzeugt: <Verschlüsselungsalgorhytmus> <öffentlicher Schlüssel> <Benutzer> [weitere Benutzer] Um weitere Benutzer für den Zugang über diesen Schlüssel zu erlauben, werden die entsprechenden Benutzernamen einfach an die vorhandene Schlüsseldatei angehängt.
Seite 145: Ablauf Der Zertifikatsprüfung Beim Ssh-Zugang
Konfiguration 4.5 Abspeichern, Wiederherstellen und Erzeu- Ablauf der Zertifikatsprüfung beim SSH-Zugang Bei Aufbau der SSH-Verbindung erkundigt sich der Client zunächst beim BAT Router, welche Authentifizierungs-Methoden für diesen Zugang zuge- lassen sind. Sofern das Public-Key-Verfahren erlaubt ist, sucht der Client nach installierten privaten Schlüsseln und übergibt diese mit der Angabe des Benutzernamens zur Prüfung an den BAT Router.
Seite 146: Sicherheitskopien Der Konfiguration
10.0.0.1 put file1 writeconfig 4.6 Neue Firmware mit Hirschmann FirmSafe Die Software für die Geräte von Hirschmann wird ständig weiterentwickelt. Damit Sie auch in den Genuss von neuen Features und Funktionen kom- men, haben wir die Geräte mit einem Flash-ROM-Speicher ausgerüstet, der das nachträgliche Ändern der Betriebssoftware zum Kinderspiel macht.
Seite 147: So Funktioniert Hirschmann Firmsafe
4.6 Neue Firmware mit Hirschmann FirmSafe 4.6.1 So funktioniert Hirschmann FirmSafe Hirschmann FirmSafe macht das Einspielen der neuen Software zur siche- ren Sache: Die gerade verwendete Firmware wird dabei nicht einfach über- schrieben, sondern es wird eine zweite Firmware zusätzlich im Gerät gespeichert.
Seite 148: So Spielen Sie Eine Neue Software Ein
Fall meldet die Konfigurationssoftware beim Upload-Versuch den Konflikt und empfiehlt die Verwendung des entsprechenden “Konverters”. Dieser Konverter kann kostenlos von der Hirschmann-Webseite gela- den werden. Mit dem Konverter wird der Speicherplatz im BAT neu aufgeteilt in einen vergrößerten Bereich für die neue Firmwareversion und einen kleineren Bereich für die bestehende Version.
Seite 149: Gerät Konfigurations-Verwaltung
Konfiguration 4.6 Neue Firmware mit Hirschmann FirmSafe WEBconfig Terminalprogramm TFTP Beim Firmware-Upload bleiben alle Einstellungen erhalten! Trotzdem sollten Sie sicherheitshalber die Konfiguration vorher speichern (bei LANconfig z.B. Gerät Konfigurations-Verwaltung Als Datei sichern). Neben der Konfiguration sollten Sie auch eine Version der aktuellen Firmware vor dem Upload sichern.
Seite 150: Übertragung
Konfiguration 4.6 Neue Firmware mit Hirschmann FirmSafe WEBconfig Starten Sie WEBconfig in Ihrem Web-Browser. Auf der Startseite finden Sie den Link Eine neue Firmware hochladen. Im nächsten Fenster können Sie die Firmware-Datei im Verzeichnissystem suchen und anschließend auf die Schaltfläche Upload klicken.
Seite 151: Firmwareupload Über Die Serielle Schnittstelle Mit Rücksetzen Der Konfiguration
Konfiguration 4.6 Neue Firmware mit Hirschmann FirmSafe Bitte beachten Sie beim Einsatz eines Terminalprogramms über die seriel- le Schnittstelle folgende Hinweise: Die Modelle BAT54-F und BAT54-F X2 verfügen über eine reduzierte serielle Schnittstelle (nur Rx, TX, Ground), das HW-Handshake muss daher deaktiviert werden.
Seite 152 Konfiguration 4.6 Neue Firmware mit Hirschmann FirmSafe Drücken Sie im Begrüßungsbildschirm des Terminal-Programms die Re- turn-Taste, bis die Aufforderung zur Eingabe des Passwortes erscheint. Geben Sie als Passwort die Seriennummer ein, die unter der Firmware- Version angezeigt wird und drücken Sie erneut Return.
Seite 153: Wie Führt Man Einen Gerätereset Durch
Konfiguration 4.7 Wie führt man einen Gerätereset durch? Hinweis: Bei diesem Firmware-Upload wird die Konfiguration vollständig ge- löscht und auf den Auslieferungszustand zurückgesetzt! Nutzen sie diese Möglichkeit daher nur, wenn das Konfigurationskennwort nicht mehr ver- fügbar ist. 4.7 Wie führt man einen Gerätereset durch? Wenn Sie unabhängig von den evtl.
Seite 154: Rechteverwaltung Für Verschiedene Administratoren
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Reset-Taster Mit dieser Option wird das Verhalten des Reset-Tasters gesteuert: Ignorieren: Der Taster wird ignoriert. Nur-Booten: Beim Druck auf den Taster wird nur ein Neustart ausge- löst, unabhängig von der gedrückten Dauer. Hinweis: Bitte beachten Sie folgenden Hinweis: Mit der Einstellung 'Igno- rieren' oder 'Nur-Booten' wird das Rücksetzen der Konfiguration auf den Auslieferungszustand durch einen Reset unmöglich gemacht.
Seite 155: Die Rechte Für Die Administratoren
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Hinweis: Neben den in der Konfiguration angelegten Administratoren gibt es auch noch den „root“-Administrator mit dem Haupt-Geräte-Passwort. Die- ser Administrator hat immer die vollen Rechte und kann auch nicht ge- löscht oder umbenannt werden. Um sich als root-Administrator anzumelden, geben Sie im Login-Fenster den Benutzernamen „root“...
Seite 156: Administratorenzugänge Über Tftp Und Snmp
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Konfiguration über LANconfig Hinweis: Lokale Administratoren mit Schreibrechten können auch die Ad- mintabelle bearbeiten. Dabei kann ein lokaler Administrator jedoch nur solche Einträge bearbeiten oder anlegen, die die gleichen oder weniger Rechte haben wie er selbst. Ein lokaler Administrator kann also keinen Supervisor anlegen und sich selbst auch nicht diese Rechte einräumen.
Seite 157: Zugang Über Tftp
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Zugang über TFTP Im TFTP wird der Username und das Passwort im Quell- (TFTP-Read-Re- quest) oder Ziel-Filenamen (TFTP-Write-Request) kodiert. Der Filename baut sich entweder aus dem Master-Passwort und dem auszuführenden Kommando oder aus der Kombination von Username und Passwort, die durch einen Doppelpunkt getrennt sind, und nachgestelltem Kommando zu- sammen.
Seite 158: Konfiguration Der Benutzerrechte
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- 4.8.3 Konfiguration der Benutzerrechte LANconfig Bei der Konfiguration mit LANconfig finden Sie die Liste der Administratoren im Konfigurationsbereich 'Management' auf die Registerkarte 'Admin' unter der Schaltfläche Weitere Administratoren. Geben Sie hier folgende Werte ein: Name für den neuen Administrator mit Passwort.
Seite 159 Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Admin- Tabelle auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Config-Modul Admin.-Tabelle Terminal/Telnet Setup/Config-Modul/Admin.-Tabelle Zur Darstellung der Benutzergruppen stehen die folgenden Werte zur Verfü- gung: Bezeichnung Rechte...
Seite 160: Beispiele
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- zweite Spalte von rechts: 1 (RAS-Assistent) + 4 (Uhrzeit ändern) = „5“ (Hexadezimal) dritte Spalte von rechts: 1 (WLAN-Linktest) = „1“ (Hexadezimal) Für dieses Beispiel tragen Sie in die Funktionsrechte also den Wert „0000015a“ ein. Anders ausgedrückt handelt es sich hierbei um eine ODER-Verknüpfung der Hexadezimal-Werte: Bezeichnung...
Seite 161: Http-Tunnel
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Befehl Supervisor lokaler Administrator Bemerkung ✔ writeflash ✔ ✔ setenv ✔ ✔ testmail ✔ ✔ time Der Befehl 'time' kann auch ausgeführt wer- den, wenn der Benutzer das Funktionsrecht besitzt, die Systemzeit einzustellen ✔ ✔...
Seite 162 Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Achtung: Dieser Zugang ist nur gültig für die IP-Adresse, von welcher der HTTP-Tunnel erzeugt wurde. Der Zugriff auf das freizugebende Gerät im Netzwerk ist also nicht übertragbar! TCP/HTTP-Tunnel konfigurieren Zur Konfiguration der HTTP-Tunnel im BAT stehen folgende Parameter be- reit: Konfigurationstool Aufruf...
Seite 163 Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Wählen Sie im Bereich 'Extras' den Eintrag TCP/HTTP-Tunnel erzeu- gen. Geben Sie den Namen bzw. die IP-Adresse des Gerätes ein, das Sie vor- übergehend für den Zugriff über HTTP freischalten möchten. Wählen Sie dazu einen Port aus, der für den HTTP-Tunnel verwendet werden soll und geben sie ggf.
Seite 164: Tunnel Vorzeitig Löschen
Konfiguration 4.8 Rechteverwaltung für verschiedene Admi- Der folgende Dialog zeigt eine Bestätigung über den neu erstellten Tun- nel und bietet einen Link auf das freizugebende Gerät. Tunnel vorzeitig löschen Der neu erstellte HTTP-Tunnel wird automatisch nach Ablauf der Tunnel- Idle-Timeout-Zeit ohne Aktivität gelöscht. Um den Tunnel vorzeitig zu lö- schen, können Sie über Experten-Konfiguration Status...
Seite 165: Benamte Loopback-Adressen
Konfiguration 4.9 Benamte Loopback-Adressen 4.9 Benamte Loopback-Adressen In einem BAT Router können bis zu 16 Loopback-Adressen definiert werden, unter denen das Gerät z.B. beim Management größerer Netz-Strukturen an- gesprochen werden kann. Um die Loopback-Adressen für bestimmte Netz- werke (z.B. im Zusammenhang mit Advanced Routing and Forwarding) zu nutzen, können den Adressen Routing-Tags zugordnet werden.
Seite 166: Loopback-Adressen Beim Icmp Polling
Konfiguration 4.9 Benamte Loopback-Adressen 4.9.1 Loopback-Adressen beim ICMP Polling Auch beim ICMP-Polling werden ähnlich dem LCP-Monitoring regelmäßig Anfragen an eine Gegenstelle geschickt. Hier werden ping-Befehle abge- setzt, deren Beantwortung überwacht wird. Anders als beim LCP-Monitoring kann für die ICMP-Pings jedoch die Ziel-Gegenstelle frei definiert werden. Mit einem Ping auf einen Router in einem entfernten Netz kann man so die gesamte Verbindung überwachen, nicht nur bis zum Internet-Provider.
Seite 167: D Mögliche Werte: 0 Bis
Konfiguration 4.9 Benamte Loopback-Adressen IP-Adresse 1-4 IP-Adressen, an die zur Prüfung der Gegenstelle ICMP-Requests gesen- det werden. Hinweis: Wird für eine Gegenstelle keine IP-Adresse eingetragen, die mit ei- nem Ping geprüft werden kann, so wird die IP-Adresse des DNS-Servers geprüft, der bei der PPP-Verhandlung übermittelt wurde. Ping-Intervall Die in der Polling-Tabelle eingetragen Zeit gibt das Interval zwischen zwei Ping-Anfragen an.
Seite 168: Loopback-Adressen Für Zeit-Server
Konfiguration 4.9 Benamte Loopback-Adressen 4.9.2 Loopback-Adressen für Zeit-Server BAT Router können Zeitinformationen u.a. von öffentlich zugänglichen Zeit- Server im Internet (NTP-Server) beziehen. Die so ermittelte Zeit kann das BAT allen Stationen im lokalen Netz zur Verfügung stellen. Bei der Definition der Zeit-Server können neben den Namen oder IP-Adressen der NTP-Ser- ver, von denen der BAT Router die Uhrzeit abfragt, auch Loopback-Adres- sen angegeben werden.
Seite 169: Loopback-Adressen Für Syslog-Clients
Konfiguration 4.9 Benamte Loopback-Adressen 4.9.3 Loopback-Adressen für SYSLOG-Clients Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf den BAT Router protokollieren zu lassen. Um die SYSLOG-Nachrichten empfangen zu können, werden die entsprechenden SYSLOG-Clients eingerichtet. Konfigurationstool Menü/Tabelle LANconfig Meldungen SYSLOG SYSLOG-Clients WEBconfig, Telnet Experten-Konfiguration > Setup > SYSLOG > Tabelle-SYSLOG IP-Adresse IP-Adresse des SYSLOG-Clients.
Seite 170: Priorität
Konfiguration 4.9 Benamte Loopback-Adressen Quelle System: Systemmeldungen (Bootvorgänge, Timersystem etc.) Logins: Meldungen über Login und Logout eines Users während der PPP-Verhandlung sowie dabei auftretende Fehler Systemzeit: Meldungen über Änderungen der Systemzeit Konsolen-Logins: Meldungen über Konsolen-Logins (Telnet, Outband, etc), Logouts und dabei auftretende Fehler Verbindungen: Meldungen über den Verbindungsauf- und -abbau sowie dabei auftretende Fehler (Display-Trace) Accounting: Accounting-Informationen nach dem Abbau einer Verbin-...
Seite 171: Netzwerk-Management
Netzwerk-Management 5 Netzwerk-Management Die LANtools (bestehend aus LANconfig und LANmonitor) eignen sich her- vorragend zum Konfigurieren und Überwachen von BAT-Geräten in komple- xen Anwendungsszenarien. Mehrere Router und/oder Wireless Access Points können in einem Netzwerk können dabei genauso von einer zentralen Stelle aus administriert werden wie Geräte in verteilten Netzwerken, z.B.
Seite 172: Sprache Der Grafischen Oberfläche
Netzwerk-Management 5.1 Sprache der grafischen Oberfläche 5.1 Sprache der grafischen Oberfläche Die Sprache für die grafische Oberfläche von LANconfig, LANmonitor bzw. WLANmonitor kann wahlweise auf 'Deutsch' oder 'Englisch' eingestellt wer- Konfigurationstool Aufruf LANconfig Extras Optionen Extras LANmonitor und Extras Optionen Allgemein WLANmonitor 5.2 Projektmanagement mit...
Seite 173 Netzwerk-Management 5.2 Projektmanagement mit LANconfig Konfigurieren: Öffnet für die ausgewählten Geräte den Konfigurationsdia- log unter LANconfig. Prüfen: Prüft die ausgewählten Geräte auf Erreichbarkeit. Firmware-Upload: Lädt eine Firmware parallel in alle ausgewählten Gerä- Script anwenden: Führt ein Konfigurationsscript für alle ausgewählten Geräte aus.
Seite 174 Netzwerk-Management 5.2 Projektmanagement mit LANconfig Telnet-Sitzung öffnen: Öffnet mehrere “DOS-Fenster” und startet zu je- dem Gerät eine separate Telnet-Verbindung Gerät überwachen: Öffnet die ausgewählten Geräte im LANmonitor zur Überwachung Datum/Uhrzeit setzen: Stellt auf allen ausgewählten Geräten die Uhrzeit gleich ein. Hinweis: Beachten Sie für die Einstellung der Uhrzeit auch die Funktionen des BAT als NTP-Client und NTP-Server (’Zeit-Server für das lokale Netz’...
Seite 175: Benutzerspezifische Einstellungen Für Lanconfig
Netzwerk-Management 5.2 Projektmanagement mit LANconfig 5.2.1 Benutzerspezifische Einstellungen für LANconfig Die Progammeinstellungen von LANconfig werden beim Beenden des Pro- gramms in der Datei 'lanconf.ini' im Programmverzeichnis gespeichert. Dazu gehören z. B. die angezeigten Geräte, die Ordnerstruktur, die derzeit ge- wählte Sprache etc. Beim Programmstart liest LANconfig diese ini-Datei ein und stellt den vorherigen Zustand der Software wieder her.
Seite 176: Verzeichnisstruktur
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Mögliche Werte: Ein/Aus Default: Aus Hinweis: Wenn neben dieser Option zusätzlich die Option 'Einstellungs-Da- tei verwenden' aktiviert ist, wird die dort gewählte Datei beim Programm- start verwendet, Änderungen an den Programmeinstellungen in der dort gewählten ini-Datei gespeichert. Einstellungs-Datei verwenden Aktiviert die Verwendung der lanconf.ini aus dem angegebenen Verzeich- nis.
Seite 177: Ansicht Verzeichnis
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Hinweis: Die Ordnerstruktur am linken Rand des LANconfig-Fensters kann mit der Funktionstaste oder über das Menü Ansicht Verzeichnis- baum ein- und ausgeschaltet werden. 5.2.3 Bessere Übersicht in LANconfig durch mehr Spalten Für eine bessere und schnellere Übersicht und Orientierung auch in großen Projekten können in LANconfig die Spalten mit gerätebezogenen Informatio- nen einzeln ein- bzw.
Seite 178: Multithreading
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Verlauf Gerätetyp Hardware-Release Seriennummer MAC-Adresse Firmwareversion (aktive) Firmsafe 1. Image Version 2. Image Version 5.2.4 Multithreading Bei der Verwaltung von Projekten ist es oft hilfreich, die Konfigurationen von mehreren Geräte gleichzeitig zu öffnen, um darin Gemeinsamkeiten oder Unterschiede abzugleichen.
Seite 179 Netzwerk-Management 5.2 Projektmanagement mit LANconfig Hinweis: Zwischen den geöffneten Konfigurationen können Inhalte mit “Cut and Paste” über die Zwischenablage übertragen werden. Beim Multithreading können sowohl aus den erreichbaren Geräten ausgele- sene Konfigurationen und Konfigurationsdateien bearbeitet werden. Jede Konfiguration wird separat beim schließen des entsprechenden Dialogs in die Datei bzw.
Seite 180: Manuelle Und Automatische Suche Nach Firmware-Updates
Netzwerk-Management 5.2 Projektmanagement mit LANconfig 5.2.5 Manuelle und automatische Suche nach Firmware-Updates Um das Update auf neue Firmwareversionen in den BAT-Geräten möglichst komfortabel zu gestalten, werden die Firmware-Dateien für die verschiede- nen BAT-Modelle und LCOS-Versionen idealerweise in einem zentralen Ar- chiv-Verzeichnis abgelegt.
Seite 181: Komplette Liste Der Firmware-Versionen Einsehen
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Komplette Liste der Firmware-Versionen einsehen Wenn bei der Suche im Archiv keine neueren Firmware-Versionen gefunden wurden, können Sie alternativ die komplette Liste alle gefundenen Firmware- Dateien ansehen. So können Sie u.a. auch auf ältere Versionen zurückschal- ten.
Seite 182 Netzwerk-Management 5.2 Projektmanagement mit LANconfig LANmonitor Die Benutzerinformationen können im LANmonitor für jedes Gerät getrennt eingetragen werden. Klicken Sie dazu mit der rechten Maustaste auf das ge- wünschte Gerät, wählen Sie im Kontextmenü den Eintrag Optionen und tra- gen Sie Ihre Benutzerdaten ein. Die Zugriffsrechte im LANmonitor sind abhängig von den Rechten des Be- nutzers: Ein Supervisor hat vollen Zugriff auf die Informationen im LANmonitor und...
Seite 183: Gerätespezifische Einstellung Der Kommunikationsprotokolle
Netzwerk-Management 5.2 Projektmanagement mit LANconfig WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Einstel- lungen für den SNMP-Lesezugriff auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Config-Modul Passw.Zwang-fuer-SNMP-lesezu- griff Terminal/Telnet Setup/Config-Modul/Passw.Zwang-fuer-SNMP-lesezugriff 5.2.7 Gerätespezifische Einstellung der Kommunikationsprotokolle Normalerweise werden alle Geräte-Aktionen unter LANconfig über das TFTP-Protokoll durchgeführt.
Seite 184: Konfiguration Der Globalen Kommunikationseinstellungen
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Konfiguration der globalen Kommunikationseinstellungen Bei der Einstellung der Kommunikationsprotokolle wird das Protokoll für das reine Prüfen des Gerätes und für andere Operationen wie z.B. einen Firm- ware-Upload etc. unterschieden: Konfigurationstool Aufruf LANconfig Extras Optionen Kommunikation HTTPS, HTTP, TFPT Mit dieser Auswahl werden die einzelnen Protokolle für die Operationen Firmware-Upload sowie Konfigurations- und Script-Upload und -Down-...
Seite 185: Konfiguration Der Spezifischen Kommunikationseinstellungen
Netzwerk-Management 5.2 Projektmanagement mit LANconfig Konfiguration der spezifischen Kommunikationseinstellungen Zur Konfiguration der spezifischen Kommunikationseinstellungen wird der Eigenschaften-Dialog eines Gerätes über das Kontext-Menü (rechte Mau- staste) geöffnet: HTTPS, HTTP, TFPT Auswahl der Kommunikationsprotokolle wie bei den globalen Einstellun- gen beschrieben. In den Feldern unter den Protokollen kann der zu verwendende Port ein- getragen werden bei folgenden Defaultwerten: HTTPS: 443 HTTP: 80...
Seite 186: Verhalten Von Lanconfig Beim Start Von Windows
Netzwerk-Management 5.2 Projektmanagement mit LANconfig 5.2.8 Verhalten von LANconfig beim Start von Windows LANconfig kann beim Start des Betriebssystems automatisch gestartet wer- den. Konfiguration des Startverhaltens von LANconfig Zur Konfiguration des Startverhaltens von LANconfig stehen folgende Para- meter bereit: Konfigurationstool Aufruf LANconfig Optionen...
Seite 187: Überprüfung Der Verbindungsqualität
Netzwerk-Management 5.3 Überprüfung der Verbindungsqualität Achtung: Beim Wechsel auf eine Einstellung, die ein automatisches Starten von LANconfig ermöglichen, wird ein Eintrag in der Registry des Betriebssystems vorgenommen. Persönliche Firewalls auf dem Rechner oder die Betriebssysteme selbst (Windows XP oder Windows Vista können diesen Eintrag ggf.
Seite 188: Konfiguration Der Ping-Ausführung
Hier wird die Gegenstelle eingetragen, die mit dem Ping erreicht werden soll. Möglich sind folgende Angaben für alle in LAN, WAN oder WLAN erreichbaren Netzwerkgeräte (Server, Clients, Router, Drucker etc.): IP-Adresse URL, z.B. 'www.hirschmann.com' (ohne Angabe des Protokolls) Name der Gegenstelle Hinweis: Sofern beim Öffnen des Ping-Dialogs über Gerät Ping ...
Seite 189: Ausführung
Netzwerk-Management 5.3 Überprüfung der Verbindungsqualität Default: 0 Byte Maximalwert: 65500 Byte Hinweis: Wenn durch die Payload der ICMP-Pakete die maximale Pakete- größe der IP-Pakete überschritten wird, werden die Pakete fragmentiert. Ausführung Wiederholungsmodus für den Ping-Befehl. Dauerhaft: Der Ping wird solange versendet, bis die Ausführung manuell über die Schaltfläche Stopp bzw.
Seite 190: Assistent Oder Konfigurationsdialog
Netzwerk-Management 5.4 Assistent oder Konfigurationsdialog Empfangen nach Timeout Anzahl der Pings, die nach dem Timeout beantwortet wurden Anteil der verspäteten Pakete an der Gesamtzahl Minimale Laufzeit Maximale Laufzeit Mittelwert Verlust Anzahl der verlorenen Pakete Anteil der verlorenen Pakete an der Gesamtzahl 5.4 Assistent oder Konfigurationsdialog Beim Doppelklick auf einen Eintrag in der Geräteliste von LANconfig kann...
Seite 191: Scripting
Netzwerk-Management 5.5 Scripting Alternativ kann in diesem Dialog die Option 'Konfiguration manuell bearbeiten' gewählt werden. Standardmäßig manuell bearbeiten: startet beim Doppelklick auf den Geräte-Eintrag in LANconfig den Dialog zur manuellen Konfigurati- onsbearbeitung. 5.5 Scripting In Installationen mit mehreren BAT-Geräte ist oft erwünscht, bestimmte Auf- gaben der Konfiguration automatisiert auszuführen.
Seite 192 Netzwerk-Management 5.5 Scripting Die von LANconfig erzeugten Konfigurationsdateien sind nicht zur direk- ten Bearbeitung mit anderen Tools vorgesehen, einen direkten Überblick über die komplette Konfiguration erhält der Anwender nur mit einem Ausdruck der Konfigurationsdatei. Mit den Scripting-Funktionen lässt sich die Konfiguration als ASCII-Text ausgeben, der z.B. als einfache Textdatei gespeichert werden kann.
Seite 193: Funktion Des Scripting
Netzwerk-Management 5.5 Scripting Über den gleichen Mechanismus lässt sich die Konfiguration sehr leicht im Testmodus ändern. Dabei wird mit Hilfe eines Scriptes ein zeitverzö- gerter Bootvorgang ausgelöst, bis zu dessen Aktivierung die Konfigura- tion des Gerätes gefahrlos verstellt werden kann. Falls die Änderungen der Konfiguration nicht erfolgreich sind, wird das Gerät nach dem Ablauf der Verzögerungszeit und dem folgenden Boot-Vorgang automatisch wieder in den vorherigen Konfigurationszustand zurückversetzt.
Seite 194: Scriptdateien Erstellen
Netzwerk-Management 5.5 Scripting Im Flash-Yes-Modus (Standard) werden die Konfigurationsbefehle auch gleichzeitig in den Flashspeicher des Gerätes geschrieben und werden damit bootresistent. Da bei der Konfiguration über die anderen Wege (Konsole ohne Script, LANconfig LANconfig oder WEBconfig) der Flash- Modus immer auf ON steht, wird in diesen Varianten die Konfiguration nacheinander in den RAM-Speicher und dann direkt in den Flash ge- schrieben.
Seite 195: Konfiguration Über Die Konsole Auslesen
Netzwerk-Management 5.5 Scripting Hinweis: Beim Auslesen eines Scriptes aus einem Gerät werden standard- mäßig nur die Parameter aufgeführt, die in der Konfiguration gegenüber dem Default-Zustand geändert wurden (’readscript’ → Seite 202). Ein komplettes Konfigurationsscript kann mit einem speziellen Befehlszusatz ausgelesen werden (’default’ → Seite 205). Konfiguration über die Konsole auslesen Melden Sie sich an der Konsole mit Supervisor-Rechten an.
Seite 196: Über Hyperterminal
Netzwerk-Management 5.5 Scripting Über Hyperterminal Terminalprogramme wie Hyperterminal bieten die Möglichkeit, die an der Konsole ausgegebenen Texte direkt in eine Textdatei zu speichern. Mit die- sem Verfahren kann man gerade bei umfangreichen Konfigurationsdateien die manchmal unübersichtliche Übertragung über die Zwischenablage um- gehen.
Seite 197 Netzwerk-Management 5.5 Scripting Bitte beachten Sie beim Einsatz eines Terminalprogramms über die seriel- le Schnittstelle folgende Hinweise: Die Modelle BAT54-F und BAT54-F X2 verfügen über eine reduzierte serielle Schnittstelle (nur Rx, TX, Ground), das HW-Handshake muss daher deaktiviert werden. Ein BAT54-Rail verfügt über eine vollständig belegte serielle Schnitt- stelle, die auch das HW-Handshake im Terminalprogramm unterstützt.
Seite 198: Kompakt Formatiert
Netzwerk-Management 5.5 Scripting Spalten-Namen Ohne weitere Angaben werden in den Scripten zunächst die Felder einer Tabelle als Spaltennamen angegeben, danach werden nur die jeweiligen Werte in die Zeilen eingefügt. Aktivieren sie diese Option, wenn jeder Wert in der Tabelle explizit mit der Bezeichnung der Spalte versehen sein soll, in der er abgelegt wird.
Seite 199: Befehlseingabe Über Konsolen-Sitzung (Telnet, Ssh)
Netzwerk-Management 5.5 Scripting Befehlseingabe über Konsolen-Sitzung (Telnet, SSH) In einer Konsolensitzung können Sie ein Script über die Zwischenablage in das Gerät einspielen: Öffnen Sie Ihr Script in einem beliebigen Texteditor und übertragen Sie die Konfigurationsbefehle in die Zwischenablage. Melden Sie sich an der Konsole mit Supervisor-Rechten an. Starten Sie den Script-Modus mit dem Befehl beginscript.
Seite 200: Script Hochladen Mit Lanconfig
Netzwerk-Management 5.5 Scripting Script hochladen mit LANconfig Unter LANconfig haben Sie die Möglichkeit, ein Script entweder nur auf ein Gerät oder parallel auf viele Geräte gleichzeitig anzuwenden. Klicken Sie mit der rechten Maustaste auf ein Gerät und wählen Sie im Kontextmenü...
Seite 201 Netzwerk-Management 5.5 Scripting Wählen Sie die gewünschte Scriptdatei und starten Sie die Übertragung. Nach dem erfolgreichen Beenden der Übertragung wird das Script automa- tisch gestartet. Bitte beachten Sie beim Einsatz eines Terminalprogramms über die seriel- le Schnittstelle folgende Hinweise: Die Modelle BAT54-F und BAT54-F X2 verfügen über eine reduzierte serielle Schnittstelle (nur Rx, TX, Ground), das HW-Handshake muss daher deaktiviert werden.
Seite 202: Mehrere Script-Sessions Parallel
Netzwerk-Management 5.5 Scripting 5.5.5 Mehrere Script-Sessions parallel Das BAT kann mehrere Script-Sessions parallel verwalten. So wie mehrere Konsolensitzungen gleichzeitig auf einem Gerät ablaufen können, können auch verschiedene Scripte gleichzeitig auf das BAT zugreifen. Parallele Script-Sessions machen z.B. in folgenden Szenarien Sinn: Mit einem Script wird ein zeitverzögerter Reboot des Gerätes gestartet, z.B.
Seite 203 Netzwerk-Management 5.5 Scripting Beispiel: Der Befehl readscript führt ohne weitere Einschränkungen bei einem BAT, für das nur ein Internet-by-Call-Zugang über ISDN eingerich- tet wurde, zu folgender Ausgabe an der Konsole: An diesem Beispiel ist das Verhalten des Scripts zu erkennen, das mit dem Befehl readscript erzeugt wird.
Seite 204 Netzwerk-Management 5.5 Scripting Hinweis: Bei Tabellenzeilen oder Strings, die Passwörter enthalten, werden die Passwörter im Klartext ausgegeben, da diese Form auch von der Tel- netoberfläche verlangt wird. Mit dem erzeugten Script ist der Anwender in der Lage, ein BAT genau so zu konfigurieren wie das Ursprungsgerät.
Seite 205 Netzwerk-Management 5.5 Scripting del * Dieser Befehl löscht eine komplette Tabelle in dem mit Path angegebe- nen Zweig des Menübaums. Syntax: del [PATH]* default Mit diesem Befehl ist es möglich, einzelne Parameter, Tabellen oder ganze Menübaume in die Grundkonfiguration zurückzusetzen. Syntax: default [-r] [PATH] Dieser Befehl setzt den mit PATH adressierten Parameter auf den Grund- zustand.
Seite 206 Netzwerk-Management 5.5 Scripting Der Befehl show script zeigt den Inhalt des zuletzt ausgeführten Scripts und eine Übersicht über die Scripte, die aktuell noch ausgeführt werden. Die bei der Ausgabe der aktuellen Scripte angezeigten Namen können zum vorzeitigen Abbrechen der Scripte verwendet werden (’killscript’ →...
Seite 207: Wlan-Konfiguration Mit Dem Assistenten Von Lanconfig
Netzwerk-Management 5.6 WLAN-Konfiguration mit dem Assistenten Syntax: sleep [-u] Wert[suffix] Als Suffix sind s, m, oder h fuer Sekunden, Minuten, oder Stunden erlaubt, ohne Suffix arbeitet der Befehl in Millisekunden. Mit dem Optionsschalter -u nimmt das sleep-Kommando Zeitpunkte im Format MM/DD/YYYY hh:mm:ss (englisch) oder im Format TT.MM.JJJJ hh:mm:ss (deutsch) entgegen.
Seite 208: Ländereinstellungen
Netzwerk-Management 5.6 WLAN-Konfiguration mit dem Assistenten Nehmen Sie mit Hilfe des Assistenten die gewünschten Einstellungen vor wie in den folgenden Abschnitten beschrieben. Ländereinstellungen Der Betrieb von WLAN-Karten ist international nicht einheitlich geregelt. Die Verwendung von bestimmten Funkkanälen ist z.B. in manchen Ländern nicht erlaubt.
Seite 209: Punkt-Zu-Punkt-Einstellungen
Netzwerk-Management 5.7 Gruppen-Konfiguration mit LANconfig Logische WLAN-Netzwerke Jedes WLAN-Modul kann bis zu acht logische WLAN-Netzwerke aufspan- nen, in dem sich mobile WLAN-Clients anmelden können. Zur Konfiguration eines logischen WLAN-Netzwerks werden die folgenden Parameter abge- fragt: Der Netzwerkname (SSID) Offenes oder geschlossenes Funk-LAN Verschlüsselungseinstellungen MAC-Filter Client-Bridge-Betrieb...
Seite 210: Anlegen Einer Gruppen-Konfiguration
In der LCOS-Version 5.00 werden zunächst Gruppen-Konfiguratio- nen für WLAN-Geräte unterstützt. In späteren Firmware-Versionen werden auch andere Gruppen-Konfigurationen (z.B. für die VPN- Parameter) unterstützt. Informieren Sie sich auf der BAT-Webseite www.hirschmann.com über aktuelle Firmware-Versionen mit erwei- terten Möglichkeiten der Gruppen-Konfiguration. 5.7.1 Anlegen einer Gruppen-Konfiguration Voraussetzung für die Verwendung der Gruppenkonfiguration ist die Grup-...
Seite 211 Netzwerk-Management 5.7 Gruppen-Konfiguration mit LANconfig Stellen Sie in der Konfiguration die Parameter so ein, wie sie für die ge- samte Gruppe gelten sollen. Beim Schließen des Konfigurationsdialogs fordert LANconfig Sie auf, die entsprechende Teil-Konfigurationsdatei an einem beliebigen Ort zu speichern. Hinweis: Die Gruppen-Konfiguration speichert alle Parameter in eine Teil- Konfigurationsdatei.
Seite 212: Gerätekonfigurationen Aktualisieren
Netzwerk-Management 5.7 Gruppen-Konfiguration mit LANconfig Bestehende Teil-Konfigurationsdatei verwenden In manchen Fällen ist es sinnvoll, die mit LANconfig verwalteten Geräte an- ders in Ordnern zu strukturieren, als es die Gruppen-Konfiguration erfordern würde. Die Geräte in standortspezifischen Ordnern können z.B. durchaus mit den gleichen Gruppen-Konfigurationen eingestellt werden.
Seite 213: Gruppen-Konfigurationen Aktualisieren
Netzwerk-Management 5.7 Gruppen-Konfiguration mit LANconfig 5.7.3 Gruppen-Konfigurationen aktualisieren Neben dem manuellen Verändern der Parameter einer Gruppen-Konfigura- tion kann auch die aktuelle Konfiguration eines Gerätes als Basis für eine Gruppen-Konfiguration verwendet werden. Ein Gerät wird damit zum „Ma- ster“ für alle anderen Geräte im gleichen Ordner. Um die Parameter einer Gruppen-Konfiguration von einer aktuellen Geräte- Konfiguration zu übenehmen, ziehen Sie einfach den Eintrag des Gerätes auf die gewünschte Gruppen-Konfiguration.
Seite 214: Rollout-Assistent
Netzwerk-Management 5.8 Rollout-Assistent 5.8 Rollout-Assistent In komplexen Szenarien mit vielen BAT-Geräten an unterschiedlichen Standorten ist am Einsatzort manchmal kein ausgebildeter Techniker verfüg- bar, der die Installation und Konfiguration eines BAT vornehmen kann. Dabei kann ein großer Teil der Konfiguration schon in der Zentrale vorgenommen werden, vor Ort muss lediglich die Anpassung einiger weniger standortspe- zifischer Parameter erledigt werden.
Seite 215: Variablen
Netzwerk-Management 5.8 Rollout-Assistent Mögliche Werte: Maximal 64 alphanumerische Zeichen Default: Rollout 5.8.2 Variablen Maximal zehn Definitionen von Variablen mit Index, Ident, Titel, Typ, Min- Wert, Max-Wert und Vorgabewert. Index Index für die Variable. Die Variablen werden in der Anzeige des Rollout- Assistenten in aufsteigender Reihenfolge angezeigt.
Seite 216: Vorgabewert
Netzwerk-Management 5.8 Rollout-Assistent String: Erlaubt die Eingabe eines Textes. Mit der Angabe von Min-Wert und Max-Wert kann die Länge des Textes eingeschränkt werden, außerdem kann ein Vorgabewert (Default) definiert werden. Dabei muss der Vorgabe-Text innerhalb der maximalen Länge liegen, län- gere Texte werden abgeschnitten.
Seite 217 Netzwerk-Management 5.8 Rollout-Assistent Default: 0 Aktion Aktion, die vom Rollout-Assistenten nach der Eingabe der Benutzerdaten ausgeführt werden soll. Mögliche Werte: Aktionen werden wie Cron-Befehle in der Syntax [Protokoll:]Argument eingetragen. Wenn kein Protokoll angegeben ist, wird 'exec:' verwendet. exec: Führt einen beliebigen Befehl aus, wie er auf der Telnet-Ebene zur Konfiguration eines BAT verwendet wird.
Seite 218: Aktionen Zur Verwaltung Des Rollout-Assistenten
Netzwerk-Management 5.9 Anzeige-Funktionen im LANmonitor 5.8.4 Aktionen zur Verwaltung des Rollout- Assistenten Variablen-Renumerieren Aktionen-Renumerieren Wie schon angeführt, werden Variablen und Aktionen in der Reihenfolge Ihres Index angezeigt bzw. abgearbeitet. Manchmal muss zwischen zwei Variablen/Aktionen mit benachbartem Index ein neuer Eintrag eingeführt werden.
Seite 219 Netzwerk-Management 5.9 Anzeige-Funktionen im LANmonitor Zu den Informationen, die in der Übersicht abgelesen werden können, gehö- ren u.a. die Details über die aktiven WAN-Verbindungen, die letzten fünf Mel- dungen der Firewall, die aktuellen VPN-Verbindungen, sowie die Systeminformationen mit Gebühren und Verbindungszeiten. Mit einem rechten Mausklick auf die Geräte im LANmonitor können im Kon- textmenü...
Seite 220 Netzwerk-Management 5.9 Anzeige-Funktionen im LANmonitor Name der Gegenstelle aktueller Status letzte Fehlermeldung IP-Adresse des Gateways Verschlüsselungsinformationen Accounting-Informationen Mit den Accounting-Informationen werden die Verbindungen der einzel- nen Stationen im LAN zu den erreichbaren Gegenstellen im WAN proto- kolliert. Dabei werden u.a. folgenden Detailinformationen erfasst: Name bzw.
Seite 221 Netzwerk-Management 5.9 Anzeige-Funktionen im LANmonitor Verbindungszeit Aktivitätsprotokoll Mit dem Aktivitätsprotokoll werden die Aktivitäten auf WAN-, WLAN-, VPN-, LANCAPI- und a/b-Port-Verbindungen sowie der Firewall proto- kolliert. Dabei werden u.a. folgenden Detailinformationen erfasst Datum und Uhrzeit Quelle Meldung Firewall-Ereignisanzeige Mit der Firewall-Ereignisanzeige werden die letzten 100 Aktionen der Firewall protokolliert.
Seite 222: Lanmonitor - Wissen, Was Läuft
Netzwerk-Management 5.10 LANmonitor – wissen, was läuft 5.10LANmonitor – wissen, was läuft Mit dem Überwachungstool LANmonitor können Sie sich unter Windows-Be- triebssystemen die wichtigsten Informationen über den Status Ihrer Router auf dem Bildschirm anzeigen lassen. Und zwar den Status aller BAT im Netz. Viele der internen Meldungen der Geräte werden dabei in Klartext umgewan- delt, zeigen Ihnen den aktuellen Zustand des Gerätes und helfen Ihnen bei der Fehlersuche.
Seite 223: Abfrage Der Cpu- Und Speicherauslastung Über Snmp
Als Beispiel für die Funktionen von LANmonitor zeigen wir Ihnen zuerst ein- mal, welche Informationen LANmonitor über den Verbindungsaufbau zu Ih- rem Internet-Provider bereitstellt. Starten Sie LANmonitor mit Start Programme Hirschmann Hirschmann LANmonitor. Legen Sie mit Datei Gerät hinzufügen ein neues Gerät an und geben im folgenden Fenster die IP-Adresse für den Router an, den Sie überwachen wollen.
Seite 224 Netzwerk-Management 5.10 LANmonitor – wissen, was läuft LANmonitor legt automatisch einen neuen Eintrag in der Geräteliste an und zeigt zunächst den Zustand der Übertragungskanäle. Starten Sie Ih- ren Web-Browser, und geben Sie eine beliebige Webseite ein. LANmonitor zeigt nun an, wie auf einem Kanal eine Verbindung aufge- baut wird und welche Gegenstelle dabei gerufen wird.
Seite 225: Tracen Mit Dem Lanmonitor
Netzwerk-Management 5.10 LANmonitor – wissen, was läuft Auf der Registerkarte 'Protokollierung'. können Sie die folgenden Aktivi- täten für die Protokollierung auswählen: WAN-Verbindungen WLAN-Verbindungen VPN-Verbindungen LANCAPI-Verbindungen a/b-Port-Verbindungen Firewall-Aktionen Zusätzlich stellen Sie hier ein, ob LANmonitor täglich, monatlich oder fortlaufend eine Protokolldatei erstellt und wo diese gespeichert wird. 5.10.4 Tracen mit dem LANmonitor Die Abfrage von Traces kann sehr komfortabel über den LANmonitor vorge- nommen werden.
Seite 226 Netzwerk-Management 5.10 LANmonitor – wissen, was läuft Mit der Trace-Funktion im LANmonitor können über die normalen Trace- Funktionen hinaus, wie sie von der Telnet-Oberfläche bekannt sind, weitere Funktionen genutzt werden, die eine Erstellung und Auswertung der Traces erleichtern. So kann z. B. die aktuelle Trace-Konfiguration, mit der die benö- tigten Trace-Befehle aktiviert werden, in einer Konfigurationsdatei gespei- chert werden.
Seite 227: Visualisierung Von Wlans: Wlanmonitor
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor 5.11Visualisierung von WLANs: WLANmonitor Mit dem BAT WLANmonitor können Sie zentral den Status eines drahtlosen Netzwerkes (WLAN) überwachen. Es stehen sowohl Informationen über das gesamte Netzwerk als auch Detailinformationen zu einzelnen Access-Points und zu eingeloggten Clients zur Verfügung. Zudem bietet der WLANmonitor die Möglichkeit, Access Points zu Gruppen zusammenzufassen.
Seite 228: Start Des Wlanmonitors
Der WLANmonitor ist Bestandteil des LANmonitor. Starten Sie den WLANmonitor aus dem LANmonitor über den Menüpunkt Extras WLANmonitor, über den entsprechenden Button in der LANmonitor-Button- leiste oder direkt über Start Programme Hirschmann Hirsch- mann WLANmonitor. Alternativ kann der WLANmonitor von der Konsole aus mit dem Befehl [Installationspfad]lanmon -wlan gestartet werden.
Seite 229: Access Points Hinzufügen
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor Verschlüsselung: Typ des Verschlüsselungsverfahrens der Funkverbin- dung WPA-Version (WPA-1 oder WPA-2) MAC-Adresse: Hardwareadresse des WLAN-Clients TX-Rate: Übertragungsrate beim Senden RX-Rate: Übertragungsrate beim Empfangen Letztes Ereignis, z.B. 'Authentifikation erfolgreich', 'RADIUS erfolgreich', 'Schlüsselaustausch erfolgreich' IP-Adresse des WLAN-Clients 5.11.3 Access Points hinzufügen Möchten Sie einen Access Point zur Liste hinzufügen, der nicht automatisch erkannt wurde, wählen Sie den Menüpunkt Datei...
Seite 230: Access Points Organisieren
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor 5.11.4 Access Points organisieren Der BAT WLANmonitor bietet Ihnen die Möglichkeit, alle verfügbaren Access Points unabhängig von ihren physikalischen Standorten anzuordnen. Das er- leichtert den Überblick im Netzwerk und hilft bei der Lokalisierung von evtl. auftretenden Problemen.
Seite 231: Rogue Ap Und Rogue Client Detection Mit Dem Wlanmonitor
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor 5.11.5 Rogue AP und Rogue Client Detection mit dem WLANmonitor Als Rogue bezeichnet man solche WLAN-Geräte, die unerlaubt versuchen, als Access Point oder Client Teilnehmer in einem WLAN zu werden. Bei Rogue Clients versuchen Rechner mit WLAN-Adapter in der Reich- weite des eigenen WLAN, sich bei einem der Access Points einzubuchen, um z.B.
Seite 232 Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor verwendetes Frequenzband verwendeter Funk-Kanal Verwendung des 108Mbps-Modus Hinweis: Für die Nutzung der Rogue AP Detection muss im Wireless Router das Background Scanning aktiviert werden. Folgende Gruppen nutzt der WLANmonitor zur Sortierung der gefundenen APs: Alle APs: Auflistung aller gescannter WLAN-Netze der folgenden Grup- Neue APs: neue unbekannte und unkonfigurierte WLAN-Netze gelangen automatisch in diese Gruppe (die APs werden gelb dargestellt)
Seite 233 Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor Rogue Client Detection Der WLANmonitor stellt alle gefundenen Clients in vordefinierten Untergrup- pen von 'Rogue Client Detection' dar und zeigt dabei u.a. folgende Informa- tionen: Zeitpunkt der ersten und letzten Erkennung MAC-Adresse des Clients Netzwerkname Hinweis: Für die Nutzung der Rogue Client Detection ist keine Konfiguration der Wireless Router erforderlich.
Seite 234: Aktivierung Der Rogue Ap Und Rogue Client Detection
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor Aktivierung der Rogue AP und Rogue Client Detection Die Nutzung der Rogue AP und Rogue Client Detection kann im WLANmonitor ein- bzw. ausgeschaltet werden. Konfigurationstool Aufruf WLANmonitor Extras Optionen Allgemein Rogue AP Detection aktiviert Aktivieren Sie diese Option, wenn der WLANmonitor unbekannte oder unkonfigurierte Access Points anzeigen soll.
Seite 235: Konfiguration Alarmierungsfunktion Im Wlanmonitor
Netzwerk-Management 5.11 Visualisierung von WLANs: WLANmonitor Konfiguration Alarmierungsfunktion im WLANmonitor Der WLANmonitor kann den Administrator automatisch per E-Mail informie- ren, wenn ein unbekannter oder unkonfigurierter Access Point entdeckt wird. Konfigurationstool Aufruf WLANmonitor Extras Optionen Alarmierung E-Mail-Benachrichtigung Aktivieren Sie diese Option, wenn der WLANmonitor unbekannte oder unkonfigurierte Access Points per E-Mail melden soll.
Seite 236: Benachrichtigungen
Netzwerk-Management 5.12 Benachrichtigungen Test-E-Mail senden Manche Mail-Clients erfordern vor dem Versand durch Dritt-Anwendun- gen eine Bestätigung durch den Benutzer. Testen Sie die Alarmierungs- funktion mit dieser Schaltfläche. 5.12Benachrichtigungen Für die Benachrichtigung über bestimmte Vorgänge im BAT stehen folgende Variablen in der Aktionstabelle zur Verfügung: WAN-IP-Adresse der WAN-Verbindung, in deren Kontext diese Aktion ausgeführt wird.
Seite 237 Netzwerk-Management 5.12 Benachrichtigungen Folgende Voraussetzungen müssen für die Benachrichtigung erfüllt sein: Der Zustand der VPN-Verbindung muss überwacht werden, z. B. durch die „Dead-Peer-Detection“ DPD. Das BAT muss als NTP-Client konfiguriert sein, damit das Gerät über eine aktuelle Systemzeit verfügt. Ein SMTP-Konto zum Versand der E-Mails muss eingerichtet sein. Wenn diese Voraussetzungen erfüllt sind, kann die Benachrichtigung einge- richtet werden.
Seite 238: Benachrichtigung Bei Zwangstrennung Der Dsl-Verbindung Unterdrücken
Netzwerk-Management 5.12 Benachrichtigungen Benachrichtigung bei Zwangstrennung der DSL-Verbindung unterdrücken Je nach Anbieter wird die für VPN-Verbindungen genutzte DSL-Leitung ein- mal alle 24 Stunden zwangsweise getrennt. Damit der Administrator nicht auch über diese regelmäßigen Unterbrechungen informiert wird, kann die Benachrichtigung für die Zeit der Zwangstrennung ausgeschaltet werden. Dazu wird zunächst mit einer Aktion die Zwangstrennung auf einen definier- ten Zeitpunkt gelegt, üblicherweise in die Nacht, wenn die Internetverbin- dung nicht benötigt wird.
Seite 239: Diagnose
Diagnose 6.1 Trace-Ausgaben – Infos für Profis 6 Diagnose 6.1 Trace-Ausgaben – Infos für Profis Zur Kontrolle der internen Abläufe im Router während oder nach der Konfi- guration bieten sich die Trace-Ausgaben an. Durch einen solchen Trace wer- den z.B. die einzelnen Schritte bei der Verhandlung des PPPs angezeigt. Erfahrene Anwender können durch die Interpretation dieser Ausgaben evtl.
Seite 240: Übersicht Der Parameter
Diagnose 6.1 Trace-Ausgaben – Infos für Profis 6.1.3 Übersicht der Parameter Hinweis: Die jeweils für ein bestimmtes Modell verfügbaren Traces können über die Eingabe von trace ohne Argumente auf der Kommandozeile angezeigt werden. Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Status Status-Meldungen der Verbindungen Fehler...
Seite 241: Kombinationsbefehle
Diagnose 6.1 Trace-Ausgaben – Infos für Profis Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: VRRP Informationen über das Virtual Router Redundancy Protocol Ethernet Informationen über die Ethernet-Schnittstellen VLAN Informationen über virtuelle Netzwerke IGMP Informationen über das Internet Group Management Protocol WLAN-DATA Listet auf dem WLAN empfangene und gesendete Pakete auf WLAN-STATUS...
Seite 242 Diagnose 6.1 Trace-Ausgaben – Infos für Profis Zum Einschalten eines Trace-Filters wird das Trace-Kommando um den Pa- rameter „@“ erweitert, der die folgende Filterbeschreibung einleitet. In der Filterbeschreibung gelten folgende Operatoren: Operator Beschreibung (Leerzeichen) ODER-Verknüpfung: Der Filter passt dann, wenn einer Operanden in der Trace-Ausgabe vor- kommen UND-Verknüpfung: Der Filter passt dann, wenn der Operand in der Trace-Ausgabe vorkommt...
Seite 243: Beispiele Für Die Traces
Diagnose 6.1 Trace-Ausgaben – Infos für Profis 6.1.6 Beispiele für die Traces Dieser Schlüssel ..ruft in Verbindung mit Trace die folgende Reaktion hervor: trace zeigt alle Protokolle an, die während der Konfiguration Ausgaben erzeu- gen können, und den Zustand der jeweiligen Ausgaben (ON oder OFF) trace + all schaltet alle Trace-Ausgaben ein trace - all...
Seite 244: Übertragen
Diagnose 6.2 SYSLOG-Speicher im Gerät Wählen Sie im Fenster 'Verbinden mit' im Pulldown-Menü 'Verbindung her- stellen über' den Eintrag 'TCP/IP'. Geben Sie anschließend als 'Hostadresse' die lokale/öffentliche IP-Adresse oder den FQDN des Gerätes ein. Nach der Bestätigung erscheint im HyperTerminal eine Login Aufforderung. Geben Sie nun das Konfigurationspasswort ein.
Seite 245: Syslog-Client Konfigurieren
Diagnose 6.2 SYSLOG-Speicher im Gerät WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie das SYS- LOG-Modul auf folgenden Pfaden: Konfigurationstool Aufruf/Tabelle WEBconfig Experten-Konfiguration Setup SYSLOG-Modul Terminal/Telnet /Setup/SYSLOG-Modul 6.2.2 SYSLOG-Client konfigurieren Das SYSLOG-Modul kann viele verschiedene Meldungen in den Gerätespei- cher schreiben.
Seite 246: Syslog-Meldungen Auslesen
Diagnose 6.3 Der Ping-Befehl WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie Liste der SYSLOG-Clients auf folgenden Pfaden: Konfigurationstool Aufruf/Tabelle WEBconfig Experten-Konfiguration Setup SYSLOG-Modul Tabelle-SYSLOG Terminal/Telnet /Setup/SYSLOG-Modul/Tabelle-SYSLOG 6.2.3 SYSLOG-Meldungen auslesen Zum Auslesen der SYSLOG-Meldungen öffnen Sie die Statistiken unter WEBconfig oder Telnet.
Seite 247 Diagnose 6.3 Der Ping-Befehl Die Bedeutung der optionalen Parameter können Sie der folgenden Tabelle entnehmen: Parameter Bedeutung -a a.b.c.d Setzt die Absenderadresse des Pings (Standard: IP-Adresse des Routers) -a INT Setzt die Intranet-Adresse des Routers als Absenderadresse -a DMZ Setzt die DMZ-Adresse des Routers als Absenderadresse - a LBx Setzt eine der 16 Loopback-Adressen als Absenderadresse.
Seite 248: Monitor-Modus Am Switch
Diagnose 6.4 Monitor-Modus am Switch 6.4 Monitor-Modus am Switch Die über den Switch der BAT-Geräte übertragenen Daten werden zielgerich- tet nur auf den Port aufgelegt, an dem der entsprechende Zielrechner ange- schlossen ist. An den anderen Ports sind diese Verbindungen daher nicht sichtbar.
Seite 249: Kabel-Tester
Diagnose 6.5 Kabel-Tester LANconfig Bei der Konfiguration mit LANconfig öffnen Sie die Ethernet-Switch-Einstel- lungen im Konfigurationsbereich 'Interfaces' auf der Registerkarte 'LAN' mit der Schaltfläche Ethernet-Ports. WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Ether- net-Switch-Einstellungen auf folgenden Pfaden: Konfigurationstool Aufruf/Tabelle WEBconfig...
Seite 250 Diagnose 6.5 Kabel-Tester Mit dem Kabel-Test können Sie aus dem BAT heraus die Verkabelung te- sten. Wechseln Sie dazu unter WEBconfig in den Menüpunkt Expertenkon- figuration Status Ethernet-Ports Kabel-Test. Geben Sie dort die Bezeichnung des Interfaces ein, das Sie testen wollen (z.B. “DSL1” oder “LAN-1”).
Seite 251: Sicherheit
Sicherheit 7.1 Schutz für die Konfiguration 7 Sicherheit Sie mögen es sicher nicht, wenn Außenstehende die Daten auf Ihren Rech- nern einsehen oder verändern können. Darüber hinaus sollten Sie die Kon- figurationseinstellungen Ihrer Geräte vor unbefugten Änderungen schützen. Dieses Kapitel widmet sich daher einem sehr wichtigen Thema: der Sicher- heit.
Seite 252: Passwortschutz
Sicherheit 7.1 Schutz für die Konfiguration 7.1.1 Passwortschutz Die einfachste Möglichkeit zum Schutz der Konfiguration ist die Vereinba- rung eines Passworts. Hinweis: Solange Sie kein Passwort vereinbart haben, kann jeder die Kon- figuration des Gerätes verändern. Beispielsweise könnten Ihre Internet- zugangsdaten eingesehen werden, oder der Router so umkonfiguriert werden, dass alle Schutzmechanismen außer Kraft gesetzt werden.
Seite 253: Eingabe Des Passwortes
Sicherheit 7.1 Schutz für die Konfiguration Wechseln Sie das Passwort regelmäßig. Passwörter sollen möglichst häufig gewechselt werden. Das ist mit Mühe verbunden, erhöht aber die Sicherheit des Passwortes beträchtlich. Wechseln Sie das Passwort sofort bei Verdacht. Wenn ein Mitarbeiter mit Zugriff auf ein Passwort Ihr Unternehmen ver- lässt, wird es höchste Zeit, dieses Passwort zu wechseln.
Seite 254: Einschränkung Der Zugriffsrechte Auf Die Konfiguration254
Sicherheit 7.1 Schutz für die Konfiguration Zum Schutz gegen solche Versuche kann die maximal zulässige Anzahl von fehlerhaften Login-Versuchen eingegeben werden. Wird diese Grenze er- reicht, wird der Zugang für eine bestimmte Zeit gesperrt. Tritt auf einem Zugang die Sperre in Kraft, so sind auch alle anderen Zugän- ge automatisch gesperrt.
Seite 255: Den Isdn-Administrationszugang Einschränken
Sicherheit 7.1 Schutz für die Konfiguration Den ISDN-Administrationszugang einschränken Nur für Modelle mit ISDN-Schnittstelle. Solange keine MSN für den Konfigurations-Zugriff eingetragen ist, nimmt ein unkonfiguriertes BAT die Rufe auf alle MSNs an. Sobald die erste Ände- rung in der Konfiguration gespeichert ist, nimmt das Gerät nur noch die An- rufe auf der Konfigurations-MSN an! Hinweis: Wenn bei der ersten Konfiguration keine Konfigurations-MSN ein- getragen wird, ist die Fernkonfiguration damit ausgeschaltet und das Ge-...
Seite 256: Den Netzwerk-Konfigurationszugriff Einschränken
Sicherheit 7.1 Schutz für die Konfiguration Hinweis: Der ISDN-Administrationszugang ist als einzige Konfigurationsme- thode von den im folgenden beschriebene Netzwerk-Zugangsbeschrän- kungen ausgenommen. D.h. alle auf der ADMIN-MSN eingehenden Verbindungen werden nicht über die Zugriffssteuerung von entfernten Netzen eingeschränkt. Hinweis: Wenn Sie die ISDN-Fernwartung ganz abschalten wollen, lassen Sie das Feld mit der ADMIN-MSN leer.
Seite 257: Einschränkung Des Netzwerk-Konfigurationszugriffs Auf Bestimmte Ip-Adressen
Sicherheit 7.1 Schutz für die Konfiguration Hinweis: Wenn Sie den Netzwerkzugriff auf den Router über das WAN ganz sperren wollen, stellen Sie den Konfigurationszugriff von entfernten Net- zen für alle Methoden auf 'nicht erlaubt'. Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet erreichen Sie die Konfiguration der Zugangsli- ste über folgende Menüs: Konfigurationstool Aufruf...
Seite 258: Die Sicherheits-Checkliste
Sicherheit 7.2 Die Sicherheits-Checkliste Standardmäßig enthält diese Tabelle keine Einträge, damit kann also von Rechnern mit beliebigen IP-Adressen aus über TCP/IP ein Zugriff auf den Router gestartet werden. Mit dem ersten Eintrag einer IP-Adresse sowie der zugehörigen Netzmaske wird der Filter aktiviert, und nur noch die in diesem Eintrag enthaltenen IP-Adressen werden berechtigt, die internen Funktionen zu nutzen.
Seite 259 Sicherheit 7.2 Die Sicherheits-Checkliste Haben Sie die Fernkonfiguration zugelassen? Wenn Sie die Fernkonfiguration nicht benötigen, so schalten Sie sie ab. Wenn Sie die Fernkonfiguration benötigen, so vergeben Sie unbedingt einen Kennwortschutz für die Konfiguration (siehe vorhergehender Abschnitt). Das Feld zur Abschaltung der Fernkonfiguration finden Sie ebenfalls in LANconfig im Konfigurationsbereich 'Management' auf der Registerkarte 'Security'.
Seite 260 Sicherheit 7.2 Die Sicherheits-Checkliste Haben Sie IP-Masquerading aktiviert? IP-Masquerading heißt das Versteck für alle lokalen Rechner beim Zugang ins Internet. Dabei wird nur das Router-Modul des Geräts mit seiner IP-Adresse im Internet bekannt gemacht. Die IP-Adresse kann fest vergeben sein oder vom Provider dynamisch zugewiesen werden. Die Rechner im LAN nutzen den Router dann als Gateway und können selbst nicht erkannt werden.
Seite 261 Mit Hilfe von 802.11i, WPA oder WEP verschlüsseln Sie die Daten im Funknetzwerk mit verschiedenen Verschlüsselungsmethoden wie AES, TKIP oder WEP. Hirschmann empfiehlt die stärkste mögliche Verschlüs- selung mit 802.11i und AES. Wenn der eingesetzte WLAN Client Adapter diese nicht unterstützt, nutzen Sie TKIP oder zumindest WEP. Stellen Sie sicher, dass in Ihrem Gerät bei aktivierter Verschlüsselungs-Funktion...
Seite 262 Sicherheit 7.2 Die Sicherheits-Checkliste Haben Sie für besonders sensiblen Datenaustausch auf dem Funknetzwerk die Funktionen von IEEE-802.1x eingerichtet? Wenn Sie auf Ihrem Funk-LAN besonders sensible Daten austauschen, können Sie zur weiteren Absicherung die IEEE-802.1x-Technologie ver- wenden. Um die IEEE-802.1x-Einstellungen zu kontrollieren oder zu aktivieren, wählen Sie in LANconfig den Konfigurationsbereich '802.1x'.
Seite 263: Firewall
Firewall 8.1 Gefährdungsanalyse 8 Firewall Für die meisten Firmen und viele Privatanwender ist eine Arbeit ohne das In- ternet nicht mehr denkbar. E-Mail und Web sind für die Kommunikation und Informationsrecherche unverzichtbar. Jede Verbindung der Rechner aus dem eigenen, lokalen Netzwerk mit dem Internet stellt aber eine potentielle Gefahr dar: Unbefugte können über diese Internet-Verbindung versuchen, Ihre Daten einzusehen, zu verändern oder Ihre Rechner zu manipulieren.
Seite 264: Die Wege Der Täter
Firewall 8.1 Gefährdungsanalyse Nutzung der Rechner im LAN für die Zwecke der Eindringlinge, z.B. für die Verbreitung von eigenen Inhalten, Angriffe auf dritte Rechner etc. Verändern der Daten auf den Rechnern im LAN, z.B. um sich auf diese Weise weitere Zugangsmöglichkeiten zu schaffen Zerstören von Daten auf den Rechnern im LAN Lahmlegen von Rechnern im LAN oder der Verbindung mit dem Internet Hinweis: Wir beschränken uns hier auf die Angriffe auf lokale Netzwerke...
Seite 265: Die Opfer
Firewall 8.1 Gefährdungsanalyse Wenn der Zugang über E-Mail oder WWW nicht möglich ist, kann der Angrei- fer auch ausspähen, ob ein Server im LAN bestimmte Dienste anbietet, die er für seine Zwecke nutzen kann. Da die Dienste auf den Servern über be- stimmte Ports im TCP/IP-Protokoll identifiziert werden, wird das Suchen nach offenen Ports auch als “Port-Scanning”...
Seite 266: Was Ist Eine Firewall
Firewall 8.2 Was ist eine Firewall? Der Angriff auf einen eigentlich gar nicht interessanten, ungeschützten Rechner einer Privatperson kann auch dem Zweck dienen, eine Aus- gangsbasis für Attacken auf die eigentlichen Ziele im zweiten Schritt vor- zubereiten. Der “uninteressante” Rechner wird damit zur Quelle des Angriffs im zweiten Schritt, der Angreifer kann seine Identität verschlei- ern.
Seite 267: Die Aufgaben Einer Firewall
Firewall 8.2 Was ist eine Firewall? Hinweis: Die Funktionen “Intrusion Detection” und “DoS-Abwehr“ gehören in manchen Anwendungen mit zum Umfang einer Firewall. Im BAT sind die- se Funktionen natürlich auch enthalten, aber als separate Module neben der Firewall realisiert. Weitere Informationen dazu finden Sie in den Abschnitten ’Intrusion De- tection’...
Seite 268: Protokollierung Und Alarmierung
Firewall 8.2 Was ist eine Firewall? Protokollierung und Alarmierung Eine wichtige Funktion einer Firewall ist neben dem Prüfen der Datenpakete und der richtigen Reaktion auf die Ergebnisse dieser Prüfung auch die Pro- tokollierung aller Aktionen, die bei der Firewall ausgelöst wurden. Durch die Auswertung dieser Protokolle kann der Admin Rückschlüsse auf die erfolg- ten Angriffe ziehen und auf Grund dieser Informationen ggf.
Seite 269 Firewall 8.2 Was ist eine Firewall? Die Konfiguration von paketfilternden Firewalls ist recht einfach, die Liste mit den zugelassenen oder verbotenen Paketen kann sehr schnell erweitert wer- den. Da auch die Anforderungen an die Performance eines Paketfilters mit recht geringen Mitteln erreicht werden kann, sind Paketfilter in der Regel di- rekt in Routern implementiert, die ohnehin als Schnittstelle zwischen den Netzwerken eingesetzt werden.
Seite 270: Stateful-Packet-Inspection
Firewall 8.2 Was ist eine Firewall? Stateful-Packet-Inspection Die Stateful-Packet-Inspection (SPF) oder kurz Stafeful Inspection erweitert den Ansatz der Paketfilter um eine Prüfung weiterer Verbindungsinformatio- nen. Neben der eher statischen Tabelle mit den zugelassenen Ports und Adressbereichen wird bei dieser Variante eine dynamische Tabelle gepflegt, in die Informationen über den Zustand der einzelnen Verbindungen eingetra- gen werden.
Seite 271 Firewall 8.2 Was ist eine Firewall? damit eine Verbindung des Servers von dessen Port 20 auf den Port 4322 des Clients anfordert. Die Firewall trägt auch diese Werte in die dynamische Tabelle ein, weil die Verbindung in das LAN hinein vom Client angefordert wird.
Seite 272 Firewall 8.2 Was ist eine Firewall? Dieser Pförtner macht seine Aufgabe also schon deutlich besser. Wenn in dieser Firma jemand einen Kurier bestellt, muss er parallel dazu auch den Pförtner anrufen und mitteilen, das er einen Kurier erwartet, um welche Uhr- zeit der da sein wird und was auf dem Lieferschein des Paketes steht.
Seite 273 Firewall 8.2 Was ist eine Firewall? Mail SMTP HTTP Lokales Netzwerk Dieser Dienst nimmt die Daten an, die von einer der beiden Seiten empfan- gen werden, und bildet sie für die jeweils andere Seite wieder ab. Was auf den ersten Blick wie ein ziemlich unnötiges Spiegeln vorhandener Daten aussieht, stellt bei näherem Hinsehen aber das tiefgreifende Konzept der Ap- plication Gateways dar: Es gibt in dieser Konstellation niemals eine direkte Verbindung z.B.
Seite 274: Die Firewall Im Bat
Firewall 8.3 Die Firewall im BAT 8.3 Die Firewall im BAT Nach den allgemeinen Erläuterungen zu den Gefahren aus dem Internet so- wie den Aufgaben und Typen von Firewalls finden sich in diesem Kapitel Be- schreibungen zu den speziellen Funktionen der Firewall im BAT und Hinweise auf die konkrete Konfiguration.
Seite 275 Firewall 8.3 Die Firewall im BAT Die Firewall prüft nur geroutete Datenpakete! RADIUS Benutzerver- Client/Server waltung LAN-Interfaces IP-Module: NetBIOS, VPN-Dienste DNS, DHCP-Server, RA- DIUS, RIP, NTP, SNMP, LAN / Switch VPN / PPTP SYSLOG, SMTP WAN-Interfaces Firewall / IDS / DoS / DSLoL WLAN-1-1 Anschluss über LAN/...
Seite 276 Firewall 8.3 Die Firewall im BAT Hostsperrliste Portsperrliste Verbindungsliste Filterliste Und so setzt die Firewall die Listen ein, wenn ein Datenpaket über den IP- Router geleitet werden soll: Zuerst wird nachgeschaut, ob das Paket von einem Rechner kommt, der in der Hostsperrliste vermerkt ist. Ist der Absender gesperrt, wird das Paket verworfen.
Seite 277: Die Firewall Prüft Mit Mehreren Listen
Firewall 8.3 Die Firewall im BAT Die Firewall prüft mit mehreren Listen Host gesperrt? Port gesperrt? Verbindung aktiv? RADIUS LAN-Interfaces Benutzerver- Client/Server waltung IP-Module: NetBIOS, VPN-Dienste DNS, DHCP-Server, RADI- US, RIP, NTP, SNMP, VPN / PPTP LAN / Switch SYSLOG, SMTP WAN-Interfaces DSLoL WLAN-1-1...
Seite 278: Besondere Protokolle
Firewall 8.3 Die Firewall im BAT In der Verbindungsliste wird für jede aufgebaute Verbindung ein Eintrag vorgenommen, wenn das geprüfte Paket von der Filterliste akzeptiert wird. In der Verbindungsliste wird festgehalten, von welcher Quelle zu welchem Ziel, über welches Protokoll und welchen Port eine Verbindung aktuell erlaubt ist.
Seite 279 Firewall 8.3 Die Firewall im BAT Wenn der Server hingegen größere Datenmengen senden (z.B. TFTP) will und auf dem Well-Known Port nicht zwischen Requests und Acknowledges unterscheiden möchte oder kann, so schickt er zunächst das Response-Pa- ket an den Quellport des Absenders. Dabei setzt er aber als eigenen Quell- port einen freien Port ein, auf dem er nun mit dem Client Daten austauschen möchte: Port Client...
Seite 280: Allgemeine Einstellungen Der Firewall
Firewall 8.3 Die Firewall im BAT ICMP-Verbindungen Für ICMP werden zwei Fälle unterschieden: Das sind zum einen die ICMP- Request/Reply-Verbindungen, wie sie z.B. beim “ping” verwendet werden, zum anderen die ICMP-Fehlermeldungen, die als Antwort auf ein beliebiges IP-Paket empfangen werden können. ICMP Request/Reply-Verbindungen können eindeutig durch den vom Initia- tor verwendeten Identifier zugeordnet werden, d.h.
Seite 281: Sitzungswiederherstellung
Firewall 8.3 Die Firewall im BAT Firewall/QoS-Aktivierung Mit dieser Option wird die gesamte Firewall inklusive der Quality-of-Service- Funktionen ein- bzw. ausgeschaltet. Hinweis: Bitte beachten Sie, dass die Funktionen des N:N-Mapping (’N:N- Mapping’ → Seite 448) nur wirksam sind, wenn die Firewall eingeschaltet ist! Administrator-E-Mail Zu den Aktionen, die die Firewall auslösen können, gehört auch die Alarmie-...
Seite 282 Firewall 8.3 Die Firewall im BAT Manchmal werden die Verbindungen gemäß den allgemeinen Aging-Einstel- lungen beendet, bevor die mit einer Anfrage angeforderten Datenpakete von der Gegenstelle empfangen wurden. In diesem Fall steht möglicherweise in der Verbindungsliste noch ein Eintrag für eine zulässige Verbindung, die Ver- bindung selbst ist aber nicht mehr vorhanden.
Seite 283 Firewall 8.3 Die Firewall im BAT TCP-Stealth-Modus Neben ICMP-Meldungen verrät auch das Verhalten bei TCP- und UDP-Ver- bindungen, ob sich an der angesprochenen Adresse ein Rechner befindet. Je nach umgebendem Netzwerk kann es sinnvoll sein, wenn TCP- und UDP- Pakete einfach verworfen werden, anstatt mit einem TCP-Reset bzw. einer ICMP-Meldung (port unreachable) zu antworten, wenn kein Listener für den jeweiligen Port existiert.
Seite 284: Die Parameter Der Firewall-Regeln
Firewall 8.3 Die Firewall im BAT Ein Mail- oder News-Server, der mit Hilfe dieses Dienstes etwaige zusätzli- che Informationen vom User anfordert, läuft dann zunächst in einen stören- den Timeout, bevor er beginnt, die Mails auszuliefern. Dieser Dienst benötigt also einen eigenen Schalter um ihn zu verstecken bzw. “konform” zu halten. Die Problematik dabei ist nun allerdings, dass eine Einstellung, die alle Ports versteckt, den ident-Port aber zurückweist, unsinnig ist - denn allein dadurch, dass der Ident-Port zurückgewiesen wird, wäre das BAT zu sehen.
Seite 285 Firewall 8.3 Die Firewall im BAT Priorität Das BAT nimmt beim Aufbau der Filterliste aus den Firewall-Regeln eine au- tomatische Sortierung der Einträge vor. Dabei wird der “Detallierungsgrad” berücksichtigt: Zunächst werden alle speziellen Regeln beachtet, danach die allgemeinen (z.B. Deny-All). Wenn sich durch die automatische Sortierung nicht das gewünschte Verhal- ten der Firewall einstellt, kann die Priorität von Hand verändert werden.
Seite 286 Firewall 8.3 Die Firewall im BAT Zur Realisierung dieses Szenarios wird also für jedes Subnetz eine Firewall- Regel eingerichtet, die ab einer Datenrate von 512 kBit/s zusätzliche Pakete der Protokolle FTP und HTTP verwirft. Für diese Regeln wird die Verknüp- fungsoption aktiviert.
Seite 287: Aufbau Der Firewall-Regeln
Firewall 8.3 Die Firewall im BAT Aufbau der Firewall-Regeln Verbin- Host? Bedingung Port? Limit Verbindung? Paket-Aktion Maßnah- RADIUS Benutzerver- Client/Server waltung IP-Module: NetBIOS, VPN-Dienste DNS, DHCP-Server, RADI- US, RIP, NTP, SNMP, LAN / Switch VPN / PPTP SYSLOG, SMTP WAN-Interfaces DSLoL WLAN-1-1 Anschluss...
Seite 288: Bedingung
Firewall 8.3 Die Firewall im BAT Hostnamen können nur dann verwendet werden, wenn das BAT die Namen in IP-Adressen auflösen kann. Dafür muss das BAT die Namen über DHCP oder NetBIOS gelernt haben, oder die Zuordnung muss statisch in der DNS- oder IP-Routing-Tabelle eingetragen sein.
Seite 289 Firewall 8.3 Die Firewall im BAT Zusätzlich kann für das Limit vereinbart werden, ob es sich auf eine logische Verbindung bezieht oder auf alle Verbindungen gemeinsam, die zwischen den festgelegten Ziel- und Quell-Stationen über die zugehörigen Dienste be- stehen. So wird gesteuert, ob der Filter greift, wenn z.B. alle HTTP-Verbin- dungen der User im LAN in Summe das Limit überschreiten oder ob es ausreicht, wenn eine einzige der parallel aufgebauten HTTP-Verbindungen den Schwellwert durchbricht.
Seite 290: Quality Of Service (Qos)
Firewall 8.3 Die Firewall im BAT Hinweis: Dabei wird physikalische Verbindung getrennt (also z.B. die Inter- netverbindung), nicht nur die logische Verbindung zwischen den beiden beteiligten Rechnern! Absender-Adresse sperren: Sperrt die IP-Adresse, von der das gefilter- te Paket empfangen wurde, für eine einstellbare Zeit. Ziel-Port sperren: Sperrt den Ziel-Port, an den das gefilterte Paket ge- sendet wurde, für eine einstellbare Zeit.
Seite 291: Benachrichtigung Per Syslog
Firewall 8.3 Die Firewall im BAT Es sei ein Filter namens ’BLOCKHTTP’ definiert, der den Zugriff auf einen HTTP-Server (192.168.200.10) abblockt, und für den Fall, dass doch jemand auf den Server zugreifen wollte, jeden Traffic von und zu diesem Rechner un- terbindet und den Administrator über SYSLOG informiert.
Seite 292 Firewall 8.3 Die Firewall im BAT matched this filter rule: BLOCKHTTP and exceeded this limit: more than 0 packets transmitted or received on a connection because of this the actions below were performed: drop block source address for 1 minutes send syslog message send SNMP trap send email to administrator...
Seite 293: Benachrichtigung Per Snmp-Trap
Firewall 8.3 Die Firewall im BAT Unter WEBconfig oder Telnet finden Sie die SMTP-Einstellungen unter: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration Setup SMTP Terminal/Telnet /Setup/SMTP Benachrichtigung per SNMP-Trap Wenn als Benachrichtigungsmethode das Versenden von SNMP-Traps akti- viert wurde (siehe auch ’SNMP’ → Seite 141), so wird die erste Zeile der Logging-Tabelle als Enterprise-Specific Trap 26 verschickt.
Seite 294 SNMP: Specific trap = 26 (0x1A) SNMP: Time stamp = 1442 (0x5A2) System-Descriptor SNMP: OID = 1.3.6.1.2.1.1.1.0 1. SNMP: String Value = Hirschmann BAT 6021 2.80.0001 / 23.09.2002 8699.000.036 Device-String SNMP: OID = 1.3.6.1.2.1.1.5.0 2. System-Name SNMP: String Value = Hirschmann BAT 6021 Time-Stamp SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.2.1 3.
Seite 295: Strategien Für Die Einstellung Der Firewall
Firewall 8.3 Die Firewall im BAT 8.3.6 Strategien für die Einstellung der Firewall Firewalls bilden die Schnittstelle zwischen Netzwerken und schränken dort den ungehinderten Datenaustausch mehr oder weniger deutlich ein. Damit stehen die Firewalls den Zielsetzungen der Netzwerke, zu denen sie selbst gehören, entschieden entgegen: Netzwerke sollen Rechner verbinden, Fire- walls sollen die Verbindung verhindern.
Seite 296 Firewall 8.3 Die Firewall im BAT Die Firewall schützt dabei zunächst die DMZ gegen Angriffe aus dem Inter- net. Zusätzlich schützt die Firewall aber auch das LAN gegen die DMZ. Die Firewall wird dazu so konfiguriert, dass nur folgende Zugriffe möglich sind: Stationen aus dem Internet können auf die Server in der DMZ zugreifen, der Zugriff aus dem Internet auf das LAN ist jedoch nicht möglich.
Seite 297: Tipps Zur Einstellung Der Firewall
Firewall 8.3 Die Firewall im BAT RADIUS Benutzerver- Client/Server waltung LAN-Interfaces IP-Module: NetBIOS, DNS, VPN-Dienste DHCP-Server, RADIUS, RIP, NTP, SNMP, SYS- LAN / Switch VPN / PPTP LOG, SMTP WAN-Interfaces Firewall / IDS / DoS / DSLoL WLAN-1-1 Anschluss WLAN 1-8 über LAN/ IP-Router ADSL...
Seite 298: Die Default-Einstellung Der Firewall
Softwareversionen hinweg übertragen werden (’Scripting’ → Seite 191). Explizite Beispielscripte finden sich in der BAT Knowledge- Base unter www.hirschmann.com/support. Hinweis: Sofern Sie in Ihrem LAN einen Server betreiben, der über Einträge in der Servicetabelle für Zugriffe aus dem Internet freigegeben ist (siehe ’IP-Masquerading’...
Seite 299: Aufbau Einer Expliziten "Deny-All"-Strategie
Firewall 8.3 Die Firewall im BAT Aufbau einer expliziten ”Deny-All”-Strategie Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenver- kehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Fi- rewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet.
Seite 300 Firewall 8.3 Die Firewall im BAT Sofern Sie VPN-Einwahl auf ein BAT als VPN-Gateway gestatten wollen, benötigen Sie eine Firewall-Regel, die die Kommunikation des Clients mit dem lokalen Netz erlaubt: Regel Quelle Ziel Aktion Dienst ALLOW_VPN_DIAL_IN Gegenstellenname Lokales Netzwerk Übertragen Für den Fall, dass ein VPN nicht vom BAT selbst terminiert wird (z.B.
Seite 301: Konfiguration Der Firewall-Regeln
Firewall 8.3 Die Firewall im BAT Diese Regeln können jetzt beliebig verfeinert werden - z.B. durch die Angabe von Mindest- und Maximalbandbreiten für den Serverzugriff, oder aber durch die feinere Einschränkung auf bestimmte Dienste, Stationen oder Gegenstel- len. Hinweis: Das BAT nimmt beim Aufbau der Filterliste eine automatische Sor- tierung der Firewall-Regeln vor.
Seite 302: Lanconfig
Firewall 8.3 Die Firewall im BAT LANconfig Die Einrichtung der Filter mit Hilfe von LANconfig ist besonders komfortabel. Im Konfigurationsbereich 'Firewall/QoS' befinden sich auf der Registerkarte 'Regeln' die Möglichkeiten zum Bearbeiten und Hinzufügen der Firewall-Re- geln. Im Dialog zur Definition der Filterregeln findet man auf den verschiedenen Registerkarten folgende Optionen: Allgemein: Hier wird der Name der Firewall-Regel festgelegt.
Seite 303 Firewall 8.3 Die Firewall im BAT Mit der Option 'Weitere Regeln beachten...' können z.B. komplexe Funktionen für die Sicherung der Bandbreiten mit QoS realisiert wer- den (’Verknüpfung’ → Seite 285). Mit der Option 'Diese Regel für die Erzeugung von VPN-Regeln her- anziehen' können die Informationen über Quell- und Zielnetzwerke dieser Regel auch für die Bildung von VPN-Netzwerken verwendet werden.
Seite 304 Firewall 8.3 Die Firewall im BAT Stationen: Hier werden die Stationen – als Absender oder Adressat der Pakete – festgelegt, für die die Filterregel gelten soll. Dienste: Hier wird festgelegt, für welche IP-Protokolle, Quell- und Ziel- ports die Filterregel gelten soll. Beispielsweise können Sie hier angeben, dass nur der Zugriff auf Internetseiten und E-Mail gestattet sein soll.
Seite 305 Firewall 8.3 Die Firewall im BAT WEBconfig, Telnet Unter WEBconfig oder Telnet werden die Firewall-Regeln in folgenden Me- nüs und Listen konfiguriert: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration / Setup / IP-Router / Firewall: Regel-Tabelle, Objekt- Tabelle, Aktions-Tabelle Terminal/Telnet /Setup/IP-Router/Firewall/Regel-Tabelle, Objekt-Tabelle, Aktions- Tabelle Zur Beschreibung der Firewall-Regeln gibt es im LCOS ein spezielle Syntax.
Seite 306 Firewall 8.3 Die Firewall im BAT Regel-Tabelle In der Regel-Tabelle werden verschiedene Informationen zu einer Firewall- Regel verknüpft. Die Regel enthält das zu filternde Protokoll, die Quelle, das Ziel sowie die auszuführende Firewall-Aktion. Zusätzlich gibt es für jede Fi- rewall-Regel einen Ein-/Ausschalter, eine Priorität, die Option für eine Ver- knüpfung mit anderen Regeln und eine Aktivierung der Regel für VPN- Verbindungen.
Seite 307 Firewall 8.3 Die Firewall im BAT Protokolle Dienste (Ports oder Port-Bereiche, z.B. HTTP, Mail&News, FTP, ...) Diese Elemente lassen sich beliebig kombinieren und hierarchisch struktu- rieren. So können z.B. zunächst Objekte für die Protokolle TCP und UDP de- finiert werden. Später kann man drauf aufbauend Objekte z.B. für FTP (= TCP + Ports 20 und 21), HTTP (= TCP + Port 80) und DNS (= TCP, UDP + Port 53) anlegen.
Seite 308 Firewall 8.3 Die Firewall im BAT Aktionstabelle Wie schon dargestellt, besteht eine Firewall-Aktion aus einer Bedingung, ei- nem Limit, einer Paket-Aktion und sonstigen Maßnahmen. In der Aktionsta- belle werden die Firewall-Aktionen als beliebige Kombinationen aus den folgenden Elementen zusammengestellt: Bedingungen Bedingung Beschreibung Objekt-ID...
Seite 309 Firewall 8.3 Die Firewall im BAT Limit Beschreibung Objekt- global Data Absolute Anzahl von Kilobytes, die an den Zielrechner gesendet oder von die- %lgd (abs) sem empfangen wurde, nach denen die Aktion ausgeführt wird global Data (rel) Anzahl von Kilobytes/Sekunde, Minute oder Stunde, die an den Zielrechner %lgds gesendet oder von diesem empfangen wurde, nach denen die Aktion ausge- %lgdm...
Seite 310 Firewall 8.3 Die Firewall im BAT Wenn die “Close-Port” Aktion ausgeführt wird, wird ein Eintrag in einer Sperrliste vorgenommen, durch den alle Pakete, die an den jeweiligen Rechner und Port gesendet werden, verworfen werden. Für das “Close- Port”-Objekt kann eine Sperrzeit in Sekunden, Minuten oder Stunden angegeben werden, die direkt hinter der Objekt-ID vermerkt wird.
Seite 311: Firewall-Diagnose
Firewall 8.3 Die Firewall im BAT Treffen aber in einer Sekunde 100 Pakete für den Server (Ziel-Adresse der Verbindung) ein (%lgbs100), so wird der entfernte Host (Quell-Adres- se) für 10 Minuten gesperrt (%h10) und eine E-Mail an den Administrator geschickt (%m) Die Aktionsobjekte können wie bereits die Protokoll-, Adress- und Dienstob- jekte in der Objekt-Tabelle mit einem Namen versehen und beliebig rekursiv miteinander kombiniert werden, wobei die maximale Rekursionstiefe auf 16...
Seite 312: Die Firewall-Tabelle
Firewall 8.3 Die Firewall im BAT Alle in diesem Abschnitt beschriebenen Listen und Tabellen finden Sie unter folgenden Menüpunkten: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration Status IP-Router-Statistik Terminal/Telnet /Status/IP-Router-Statistik Die Firewall-Tabelle Wenn ein zu loggendes Ereignis eingetreten ist, d.h. als auszuführende Ak- tion beim Empfang eines Paketes ist eine Mitteilung per E-Mail, Syslog oder SNMP gefordert, so wird dieses Ereignis in einer Logging-Tabelle festgehal- ten.
Seite 313 Firewall 8.3 Die Firewall im BAT Diese Tabelle enthält die folgenden Werte: Element Bedeutung Idx. laufender Index (damit die Tabelle auch über SNMP abgefragt werden kann) System- System-Zeit in UTC Kodierung (wird bei der Ausgabe der Tabelle in Klartext umgewandelt) Zeit Quell- Quell-Adresse des gefilterten Pakets...
Seite 314: Die Filterliste
Firewall 8.3 Die Firewall im BAT Element Bedeutung Limit Bitfeld, dass das überschrittene Limit beschreibt, durch welches das Paket gefiltert wurde. Es sind zur Zeit folgende Werte definiert: 0x01 Absolute Anzahl, 0x02 Anzahl pro Sekunde, 0x04 Anzahl pro Minute, 0x08 Anzahl pro stunde, 0x10 globales Limit, 0x20 Bytelimit (wenn nicht gesetzt, handelt es sich um ein Paket-Limit), 0x40 limit gilt nur in Empfangsrichtung,...
Seite 315 Firewall 8.3 Die Firewall im BAT Unter WEBconfig hat die Filterliste den folgenden Aufbau: Die einzelnen Felder in der Filterliste haben folgende Bedeutung: Eintrag Beschreibung Idx. laufender Index Prot zu filterndes Protokoll, also z.B. 6 für TCP oder 17 für UDP Quell-MAC Ethernet-Quell-Adresse des zu filternden Pakets oder 000000000000, wenn der Filter für alle Pakete gelten soll...
Seite 316: Die Verbindungsliste
Firewall 8.3 Die Firewall im BAT Eintrag Beschreibung Q-bis End-Quell-Port der zu filternden Pakete. Spannt zusammen mit dem Start-Quell-Port einen Portbereich auf, in dem der Filter wirksam ist. Sind Start und Endport 0, so gilt der Filter für alle Quell-Ports Ziel-MAC Ethernet-Zieladresse des zu filternden Pakets oder 000000000000, wenn der Filter für alle Pakete gelten soll...
Seite 317 Firewall 8.3 Die Firewall im BAT Die Tabelle enthält die folgenden Elemente: Element Bedeutung Quell- Quell-Adresse der Verbindung Adresse Ziel- Ziel-Adresse der Verbindung Adresse Protocol verwendetes Protokoll (TCP/UDP etc.) Das Protokoll wird dezimal angegeben Quell-Port Quell-Port der Verbindung. Der Port wird nur bei portbehafteten Protokollen (TCP/UDP) oder Protokollen, die ein vergleichbares Feld besitzen (ICMP/GRE) angegeben Ziel-Port Ziel-Port der Verbindung (bei UDP-Verbindungen wird dieser erst mit der ersten Antwort...
Seite 318 Firewall 8.3 Die Firewall im BAT Flag Bedeutung 00080000 physikalische Verbindung ist nicht aufgebaut 00100000 Quelle ist auf Default-Route 00200000 Quelle ist auf VPN-Route 00800000 keine Route zum Ziel 01000000 enthält globale Aktion mit Bedingung Portsperrliste Wenn als Aktion die Sperrung des Zielports auf dem Zielrechner ausgewählt wurde, so werden Adresse, Protokoll und Port des Zielrechners in der Port- sperrtabelle abgelegt.
Seite 319: Grenzen Der Firewall
Firewall 8.4 Intrusion Detection 8.3.10 Grenzen der Firewall Neben dem Verständnis der Funktionsweise der Firewall ist es auch sehr wichtig, ihre Grenzen zu erkennen und sie ggf. weiter zu ergänzen. So schützt die Firewall grundsätzlich nicht vor bösartigen Inhalten, die auf den zugelassenen Wegen in das lokale Netzwerk gelangen.
Seite 320: Portscan-Erkennung
Firewall 8.4 Intrusion Detection IP-Spoofing Beim IP-Spoofing gibt sich der Absender eines Pakets als ein anderer Rech- ner aus. Dies geschieht entweder, um Firewalls überlisten, die Paketen aus dem eigenen Netz mehr Vertrauen schenken als Paketen aus fremden Net- zen, oder um den Urheber eines Angriffs (z.B. Smurf) zu verschleiern. Die BAT Firewall schützt sich davor durch Routenprüfung, d.h.
Seite 321 Firewall 8.4 Intrusion Detection Neben der Maximalzahl der Portanfragen, der Paket-Aktion und den mögli- chen Meldemechanismen gibt es hier noch weitergehende Reaktionsmög- lichkeiten: Die Verbindung wird getrennt Die Adresse des Absenders wird für eine einstellbare Zeit gesperrt Der Zielport des Scans wird für eine einstellbare Zeit gesperrt WEBconfig, Telnet Die Verhaltensweise des Intrusion Detection Systems wird unter WEBconfig oder Telnet hier konfiguriert:...
Seite 322: Schutz Vor "Denial-Of-Service"-Angriffen
Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen 8.5 Schutz vor “Denial-of- Service”-Angriffen Angriffe aus dem Internet können neben Einbruchsversuchen auch Angriffe mit dem Ziel sein, die Erreichbarkeit und Funktionstüchtigkeit einzelner Dien- ste zu blockieren. Diese Angriffe nennt man auch “Denial-Of-Service”. BAT- Geräte sind mit entsprechenden Schutzmechanismen ausgestattet, die be- kannte Hacker-Angriffe erkennen und die Funktionstüchtigkeit erhalten.
Seite 323 Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen Smurf Der Smurf-Angriff arbeitet zweistufig und legt gleich zwei Netze lahm. Im er- sten Schritt wird mit gefälschter Absenderadresse ein Ping (ICMP Echo-Re- quest) an die Broadcastadresse des erste Netzes gesendet, worauf alle Rechner in diesem Netz mit einem ICMP-Echo-Reply und die gefälschte Ab- senderadresse (die im zweiten Netz liegt) antworten.
Seite 324 Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen Im IP-Header befindet sich das Feld “Fragment-Offset” das angibt, an wel- cher Stelle das empfangene Fragment in das IP-Paket eingebaut werden soll. Dieses Feld hat eine Länge 13 Bit und gibt die Einfügeposition in jeweils 8 Byte grossen Schritten an.
Seite 325: Konfiguration Der Dos-Abwehr
Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen Bonk/Fragrouter Bonk ist eine Variante des Teardrop-Angriffs, die jedoch nicht zum Ziel hat den angegriffenen Rechner zum Absturz zu bringen, sondern einfache Port- filter Firewalls, die auch fragmentierte Pakete akzeptieren auszutricksen und somit in das zu schützende Netz einzudringen. Bei diesem Angriff wird näm- lich durch geschickte Wahl des Fragment-Offsets der UDP- oder TCP-Hea- der des ersten Fragments überschrieben.
Seite 326 Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen Hinweis: Um die Anfälligkeit des Netzes vor DoS-Attacken schon im Vorfeld drastisch zu reduzieren, dürfen Pakete aus entfernten Netzen nur dann angenommen werden, wenn entweder eine Verbindung vom internen Netz aus initiiert wurde, oder die einkommenden Pakete durch einen ex- pliziten Filtereintrag (Quelle: entferntes Netz, Ziel: lokales Netz) zugelas- sen werden.
Seite 327: Konfiguration Von Ping-Blocking Und Stealth-Modus
Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen WEBconfig, Telnet Die Verhaltensweise der DoS-Erkennung und -Abwehr wird unter WEBconfig oder Telnet hier konfiguriert: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration: Setup/IP-Router/Firewall Terminal/Telnet Setup/IP-Router/Firewall Immer aktiv hingegen sind folgende Schutzmechanismen: Adressüberprüfung (gegen IP-Spoofing) Abblocken von Broadcasts in lokale Netz (gegen Smurf und Co). 8.5.3 Konfiguration von ping-Blocking und Stealth- Modus LANconfig...
Seite 328 Firewall 8.5 Schutz vor “Denial-of-Service”-Angriffen WEBconfig, Telnet Unter WEBconfig oder Telnet wird das Unterdrücken der Antworten hier kon- figuriert: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration: Setup/IP-Router/Firewall Terminal/Telnet Setup/IP-Router/Firewall BAT54-Rail/F.. Release 7.54 06/08...
Seite 329: Quality-Of-Service
Quality-of-Service 9.1 Wozu QoS? 9 Quality-of-Service Dieses Kapitel widmet sich dem Thema Quality-of-Service (kurz: QoS). Un- ter diesem Oberbegriff sind die Funktionen des LCOS zusammengefasst, die sich mit der Sicherstellung von bestimmten Dienstgüten befassen. 9.1 Wozu QoS? Generell möchte man mit dem Quality-of-Service erreichen, dass bestimmte Datenpakete entweder besonders sicher oder möglichst sofort übertragen werden: Bei der Datenübertragung kann es durchaus vorkommen, dass Datenpa-...
Seite 330: Welche Datenpakete Bevorzugen
Quality-of-Service 9.2 Welche Datenpakete bevorzugen? 9.2 Welche Datenpakete bevorzugen? Die Notwendigkeit für das QoS-Konzept entsteht erst durch die Tatsache, dass die verfügbare Bandbreite nicht immer ausreicht, um alle anstehenden Datenpakete zuverlässig und rechtzeitig zu übertragen. Werden über die Da- tenleitung gleichzeitig große FTP-Downloads gefahren, E-Mails ausge- tauscht und IP-Telefone verwendet, kommt es sehr schnell zu Belastungsspitzen.
Seite 331: Was Ist Diffserv
Quality-of-Service 9.2 Welche Datenpakete bevorzugen? Limitierte Maximalbandbreite 9.2.1 Was ist DiffServ? DiffServ steht für “Differentiated Services” und stellt ein relativ neues Modell dar, die Priorität der Datenpakete zu signalisieren. DiffServ basiert auf dem bekannten Type-of-Service(ToS)-Feld und nutzt das gleiche Byte im IP-Hea- der.
Seite 332: Garantierte Mindestbandbreiten
Quality-of-Service 9.2 Welche Datenpakete bevorzugen? 9.2.2 Garantierte Mindestbandbreiten Hiermit geben Sie Vorfahrt für sehr wichtige Applikationen, Voice-over-IP (VoIP)-TK-Anlagen oder bestimmte Benutzergruppen. Bei BAT-Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die QoS-Einstellungen für SIP-Ge- spräche automatisch vorgenommen! Volldynamisches Bandbreitenmanagement beim Senden Das Bandbreitenmanagement erfolgt in Senderichtung dynamisch.
Seite 333: Limitierte Maximalbandbreiten
Quality-of-Service 9.3 Das Warteschlangenkonzept Ist die QoS-Regel global definiert, wird die reservierte Bandbreite erst nach dem Beenden der letzten Verbindung wieder freigegeben. 9.2.3 Limitierte Maximalbandbreiten Hiermit schränken Sie z.B. die gesamte oder verbindungsbezogene Maxi- malbandbreite für Serverzugriffe ein. Ein Beispiel: Sie betreiben einen Webserver und ein lokales Netzwerk an einem gemein- samen Internetzugang.
Seite 334: D Urgent Queue
Quality-of-Service 9.3 Das Warteschlangenkonzept TCP-Steuerungspakete können ebenfalls durch diese Queue bevor- zugt versendet werden (siehe ’SYN/ACK-Speedup’ → Seite 386) Urgent Queue II Hier landen alle Pakete, die eine garantierte Mindestbandbreite zugewie- sen bekommen haben, deren Verbindung diese aber überschritten hat. Solange das Intervall für die Mindestbandbreite läuft (z.B.
Seite 335 Quality-of-Service 9.3 Das Warteschlangenkonzept n x 64 kBit/s 54 MBit/s 128 KBit/s 100 MBit/s Internet Warteschlangen Anders sieht das aus, wenn ein Ethernet-Interface die Verbindung ins WAN darstellt. Aus Sicht des BAT sieht die Verbindung ins Internet über das ein externes DSL-Modem wie ein Ethernet-Abschnitt aus.
Seite 336: Empfangsseitige Warteschlangen
Quality-of-Service 9.3 Das Warteschlangenkonzept Um dieses Problem zu lösen, wird die Übertragungsrate des WAN-Interfaces im BAT künstlich gedrosselt. Die Schnittstelle wird dabei auf die Übertra- gungsrate eingestellt, die für den Transport der Daten ins WAN zur Verfü- gung stehen. Bei einem Standard-DSL-Anschluss wird also das DSL- Interface im BAT auf die entsprechende Upstreamrate (128 KBit/s) einge- stellt.
Seite 337: Reduzierung Der Paketlänge
Quality-of-Service 9.4 Reduzierung der Paketlänge Jedes WAN-Interface erhält zusätzlich eine QoS-Empfangsqueue, wel- che die Pakete aufnimmt, die “ausgebremst” werden sollen. Die Verweil- dauer jedes einzelnen Pakets richtet sich nach der Länge des Pakets und der aktuell zulässigen Empfangsbandbreite. Pakete, für die über eine QoS-Regel eine empfangsseitige Mindestbandbreite definiert ist, werden ungebremst durchgelassen, solange die Mindestbandbreite nicht überschritten wurde.
Seite 338 Quality-of-Service 9.4 Reduzierung der Paketlänge Dieses störende Verhalten kann ausgeglichen werden, wenn alle Datenpa- kete, die nicht zu der über QoS bevorzugten Verbindung gehören, eine be- stimmte Länge nicht überschreiten. Auf der FTP-Verbindung werden dann z.B. nur so kleine Pakete verschickt, dass die zeitkritische VoIP-Verbindung die Pakete in der benötigten Taktung ohne zeitliche Verzögerung zustellen kann.
Seite 339: Qos-Parameter Für Voice-Over-Ip-Anwendungen
Quality-of-Service 9.5 QoS-Parameter für Voice-over-IP-Anwen- Sofern die Datenverbindung schon besteht, wenn die VoIP-Verbindung gestartet wird, regeln die Absender die Paketlänge sehr schnell auf den zulässigen Wert zurück. Beim Aufbau von neuen Datenverbindungen, während die VoIP-Verbindung schon steht, wird während der Verbin- dungsverhandlung direkt die maximal zulässige Paketlänge vereinbart.
Seite 340 Quality-of-Service 9.5 QoS-Parameter für Voice-over-IP-Anwen- Paketverlust Jitter 20 % 10 % 10 ms 100 ms 150 ms 300 ms Verzögerung Bei einer Verzögerung von nicht mehr als 100 ms und einem Paketverlust von weniger als 5% wird die Qualität wie bei einer “normalen” Telefonverbin- dung empfunden, bei nicht mehr als 150 ms Verzögerung und weniger als 10% Paketverlust empfindet der Telefonteilnehmer immer noch eine sehr gute Qualität.
Seite 341 Quality-of-Service 9.5 QoS-Parameter für Voice-over-IP-Anwen- Zum fixen Anteil der Verzögerung tragen die Zeit der Verarbeitung (Processing: Paketierung, Kodierung und Kompression beim Absen- der sowie beim Empfänger), die Dauer für Übergabe des Pakets von der Anwendung an das Interface (Serialization) und die Zeit für die Übertragung über die WAN-Strecke (Propagation).
Seite 342 Quality-of-Service 9.5 QoS-Parameter für Voice-over-IP-Anwen- Die Zeit für die Übergabe der Pakete an das Interface wird durch den Quotient aus Paketgröße und verfügbarer Bandbreite definiert: Paketgröße in Byte 1024 1500 56 Kbit/s 0,14 64 Kbit/s 0,13 128 Kbit/s 0,06 256 Kbit/s 0,03 512 Kbit/s 0,016...
Seite 343: Qos In Sende- Oder Empfangsrichtung
Quality-of-Service 9.6 QoS in Sende- oder Empfangsrichtung Achtung: Die Werte in der Tabelle gelten für die Verwendung von AES. Bei anderen Verschlüsselungsverfahren kann sich die resultierende Pa- ketgröße in geringem Umfang ändern. Hinweis: Weitere Informationen über die Bandbreiten beim Zusammenspiel von Voice over IP und IPSec entnehmen Sie bitte dem BAT-Techpaper Performance-Analyse der BAT Router.
Seite 344: Qos-Konfiguration
Quality-of-Service 9.7 QoS-Konfiguration Die Richtung entspricht dem logischen Verbindungsaufbau Die Richtung entspricht der physikalischen Datenübertragung über das jeweilige Interface Die Betrachtung eines FTP-Transfers macht die Unterschiede deutlich. Ein Client im LAN und ist über ein BAT mit dem Internet verbunden. Bei einer aktiven FTP-Session sendet der Client dem Server über den PORT-Befehl die Informationen, auf welchem Port er die DATA-Verbin- dung erwartet.
Seite 345: Diffserv In Den Firewall-Regeln
Quality-of-Service 9.7 QoS-Konfiguration WEBconfig, Telnet Bei der Konfiguration mit WEBconfig oder Telnet wird die Entscheidung für die Auswertung der ToS- oder DiffServ-Felder an folgenden Stellen eingetra- gen: Konfigurationstool Aufruf WEBconfig Setup/IP-Routermodul/Routing-Methode Telnet Setup/IP-Routermodul/Routing-Methode Die Einstellmöglichkeiten des Wertes Routing-Methode sind folgende: Normal: Das ToS/DiffServ-Feld wird ignoriert.
Seite 346 Quality-of-Service 9.7 QoS-Konfiguration Je nach Auswahl des DSCP-Typs (BE, CS, AF, EF) können in zusätzlichen Drop-Down-Listen die gültigen Werte eingestellt werden. Alternativ kann auch der DSCP-Dezimalwert direkt eingetragen werden. Eine Tabelle mit den gültigen Werten findet sich unter ’Was ist DiffServ?’ → Seite 331. WEBconfig, Telnet Bei der Konfiguration mit WEBconfig oder Telnet werden diese Parameter an folgenden Stellen in eine neue Firewallregel eingetragen:...
Seite 347: Minimal- Und Maximalbandbreiten Definieren
Quality-of-Service 9.7 QoS-Konfiguration %Fprw256 @dEF: PMTU-Reduzierung beim Empfang für DiffServ “EF” auf 256 Bytes) Mit den hier aufgeführten Beispielen kann man für Voice-over-IP-Telefonate die gewünschte Bandbreite freihalten. Der erste Baustein “%Lcds0 @dAFxx %A“ akzeptiert die mit dem DSCP “AFxx” markierten Pakete zur Signalisie- rung eines Anrufs.
Seite 348 Quality-of-Service 9.7 QoS-Konfiguration Mit der Option 'Aktion nur für VPN-Route' beschränkt man die Regel auf Pakete, die über einen VPN-Tunnel gesendet oder empfangen werden. Mit der Option 'Erzwungen' wird eine statische Bandbreitenreservie- rung definiert. Die so reservierte Bandbreite bleibt für alle anderen Verbindungen auch dann gesperrt, wenn die bevorzugte Verbindung die Bandbreite zur Zeit nicht in Anspruch nimmt.
Seite 349: Übertragungsraten Für Interfaces Festlegen
Quality-of-Service 9.7 QoS-Konfiguration 9.7.3 Übertragungsraten für Interfaces festlegen Hinweis: Geräte mit eingebautem ADSL/SDSL-Modem bzw. mit ISDN-Ad- apter nehmen diese Einstellungen für das jeweilige Interface selbständig vor. Bei einem BAT-Modell mit DSL- und ISDN-Interface wird diese Ein- stellung also nur für das Ethernet-Interface vorgenommen. LANconfig Die Beschränkungen der Datenübertragungsrate für Ethernet-, DSL und DS- LoL-Interfaces werden im LANconfig im Konfigurationsbereich 'Interfaces'...
Seite 350: Sende- Und Empfangsrichtung
Quality-of-Service 9.7 QoS-Konfiguration WEBconfig, Telnet Unter WEBconfig oder Telnet können die Beschränkungen der Datenüber- tragungsrate für Ethernet-, DSL und DSLoL-Interfaces an folgender Stelle eingetragen werden: Konfigurationstool Aufruf WEBconfig Setup/Schnittstellen/DSL-Schnittstellen Telnet Setup/Schnittstellen/DSL-Schnittstellen Hinweis: Die Werte für die Upstream-Rate und die Downstream-Rate wer- den in KBit/s angegeben, die Werte für den externen Overhead in Bytes/ Paket.
Seite 351: Reduzierung Der Paketlänge
Quality-of-Service 9.7 QoS-Konfiguration WEBconfig, Telnet Bei der Konfiguration mit WEBconfig oder Telnet wird die Bedeutung der Da- tenübertragungsrichtung über die Parameter “R” für receive (Empfangen), “T” für transmit (Senden) und “W” für den Bezug zum WAN-Interface an fol- genden Stellen in eine neue Regel der Firewall eingetragen: Konfigurationstool Aufruf WEBconfig...
Seite 352 Quality-of-Service 9.7 QoS-Konfiguration WEBconfig, Telnet Bei der Konfiguration mit WEBconfig oder Telnet wird die Reduzierung über die Parameter “P” für die Reduzierung der PMTU (Path MTU, MTU = Maxi- mum Transmission Unit) und “F” für die Größe der Fragmente an folgenden Stellen in eine neue Firewallregel eingetragen: Konfigurationstool Aufruf...
Seite 353: Qos Für Wlans Nach Ieee 802.11E
Quality-of-Service 9.8 QoS für WLANs nach IEEE 802.11e Diese Regel setzt die Mindestbandbreite für Senden und Empfang auf 32 KBit/s, erzwingt und verringert die PMTU beim Senden und Empfang auf 256 Byte große Pakete. Für die TCP-Verbindungen wird die Maximum Segment Size des lokalen Rechners auf 216 gesetzt, damit der Server maximal 256 Bytes große Pakete sendet (Verringerung der PMTU in Sende- und Emp- fangsrichtung).
Seite 354 Quality-of-Service 9.8 QoS für WLANs nach IEEE 802.11e Die Verwendung von 802.11e kann in einem BAT Access Point für jedes phy- sikalische WLAN-Netzwerk getrennt aktiviert werden. Konfigurationstool Aufruf LANconfig Interfaces Wireless LAN Physikalische WLAN-Einstellungen Performance WEBconfig, Telnet Experten-Konfiguration > Setup > Schnittstellen > WLAN > Leistung BAT54-Rail/F..
Seite 355: Virtuelle Lans (Vlans)
Virtuelle LANs (VLANs) 10.1 Was ist ein Virtuelles LAN? 10 Virtuelle LANs (VLANs) 10.1Was ist ein Virtuelles LAN? Die steigende Verfügbarkeit von preiswerten Layer-2-Switches erlaubt den Aufbau sehr viel größerer LANs als in der Vergangenheit. Bisher wurden oft kleinere Abschnitte eines Netzwerks mit Hubs zusammengeschlossen. Die- se einzelnen Segmente (Collision Domains) wurden dann über Router zu größeren Einheiten zusammengeschlossen.
Seite 356: So Funktioniert Ein Vlan
Virtuelle LANs (VLANs) 10.2 So funktioniert ein VLAN 10.2So funktioniert ein VLAN Mit der Definition von VLANs auf einem LAN sollen folgende Ziele erreichet werden: Der Datenverkehr von bestimmten logischen Einheiten soll gegenüber anderen Netzteilnehmern abgeschirmt werden. Der Broadcast-Datenverkehr soll ebenfalls auf die logischen Einheiten re- duziert werden und nicht das gesamte LAN belasten.
Seite 357: Frame-Tagging
Virtuelle LANs (VLANs) 10.2 So funktioniert ein VLAN 10.2.1 Frame-Tagging Um den Datenverkehr eines virtuellen LANs gegen die anderen Netzteilneh- mer abschirmen und ggf. priorisieren zu können, müssen die Datenpakete eine entsprechende Kennzeichnung aufweisen. Dazu werden die MAC-Fra- mes um ein zusätzliches Merkmal (ein “Tag”) erweitert. Das entsprechende Verfahren wird daher auch als “Frame-Tagging”...
Seite 358: Umsetzung In Den Schnittstellen Des Lans
Virtuelle LANs (VLANs) 10.2 So funktioniert ein VLAN Hinweis: Ältere Switches in LAN können überlange Frames möglicherweise nicht richtig zwischen den einzelnen Ports weiterleiten und verwerfen die getaggten Pakete. 10.2.2 Umsetzung in den Schnittstellen des LANs Mit den virtuellen LANs sollen bestimmte Stationen zu logischen Einheiten zusammengefasst werden.
Seite 359: Anwendungsbeispiele
Virtuelle LANs (VLANs) 10.2 So funktioniert ein VLAN hand der Einstellungen kann die Basisstation erkennen, dass die WLAN- Schnittstelle ebenfalls zum VLAN 3 gehört. Sie entfernt das VLAN-Tag aus dem MAC-Frame und gibt das Paket auf der drahtlosen Schnittstelle wieder aus.
Seite 360: Verschiedene Organisationen Auf Einem Lan
Virtuelle LANs (VLANs) 10.2 So funktioniert ein VLAN Verschiedene Organisationen auf einem LAN Die Flexibilität der modernen Arbeitswelt bringt für die Administratoren neue Herausforderungen an die Planung und Wartung der Netzwerkstrukturen. In öffentlichen Bürogebäuden ändert sich permanent die Belegung der Räume durch die Mieter, und auch innerhalb einer Firma werden die Teams häufig neu zusammengestellt.
Seite 361: Konfiguration Von Vlans
Virtuelle LANs (VLANs) 10.3 Konfiguration von VLANs Alle Netzteilnehmer nutzen in diesem Beispiel das zentrale Ethernet, das mit den angeschlossenen Geräten von einem Dienstleister überwacht wird. Die Firma A hat drei Abteilungen in zwei Etagen. Der Vertrieb kann über die VLAN-ID 3 mit der Verwaltung kommunizieren, die Buchhaltung mit der Ver- waltung über die VLAN-ID 5.
Seite 362: Die Porttabelle
Virtuelle LANs (VLANs) 10.3 Konfiguration von VLANs Für ein Gerät mit einem LAN-Interface und einem WLAN-Port können z.B. die Ports “LAN-1” und “WLAN-1” eingetragen werden. Bei Portberei- chen werden die einzelnen Ports durch eine Tilde getrennt: “P2P-1~P2P- 4”. Hinweis: Die verfügbaren Ports können in der Porttabelle (→ Seite 362) nachgesehen werden.
Seite 363: Konfiguration Mit Lanconfig
Virtuelle LANs (VLANs) 10.3 Konfiguration von VLANs Port Tagging verwen- Ungetaggte Alle VLANs zulas- Default-ID Frames zulassen P2P-3 P2P-4 P2P-5 P2P-6 10.3.3 Konfiguration mit LANconfig Unter LANconfig stellen Sie die Parameter für die virtuellen Netze im Konfi- gurationsbereich 'Schnittstellen' auf der Registerkarte 'VLAN' ein. Über die Schaltfläche VLAN-Tabelle erreichen Sie die Definition der verwendeten vir-...
Seite 364: Konfiguration Mit Webconfig Oder Telnet
Virtuelle LANs (VLANs) 10.3 Konfiguration von VLANs 10.3.4 Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Tabellen zur Konfiguration der VLANs auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup LAN-Bridge VLAN-Konfiguration Terminal/Telnet cd /Setup/LAN-Bridge/VLAN-Konfiguration Unter WEBconfig präsentiert sich die VLAN-Konfiguration folgendermaßen: BAT54-Rail/F..
Seite 365: Konfigurierbare Vlan-Protokoll-Id
Virtuelle LANs (VLANs) 10.4 Konfigurierbare VLAN-Protokoll-ID 10.4Konfigurierbare VLAN- Protokoll-ID Beim Übertragen von VLAN-getaggten Netzen über Netze der Provider, die ihrerseits VLAN verwenden, setzen die Provider teilweise spezielle VLAN- Tagging-IDs ein. Um die VLAN-Übertragung im BAT darauf einzustellen, kann der Ethernet2-Typ des VLAN-Tags als 'Tag-Value' unter Setup/LAN- Bridge/VLAN oder im LANconfig im Konfigurationsbereich 'Interfaces' auf der Registerkarte 'VLAN' im Feld 'VLAN-Tag' als 16 Bit-Hexadezimalwert einge- stellt werden.
Seite 366: Konfigurierbare Vlan-Ids
Virtuelle LANs (VLANs) 10.5 Konfigurierbare VLAN-IDs 10.5Konfigurierbare VLAN-IDs 10.5.1 Unterschiedliche VLAN-IDs pro WLAN-Client VLANs werden im BAT üblicherweise fest mit einem LAN-Interface verbun- den. Alle Pakete, die über dieses Interface geleitet werden, bekommen da- her bei Aktivierung des VLAN-Moduls die gleiche VLAN-ID. In manchen Fällen ist es jedoch erwünscht, die verschiedenen Benutzer eines WLANs auch unterschiedlichen VLANs zuzuordnen.
Seite 367: Vlan-Tags Auf Layer 2/3 Im Ethernet
Virtuelle LANs (VLANs) 10.6 VLAN-Tags auf Layer 2/3 im Ethernet 10.6VLAN-Tags auf Layer 2/3 im Ethernet VLAN-Tags bieten auch bei solchen Switches, die keine IP-Header auswer- ten können, die Möglichkeit einer einfachen QoS-Steuerung. Der Standard IEEE 802.1p definiert ein Prioritäts-Tag im VLAN-Header mit einer Länge von drei Bit, das den ersten drei Bit des DSCP-Felder (Differentiated Ser- vices Code Point –...
Seite 368: Konfiguration Des Vlan-Taggings Auf Layer
Virtuelle LANs (VLANs) 10.6 VLAN-Tags auf Layer 2/3 im Ethernet 10.6.1 Konfiguration des VLAN-Taggings auf Layer Bei der Konfiguration des VLAN-Taggings auf Layer 2/3 wird neben den all- gemeinen Routing-Einstellungen das Verhalten beim Empfangen und beim Senden getaggten Pakete definiert. Konfigurationstool Aufruf LANconfig...
Seite 369: Vlan-Tags Für Dsl-Interfaces
Virtuelle LANs (VLANs) 10.7 VLAN-Tags für DSL-Interfaces Automatisch: Prioritäts-Bits im VLAN-Tag werden nur dann in die Precedence des DSCP kopiert, wenn diese '000' ist. Layer3-Layer2-Tagging Die Einstellung für das Layer3-Layer2-Tagging regelt das Verhalten beim Senden eines Datenpakets: Aus: VLAN-Tags werden nicht erzeugt. Ein: VLAN-Tags mit Prioritäts-Bits, die aus der Precedence des DSCP stammen, werden erzeugt, wenn der Empfänger mindestens ein getaggtes Paket verschickt hat.
Seite 370: Vlan Q-In-Q-Tagging
Virtuelle LANs (VLANs) 10.8 VLAN Q-in-Q-Tagging Default: 0 Mit der VLAN-ID '0' werden nur ungetaggte Pakete angenommen, mit jeder anderen VLAN-ID werden nur Pakete mit dem entsprechenden Tag angenommen. 10.8VLAN Q-in-Q-Tagging VLANs nach IEEE 802.1q werden üblicherweise eingesetzt, um mehrere Netzwerke auf einem gemeinsamen physikalischen Medium zu betreiben, die dennoch untereinander abgeschirmt werden sollen.
Seite 371 Virtuelle LANs (VLANs) 10.8 VLAN Q-in-Q-Tagging Gemischt: Erlaubt einen gemischten Betrieb von Pakete mit und ohne VLAN-Tags auf dem Port. Pakete ohne VLAN-Tag werden dem für die- sen Port definierten VLAN zugeordnet. Ausgehende Pakete erhalten ein VLAN-Tag, außer sie gehören dem für diesen Port definierten VLAN an.
Seite 372 Virtuelle LANs (VLANs) 10.8 VLAN Q-in-Q-Tagging BAT54-Rail/F.. Release 7.54 06/08...
Seite 373: Routing Und Wan-Verbindungen
Routing und WAN-Verbindungen 11.1 Allgemeines 11 Routing und WAN- Verbindungen Dieses Kapitel beschreibt die wichtigsten Protokolle und Konfigurationsein- träge, die bei WAN-Verbindungen eine Rolle spielen. Es zeigt auch Wege auf, WAN-Verbindungen zu optimieren. 11.1Allgemeines WAN-Verbindungen werden für folgende Anwendungen verwendet. Internet-Zugang LAN-LAN-Kopplung Remote Access...
Seite 374: Die Enge Zusammenarbeit Mit Den Router-Modulen
Routing und WAN-Verbindungen 11.1 Allgemeines Die enge Zusammenarbeit mit den Router-Modulen Charakteristisch für WAN-Verbindungen ist die enge Zusammenarbeit mit den Router-Modulen im BAT. Die Router-Module (IP und IPX) sorgen für die Verbindung von LAN und WAN. Sie bedienen sich der WAN-Module, um An- fragen von PCs aus dem LAN nach externen Ressourcen zu erfüllen.
Seite 375: Ip-Routing
Dabei werden nur Daten übertragen, deren Zieladressen in der Routing-Tabelle eingetragen sind. In diesem Abschnitt erfahren Sie, wie die IP-Routing-Tabelle in einem Router von Hirschmann aufgebaut ist und mit welchen weiteren Funktionen das IP-Routing unterstützt wird. 11.2.1 Die IP-Routing-Tabelle In der IP-Routing-Tabelle sagen Sie dem Router, an welche Gegenstelle (al- so welchen anderen Router oder Rechner) er die Daten für bestimmte IP-...
Seite 376: Konfiguration Der Routing-Tabelle
Routing und WAN-Verbindungen 11.2 IP-Routing sches Routing“. Im Gegensatz dazu gibt es natürlich auch ein „dynamisches Routing“. Dabei tauschen die Router selbstständig untereinander Informatio- nen über die Routen aus und erneuern diese fortlaufend. Bei aktiviertem IP- RIP beachtet der IP-Router die statische und die dynamische Routing-Tabel- Außerdem sagen Sie dem Router in der IP-Routing-Tabelle, wie weit der Weg über diese Route ist, damit im Zusammenspiel mit IP-RIP bei mehreren Routen zum gleichen Ziel der günstigste ausgewählt werden kann.
Seite 377 Routing und WAN-Verbindungen 11.2 IP-Routing Mit dem Routing-Tag kann die Auswahl der Zielroute genauer gesteuert werden. Dabei wird für die Auswahl der Route nicht nur die Ziel-IP- Adresse, sondern auch weitere Informationen ausgewertet, die den Datenpaketen über die Firewall zugefügt werden (’Policy-based Routing’ →...
Seite 378: Policy-Based Routing
Routing und WAN-Verbindungen 11.2 IP-Routing Eine Ausnahme bilden die Gegenstellen, die über Proxy-ARP ange- schlossen sind. Diese „Proxy-Hosts“ werden gar nicht propagiert. Maskierung Mit der Option 'Maskierung' in der Routing-Tabelle informieren Sie den Router darüber, welche IP-Adresse er bei der Weitergabe der Pakete verwenden soll. Weitere Informationen finden Sie im Abschnitt ’IP-Masquerading’...
Seite 379 Routing und WAN-Verbindungen 11.2 IP-Routing Der VPN-Verkehr wird mit dem Routing-Tag '0' durch einen VPN-Tunnel mit dynamischen Endpunkten geleitet, der restliche Internetverkehr der Firma wird mit einem entsprechenden Routing-Tag auf eine andere Fire- wall umgeleitet. Um die Kanalauswahl aufgrund aufgrund anderer Informationen als nur der Ziel-IP-Adresse zu entscheiden, werden geeignete Einträge in der Firewall angelegt.
Seite 380: Routing-Tags Für Vpn- Und Pptp-Verbindungen
Routing und WAN-Verbindungen 11.2 IP-Routing Hinweis: Wenn das Routing-Tag den Wert „0“ hat (Default), dann gilt der Routing-Eintrag für alle Pakete. Interne Dienste verwenden implizit immer das Default-Tag. Wenn der An- wender z.B. die Default-Route durch einen VPN-Tunnel leiten will, der ei- nen dynamischen Tunnelendpunkt hat, so nutzt das VPN-Modul standardmäßig die Default-Route mit dem Routing-Tag „0“.
Seite 381: Lokales Routing/Icmp-Redirect
Routing und WAN-Verbindungen 11.2 IP-Routing In der PPTP-Tabelle kann zusätzlich zur IP-Adresse des PPTP-Servers ein Routing-Tag angegeben werden. Mit Hilfe dieses Routing-Tags können z.B. mehrere DSL-Modems, die eine einheitliche IP-Adresse verwenden, an ver- schiedenen DSL-Ports betrieben werden. Peer IP-Address Rtg-tag Port SH-Time PEER01...
Seite 382: Dynamisches Routing Mit Ip-Rip
Router im lokalen Netz geschickt. 11.2.4 Dynamisches Routing mit IP-RIP Neben der statischen Routing-Tabelle verfügen Router von Hirschmann auch über eine dynamische Routing-Tabelle. Diese Tabelle füllt der Anwen- der im Gegensatz zu der statischen nicht aus, das erledigt der Router selbst.
Seite 383 Routing und WAN-Verbindungen 11.2 IP-Routing Die Einträge in der statischen Routing-Tabelle werden zwar von Hand ge- setzt, trotzdem ändern sich diese Informationen je nach Verbindungssituati- on der Router und damit auch die versendeten RIP-Pakete. Solange der Router eine Verbindung zu einer Gegenstelle aufgebaut hat, gibt er alle über diese Route erreichbaren Netze in den RIPs mit der Di- stanz '1' weiter.
Seite 384: Zusammenspiel: Statische Und Dynamische Tabelle
Routing und WAN-Verbindungen 11.2 IP-Routing Was bedeuten die Einträge? IP-Adresse und Netzmaske bezeichnen das Ziel-Netz, die Distanz gibt die Anzahl der zwischen Sender und Empfänger liegenden Router an, die letzte Spalte zeigt an, welcher Router diese Route bekannt gemacht hat. Bleibt die 'Zeit'.
Seite 385: Skalierung Durch Ip-Rip
Routing und WAN-Verbindungen 11.2 IP-Routing Skalierung durch IP-RIP Verwenden Sie mehrere Router in einem lokalen Netz mit IP-RIP, können Sie die Router im lokalen Netz nach außen hin als einen einzigen großen Router darstellen. Dieses Vorgehen nennt man auch „Skalierung“. Durch den regen Informationsaustausch der Router untereinander steht so ein Router mit prinzipiell beliebig vielen Übertragungswegen zur Verfügung.
Seite 386: Syn/Ack-Speedup
Routing und WAN-Verbindungen 11.2 IP-Routing 'Klasse + Adresse': Die Netzwerkmaske wird aus der IP-Adressen- Klasse und einem angefügten Teil nach dem Adressverfahren gebil- det. Aus obiger Adresse und der Netzmaske 255.255.0.0 ergibt sich somit die IP-Netzmaske 255.128.0.0. Hinweis: RIP-fähige Router versenden die RIP-Pakete ungefähr alle 30 Se- kunden.
Seite 387: Die Konfiguration Von Gegenstellen
Routing und WAN-Verbindungen 11.3 Die Konfiguration von Gegenstellen 11.3Die Konfiguration von Gegenstellen Gegenstellen werden in zwei Tabellen konfiguriert: In der Gegenstellenliste (bzw. den Gegenstellenlisten) werden alle Infor- mationen eingestellt, die individuell für nur eine Gegenstelle gelten. Parameter für die unteren Protokollebenen (unterhalb von IP bzw. IPX) werden in der Kommunikations-Layer-Tabelle definiert.
Seite 388 Routing und WAN-Verbindungen 11.3 Die Konfiguration von Gegenstellen Für eine Gegenstelle sind folgende Parameter erforderlich: Gegenstellenli- Parameter Bedeutung DSL-Breit- Name Mit diesem Namen wird die Gegenstelle in den Routermodulen identifi- band-Gegen- ziert. Sobald das Routermodul anhand der IP-Adresse ermittelt hat, bei stellen welcher Gegenstelle das gewünschte Ziel erreicht werden kann, können aus der Gegenstellenliste die zugehörigen Verbindungsparameter ermit-...
Seite 389: Layer-Liste
Routing und WAN-Verbindungen 11.3 Die Konfiguration von Gegenstellen Werden in zwei Gegenstellenlisten (z.B. DSL-Breitband-Gegenstellen und Einwahl-Gegenstellen) Einträge mit identischen Namen für die Gegenstelle vorgenommen, verwendet das BAT beim Verbindungs- aufbau zu der entsprechenden Gegenstelle automatisch das “schnel- lere” Interface. Das andere Interface wird in diesem Fall als Backup verwendet.
Seite 390: Ip-Masquerading
Routing und WAN-Verbindungen 11.4 IP-Masquerading Parameter Bedeutung Encapsula- Für die Datenpakete können zusätzliche Kapselungen eingestellt werden. tion 'Transparent' Keine zusätzliche Kapselung. 'Ethernet' Kapselung als Ethernet-Frames. 'LLC-MUX' Multiplexing über ATM mit LLC/SNAP-Kapselung nach RFC 2684. Meh- rere Protokolle können im selben VC (Virtual Channel) übertragen wer- den.
Seite 391: Einfaches Masquerading
Routing und WAN-Verbindungen 11.4 IP-Masquerading Damit nicht jeder Arbeitsplatzrechner mit seiner IP-Adresse im gesamten In- ternet bekannt sein muss, wird das „IP-Masquerading“ als Versteck für alle Rechner im Intranet eingesetzt. Beim IP-Masquerading treffen zwei gegen- sätzliche Forderungen an den Router aufeinander: Zum einen soll er eine im lokalen Netz gültige Intranet-IP-Adresse haben, damit er aus dem LAN er- reichbar ist, zum anderen soll er eine im Internet gültige, öffentliche IP- Adresse haben (fest vergeben sein oder vom Provider dynamisch zugewie-...
Seite 392 Routing und WAN-Verbindungen 11.4 IP-Masquerading Quelle: 10.0.0.100 Ziel: 80.123.123.123 Quelle: 80.146.74.146, Port 3456 Ziel: 80.123.123.123 IP: 10.0.0.100 interne IP: 10.0.0.1 Internet öffentliche IP: 80.146.74.146 Quell-IP Port 10.0.0.100 3456 Die Antwort auf dieses Paket geht nun an die IP-Adresse des Routers mit der neuen Absender-Portnummer.
Seite 393: D H.323 (Im Umfang, Wie Ihn Microsoft Netmeeting Verwendet) D
Routing und WAN-Verbindungen 11.4 IP-Masquerading Welche Protokolle können mit IP-Masquerading übertragen werden? Das IP-Masquerading funktioniert problemlos für all jene IP-Protokolle, die auf TCP, UDP oder ICMP basieren und dabei ausschließlich über Ports kom- munizieren. Zu diesen unproblematischen Protokollen zählt beispielsweise das Basis-Protokoll des World Wide Web: HTTP.
Seite 394 Routing und WAN-Verbindungen 11.4 IP-Masquerading Router der FTP-Server. Der Router liest anhand des verwendeten Protokolls aus dem Eintrag in der Service-Tabelle die IP-Adresse des FTP-Servers im LAN und leitet das Paket an die dort eingetragene lokale IP-Adresse weiter. Alle Pakete, die vom FTP-Server im LAN kommen (Antworten des Servers), werden wieder hinter der IP-Adresse des Routers versteckt.
Seite 395 Routing und WAN-Verbindungen 11.4 IP-Masquerading Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Parameter zur Einstellung des inversen Masqueradings an folgenden Stellen: Konfigurationstool Aufruf WEBconfig Experten-Konfiguration Setup IP-Router Masquerading Service-Tabelle Terminal/Telnet /Setup/IP-Router/Masquerading/Service-Tabelle Hinweis: Stateful-Inspection und inverses Masquerading: Wenn im Mas- querading-Modul ein Port freigeschaltet wird (d.h.
Seite 396: Freies Umsetzen Von Tcp/Ip-Ports Auf Maskierten Verbindungen
Routing und WAN-Verbindungen 11.4 IP-Masquerading 11.4.3 Freies Umsetzen von TCP/IP-Ports auf maskierten Verbindungen Wird auf einer Verbindung das IP-Masquerading eingesetzt, werden die IP- Adressen der Rechner im eigenen Netz hinter der IP-Adresse des Routers versteckt. Um einzelne Rechner aus dem LAN dennoch von außen direkt an- sprechbar zu machen, wird beim inversen Masquerading einem eingehen- den Port-Bereich in der Service-Tabelle eine bestimmte IP-Adresse aus dem LAN zugeordnet.
Seite 397: Demilitarisierte Zone (Dmz)
Routing und WAN-Verbindungen 11.5 Demilitarisierte Zone (DMZ) WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Ser- vice-Tabelle für das Funknetzwerk auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup IP-Router Maskierung Service-Tabelle Terminal/Telnet Setup/IP-Router/Maskierung/Service-Tabelle 11.5Demilitarisierte Zone (DMZ) Eine demilitarisierten Zone (DMZ) bietet die Möglichkeit, bestimmte Rechner in einem Netzwerk aus dem Internet erreichbar zu machen.
Seite 398: Zuordnung Von Interfaces Zur Dmz
Routing und WAN-Verbindungen 11.5 Demilitarisierte Zone (DMZ) Um diesen Aufbau zu ermöglichen, muss der Datenverkehr zwischen den drei Zonen Internet, DMZ und LAN von einer Firewall geprüft werden. Diese Aufgaben der Firewall können durchaus in einem Gerät (Router) zusammen- gefasst werden. Dazu braucht der Router drei Interfaces, die getrennt von- einander durch die Firewall überwacht werden können: LAN-Interface WAN-Interface...
Seite 399: Adressprüfung Bei Dmz- Und Intranet-Interfaces
Routing und WAN-Verbindungen 11.5 Demilitarisierte Zone (DMZ) Konfiguration mit LANconfig Die Definition der Adressen werden im LANconfig im Konfigurationsbereich 'TCP/IP' auf der Registerkarte 'Allgemein' vorgenommen. Konfiguration mit WEBconfig, Telnet oder SSH Unter WEBconfig, Telnet oder SSH-Client finden Sie die Einstellung der Ethernet-Ports auf folgenden Pfaden: Konfigurationstool Menü/Tabelle...
Seite 400: Unmaskierter Internet-Zugang Für Server In Der Dmz
Routing und WAN-Verbindungen 11.5 Demilitarisierte Zone (DMZ) Steht der Schalter jedoch auf 'strict', dann muss explizit eine Rückroute vorhanden sein, damit kein IDS-Alarm ausgelöst wird. Das ist also übli- cherweise dann der Fall, wenn das Datenpaket eine Absenderadresse enthält, in die das entsprechende Interface auch selbst Daten routen kann.
Seite 401: Zwei Lokale Netze - Betrieb Von Servern In Der Dmz
Routing und WAN-Verbindungen 11.5 Demilitarisierte Zone (DMZ) Der betreffende Dienst des ’exposed host’ muss vom Maskierungsmodul unterstützt und verstanden werden. Zum Beispiel benutzen einige VoIP- Server nicht-standarisierte, proprietäre Ports für eine erweiterte Signali- sierung. Dadurch können solche Server-Dienste nur an Verbindungen ohne Maskierung betrieben werden.
Seite 402: Advanced Routing And Forwarding
Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding Bei einer “Allow-All”-Strategie (default): Zugriff von “123.45.67.2” auf “Alle Stationen im lokalen Netz” verbieten Bei einer “Deny-All”-Strategie (’Aufbau einer expliziten ”Deny-All”-Strate- gie’ → Seite 299): Zugriff von “Alle Stationen im lokalen Netz” auf “123.45.67.2”...
Seite 403 Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding logische logische Interfaces mit VLAN-Tags, physikalische IP-Netzwerke Interfaces Bridge-Gruppen Interfaces LAN-1, Netzwerk 1 ETH-1 LAN-1 VLAN-ID LAN-1, LAN-2 ETH-2 VLAN-ID LAN-4, LAN-3 ETH-3 VLAN-ID LAN-4, LAN-4 ETH-4 VLAN-ID WLAN-1-1 WLAN-1-1 VLAN-ID WLAN-1 P2P-1-6 P2P-1-6 WLAN-2-1...
Seite 404 Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding Bei Geräten mit VLAN-Unterstützung können für jedes logische Inter- face durch die Verwendung von VLAN-IDs mehrere VLANs definiert werden. Der Datenverkehr der verschiedenen VLANs läuft dann zwar ggf. über ein gemeinsames logisches Interface ab, wird aber durch die VLAN-ID streng von den anderen VLANs getrennt.
Seite 405: Unterschiede Zwischen Routing-Tags Und Schnittstellen-Tags
Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding einem eindeutigen Namen und einem eindeutigen Schnittstellen-Tag ange- legt. In der Routing-Tabelle wird für jeden Internetprovider eine entsprechen- de Default-Route mit dem passenden Routing-Tag angelegt. Auf diese Weise können die Clients in den verschiedenen Firmennetzen mit den glei- chen IP-Adressen über ihren jeweiligen Provider das Internet nutzen.
Seite 406: Definition Von Netzwerken Und Zuordnung Von Interfaces
Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding IP-Netzwerk Firma A 10.0.0.0/255.255.255.0 Schnittstellen-Tag 1 Provider A Provider B IP-Netzwerk Firma B 10.0.0.0/255.255.255.0 Schnittstellen-Tag 2 Routing-Tabelle IP-Adresse Netzmaske Schnittstellen-Tag Router 255.255.255.255 0.0.0.0 Provider A 255.255.255.255 0.0.0.0 Provider B Hinweis: In Fällen, die keine eindeutige Zuordnung der IP-Adressen über die Schnittstellen-Tags erlauben, wird das Advanced Routing and For- warding durch entsprechende Firewall-Regeln unterstützt.
Seite 407 Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding Die Netzwerke werden in einer Tabelle definiert. Neben der Definition des Adresskreises und der Interfacezuordnung wird darin auch ein eindeutiger Name für die Netzwerke festgelegt. Dieser Netzwerkname erlaubt es, die Netze in anderen Modulen (DHCP-Server, RIP, NetBIOS etc.) zu identifizie- ren und diese Dienste nur in bestimmten Netzen anbieten zu können.
Seite 408 Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding kann für jede Gegenstelle eingestellt werden, ob die Maskierung nur für den Intranet-Bereich oder auch für die DMZ erfolgen soll. Neben der Maskierung hat der Netzwerktyp auch Auswirkungen auf die automatische Erzeugung von VPN-Regeln. Diese Regeln werden nur für Intranets automatisch erzeugt.
Seite 409: Schnittstellen-Zuordnung
Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding WLAN „Intranet“ Internet VLAN-ID 0 (ungetaggt) WLAN „Gast“ VLAN-ID 1 VPN Zentrale WLAN „VoIP“ VLAN-ID 2 Mögliche Werte: 0 bis 4094 0: ungetaggt Default: 0 Wenn auf dem Interface ein Paket mit einem VLAN-Tag empfangen wird, so wird es dem entsprechenden Netzwerk zugeordnet.
Seite 410: Adressprüfung
Routing und WAN-Verbindungen 11.6 Advanced Routing and Forwarding dem auf diese Weise ein Netzwerk zugeordnet ist, wird auch als „gebundenes“ Interface bezeichnet. beliebig: Das Netzwerk gilt auf allen logischen Interfaces. Default: beliebig Hinweis: Die Nutzung der Bridge-Gruppen (’Zuweisung von logischen Inter- faces zu Bridge-Gruppen’...
Seite 411: Änderung In Weiteren Diensten
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten gleichen Schnittstellen-Tag. Außerdem muss als Netzwerktyp 'Intranet' eingestellt sein. Mögliche Werte: 0 bis 65.535 Default: 0 Besondere Werte: 0 (ungetaggt). Hinweis: Ungetaggte Netzwerke mit dem Schnittstellen-Tag '0' können alle anderen Netzwerke sehen. Getaggte Netzwerke können dagegen nur Netzwerke mit dem gleichen Schnittstellen-Tag sehen.
Seite 412: Dhcp-Server Für Ein Interface Aktivieren
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten DHCP-Server für ein Interface aktivieren Der DHCP-Server kann für jedes logische Interface getrennt aktiviert oder deaktiviert werden: Konfigurationstool Aufruf LANconfig TCP/IP DHCP Port-Tabelle WEBconfig, Telnet Experten-Konfiguration > Setup > DHCP > Ports BAT54-Rail/F..
Seite 413: Dhcp-Netzwerke Konfigurieren
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten DHCP-Netzwerke konfigurieren Für jedes zuvor definierte IP-Netzwerk können die zugehörigen DHCP-Ein- stellungen festgelegt werden: Konfigurationstool Aufruf LANconfig TCP/IP DHCP DHCP-Netzwerke WEBconfig, Telnet Experten-Konfiguration > Setup > DHCP > Netzliste Netzwerkname Name des Netzwerks, für das die Einstellungen des DCHP-Servers gel- ten sollen.
Seite 414 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Automatisch: In diesem Zustand sucht das Gerät regelmäßig im loka- len Netz nach anderen DHCP-Servern. Diese Suche ist erkennbar durch ein kurzes Aufleuchten der LAN-Rx/Tx-LED. Wird mindestens ein anderer DHCP-Server gefunden, schaltet das Gerät seinen eigenen DHCP-Server aus.
Seite 415: Adressen Für Dhcp-Clients
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Adressen für DHCP-Clients In diesem Bereich werden die Adressen definiert, die den DHCP-Clients zu- gewiesen werden (IP-Adress-Pool). Wenn ein Client im Netz gestartet wird, der mit seinen Netzwerk-Einstellun- gen über DHCP eine IP-Adresse anfordert, wird ihm ein Gerät mit aktiviertem DHCP-Server die Zuweisung einer Adresse anbieten.
Seite 416 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Broadcast In der Regel wird im lokalen Netz für Broadcast-Pakete eine Adresse ver- wendet, die sich aus den gültigen IP-Adressen und der Netzmaske ergibt. Nur in Sonderfällen (z.B. bei Verwendung von Sub-Netzen für einen Teil der Arbeitsplatzrechner) kann es nötig sein, eine andere Broadcast- Adresse zu verwenden.
Seite 417: Weiterleiten Von Dhcp-Anfragen
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten kup-DNS-Server übermittelt. Erster NBNS IP-Adresse des NetBIOS-Nameservers, an den NBNS-Anfragen weiter- geleitet werden sollen. Default: 0.0.0.0 Die IP-Adresse des BAT Router in diesem Netzwerk wird als NBNS- Server übermittelt, wenn der NetBIOS-Proxy für dieses Netzwerk aktiviert ist.
Seite 418: Mehrere Netzwerke Auf Einem Interface
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Broadcast-Adresse DNS-Server NBNS-Server Server-ID Diese Option ist sinnvoll, wenn der übergeordnete DHCP-Server keine getrennte Konfiguration für DHCP-Clients in einem anderen Netzwerk zulässt. Mehrere Netzwerke auf einem Interface Mit der Konfiguration der IP- und DHCP-Netzwerke können auf einem logi- schen Interface mehrere Netzwerke mit unterschiedlichen DHCP-Einstellun- gen aktiv sein.
Seite 419: Dns-Auflösung Von Über Dhcp Gelernten Namen
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Wenn das gleiche Netz von mehreren Relay-Agents verwendet wird (z.B. mehrere Accesspoints leiten die Anfragen auf einen zentralen DHCP-Server weiter), dann kann die GI-Adresse auch mit einem „*“ abgekürzt werden. Wenn z.B. Clients im entfernten Netz '10.1.1.0/255.255.255.0'' Adressen zu- gewiesen werden sollen und in diesem Netz mehrere Relay-Agents stehen, die alle den BAT Router als übergeordneten DHCP-Server verwenden, dann kann die Zuweisung von IP-Adressen und Standard-Gateway an die Clients...
Seite 420: Netbios-Proxy
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten 11.7.3 NetBIOS-Proxy Aus Sicherheitsgründen muss der NetBIOS-Proxy in seinem Verhalten dem jeweiligen Netzwerken angepasst werden, da er z.B. üblicherweise nicht in der DMZ aktiv sein soll. Der NetBIOS-Proxy kann daher für jedes Netzwerk getrennt eingestellt werden Konfigurationstool Aufruf...
Seite 421: Rip
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Die Arbeitsgruppe/Domäne dient dazu, beim Start des Gerätes das Netz- werk nach NetBIOS-Namen abscannen zu können. Diese ist i.A. für jedes Netz verschieden und muss daher überall angegeben werden. In Netzwer- ken ohne Domäne sollte hier der Name der größten Arbeitsgruppe angege- ben werden.
Seite 422 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten RIP von diesem Netzwerk akzeptieren Diese Option gibt an, ob in diesem dem Netzwerk RIP-Routen gelernt werden sollen. Weiterleiten auf andere Netze Diese Option gibt an, ob das zugehörige Netzwerk auf anderen Netzwer- ken propagiert werden soll.
Seite 423: Timereinstellungen
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten In der Default-Einstellung sind sowohl 'Intranet' als auch 'DMZ' in dieser Tabelle eingetragen, wobei in diesen Einträgen das RIP deaktiviert ist. Timereinstellungen Das Routing Information Protocol (RIP) versendet regelmäßige Update- Nachrichten an die benachbarten Router mit Informationen über die erreich- baren Netzwerke und die zugehörigen Metriken (Hops).
Seite 424: Triggered Update Im Lan
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Flush-Intervall Erhält ein Router während des Flush-Intervalls keine Update-Information über eine Route, wird diese Route endgültig aus der dynamischen Rou- tingtabelle gelöscht. Mögliche Werte: 0 bis 99 in Vielfachen des Update-Intervalls Default: 10 Hinweis: Bitte beachten Sie, dass durch eine Änderung des Timings die pro- pagierung der Routen zwar beschleunigt wird, gleichzeitig aber die Netz- last steigt.
Seite 425 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Da in diesem Fall die Updates explizit angefragt werden, können keine Broadcasts oder Multicasts für die Zustellung der RIP-Nachrichten verwen- det werden. Stattdessen muss im Filialgerät die IP-Adresse des nächsten er- reichbaren Routers in der Zentrale statisch konfiguriert werden. Der Zentralrouter kann sich aufgrund der Anfragen merken, von welchen Filial- routern er Update-Requests empfangen hat, um etwaige Routenänderungen über passende Messages direkt an das Filialgerät zu senden.
Seite 426: Statische Routen, Die Immer Propagiert Werden
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Mögliche Werte: Ja/Nein Default: Nein Statische Routen, die immer propagiert werden Neben den dynamischen Routen propagiert ein Router über RIP auch die statisch konfigurierten Routen. Dabei sind mache der statischen Routen nicht immer erreichbar, z. B. weil eine notwendige Internetverbindung oder ein Wählzugang temporär nicht verfügbar sind.
Seite 427 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Filter Kommaseparierte Liste von Netzwerken, die akzeptiert (+) oder abge- lehnt (-) werden sollen. Beispiel für akzeptiertes Netzwerk: +10.0.0.0/255.0.0.0 Beispiel für abgelehntes Netzwerk: -192.168.0.0/255.255.0.0 Mögliche Werte: 64 Zeichen aus ,+-/0123456789. Hinweis: Die Angabe des Pluszeichens für akzeptierte Netzwerke ist optio- nal.
Seite 428: Automatische Erzeugung Von Vpn-Regeln
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Anzahl der in einem Paket propagierten Routen Die Anzahl der in einem Paket propagierten Routen wird vom RFC auf 25 festgeschrieben, da bei dieser Anzahl gerade keine Fragmentierung stattfin- det (UDP-Pakete mit 512 Bytes müssen immer unfragmentiert übertragen werden können).
Seite 429: Firewallregeln Für Bestimmte Lokale Netzwerke
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten 11.7.6 Firewallregeln für bestimmte lokale Netzwerke In der Firewall existiert zur Definition von Quell- oder Zielobjekten über WEBconfig oder Telnet der Schlüssel %L, über den das lokale Netz ange- sprochen wird. Zu diesem lokalen Netz gehören alle Netzwerke auf allen lo- gischen, lokalen Interfaces (Intranet und DMZ).
Seite 430: Virtuelle Router
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Beispiel: Es gibt zwei lokale Netze "FIRMA" und "HOME", die getrennt abge- rechnet werden sollen und daher auch zwei Internetzugänge ("INTERNET- BIZ" und "INTERNET-HOME") verwenden. In beiden Netzen stehen Web- Server, die aus dem Internet erreichbar sein sollen. Dieses Szenario wird mit folgenden Regeln abgedeckt: Name Protokoll...
Seite 431 Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Es ergibt sich folgende Routing-Tabelle (dabei hat die Entwicklungsabteilung das Tag 2 und der Vertrieb das Tag 1): IP-Adresse IP-Netzmaske Rtg-tag Peer-oder-IP Distanz Maskierung Aktiv 192.168.1.0 255.255.255.0 2 PARTNER nein 192.168.0.0 255.255.0.0 0.0.0.0 nein 255.255.255.25...
Seite 432: Defaultrouten-Filter
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Wichtig bei diesen Regeln ist die maximale Priorität (255), damit die Regeln immer als erstes ausgewertet werden. Damit nun trotz dieser Regeln noch eine Filterung nach Diensten möglich ist, muss die Option "verknuepft" in der Firewall-Regel gesetzt sein.
Seite 433: Erweitertes Port-Forwarding
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten 11.7.9 Erweitertes Port-Forwarding Die Verwendung von virtuellen Routern erfordert beim Port-Forwarding eine gezielte Auswahl der Gegenstelle. Konfigurationstool Aufruf LANconfig IP-Router Markierung Port-Forwarding-Tabelle WEBconfig, Telnet Experten-Konfiguration > Setup > IP-Router > 1-N-NAT > Service-Tabelle Anfangs-Port Anfangs-Port für den Dienst.
Seite 434: Ipx-Router
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten WAN-Adresse WAN-Adresse, für die dieser Eintrag gültig ist. Wenn das Gerät über mehr als eine statische IP-Adresse verfügt, kann das Port-Forwarding so auf bestimmte Verbindungen eingeschränkt werden. Mögliche Werte: gültige IP-Adresse Default: 0.0.0.0 Besondere Werte: Bei der IP-Adresse 0.0.0.0 wird die der Verbindung automatisch zugewiesene Adresse verwendet.
Seite 435: Schnittstellen-Zuordnung
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Binding Das Ethernet-Paketformat für das lokale Netzwerk. Automatisch: Stellt das Paketformat nach Möglichkeit automatisch ein. 802.3 802.2 SNAP Schnittstellen-Zuordnung Logisches Interface, dem dieses Netzwerk zugeordnet wird. Mögliche Werte: LAN-1 bis LAN-n, WLAN-1-1 bis WLAN-2-8, P2P-1- 1 bis P2P-2-6, BRG-1 bis BRG-8, beliebig (je nach Verfügbarkeit der logischen Interfaces im jeweiligen Modell).
Seite 436: Priorität
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten Aktiv Mit dieser Option wird das logische Interface aktiviert bzw. deaktiviert. Bridge-Gruppe Ordnet das logische Interface einer Bridge-Gruppe zu und ermöglicht so das Bridging von/zu dieser logischen Interface über die LAN-Bridge. Durch die Zuordnung zu einer gemeinsamen Bridge-Gruppe können mehrere logische Interfaces gemeinsam angesprochen werden und wir- ken so für den BAT Router wie ein einzelnes Interface –...
Seite 437: Remote-Bridge
Routing und WAN-Verbindungen 11.7 Änderung in weiteren Diensten 11.7.12Remote-Bridge Über die Remote-Bridge werden zwei entfernte Netzwerke so miteinander gekoppelt, als wären sie physikalisch verbunden. Sie sind völlig unabhängig von den eingesetzten Netzwerkprotokollen. Konfigurationstool Aufruf LANconfig Bridge Allgemein WEBconfig, Telnet Experten-Konfiguration > Setup > Bridge Gegenstelle: Name der Gegenstelle, an welche die Remote-Bridge gebunden ist Bridge-Aging...
Seite 438: Pppoe-Server
Routing und WAN-Verbindungen 11.8 Load-Balancing 11.7.13PPPoE-Server Der PPPoE-Server kann für jedes logische Interface getrennt aktiviert oder deaktiviert werden: Konfigurationstool Aufruf WEBconfig, Telnet Experten-Konfiguration > Setup > PPPoE-Server > Ports 11.8Load-Balancing Trotz immer weiter steigender Bandbreite auf DSL-Zugängen stellen diese immer noch das Nadelöhr in der Kommunikation dar. In manchen Fällen ist es durchaus sinnvoll, mehrere DSL-Zugänge zu bündeln.
Seite 439: Dsl-Port-Mapping
Routing und WAN-Verbindungen 11.8 Load-Balancing Load-Balancing Beim Load-Balancing werden TCP-Verbindungen dynamisch auf voneinander unabhängi- gen DSL-Verbindungen verteilt. Dem Anwender steht damit zwar auch die Summen-Band- breite der gebündelten Kanäle zur Verfügung, dennoch ist jede einzelne TCP-Verbindung auf die Bandbreite des zugewiesenen DSL-Anschlusses beschränkt. Zwei TCP-Verbindung auf zwei DSL-Ports aufgeteilt Externes...
Seite 440: Zuordnung Der Switch-Ports Zu Den Dsl-Ports
Routing und WAN-Verbindungen 11.8 Load-Balancing Zuordnung der Switch-Ports zu den DSL-Ports Bei Geräten mit integriertem Switch können je nach Modell einige der LAN- Ports als zusätzlicher WAN-Port zum Anschluss externer DSL-Modems die- nen. Diese Ports werden in der Interface-Tabelle als getrennte DSL-Inter- faces aufgeführt (DSL-1, DSL-2 usw.).
Seite 441 Routing und WAN-Verbindungen 11.8 Load-Balancing » LAN2 DSL-4 ¿ LAN1 LAN-1: Dieser Port bleibt für das LAN reserviert ´ DSL-1: (dedizierter WAN-Port des Geräts) In der Liste der DSL-Breitband-Gegenstellen wird der zu verwendende DSL- Port angegeben, wenn das Gerät über mehr als einen DSL-Port verfügt: Wird kein Port (oder der Port „0“) angegeben, so wählt das BAT den Port nach dem für die Verbindung gewählten Kommunikations-Layer aus.
Seite 442: Zuordnung Der Mac-Adresse Zu Den Dsl-Ports
Routing und WAN-Verbindungen 11.8 Load-Balancing Hinweis: Ein Eintrag in der Gegenstellenliste kann verschiedene Ports (z.B. ADSL und Ethernet) enthalten, kann aber nur einen Kommunikations- Layer referenzieren, in dem nur ein Layer-1-Protokoll angegeben werden kann. Für die gebündelte Kommunikation über ADSL- und Ethernet-Ports sind jedoch zwei verschiedene Layer-1-Protokolle notwendig.
Seite 443: Dsl-Kanalbündelung (Mlpppoe)
Routing und WAN-Verbindungen 11.8 Load-Balancing Hinweis: Jede aufgebaute DSL-Verbindung erhält eine eigene MAC-Adres- se. Sollten für zwei Gegenstellen die gleichen MAC-Adressen konfiguriert sein, so wird für die erste aufzubauende Verbindung die konfigurierte MAC-Adresse verwendet. Für die zweite Verbindung wird hingegen aus der konfigurierten MAC-Adresse eine „lokal administrierte MAC-Adresse“...
Seite 444: Verteilung Der Datenlast
Routing und WAN-Verbindungen 11.8 Load-Balancing Hinweis: Bei der DSL-Bündelung handelt es sich um eine statische Bünde- lung. Die evtl. zusätzlichen Kanäle werden also nicht nur nach Bedarf des übertragenen Datenvolumens auf- und wieder abgebaut. Die Entscheidung über das Routing der Datenpakete kann beim Load-Balan- cing nicht mehr allein anhand der IP-Adressen getroffen werden, da die ein- zelnen gebündelten DSL-Verbindungen unterschiedliche IP-Adressen haben.
Seite 445: Statisches Load-Balancing
Routing und WAN-Verbindungen 11.8 Load-Balancing Wenn eine VPN- oder PPTP-Verbindung einen Kanal anfordert, dann werden die PPTP- und VPN-Verbindung gleichmäßig auf die verfüg- baren Kanäle verteilt. Hinweis: Für die sinnvolle Nutzung des Load-Balancing ist daher die Anga- be der Bandbreite in der der Liste der WAN-Interfaces unter LANconfig im Konfigurationsbereich 'Interfaces' auf der Registerkarte 'WAN' unter der Schaltfläche Interface-Einstellungen...
Seite 446: Konfiguration Des Load Balancing
Routing und WAN-Verbindungen 11.8 Load-Balancing 11.8.5 Konfiguration des Load Balancing Hinweis: Für die folgenden Konfigurationen gehen wir davon aus, dass die entsprechenden Gegenstellen mit allen Zugangsdaten bereits eingerich- tet sind. Direkte Kanalbündelung über PPPoE Zur Konfiguration der direkten Kanalbündelung über PPPoE gehen Sie fol- gendermaßen vor: Ordnen Sie den Ethernet-Ports die gewünschten DSL-Ports zu, in LANconfig über...
Seite 447: Dynamisches Load-Balancing Mit Mehreren Dsl-Zugängen
Routing und WAN-Verbindungen 11.8 Load-Balancing Dynamisches Load-Balancing mit mehreren DSL-Zugängen Für das dynamische Load-Balancing werden zunächst die Internetzugänge z.B. mit den Assistenten von LANconfig eingerichtet, z.B. 'INET1' und 'INET2'. Um den Internet-Traffic auf verschiedene DSL-Interfaces zu verteilen, werden den einzelnen Gegenstellen in LANconfig unter Kommunikation Gegenstellen Gegenstellen (DSL)
Seite 448: N:n-Mapping
Routing und WAN-Verbindungen 11.9 N:N-Mapping Die virtuelle Gegenstelle wird in der Routing-Tabelle in LANconfig über IP-Router Routing IP-Routing-Tabelle als Router für die Default- Route eingetragen. Telnet: /Setup/IP-Router/IP-Routing-Tabelle WEBconfig: Expertenkonfiguration Setup IP-Router IP-Routing- Tabelle Hinweis: Für den Zugang zum Internet wird nun die virtuelle Gegenstelle 'IN- TERNET' verwendet.
Seite 449: Anwendungsbeispiele
Routing und WAN-Verbindungen 11.9 N:N-Mapping um Netze mit gleichen (privaten) Adressbereichen miteinander zu kop- peln um eindeutige Adressen zum Netzwerkmanagement zu erzeugen Für die erste Anwendung kommt das sogenannte N:1-NAT, auch als IP-Mas- querading (’IP-Masquerading’ → Seite 390) bekannt, zum Einsatz. Hierbei werden alle Adressen (“N”) des lokalen Netzes auf eine einzige (“1”) öffentli- che Adresse gemappt.
Seite 450: Netzwerkkopplung
Routing und WAN-Verbindungen 11.9 N:N-Mapping Kopplung von privaten Netzen, die den gleichen Adressraum belegen Zentrale Fernüberwachung durch Dienstleister Netzwerkkopplung Ein häufig anzutreffendes Szenario stellt die Kopplung zweier Firmennetze dar, die intern den gleichen Adressraum (z.B. 10.0.0.x) belegen. Dies erfolgt meist dann, wenn eine Firma Zugriff auf einen (oder mehrere) Server der an- deren erhalten soll: Netz der Firma A: Netz der Firma B:...
Seite 451: Fernwartung Und -Überwachung Von Netzwerken
Routing und WAN-Verbindungen 11.9 N:N-Mapping Fernwartung und -überwachung von Netzwerken Der Fernwartung und -überwachung von Netzwerken kommt durch die Mög- lichkeiten von VPN immer größere Bedeutung zu. Mit der Nutzung der fast flächendeckend vorhandenen Breitband-Internetanschlüsse kann sich der Administrator von solchen Management-Szenarien unabhängig machen von den unterschiedlichen Datenübertragungstechnologien oder teuren Stand- leitungen.
Seite 452 Routing und WAN-Verbindungen 11.9 N:N-Mapping Die einzelnen Netze können dabei sehr unterschiedlich aufgebaut sein: Die Kunden A und B binden ihre Filialen mit eigenen Netzwerken über VPN-Ver- bindungen in ihr LAN ein, Kunde C betreibt ein Netz mit mehreren öffentli- chen WLAN-Basisstationen als Hot-Spots und Kunde D hat in seinem LAN u.a.
Seite 453: Konfiguration
Routing und WAN-Verbindungen 11.9 N:N-Mapping Alternativ: zentrales N:N-Mapping Eleganter ist die Lösung des zentralen Mappings: statt jedes einzelne Ga- teway in den Filialnetzen zu konfigurieren, stellt der Administrator hier die Adressumsetzung im Gateway der Zentrale ein. Dabei werden automa- tisch auch alle “hinter” der Zentrale liegenden Subnetze mit den erforder- lichen neuen IP-Adressen versorgt.
Seite 454: Zusätzliche Konfigurationshinweise
Routing und WAN-Verbindungen 11.9 N:N-Mapping Bei der Umsetzung von ganzen Adressbereichen wird der rechnerbezo- gene Teil der IP-Adresse direkt übernommen und nur an den netzbezo- genen Teil der Mapping-Adresse angehängt. Bei einer Zuweisung von 10.0.0.0/255.255.255.0 nach 192.168.1.0 wird also dem Server im LAN mit der IP-Adresse 10.1.1.99 zwangsweise die Mapping-Adresse 192.168.1.99 zugewiesen.
Seite 455: Konfiguration Mit Den Verschiedenen Tools
Routing und WAN-Verbindungen 11.9 N:N-Mapping Zieladresse Quelladresse RADIUS Benutzerver- Client/Server waltung LAN-Interfaces IP-Module: NetBIOS, DNS, VPN-Dienste DHCP-Server, RADIUS, RIP, NTP, SNMP, SYS- LAN / Switch VPN / PPTP LOG, SMTP WAN-Interfaces Firewall / IDS / DoS / QoS DSLoL WLAN-1-1 Anschluss über LAN/ WLAN 1-8 IP-Router...
Seite 456 Routing und WAN-Verbindungen 11.9 N:N-Mapping WEBconfig, Telnet Unter WEBconfig und Telnet finden Sie die NAT-Tabelle zur Konfiguration des N:N-Mappings an folgenden Stellen des Menübaums: Konfigurationstool Aufruf WEBconfig Expertenkonfiguration Setup IP-Router NAT-Tabelle Terminal/Telnet Setup / IP-Router / NAT-Tabelle Die NAT-Tabelle präsentiert sich unter WEBconfig beim Anlegen eines neu- en Eintrags folgendermaßen: BAT54-Rail/F..
Seite 457: Verbindungsaufbau Mit Ppp
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP 11.10Verbindungsaufbau mit PPP Router von Hirschmann unterstützen auch das Point-to-Point Protocol (PPP). PPP ist ein Sammelbegriff für eine ganze Reihe von WAN-Protokol- len, die das Zusammenspiel von Routern verschiedener Hersteller erleich- tern, denn dieses Protokoll wird von fast allen Herstellern unterstützt.
Seite 458: Die Phasen Einer Ppp-Verhandlung
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP Aushandlung der über die aufgebaute Verbindung zu benutzenden Netz- werkprotokolle (z.B. IP). Dazu gehören auch für diese Protokolle notwen- dige Parameter wie z.B. IP-Adressen. Diese Verhandlung läuft über das Protokoll IPCP (IP Control Protocol) ab. Aushandeln von Verbindungsparametern wie z.B.
Seite 459: Die Ppp-Verhandlung Im Bat
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP Falls notwendig, werden danach die Passworte ausgetauscht. Bei Authentifizierung nach PAP wird das Passwort nur einmalig übertragen. Bei Benutzung von CHAP oder MS-CHAP wird ein verschlüsseltes Pass- wort periodisch in einstellbaren Abständen gesendet. Evtl.
Seite 460: Zuweisung Von Ip-Adressen Über Ppp
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP Wenn die Verbindung einmal steht, kann mit Hilfe des LCPs die Zuverlässig- keit der Leitung ständig überprüft werden. Innerhalb des Protokolls geschieht dies mit dem LCP-Echo-Request und dem zugehörigen LCP-Echo-Reply. Der LCP-Echo-Request ist eine Anfrage in Form eines Datenpakets, das ne- ben den reinen Nutzdaten zur Gegenstelle übertragen wird.
Seite 461: Beispiele
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP Beispiele Remote Access Die Zuweisung der Adresse wird durch einen speziellen Eintrag in der IP-Routing-Tabelle ermöglicht. Neben dem Eintrag der IP-Adresse, die der Gegenstelle aus dem Feld 'Router-Name' zugewiesen werden soll, wird als Netzmaske die 255.255.255.255 angegeben. Der Routername ist in diesem Fall der Name, mit dem sich die Gegenstelle beim BAT anmelden muss.
Seite 462: Einstellungen In Der Ppp-Liste
Routing und WAN-Verbindungen 11.10 Verbindungsaufbau mit PPP 11.10.4Einstellungen in der PPP-Liste In der PPP-Liste können Sie für jede Gegenstelle, die mit Ihrem Netz Kontakt aufnimmt, eine eigene Definition der PPP-Verhandlung festlegen. Konfigurationstool Liste LANconfig Kommunikation Protokolle PPP-Liste WEBconfig Experten-Konfiguration Setup Terminal/Telnet cd /Setup/WAN set PPP [...]...
Seite 463: Dsl-Verbindungsaufbau Mit Pptp
Routing und WAN-Verbindungen 11.11 DSL-Verbindungsaufbau mit PPTP 11.11DSL-Verbindungsaufbau mit PPTP Einige DSL-Anbieter ermöglichen die Einwahl nicht über PPPoE, sondern über PPTP (Point-to-Point Tunneling Protocol). Bei PPTP handelt es sich um eine Protokoll-Erweiterung von PPP, die vorrangig von Microsoft entwickelt wurde. PPTP ermöglicht es, „Tunnel“...
Seite 464: Dauerverbindung Für Flatrates - Keep-Alive
CBCP (Callback Control Protocol) sowie der Rückruf über PPP nach RFC 1570 (PPP LCP Extensions) angeboten. Zusätzlich besteht die Mög- lichkeit eines besonders schnellen Rückrufs über ein von Hirschmann ent- wickeltes Verfahren. PCs mit Windows-Betriebssystem können nur über das CBCP zurückgerufen werden.
Seite 465: Rückruf Nach Microsoft Cbcp
Routing und WAN-Verbindungen 11.13 Rückruf-Funktionen 11.13.1Rückruf nach Microsoft CBCP Das Microsoft CBCP erlaubt verschiedene Arten, die Rückrufnummer zu be- stimmen: Der Angerufene ruft nicht zurück. Der Angerufene erlaubt es dem Anrufer, die Rückrufnummer selbst anzu- geben. Der Angerufene kennt die Rückrufnummer und ruft auch nur diese zu- rück.
Seite 466: Rückrufnummer Im Bat Bestimmt
Routing und WAN-Verbindungen 11.13 Rückruf-Funktionen Rückrufnummer im BAT bestimmt Für diese Einstellung muss der Rückruf-Eintrag auf 'Die Gegenstelle nach Überprüfung des Namens zurückrufen' stehen (bzw. in WEBconfig oder in der Konsole auf den Wert 'Name' gesetzt sein). In der Gegenstellenliste muss eine Rufnummer angegeben sein.
Seite 467: Rückruf Nach Rfc 1570 (Ppp Lcp Extensions)
Gegenstelle hereinkommt, zum anderen wird mit dieser Einstellung die Funktion aktiviert, auf das schnelle Rückruf-Verfahren reagieren zu können. D.h., um den schnellen Rückruf nutzen zu können, muss sich der Anrufer im 'Looser'-Modus befinden, während beim Angerufenen der Rückruf auf 'Hirschmann' eingestellt sein muss. BAT54-Rail/F.. Release 7.54 06/08...
Seite 468: Serielle Schnittstelle
Hinweis: Die Einstellung 'Name' bietet die höchste Sicherheit, wenn sowohl ein Eintrag in der Nummernliste als auch in der PPP-Liste konfiguriert ist. Die Einstellung 'BAT' ermöglicht die schnellste Rückrufmethode zwischen zwei Hirschmann-Routern. Hinweis: Bei Windows-Gegenstellen muss die Einstellung 'Name' gewählt werden.
Seite 469: Systemvoraussetzungen
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Internet- provider Zentrale Modem (analog) analoge Telefonleitung GSM/ GPRS Modem (GSM/GPRS) 11.14.2Systemvoraussetzungen Für die Einrichtung einer zusätzlichen WAN-Schnittstelle über den seriellen Anschluss benötigen Sie: BAT mit serieller Konfigurationsschnittstelle und Unterstützung für das BAT Modem Adapter Kit. LANconfig, alternativ Webbrowser oder Telnet zur Konfiguration serielles Konfigurationskabel (im Lieferumfang des Gerätes enthalten) Externes Modem mit Standard AT-Kommandosatz (Hayes-kompatibel)
Seite 470: Einstellen Der Seriellen Schnittstelle Auf Modem-Betrieb
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle 11.14.4Einstellen der seriellen Schnittstelle auf Modem-Betrieb Für den Betrieb der seriellen Schnittstelle können Sie die Betriebsart und die Bitrate einstellen. Betriebsart [Default: Outband] Outband: In dieser Betriebsart wird die serielle Schnittstelle nur zur Konfiguration über ein Terminalprogramm verwendet. Modem: In der Einstellung als 'Modem' versucht das Gerät, an der se- riellen Schnittstelle ein Modem zu erkennen.
Seite 471: Konfiguration Der Modem-Parameter
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Einstellungen für die serielle Schnittstelle auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Schnittstellen V.24-Schnittstelle Terminal/Telnet Setup/Schnittstellen/V.24-Schnittstelle Hinweis: Solange das BAT auf Modem-Betrieb eingestellt ist, werden bei ei- ner Verbindung mit einem Terminalprogramm über die serielle Schnitt- stelle die AT-Kommandos angezeit, mit denen das BAT ein angeschlossenes Modem erkennen will.
Seite 472: Grps-Backup-Verbindung Einrichten
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Hinweis: Die Modem-Parameter sind mit Werten vorbelegt, die für die mei- sten Modem-Typen passen – Änderungen sind daher in der Regel nicht erforderlich. Informieren Sie sich in der Dokumentation zu Ihrem Modem über evtl. abweichende Einstellungen. GRPS-Backup-Verbindung einrichten Wenn Sie für die Verbindung über die serielle Schnittstelle ein GRPS-fähi- ges Modem einsetzen, benötigen Sie den APN-Namen und die Einwahl-...
Seite 473: Eingabe Von Sonderzeichen An Der Konsole
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Konfiguration mit WEBconfig oder Telnet Unter WEBconfig oder Telnet finden Sie die Modem-Parameter auf folgen- den Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup Schnittstellen Modem-Parameter Terminal/Telnet Setup/Schnittstellen/Modem-Parameter Eingabe von Sonderzeichen an der Konsole Die GPRS-Einwahl erfordert es, Initialisierungsstrings mit Anführungszei- chen und Gleichheitszeichen eingeben zu können.
Seite 474: Statistik
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle 11.14.7Statistik Die Statistiken über die Aktivitäten auf der seriellen Schnittstelle finden Sie beim Zugang über Terminalprogramm oder Telnet unter: Status/Modem-Status Die Statistik zeigt den erkannten Modemtyp an und den letzten Verbindungs- zustand des angeschlossenen Modems, z.B. die Übertragungsrate, den ver- wendeten Übertragungsstandard oder die eingesetzte Fehlererkennung.
Seite 475 Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Rufnummer: Rufnummer, über die die Gegenstelle erreicht werden kann. Das Feld kann leer bleiben, wenn lediglich Rufe angenommen werden sollen. Haltezeit: Diese Zeit gibt an, wie lange die Verbindung aktiv bleibt, nach- dem keine Daten mehr übertragen wurden. Wird eine Null als Haltezeit angegeben, wird die Verbindung nicht automatisch getrennt.
Seite 476: Konfiguration Einer Backup-Verbindung Auf Der Seriel- Len Schnittstelle
Routing und WAN-Verbindungen 11.14 Serielle Schnittstelle Die Gegenstellenliste mit den Gegenstellen für das Modem an der seriellen Schnittstelle finden Sie auf folgenden Pfaden: Konfigurationstool Menü/Tabelle LANconfig Kommunikation Gegenstellen Gegenstellen (ISDN/seriell) WEBconfig Experten-Konfiguration Setup Einwahl-Gegenstellen Terminal/Telnet Setup/WAN/Einwahl-Gegenstellen Wenn Sie für die serielle WAN-Schnittstelle einen Eintrag in der Gegenstel- lenliste erzeugt haben, kann diese Gegenstelle wie alle anderen auch für Routing und WAN-Verbindungen 11.14.10Konfiguration einer Backup-Verbindung...
Seite 477: Kontaktbelegung Des Bat Modem Adapter Kits
Routing und WAN-Verbindungen 11.15 Manuelle Definition der MTU Die Polling-Tabelle finden Sie auf folgenden Pfaden: Konfigurationstool Menü/Tabelle LANconfig Kommunikation Gegenstellen Polling-Tabelle WEBconfig Experten-Konfiguration Setup Polling-Tabelle Terminal/Telnet Setup/WAN/Polling-Tabelle 11.14.11Kontaktbelegung des BAT Modem Adapter Kits Geräte-Signal D-Sub9-Stecker Geräte- oder D-Sub9-Stecker Modemsignal 11.15Manuelle Definition der MTU Verschiedene Internet-Provider betreiben zwar einen eigenen Backbone, bedienen sich aber für die Einwahl ihrer Kunden der Zugangsknoten der Te- lekom.
Seite 478: Konfiguration
Routing und WAN-Verbindungen 11.15 Manuelle Definition der MTU 11.15.1Konfiguration WEBconfig, Telnet oder Terminalprogramm Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die MTU- Liste mit maximale 16 Einträgen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup MTU-Liste Terminal/Telnet Setup/WAN/MTU-Liste Die Tabelle enthält folgende Einträge: Gerätename: Name der Gegenstelle.
Seite 479: Wan-Rip
Routing und WAN-Verbindungen 11.16 WAN-RIP 11.16WAN-RIP Um die über RIP gelernten Routen auch über das WAN bekannt zu machen, können die entsprechenden Gegenstellen in der WAN-RIP-Tabelle eingetra- gen werden. Die WAN-RIP Tabelle enthält folgende Werte: Peer: In der Spalte Peer wird der Name der Gegenstelle angegeben. RIP-Type: Die Spalte RIP-Type gibt an, mit welcher RIP-Version die lo- kalen Routen propagiert werden RIP-Accept: In der Spalte RIP-Accept wird angegeben, ob RIP aus dem...
Seite 480: Das Rapid-Spanning-Tree-Protokoll
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Konfiguration mit WEBconfig, Telnet oder SSH Unter WEBconfig, Telnet oder SSH-Client finden Sie die WAN-RIP-Tabelle auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup IP-Router WAN-Sites Terminal/Telnet Setup/IP-Router/RIP/WAN-Sites 11.17Das Rapid-Spanning-Tree- Protokoll In Netzwerken mit mehreren Switches und Bridges können zwischen zwei angeschlossenen Netzwerkteilnehmern durchaus mehrere physikalische Verbindungen bestehen.
Seite 481: Classic Und Rapid Spanning Tree
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll bindungen mit geringerer Priorität werden deaktiviert und stehen somit nicht für die Clients zur Verfügung. Durch die Reduktion auf nicht redundante Ver- bindungen zwischen den Clients baut das Protokoll einen Baum auf, in dem von einem zentralen Switch (Root-Bridge) aus alle Verbindungen eindeutig sind.
Seite 482 Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Ein Bridge-Port kann dazu „Grenz-Port“ (Edge-Port) definiert werden. Ein Edge-Port ist der einzige Bridge-Port, der zu dem angeschlossenen LAN- Segment führt – an dem LAN-Segment sind also keine anderen Bridges angeschlossen, sondern nur z.B. Workstations oder Server. Da diese Ports nicht zu Loops führen können, wechseln sie sofort in den Forwar- ding-Zustand, ohne die Ermittlung der Netzwerktopologie abzuwarten.
Seite 483: Konfiguration Des Spanning-Tree-Protokolls
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll 11.17.3Konfiguration des Spanning-Tree-Protokolls Zur Konfiguration der RSTP- bzw. STP-Funktion im BAT stehen folgende Parameter bereit: Konfigurationstool Aufruf LANconfig Schnittstellen Span. Tree WEBconfig, Telnet Experten-Konfiguration > Setup > LAN-Bridge > Spanning-Tree Allgemeine Parameter Spanning-Tree aktiviert Bei ausgeschaltetem Spanning Tree verschickt ein BAT keine Spanning- Tree-Pakete und leitet empfangene Spanning-Tree-Pakete durch, anstatt sie selber zu verarbeiten.
Seite 484 Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Hinweis: RSTP ist kompatibel zu STP. Wenn Komponenten im Netzwerk verwendet werden, die nur das klassische STP unterstützen, werden auch bei Aktivierung von RSTP die Verfahren von STP verwendet. Default: Classic Pfadkosten-Berechnung Classic: Verwendet die Verfahren des klassischen STP zur Pfadkos- tenberechnung.
Seite 485: Priorität
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Hinweis: Bei Verwendung des RSTP hat die Weiterleitungs-Verzögerung oft keine Auswirkung, da das RSTP selbst über geeignete Mechanismen verfügt, um den schnellen Wechsel in den Forwarding-Zustand auszulö- sen. Hinweis: Eine Modifikation dieser drei Zeitwerte wird nur bei genauer Kennt- nis des Spanning-Tree-Protokolls empfohlen.
Seite 486: Pfadkosten-Beeinflussung
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Hinweis: Aus Gründen der Kompatibilität zu RSTP darf dieser Wert nur in Schritten von 16 verändert werden, da bei RSTP nur die oberen 4 Bit die- ses 16-Bit-Wertes genutzt werden. Pfadkosten-Beeinflussung Mit diesem Parameter wird die Priorität von gleichwertigen Pfaden gesteuert.
Seite 487: Informationen In Der Port-Tabelle
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Pfadkosten-Berechnung Aktuell eingestellte Protokollversion zur Pfadkostenberechnung. Bridge-Prioritaet Aktuell eingestellte Priorität der Bridge. Informationen in der Port-Tabelle In der Port-Tabelle können für alle verfügbaren Ports (LAN, Wireless LAN, Point-to-Point-Strecken) folgende Werte eingesehen werden. Priorität Die aus der Port-Konfiguration übernommene Priorität dieses Ports. Status Der momentane Status des Ports: disabled: keinerlei Pakete über diesen Port senden oder empfangen.
Seite 488: Informationen In Der Rstp-Port-Statistik
Routing und WAN-Verbindungen 11.17 Das Rapid-Spanning-Tree-Protokoll Kosten Dieser Wert gibt die 'Kosten' für diesen Port an. Der Wert ergibt sich aus der Technologie (Ethernet, WLAN etc.) des Ports sowie der Bandbreite. Verwendete Werte sind z.B.: Übertragungstechnologie Kosten für Classic Spanning Kosten für Rapid Spanning Tree Tree...
Seite 489: Weitere Dienste
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP 12 Weitere Dienste Ein BAT bietet eine Reihe von Dienstleistungen für die PCs im LAN an. Es handelt sich dabei um zentrale Funktionen, die von den Arbeitsplatzrechnern genutzt werden können. Im Einzelnen handelt es sich um: Automatische Adressverwaltung mit DHCP Namenverwaltung von Rechnern und Netzwerken mit DNS Protokollierung von Netzverkehr mit SYSLOG...
Seite 490: Der Dhcp-Server
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP 12.1.1 Der DHCP-Server BAT kann als DHCP-Server die IP-Adressen in seinem TCP/IP-Netz verwal- ten. Dabei teilt er den Arbeitsplatzrechnern die folgenden Parameter mit: IP-Adresse Netzmaske Broadcast-Adresse Standard-Gateway DNS-Server NBNS-Server Gültigkeitsdauer der zugewiesenen Parameter Der DHCP-Server entnimmt die IP-Adressen entweder aus einem frei defi- nierten Adress-Pool oder ermittelt die Adressen selbstständig aus der eige- nen IP-Adresse (oder Intranet-Adresse).
Seite 491: So Werden Die Adressen Zugewiesen
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP Wird mindestens ein anderer DHCP-Server gefunden, schaltet das Gerät seinen eigenen DHCP-Server aus, wechselt in den DHCP-Cli- ent-Modus und bezieht eine IP-Adresse vom DHCP-Server aus dem LAN.. Damit wird u.a. verhindert, dass ein unkonfiguriertes Gerät nach dem Einschalten im Netz Adressen vergibt, die nicht im lokalen Netz liegen.
Seite 492 Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP Wird stattdessen '0.0.0.0' eingegeben, so ermittelt der DHCP-Server selbstständig die jeweiligen Adressen (Start bzw. Ende) aus den Einstel- lungen für die DMZ-Adresse oder Intranet-Adresse im 'TCP/IP-Modul'. Dabei wird wie folgt vorgegangen: Ist nur die Intranet-Adresse oder nur die DMZ-Adresse eingegeben, so wird über die zugehörige Netzmaske der Start bzw.
Seite 493: Zuweisung Der Netzmaske
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP Wenn nun ein Rechner im Netz gestartet wird, der mit seinen Netzwerk-Ein- stellungen über DHCP eine IP-Adresse anfordert, wird ihm ein Gerät mit ak- tiviertem DHCP-Server die Zuweisung einer Adresse anbieten. Als IP- Adresse wird dabei eine gültige Adresse aus dem Pool genommen.
Seite 494: Zuweisung Von Dns- Und Nbns-Server
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP Zuweisung von DNS- und NBNS-Server Hierzu werden die zugehörigen Einträge aus dem 'TCP/IP-Modul' herange- zogen. Ist bei den entsprechenden Feldern kein Server angegeben, so gibt der Rou- ter seine eigene IP-Adresse als DNS-Adresse weiter. Diese wird bestimmt, wie unter 'Zuweisung einer IP-Adresse' beschrieben.
Seite 495: Vorfahrt Für Den Rechner - Zuweisung Überschreiben
Weitere Dienste 12.1 Automatische IP-Verwaltung mit DHCP Auf den verschiedenen Registerkarten können Sie nun nachsehen, ob spe- zielle Einträge z.B. für die IP-Adresse oder das Standard-Gateway vorhan- den sind. Wenn Sie alle Werte vom DHCP-Server zuweisen lassen wollen, löschen Sie nur die entsprechenden Einträge. Vorfahrt für den Rechner –...
Seite 496: Vendor-Class- Und User-Class-Identifier Im Dhcp-Client
Weitere Dienste 12.2 Vendor-Class- und User-Class-Identifier 'dyn.' Der DHCP-Server hat dem Rechner eine Adresse zugewiesen. 12.2Vendor-Class- und User- Class-Identifier im DHCP- Client Der DHCP-Client im BAT kann in den versendeten DHCP-Requests zusätz- liche Angaben einfügen, die eine Erkennung der Requests im Netzwerk er- leichtern.
Seite 497: Dns
Rechnernamen bzw. Netzwerknamen (Domains) und IP-Adressen her. Dieser Service ist auf jeden Fall erforderlich für die Kommunikation im Internet, um z.B. einer Anfrage nach 'www.hirschmann.com' die entspre- chende IP-Adresse zurückliefern zu können. Aber auch innerhalb eines loka- len Netzes oder bei der LAN-Kopplung ist es sinnvoll, die IP-Adressen im LAN den Namen der Rechner eindeutig zuordnen zu können.
Seite 498: Dns-Forwarding
Weitere Dienste 12.3 DNS Wie reagiert der DNS-Server auf eine Anfrage? Der DNS-Server bezieht bei Anfragen nach bestimmten Namen alle Informa- tionen in die Suche mit ein, die ihm zur Verfügung stehen: Zuerst prüft der DNS-Server, ob der Zugriff auf diesen Namen nicht durch die Filterliste verboten ist.
Seite 499 Weitere Dienste 12.3 DNS Ein typischer Anwendungsfall für spezielles DNS-Forwarding ergibt sich beim Heimarbeitsplatz: Der Benutzer möchte gleichzeitig sowohl auf das fir- meneigene Intranet als auch direkt auf das Internet zugreifen können. Die Anfragen ins Intranet müssen an den DNS-Server der Firma, alle anderen Anfragen an den DNS-Server des Internet-Providers geleitet werden.
Seite 500: So Stellen Sie Den Dns-Server Ein
Weitere Dienste 12.3 DNS 12.3.3 So stellen Sie den DNS-Server ein Die Einstellungen für den DNS-Server finden Sie im folgenden Menü bzw. in folgender Liste: Konfigurationstool Aufruf/Tabelle LANconfig TCP/IP DNS-Server WEBconfig Experten-Konfiguration Setup Terminal/Telnet cd /Setup/DNS Gehen Sie zur Einstellung des DNS-Servers wie folgt vor: Schalten Sie den DNS-Server ein.
Seite 501 Weitere Dienste 12.3 DNS Aktivierter DNS-Server in der TCP-IP-Konfiguration Der DNS-Server dient hauptsächlich dazu, Anfragen nach Namen im In- ternet von den Anfragen nach Namen bei anderen Gegenstellen zu tren- nen. Tragen Sie daher alle Rechner in die Stations-Namen-Tabelle ein, deren Name und IP-Adresse Sie kennen, die nicht im eigenen LAN liegen, die nicht im Internet liegen und...
Seite 502: Url-Blocking
Weitere Dienste 12.3 DNS Die Angabe der Domain ist dabei optional, aber zu empfehlen. Wenn Sie nun das Mailprogramm starten, wird es vermutlich automa- tisch den Server 'mail.ihredomain.de' suchen. Der DNS-Server gibt dar- aufhin die IP-Adresse '10.0.0.99' zurück. Das Mailprogramm sucht dann nach dieser IP-Adresse.
Seite 503: Dynamic Dns
Weitere Dienste 12.3 DNS Der Index '001' kann bei der Konfiguration über Telnet oder WEBconfig frei gewählt werden und dient nur der eindeutigen Bezeichnung des Ein- trags. Hinweis: Bei der Eingabe der Domäne sind auch die Wildcards '?' (steht für genau ein Zeichen) und '*' (für beliebig viele Zeichen) erlaubt.
Seite 504 Weitere Dienste 12.3 DNS Wie gelangt die aktuelle IP-Adresse zum Dynamic DNS Server? Dynamic DNS Anbieter unterstützten eine Reihe von PC-Clientprogrammen, die über verschiedene Methoden die aktuell zugewiesene IP-Adresse eines BAT ermitteln können , und im Falle einer Änderung an den jeweiligen Dy- namic DNS Server übertragen Server beim DynDNS-An- PC mit DynDNS-Cli-...
Seite 505: Accounting
Weitere Dienste 12.4 Accounting Server beim DynDNS-An- bieter Internet Die dazu notwendigen Einstellungen können komfortabel mit dem Setup-As- sistenten von LANconfig vorgenommen werden: 12.4Accounting In der Accounting-Tabelle werden Informationen über die Verbindungen der Clients im eigenen Netzwerk zu verschiedenen Gegenstellen mit Angabe der Verbindungszeit und der übertragenen Datenvolumen gespeichert.
Seite 506 Weitere Dienste 12.4 Accounting Konfiguration des Accounting Bei der Konfiguration des Accounting werden die allgemeinen Parameter festgelegt: Konfigurationstool Aufruf LANconfig Management Kosten WEBconfig, Telnet Experten-Konfiguration > Setup > Accounting Accounting-Informationen sammeln Accounting ein- oder ausschalten. Accounting-Informationen im Flash-ROM ablegen Accounting-Daten im Flashspeicher ein- oder ausschalten. Wenn die Accounting-Daten im Flash gespeichert werden, gehen sie auch bei Stromausfall nicht verloren.
Seite 507 Weitere Dienste 12.4 Accounting Achtung: Die Option 'IP-Adresse' kann bei wechselnden IP-Adressen, z.B. bei Verwendung eines DHCP-Servers, zu ungenauen Accounting- Daten führen. Eine Zuordnung der Daten zu Benutzern ist dann ggf. nicht exakt möglich. Auf der anderen Seite können mit dieser Einstellung die Daten von Clients separiert werden, die sich hinter einem weiteren Router befinden und daher mit der gleichen MAC-Adresse des Routers in der Ac- counting-Liste auftauchen.
Seite 508: Das Syslog-Modul
Weitere Dienste 12.5 Das SYSLOG-Modul Wochentag Der Wochentag, an dem die Zwischenspeicherung vorgenommen wird. Nur beim Interval 'wöchentlich' von Bedeutung. Stunde Die Stunde, zu der die Zwischenspeicherung vorgenommen wird: '0' bis '23' Minute Die Minute, zu der die Zwischenspeicherung vorgenommen wird: '0' bis '59' 12.5Das SYSLOG-Modul Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf den BAT pro-...
Seite 509: Einrichten Des Syslog-Moduls
Weitere Dienste 12.5 Das SYSLOG-Modul 12.5.1 Einrichten des SYSLOG-Moduls Konfigurationstool Aufruf/Tabelle LANconfig Management Meldungen WEBconfig Experten-Konfiguration Setup SYSLOG Terminal/Telnet cd /Setup/SYSLOG 12.5.2 Beispielkonfiguration mit LANconfig SYSLOG-Client anlegen Starten Sie LANconfig. Unter 'Management' wählen Sie die Karte 'Mel- dungen'. Schalten Sie das Modul ein, und klicken Sie auf SYSLOG-Clients. Im nächsten Fenster klicken Sie auf Hinzufügen..
Seite 510: Facility-Zuordnung
Weitere Dienste 12.5 Das SYSLOG-Modul Quelle Bedeutung Facility Konsolen- Meldungen über Konsolen-Logins (Telnet, Outband, etc), Logouts und dabei auf- AUTH- Logins tretende Fehler PRIV Verbindun- Meldungen über den Verbindungsauf- und -abbau sowie dabei auftretende Feh- LOCAL0 ler (Display-Trace) Accounting Accounting-Informationen nach dem Abbau einer Verbindung (User, Onlinezeit, LOCAL1 Transfervolumen) Verwaltung...
Seite 511: Zeit-Server Für Das Lokale Netz
Weitere Dienste 12.6 Zeit-Server für das lokale Netz 12.6Zeit-Server für das lokale Netz BAT Router können hochgenaue Zeitinformationen entweder über ISDN be- ziehen, oder aber über öffentlich zugängliche Zeit-Server im Internet (NTP- Server mit ’Open Access’-Policy, z.B. von der Physikalisch-Technischen Bundesanstalt).
Seite 512 Weitere Dienste 12.6 Zeit-Server für das lokale Netz Mit diesen Einstellungen bezieht zunächst nur das BAT selbst die Zeit von den öffentlichen Zeitservern. Um die aktuelle Zeit auch im LAN den anderen Geräte bekannt zu machen, wird im auf der Registerkarte 'Zeit-Server' der Zeit-Server aktiviert.
Seite 513: Konfiguration Des Zeit-Servers Mit Webconfig Oder Telnet
Weitere Dienste 12.6 Zeit-Server für das lokale Netz 12.6.2 Konfiguration des Zeit-Servers mit WEBconfig oder Telnet Bei der Konfiguration mit WEBconfig oder Telnet finden sich die benötigten Parameter in folgenden Bereichen: Konfigurationstool Aufruf/Tabelle WEBconfig Experten-Konfiguration Setup Terminal/Telnet cd /Setup/NTP 12.6.3 Konfiguration der NTP-Clients Die NTP-Clients müssen so konfiguriert sein, dass sie die Zeitinformationen vom BAT verwenden.
Seite 514: Uhrzeitumstellung Nach Utc
Weitere Dienste 12.6 Zeit-Server für das lokale Netz Uhrzeitumstellung nach UTC BAT-Geräte arbeiten intern mit der koordinierten Weltzeit (UTC). Für Proto- kollausgaben und zeitbezogene Einstellungen (z.B. cron-Jobs) wird die loka- le Uhrzeit verwendet, die über die eingestellte Zeitzone berechnet wird. Zur Berücksichtigung der lokalen Sommerzeit-Einstellungen können die benötig- ten Anpassungen konfiguriert werden.
Seite 515: Benutzerdefinierte Sommerzeitumstellung
Weitere Dienste 12.6 Zeit-Server für das lokale Netz Benutzerdefinierte Sommerzeitumstellung Für den Beginn und das Ende der automatischen Sommerzeitumstellung können benutzerdefinierte Werte festgelegt werden. Konfigurationstool Aufruf LANconfig Datum/Zeit Allgemein Sommerzeit-Umstellungen WEBconfig, Telnet Experten-Konfiguration > Setup > Zeit > Umstellung-Sommerzeit Tag-Faktor Erster, Zweiter, Dritter, Vierter, Letzter, Zweitletzter, Drittletzter, Viert- letzter: An diesem wiederkehrenden Tag des Monats wird die Umstel- lung ausgeführt.
Seite 516: Scheduled Events
Weitere Dienste 12.7 Scheduled Events 12.7Scheduled Events 12.7.1 Zeitautomatik für LCOS-Befehle Dieses Feature erlaubt dem Gerät, bestimmte Befehle zu bestimmten, be- nutzerdefinierten Zeitpunkten auszuführen. Die Funktionalität entspricht da- bei dem unter UNIX bekannten Cron-Dienst. Ausgeführt werden kann dabei jede beliebige BAT Kommandozeilenfunktion. Es können damit also alle BAT Features mit einer zeitlichen Steuerung versehen werden.
Seite 517: Cron-Jobs Mit Zeitverzögerung
Weitere Dienste 12.7 Scheduled Events Auch das regelmäßige Update auf die neueste Firmware von einer festen Quelle aus ist so über die Zeitsteuerung zu realisieren. E-Mail-Benachrichtigungen Mit der Zeitautomatik kann das BAT nicht nur bei bestimmten Firewall- Ereignissen E-Mails an den Administrator versenden, sondern auch zu festgelegten Zeitpunkten.
Seite 518: Konfiguration Der Zeitautomatik
Weitere Dienste 12.7 Scheduled Events 12.7.3 Konfiguration der Zeitautomatik Zur Konfiguration der CRON-Jobs im BAT stehen folgende Parameter bereit: Konfigurationstool Aufruf LANconfig Datum/Zeit Allgemein Cron-Tabelle WEBconfig, Telnet Experten-Konfiguration > Setup > Config > Cron-Tabelle Eintrag aktiv Aktiviert oder deaktiviert den Eintrag. Default: Aktiv Zeitbasis Das Feld 'Zeitbasis' bestimmt ob die zeitliche Steuerung auf Grundlage...
Seite 519 Weitere Dienste 12.7 Scheduled Events wird er auch nicht in die Steuerung einbezogen. Pro Parameter kann auch eine Komma-separierte Liste von Werten, oder aber ein Bereich (angegeben als “Minimalwert-Maximalwert”) eingege- ben werden. Die Syntax des 'Wochentage'-Feldes entspricht dabei der üblichen cron- Interpretation: 0: Sonntag 1: Montag...
Seite 520 Weitere Dienste 12.7 Scheduled Events Beispiele: Zeitbasis Min. Std. W.-Tage M.-Tage Monate Befehl Echtzeit 1-31 1-12 do /so/man/abbau internet Echtzeit 1-31 1-12 mailto:admin@mybat.de?sub- ject=Zwangstrennung?body=Manu- elles Trennen der Internetverbindung Echtzeit do /setup/accounting/loeschen Echtzeit 1,2,3,4,5 do /so/man/aufbau ZENTRALE Der erste Eintrag trennt jeden Morgen um 4:00 Uhr die Verbindung zum Internetprovider (Zwangstrennung).
Seite 521: Pppoe-Server
Weitere Dienste 12.8 PPPoE-Server 12.8PPPoE-Server 12.8.1 Einleitung Im Zuge der DSL-Verbreitung sind mittlerweile in allen Betriebssystemen PPPoE-Clients integriert oder verfügbar. Diese können für eine „Anmeldung am Netzwerk“ sowie eine damit einhergehende Zugriffsrechteverwaltung auf Dienste wie Internet, E-Mail oder bestimmte Gegenstellen benutzt werden. PPPoE ist nur auf einem Netzwerksegment einsetzbar PPPoE ist als so genannte „Layer-2“-Technologie nur innerhalb eines Netzwerksegments einsetzbar, d.h.
Seite 522 Weitere Dienste 12.8 PPPoE-Server Damit die Anwender die Authentifizierung nicht umgehen können, wird in der Firewall eine DENY-ALL-Regel angelegt, die alle lokalen Verbindungen un- terbindet. Dazu wird der Benutzer 'Einkauf' als Gegenstelle ohne Benutzername, aber mit einem gemeinsamen Kennwort für alle Mitarbeiter in der Abteilung in der PPP-Liste angelegt (LANconfig Kommunikation Protokolle) und die Au-...
Seite 523 Weitere Dienste 12.8 PPPoE-Server Mit Hilfe der Firewall (LANconfig Firewall/QoS Regeln) können die er- laubten Dienste für die Mitarbeiter des Einkaufs gesteuert werden (z.B. nur Freischalten von HTTP und EMAIL). BAT54-Rail/F.. Release 7.54 06/08...
Seite 524: Konfiguration
Weitere Dienste 12.8 PPPoE-Server 12.8.3 Konfiguration Konfiguration mit LANconfig Die Einstellungen für den PPPoE-Server finden Sie in LANconfig im Konfigu- rationsbereich 'Kommunikation' auf der Registerkarte 'Allgemein'. BAT54-Rail/F.. Release 7.54 06/08...
Seite 525 Weitere Dienste 12.8 PPPoE-Server Konfiguration mit WEBconfig, Telnet oder SSH Unter WEBconfig, Telnet oder SSH-Client finden Sie die Einstellungen für den PPPoE-Server auf folgenden Pfaden: Konfigurationstool Menü/Tabelle WEBconfig Experten-Konfiguration Setup PPPoE-Server Terminal/Telnet Setup/PPPoE-Server Operating: Mit dem Schalter 'Operating' wird der Server ein- bzw. ausge- schaltet.
Seite 526: Radius
Weitere Dienste 12.9 RADIUS Namenliste: In der Namenliste können Benutzern verschiedene Parame- ter (z.B. Shorthold-Time und MAC-Adresse) zugeordnet werden: Hinweis: Eine MAC-Adresse von '000000000000' bedeutet, dass sich der Benutzer mit einer beliebigen MAC-Adresse anmelden darf. Ist eine MAC-Adresse eingetragen, so wird die PPP-Verhandlung abgebrochen, wenn sich der User von einer anderen MAC-Adresse anmeldet.
Seite 527 Weitere Dienste 12.9 RADIUS Authenticator: Eine Netzwerkkomponente, welche die Authentifizierung weiterleitet und zwischen dem Netz und dem Client liegt. Diese Aufgabe kann z.B. ein BAT Access Point übernehmen. Der Authenticator wird auch als Network Access Server (NAS) bezeichnet. RADIUS-Server Client Authenticator Authentication-Server: RADIUS-Server, auf dem die Daten für die Benut- zer konfiguriert sind.
Seite 528: Funktionsweise Von Radius
Weitere Dienste 12.9 RADIUS Der Authenticator hat zunächst keine Informationen über die Clients, die sich anmelden wollen. Diese sind alle in einer Datenbank des RADIUS-Servers gespeichert. Welche Anmeldeinformationen der RADIUS-Server für die Au- thentifizierung benötigt, ist dort in der Datenbank hinterlegt und kann von Netzwerk zu Netzwerk variieren.
Seite 529: Konfiguration Von Radius Als Authenticator Bzw. Nas
Weitere Dienste 12.9 RADIUS 12.9.2 Konfiguration von RADIUS als Authenticator bzw. NAS Das RADIUS-Protokoll wird von BAT-Geräten in unterschiedlichen Anwen- dungsfällen unterstützt. Für jeden dieser Fälle gibt es einen eigenen Satz von Parameter, der unabhängig von den anderen Anwendungen konfiguriert werden kann.
Seite 530 Weitere Dienste 12.9 RADIUS Hinweis: Bitte beachten Sie bei der PPP-Authentifizierung über RADIUS, dass das einwählende Gerät den hier konfigurierten RADIUS-Timeout ak- zeptiert. Wiederholungen [Default: 3] Dieser Wert gibt an, wieviele Authentifizierungs-Versuche insgesamt durchgeführt werden, bevor eine Ablehnung erfolgt. RADIUS-Accounting Für ein logisches WLAN-Netzwerk kann ein Accounting über einen RADIUS- Server aktiviert werden.
Seite 531: Einwahl Über Ppp Und Radius
Weitere Dienste 12.9 RADIUS Einwahl über PPP und RADIUS Bei der Einwahl über das PPP-Protokoll (Point-to-Point-Protocol) kann die Zugangsberechtigung der Clients mittels RADIUS geprüft werden. Ein Client kann sich dabei von einem beliebigen Ort in das Netz einwählen. Die an- schliessende Datenübertragung zwischen dem Client und dem Authenticator wird verschlüsselt.
Seite 532 Weitere Dienste 12.9 RADIUS Server IP-Adresse Geben Sie hier die IP-Adresse Ihres RADIUS-Servers an, mit dem Sie zentral die Benutzer verwalten. Server Port [Default: 1.812] Geben Sie hier den Port an, über den Sie mit Ihrem RADIUS-Server kommunizieren. Schlüssel (Shared-Secret) Geben Sie hier den Schlüssel an, mit dem die Kodierung der Daten vor- genommen werden soll.
Seite 533 Weitere Dienste 12.9 RADIUS Achtung: Wenn die übermittelte Rufnummer in der Namenliste enthalten ist, dort aber kein Rückruf aktiv ist, erfolgt keine weitere Prüfung über RA- DIUS. Exklusiv: Die RADIUS-Funktion für den Rückruf ist eingeschaltet. Die von den Clients gemeldete Rufnummer wird ausschließlich über den RADIUS-Server geprüft.
Seite 534: Einwahl Über Wlan Und Radius
Weitere Dienste 12.9 RADIUS Einwahl über WLAN und RADIUS Bei der Verwendung eines RADIUS-Servers zur Authentifizierung von WLAN-Clients prüft der RADIUS-Server die Berechtigungen der Clients über die MAC-Adresse. Konfigurationstool Aufruf LANconfig WLAN-Sicherheit Stationen WEBconfig, Telnet Experten-Konfiguration > Setup > WLAN > RADIUS -Zugriffsprüfung Achtung: Zur Nutzung der RADIUS-Funktion für WLAN-Clients muss für den Parameter „Stationen filtern“...
Seite 535: Einwahl Über 802.1X Und Radius
Weitere Dienste 12.9 RADIUS Server Port [Default: 1.812] Geben Sie hier den Port an, über den Sie mit Ihrem RADIUS-Server kommunizieren. Schlüssel (Shared-Secret) Geben Sie hier den Schlüssel an, mit dem die Kodierung der Daten vor- genommen werden soll. Der Schlüssel muss ebenfalls im RADIUS-Ser- ver konfiguriert sein.
Seite 536 Weitere Dienste 12.9 RADIUS Konfigurationstool Aufruf LANconfig WLAN-Sicherheit IEEE 802.1X RADIUS-Server WEBconfig, Telnet Experten-Konfiguration -->Setup -->IEEE802.1x > Radius-Server Name Geben Sie jedem RADIUS-Server einen in dieser Tabelle eindeutigen Namen. Der Name 'DEFAULT' ist reserviert für alle WLAN-Netze, deren Authentifizierung nach IEEE 802.1x erfolgt, und die keinen eigenen RADIUS-Server angegeben haben.
Seite 537: Konfiguration Von Radius Als Server
Weitere Dienste 12.9 RADIUS (Shared-Secret) für den RADIUS-Server. 12.9.3 Konfiguration von RADIUS als Server Neben der Funktion als RADIUS-Authenticator oder NAS kann ein BAT Ac- cess Point auch als RADIUS-Server arbeiten. In dieser Betriebsart stellt das Gerät seine eigenen Informationen über die anmeldeberechtigten Benutzer den anderen Access Points im Authenticator-Modus zur Verfügung.
Seite 538: Wlan-Zugangsliste Als Basis Für Radius-Informationen
Weitere Dienste 12.9 RADIUS WLAN-Zugangsliste als Basis für RADIUS-Informationen In der Zugangsliste können 512 WLAN-Clients eingetragen werden, die sich an einem BAT Access Point anmelden dürfen. In der Betriebsart als RADI- US-Server kann diese Liste auch verwendet werden, um über RADIUS Cli- ents zu prüfen, die sich an anderen Access Points anmelden wollen.
Seite 539: Erweiterungen Im Radius-Server
Weitere Dienste 12.10 Erweiterungen im RADIUS-Server 12.10Erweiterungen im RADIUS- Server 12.10.1Neue Authentifizierungs-Verfahren Bis zu Version 6.30 unterstützt der LCOS-RADIUS-Server nur PAP als Au- thentifizierungsverfahren, d.h. der RADIUS-Client (im Weiteren als NAS be- zeichnet – Network Access Server) übermittelt den Benutzernamen und das Passwort, der Server beantwortet diese Anfrage mit einem Access- Accept oder Access-Reject.
Seite 540: Eap-Authentifizierung
Weitere Dienste 12.10 Erweiterungen im RADIUS-Server EAP: Der NAS übermittelt den Benutzernamen und eine EAP-Nachricht. Im Gegensatz zu allen vorherigen methoden ist EAP nicht zustandslos, d.h. der RADIUS-Server kann mit einer eigenen Aufforderung (Challen- ge) statt nur mit einem Access-Accept oder Access-Reject antworten und so weitere Anforderungen vor dem Abschluss der Authentifizierung stel- len.
Seite 541: Radius-Forwarding
Weitere Dienste 12.10 Erweiterungen im RADIUS-Server MSCHAPv2 EAP, vorzugsweise EAP/MD5 EAP/PEAPv0, definiert in draft-kamath-pppext-peapv0-00.txt. Ähnlich wie TTLS setzt PEAP auf TLS auf und arbeitet mit einer EAP-Verhand- lung im TLS-Tunnel. Hinweis: Bitte beachten sie, dass PEAP zwar beliebige Authentifizierungs- verfahren ermöglicht, der LCOS-RADIUS-Server aber nur MSCHAPv2 als Tunnelmethode unterstützt.
Seite 542: Parameter Des Radius-Servers
Weitere Dienste 12.10 Erweiterungen im RADIUS-Server wird nach dem – in Verbindung mit dem Benutzernamen übermittelten – Realm durchsucht. Wenn keine Übereinstimmung gefunden wird, wird die Anfrage mit einem Access Reject beantwortet. Ein leerer Realm wird als lo- kale Anfrage gewertet, d.h. der LCOS-RADIUS-Server durchsucht seine ei- genen Benutzer-Tabellen und erzeugt daraus die entsprechende Antwort.
Seite 543 Weitere Dienste 12.10 Erweiterungen im RADIUS-Server Konfigurationstool Aufruf WEBconfig, Telnet Experten-Konfiguration > Setup > Radius > Server Globale Einstellungen für den RADIUS-Server Authentifizierungs-Port [Default: 0] Geben Sie hier den Port an, über den die Authenticator mit dem RADIUS-Server im BAT Access Point kommunizieren. Üblicherweise wird der Port '1812' verwendet.
Seite 544 Weitere Dienste 12.10 Erweiterungen im RADIUS-Server RADIUS-Benutzer In der Benutzer-Tabelle können je nach Modell unterschiedlich viele Benut- zer eingetragen werden, die über den RADIUS-Server ohne weitere Daten- banken authentifiziert werden können. Diese Benutzer-Tabelle wird für lokale Anfragen an den RADIUS-Server verwendet, also für Anfragen mit Be- nutzernamen ohne Realm.
Seite 545: Radsec
Weitere Dienste 12.11 RADSEC EAP-Optionen für den RADIUS-Server EAP-Tunnel-Server Realm als Verweis auf den Eintrag in der Tabelle der Weiterleitungs-Ser- ver, der für getunnelte TTLS bzw. PEAP-Anfragen verwendet werden soll. TLS-Pruefe-Benutzernamen Bei TLS authentifiziert sich der Client alleine über sein Zertifikat. Ist diese Option aktiviert, so prüft der RADIUS-Server zusätzlich, ob der im Zertifi- kat hinterlegte Benutzername in der RADIUS-Benutzertabelle enthalten ist.
Seite 546: Bat Als Radius-Server
Weitere Dienste 12.11 RADSEC WEBconfig: Setup RADIUS WEBconfig: Setup WLAN RADIUS-Zugriffspruefung WEBconfig: Setup WLAN RADIUS-Accounting WEBconfig: Setup IEEE802.1x RADIUS-Server BAT als RADIUS-Server Arbeitet ein BAT selbst als RADIUS-Server, kann der RADSEC-Port konfi- guriert werden, auf dem der Server RADSEC-Anmeldungen erwartet. Dar- über hinaus kann für alle RADIUS-Clients in der Client-Liste das zu verwendende Protokoll (RADIUS, RADSEC oder alle) eingestellt werden.
Seite 547: Anhang
Anhang 13.1 Fehlermeldungen im LANmonitor 13 Anhang 13.1Fehlermeldungen im LANmonitor Es besteht die Möglichkeit über den LANmonitor VPN - Fehlermeldungen auszulesen. Diese Fehlermeldungen werden in diesem Dokument aufgeli- stet, interpretiert und ein Workflow vorgeschlagen. BAT54-Rail/F.. Release 7.54 06/08...
Seite 548: Allgemeine Fehlermeldungen
Anhang 13.1 Fehlermeldungen im LANmonitor 13.1.1 Allgemeine Fehlermeldungen Verbindungsaufbau abgebrochen Verbindungsaufbau fehlgeschlagen (D-Kanal Layer 1) Bus-Aktivierung fehlgeschlagen Verbindungsaufbau fehlgeschlagen (D-Kanal Layer 2) kein UA auf SABME Verbindungsaufbau fehlgeschlagen (Layer 1) a/b-Ports Verbindungsaufbau fehlgeschlagen (Layer 2) a/b-Ports ISDN Leitungsfehler (Layer 1) Kabel nicht gesteckt Verbindungsabbruch (Layer 2) X.75 / V.110...
Seite 549 Anhang 13.1 Fehlermeldungen im LANmonitor Bei der Fehlermeldung 'Zeitüberschreitung während IKE- oder IPSec-Ver- handlung (Initiator)' kann kein direktes Fehlerbild entdeckt werden. Der Re- sponder jedoch hat einen Fehler z.B. 'Kein übereinstimmendes Proposal gefunden (Responder, IPSec)' festgestellt, den er mittels eines SNMP-Trap an einem SNMP-Client (LANmonitor) geschickt hat.
Seite 550 Anhang 13.1 Fehlermeldungen im LANmonitor Meldung Initiator Responder Dynamic VPN - keine ISDN Ruf- Beim dynamsichen VPN zur VPN Gegenstelle nummer für Verhandlungskanal fehlt die ISDN - Rufnummer. Bitte tragen Sie die Rufnummer unter "Konfiguriere --> Kommunika- tion --> Gegenstellen --> Gegenstelle (ISDN/ seriell) -->...
Seite 551 Anhang 13.1 Fehlermeldungen im LANmonitor Meldung Initiator Responder IKE Schlüssel stimmen nicht Überprüfen Sie die Preshared-Keys unter "Kon- x (IKE) überein figuriere --> VPN --> IKE --> IKE - Schlüssel" Nicht genügend Speicher Die Anzahl der VPN Verbindungen hat den Spei- x (IKE) cher des Gerätes ausgelastet.
Seite 552: Snmp-Traps
Anhang 13.2 SNMP-Traps 13.2SNMP-Traps MIB2-Traps Erklärung coldstart Gerät wurde durch Aus- und Einschalten der Stromzufuhr neu gestartet. warmstart LCOS wurde neu gestartet, z.B. durch einen Software-Reboot authentication failed Anmeldung beim Zugriff auf die Konfiguration fehlgeschlagen (= console login failed) Enterprise specific Traps Erklärung Firmware upload started Firmware-Upload gestartet...
Seite 553: Funkkanäle
Anhang 13.3 Funkkanäle WLAN-Traps Betriebsmodus Erklärung Disassociated WLAN sta- Access-Point WLAN-Station abgemeldet aufgrund einer Anforderung der tion due to station request Station Rejected association from Access-Point Anmeldung der WLAN-Station zurückgewiesen WLAN station WLAN card hung, reset- Access-Point WLAN-Karte angehalten, Reset ting oder Client 13.3Funkkanäle...
Seite 554: Funkkanäle Im 5 Ghz Frequenzband
Anhang 13.3 Funkkanäle 13.3.2 Funkkanäle im 5 GHz Frequenzband Im nutzbaren Frequenzraum von 5,13 bis 5,805 GHz stehen bis zu 19 Kanäle in Europa zur Verfügung, unterteilt in drei Frequenzbänder, für die unter- schiedliche Nutzungsbedingungen gelten können: Band 1: 5150 - 5350 MHz (Kanäle 36, 40, 44, 48, 52, 56, 60 und 64) Band 2: 5470 - 5725 MHz (Kanäle 100, 104, 108, 112, 116, 120, 124, 128, 132, 136 und 140) Band 3: 5725 - 5875 MHz (Kanäle 147, 151, 155, 167)
Seite 555: Funkkanäle Und Frequenzbänder Für Indoor- Und Outdoor
Anhang 13.3 Funkkanäle Kanalnummer Frequenz ETSI (EU) FCC (US) 5,735 GHz nein 5,755 GHz nein 5,775 GHz nein 5,835 GHz nein 13.3.3 Funkkanäle und Frequenzbänder für Indoor- und Outdoor-Verwendung In einigen Ländern gelten spezielle Vorschriften, welche Frequenzbänder und Kanäle im Indoor- bzw. Outdoorbetrieb verwendet werden dürfen. Die folgende Tabelle gibt Aufschluss über die zulässige Verwendung: Land Band...
Seite 556 Anhang 13.3 Funkkanäle Land Organisation Link www.eett.gr Griechenland National Telecommunications Commission (EET) www.oftel.gov.uk Großbritannien Office of Telecommunications (Oftel) www.postcomm.gov.uk/ Postal Services Commission (Postcomm) www.open.gov.uk/radio- Radiocommunications Agency www.comreg.ie Irland Commission for Communications Regulation (ComReg) www.pta.is Island Post and Telecom Administration (PTA) www.agcom.it Italien L'Autorità...
Seite 557: Unterstützte Rfcs
Anhang 13.4 Unterstützte RFCs 13.4Unterstützte RFCs Titel 1058 Routing Information Protocol 1331 The Point-to-Point Protocol (PPP) for the Transmission of Multi-protocol Datagrams over Point- to-Point Links 1334 PPP Authentication Protocols 1389 RIP Version 2 MIB Extensions 1483 Multiprotocol Encapsulation over ATM Adaptation Layer 5 1542 Clarifications and Extensions for the Bootstrap Protocol 1552...
Seite 558 Anhang 13.5 Glossar 13.5Glossar 802.11 Funk-LAN Spezifikation des IEEE; Datenrate bis 2 Mbit/s; im 2,4 GHz ISM Band; FHSS und DSSS; auch Infrarot Spektrum Kommunikation vorgesehen 802.11a 802.11 Erweiterung; Datenrate bis 54 Mbit/s; im 5 GHz Band; OFDM 802.11b 802.11 Erweiterung; Daten bis 11 Mbit/s; im 2,4 GHz Band; hohe Marktdurchdringung; DSSS/CCK 802.11g 802.11 Erweiterung;...
Seite 559 Anhang 13.5 Glossar Domäne in sich geschlossener Netzwerkbereich; => Intranet Download / Download / Downstream kennzeichnet die Richtung des Datenflusses in einem WAN. Bei Downstream Downstream handelt es sich um die Richtung vom Head-End/Internet zu dem am Netz angeschlossenen Teilnehmer. Distribution System Digital Subscriber Line - DSL-Verfahren sind alle Verfahren zur digitalen breibandigen Nutzung von Telefonleitungen im Anschlussbereich, wie ADSL, HDSL, SDSL, VDSL...
Seite 560 Kombination aus PAT (Port Adress Translation) und NAT (Network Adress Translation) ding von Hirschmann verwendetes Verfahren zur Anbindung eines Intranets (mehrere Work- stations) ans Internet über eine einzige IP-Adresse; gleichzeitig sind die internen Rech- ner vor Zugriffen von außen geschützt...
Seite 561 Anhang 13.5 Glossar Stromchiffrierverfahren von Ron Rivest, “Rens Code” Request for Comments Router intelligente Netzwerkkomponente; vergleichbar mit einer Poststelle, die aufgrund von logischer Zieladresse eines Paketes entscheiden kann, an welche nächste Netzwerk- komponente dieses Paket übertragen wird; kennt die gesamte Topologie des Netzes SDSL Single Line Digital Subscriber Line - Downstream und Upstream mit 2,048 Mbit/s (zwei- adriges Kabel)
Seite 562 Anhang 13.5 Glossar WiFi Proteced Access; Bezeichnung für über IEEE 802.11 hinaus gehende Sicherheits- mechanismen; generiert durch die WiFi-Alliance WISP Wireless Internet Service Provider xDSL xDSL steht für die Familie der Digital Subscriber Line Techniken Logische Verknüpfung “exklusiv oder” BAT54-Rail/F.. Release 7.54 06/08...
Seite 563 Anhang 13.5 Glossar BAT54-Rail/F.. Release 7.54 06/08...
Seite 564 Anhang 13.5 Glossar BAT54-Rail/F.. Release 7.54 06/08...
Seite 565 Index 14 Index Numerics 1-1-Mapping 2,4 GHz ISM-Frequenzband 5 GHz Frequenzband 802.11 802.11i PMK-Caching VoIP 802.11x Rekeying AAL-5 Access Control List Access Point Access Points Access Router Administratoren Administratorengruppe Adress-Pool Adressverwaltung ADSL AES-CCM Allow-All Antennen-Gewinn Anzeige der Empfangsqualität über LEDs Application Gateway AT-Befehle ATM-Anpassungsschicht...
Seite 566 Index auto reconnect Background-Scanning Backup-Verbindung Bandbreite BAT-Betriebssystem Benutzername Benutzerrechte Blacklist Blowfish Bonk Breitband Bridge Broadcast Brute-Force Bruttodatenrate CAPI Client Client-Modus Collision Domain Conf CRON-Dienst CSMA/CA Datendurchsatz Datum/Zeit Default-Gateway Denial of Service Denial-of-Service Bonk Fragrouter Konfiguration LAND Ping of Death Smurf BAT54-Rail/F..
Seite 567 Index SYN Flooding Teardrop Denial-of-Service-Angriffe LAND Smurf SYN Flooding Deny-All Black- und White-List DHCP Automodus für den DHCP-Server DHCP-Server Gültigkeitsdauer Zuweisung der Broadcast-Adresse Zuweisung der Netzmaske Zuweisung des Standard-Gateways Zuweisung von DNS- und NBNS-Server Dienst Dienstgüte – siehe Quality-of-Service Differentiated Services – siehe DiffServ Differentiated Services Code Point –...
Seite 568 Index Filterliste im DNS-Server Filtermechanismus des DNS-Servers URL-Blocking verfügbare Informationen im DNS-Server Domain sperren Domain Name Service (DNS) Domäne Konfiguration Download Downstream Downstreamrate DSCP DSLoL DSSS Dynamic DNS Dynamic Frequency Selection Dynamic Host Configuration Protocol (DHCP) Dynamisches Routing dynDNS Ablauf einer mittels EAP geschützten Sitzung RADIUS-Server EAP/802.1x Master Secret...
Seite 569 Index Enterprise specific Traps ESSID ETH-10 Ethernet exposed host Extensible Authentication Protocol Fail Fehlersuche Fernkonfiguration Fernüberwachung Fernwartung mit N-N-Mapping FHSS Filterliste Firewall Alarmierungsfunktionen Allow-All Anwendungsfälle Application Gateway Assistent Aufgaben Authentifizierungs-Port Beispielkonfiguration Basic Internet Beispielkonfiguration IPSec/PPTP-Freischaltung Beispielkonfiguration ISDN-Einwahl Beispielkonfiguration Netzwerkkopplung Beispielkonfiguration V.110-Einwahl Beispielkonfiguration VPN-Einwahl Benachrichtigung per E-Mail Benachrichtigung per SNMP-Trap...
Seite 570 Index Ereignisanzeige Filterliste Firewall-Tabelle Fragmente Hostsperrliste ICMP ICMP-Verbindungen Komponenten Logging-Tabelle paketfilterbasiert Parameter der Firewall-Regeln Ping-Blocking Portsperrliste Prüfen mit mehreren Listen Quell- und Zielobjekte Schaubild Sitzungswiederherstellung Stafeful Inspection Stateful-Inspection Stationen sperren Strategien für die Einstellung SYSLOG TCP-Stealth-Modus TCP-Verbindungen Tipps zur Einstellung Typen UDP-Verbindungen Verbindungsliste...
Seite 571 Index Paket-Aktion Priorität Quality of Service Regel-Tabelle Schaubild SNMP senden Sonstige Maßnahmen Syslog-Nachricht senden Trigger Verbindung Verbindung trennen Verknüpfung VPN-Regel Ziel-Port sperren Firewall-Tabelle FirmSafe Firmware Firmware-Updates Firmware-Upload mit Terminalprogramm mit TFTP Firmware-Versionen Flash-No-Modus Flash-ROM-Speicher Flash-Yes-Modus Flatrate FQDN Fragrouter Frame-Tagging Frequenz Frequenz-Band Frequenzband aktives FTP...
Seite 572 Index Ad-hoc Betriebsarten Funk-Brücke Infrastruktur-Netzwerk Funknetzwerk Funktionsrechte Funkzelle Gateway Gegenstelle Gegenstellen Gerätename Gezieltes VPN-Accounting mit Zwischenspeicherung Gruppen-Konfiguration Gültigkeitsdauer Hard-Roaming HDLC Hidden-Station Host Hostsperrliste HotSpot HSCSD HTTPS IAPP-Roaming IBBS IBSS ICMP ICMP Polling ICMP-Verbindungen Konfiguration IEEE IEEE 802.11a IEEE 802.11b IEEE 802.11e IEEE 802.11g BAT54-Rail/F..
Seite 573 Index IEEE 802.1p IEEE 802.1p/q IEEE 802.1x/EAP IEEE 802.3 Inband Konfiguration über Inband mit Telnet Indoor-Funktion Internet-Zugang Intranet Zuweisung von IP-Adressen Intrusion Detection Konfiguration Intrusion-Detection IP-Spoofing Portscan Inverses Masquerading Filter Ports sperren IP Quality-of-Service IP-Adresse IP-Adressverwaltung IP-Broadcast IP-Header IP-Masquerading IP-Module IP-Multicast IP-Redirect IP-Router...
Seite 574 Index ISM-Frequenzband Keep-alive Kompatibilitätsmodus Konfiguration Verfahren Konfigurationsdatei Konfigurationskennwort Konfigurations-Schnittstelle Konfigurationsupdates Kontaktbelegung logisch physikalisch LAN-Bridge LANCAPI LANcapi LANconfig Script downloaden Spaltenansicht Verwaltung mehrerer Geräte LAND LANmonitor Accounting-Informationen Aktivitätsprotokoll Anzeige-Optionen Firewall-Ereignisanzeige Internet-Verbindung kontrollieren System-Informationen Traces VPN-Verbindungen LANtools Layer-2 Layer-2-Switch Layer-3 Layername LCOS LCP-Echo-Reply BAT54-Rail/F..
Seite 575 Index LCP-Echo-Request LEPS LLC-MUX Logging-Tabelle Login Login-Sperre Login-Versuche logische Funknetze logische Senderichtung logisches LAN Loopback-Adresse MAC-Adresse MAC-Adressfilter MAC-Filter aktiviert MAC-Frame Mailserver maskierten Verbindungen Maximalbandbreite Mbit MIB2 Mindestbandbreite beim Empfang beim Senden MLPPPoE Modem Modem Adapter Kit Modem-Parameter MS-CHAP Multilink-PPP (MLPPP) Multilink-PPPoE (MLPPPoE) Multi-PPPoE Multi-SSID...
Seite 576 Index NBNS-Server NetBIOS NetBios NetBIOS-Netze NetBIOS-Proxy Nettodatenrate Nettoübertragungsrate Network Address Translation Netzkopplung Netzmaske Netzwerk-Management Netzwerknamen N-N-Mapping dezentrales Mapping DNS-Forwarding Firewall Konfiguration Loopback-Adresse NAT-Tabelle Netzwerkkopplung über VPN Routing-Tabelle VPN-Regel zentrales Mapping NTBA NTP-Clients NTP-Server OFDM Outband Konfiguration über Outband Overhead Paket-Dump Paketfilter passwd Passwort...
Seite 577 Index physikalische WLAN-Schnittstelle physikalisches LAN ping Ping of Death Ping-Befehl Ping-Blocking ping-Blocking Konfiguration PMTU-Reduzierung Point-to-Multipoint Point-to-Multipoint (WLAN) Point-to-Point (WLAN) Point-to-Point Tunneling Protocol (PPTP) Policy-based Routing Port Address Translation Portscan Portsperrliste LCP Extensions Leitungsüberprüfung mit LCP Rückruf-Funktionen Zuweisung von IP-Adressen PPPoE PPTP Precedence Pre-Shared-Key...
Seite 578 Index Radarsignal RADIUS WLAN-Zugangsliste RADIUS-Server RADSEC Rechner-Namen Rechteverwaltung Redirect Reichweite Remote Access Reset Reset-Schalter RFCs Roaming Rogue AP Detection Rogue Client Detection Roll-Out Router Routing-Tabelle Routing-Tag RTS/CTS-Protokoll RTS-Schwellwert Rückruf Fast Call Back nach Microsoft CBCP nach RFC 1570 schnelles Verfahren RX-Rate Scheduled Events Schutz...
Seite 579 Index Serielle Schnittstelle Server Service Set Identifier Sicherheit Sicherheits-Checkliste Sicherheitseinstellungen Sicherung SINA SMTP Smurf SNMP Konfiguration schützen SNMP-ID SNMP-Lesezugriff SNMP-Trap SNMP-Traps SNMPv3 Soft-Roaming Software einspielen Speicherauslastung Splitter SSH-Authentifizierung SSH-Zugang SSID Start-Adresse Stateful-Inspection Stateful-Packet-Inspection Stations-Namen-Tabelle Statisches Routing Statistik Stealth-Modus Konfiguration Switch SYN Flooding SYN/ACK-Speedup SYSLOG...
Seite 580 Index TCP/IP TCP/IP-Filter TCP/IP-Netze TCP-Stealth-Modus TCP-Steuerungspakete TCP-Verbindungen Teardrop Teil-Konfiguration Telnet Ausgabe der SNMP-ID Temporal Key Integrity Protocol Term Terminalprogramm TFTP TFTP laden TKIP High Reliability IPSec Low Delay Priorität Trace Ausgaben Beispiele Schlüssel und Parameter starten Trace-Ausgaben Trace-Konfiguration Traces Trojaner Turbo-Modus TX-Rate Type-of-Service –...
Seite 581 Index UDP-Verbindungen Uhrzeitumstellung nach UTC Upload Upstream Upstreamrate URL-Blocking Username V.110 VC-MUX Verbindungsliste Verkettung Verschlüsselte Konfiguration Verschlüsselung asymmetrische symmetrische Verschlüsselungsmethode Verschlüsselungsverfahren AES-CCM virtuelles LAN VLAN Abschirmung des SNMP-Traffics Alle VLANs zulassen Anschluss von WLAN-Stationen Default-VLAN-ID Konfiguration Layer-2-Tagging Management des LAN-Traffics Netzwerktabelle Nutzung einer zentralen Verkabelung Port...
Seite 582 Index VLAN-ID Voice oder WLAN Voice-over-IP VoIP – siehe Voice-over-IP VoWLAN Client Fernwartung über N-N-Mapping Gateway Gezieltes VPN-Accounting mit Zwischenspeicherung Netzwerkkopplung mit N-N-Mapping Warteschlangen gesicherte Queue Standard-Queue Urgent Queue II Urgent-Queue I WEBconfig HTTPS WECA Einzel-WEP-Einstellungen Erklärung des Verfahrens Sniffer-Tools WEP-Gruppen-Schlüssel WEPplus Grenzen...
Seite 583 Index Wired Equivalent Privacy Wireless Local Area Network Wireless Multimedia Extension WISP WLAN Ad-hoc-Modus Adress-Anpassung Anzeige der Empfangsqualität über LEDs ARP-Behandlung Authentifizierung nach EAP/802.1X im Client-Modus Background-Scanning Basisstations-Dichte Betriebsart Bevorzugte BSS-ID Bridge-Modus Client-Bridge-Unterstützung Client-Modus Client-Verbindung aufrecht erhalten Closed-Network-Modus DFS-Verfahren Durchsuchte Bänder Frequenzband IBBS Indoor-Funktion...
Seite 584 Index Rogue AP Detection Rogue Client Detection Sendeleistungs-Reduktion SSID Turbomodus Unterband WEP-Gruppen-Schlüssel WLAN- Controller WLAN-Betriebsart WLANmonitor Rogue Client Detection WLAN-Schnittstelle logisch physikalisch WLAN-Sicherheit 802.11i 802.1x Sniffer-Tools TKIP WEPplus Group Key Handshake-Verfahren Key-Handshake Master Secret, Michael Pairwise Key Passphrase Rekeying TKIP X.509-Zertifikat X.75 xDSL...
Seite 585 Index Zeit Zeitautomatik Zeit-Server BAT54-Rail/F.. Release 7.54 06/08...
Seite 586 Index BAT54-Rail/F.. Release 7.54 06/08...

Diese Anleitung auch für:

Bat54-f x2 fcc Bat54-f

Hirschmann BAT54-Rail FCC Anwenderhandbuch

1 Einleitung

2 System-Design

3 Wireless LAN (WLAN)

4 Konfiguration

5 Netzwerk-Management

6 Diagnose

7 Sicherheit

8 Firewall

Quicklinks

Verwandte Anleitungen für Hirschmann BAT54-Rail FCC

Inhaltszusammenfassung für Hirschmann BAT54-Rail FCC