LANCOM LCOS 9.00 Referenzhandbuch

Seite von 1300

/ 1300
Inhalt
Inhaltsverzeichnis
Lesezeichen

Inhaltsverzeichnis

Quicklinks

Diese Anleitung herunterladen

connecting

your business

Referenzhandbuch

LCOS 9.00

Inhaltsverzeichnis

Inhaltszusammenfassung für LANCOM LCOS 9.00

Seite 1 Referenzhandbuch LCOS 9.00...
Seite 2: Inhaltsverzeichnis
2.3.2 Fernverbindungen über das DFÜ-Netzwerk................57 2.3.3 Fernverbindung über einen PPP-Client und Telnet..............58 2.3.4 Default-Layer für die Ferninbetriebnahme................59 2.3.5 Konfigurationszugriff für die Fernwartung via ISDN..............59 2.4 LANCOM Layer 2 Management Protokoll (LL2M)..................60 2.4.1 Einleitung..........................60 2.4.2 Konfiguration des LL2M-Servers....................60 2.4.3 Befehle für den LL2M-Client.....................60 2.5 Alternative Boot-Config..........................62...
Seite 3 2.16.1 Default-Rollout-Assistent.....................104 2.16.2 Benutzerdefinierter Rollout-Assistent...................104 2.16.3 Aktivierung des Rollout-Assistenten..................120 2.17 TCP-Port-Tunnel...........................120 2.17.1 TCP/HTTP-Tunnel konfigurieren....................120 2.17.2 TCP/HTTP-Tunnel erzeugen....................121 2.17.3 TCP/HTTP-Tunnel vorzeitig löschen..................121 2.18 Benamte Loopback-Adressen einrichten....................122 2.19 Management-Ports für den Gerätezugriff anpassen................122 2.20 Ändern der SIM-Karten-PIN.........................123 3 LANCOM Management System (LCMS)................124...
Seite 4 Referenzhandbuch Inhalt 3.1 LANconfig - Geräte konfigurieren......................124 3.1.1 LANconfig starten........................125 3.1.2 Arbeiten mit LANconfig......................127 3.1.3 Die Menüstruktur in LANconfig....................166 3.1.4 Die Symbole der Symbolleiste....................199 3.1.5 Das Kontextmenü in LANconfig....................200 3.1.6 LANconfig Tastaturbefehle.....................200 3.1.7 LANconfig Kommandozeilen-Parameter.................201 3.1.8 Anwendungskonzepte für LANconfig..................202 3.2 LANmonitor - Geräte im LAN überwachen.....................204 3.2.1 LANmonitor starten........................205 3.2.2 QuickFinder im LANmonitor....................205 3.2.3 Anzeige-Funktionen im LANmonitor..................206...
Seite 5 Referenzhandbuch Inhalt 4.3 Paket-Capturing.............................272 4.4 Das SYSLOG-Modul..........................273 4.4.1 Einleitung..........................273 4.4.2 Aufbau der SYSLOG-Nachrichten....................274 4.4.3 Konfiguration von SYSLOG über LANconfig................276 4.4.4 Bedeutung von SYSLOG-Meldungen..................281 4.5 Übersicht der Parameter im ping-Befehl....................284 4.6 Monitor-Modus am Switch........................286 4.7 Kabel-Test..............................287 4.8 Mittelwert der CPU-Lastanzeige......................287 4.8.1 Einleitung..........................287 4.8.2 Konfiguration.........................287 4.9 Versand von Anhängen mit dem mailto-Kommando................288 4.10 Erweiterung der Sysinfo........................289...
Seite 6 Referenzhandbuch Inhalt 6.3.5 Ermittlung des Routing-Tags für lokale Routen...............322 6.3.6 Routing-Tags für DNS-Weiterleitung..................322 6.3.7 Virtuelle Router........................324 6.3.8 NetBIOS-Proxy........................325 6.4 Die Konfiguration von Gegenstellen.......................326 6.4.1 Gegenstellenliste........................326 6.4.2 Layer-Liste..........................327 6.5 IP-Masquerading...........................328 6.5.1 Einfaches Masquerading......................329 6.5.2 Inverses Masquerading......................330 6.6 Demilitarisierte Zone (DMZ)........................332 6.6.1 Zuordnung der Netzwerkzonen zur DMZ................333 6.6.2 Adressprüfung bei DMZ- und Intranet-Interfaces..............333 6.6.3 Unmaskierter Internet-Zugang für Server in der DMZ.............334 6.7 Multi-PPPoE............................334...
Seite 7 6.17.6 Direkte Eingabe von AT-Befehlen..................369 6.17.7 Statistik..........................369 6.17.8 Trace-Ausgaben........................369 6.17.9 Konfiguration von Gegenstellen für V.24-WAN-Schnittstellen..........370 6.17.10 Konfiguration einer Backup-Verbindung auf der seriellen Schnittstelle.......370 6.17.11 Kontaktbelegung des LANCOM Modem Adapter Kits ............371 6.18 Manuelle Definition der MTU.......................371 6.18.1 Konfiguration........................371 6.18.2 Statistik..........................372 6.19 WAN-RIP.............................372 6.20 Das Rapid-Spanning-Tree-Protokoll......................373...
Seite 8 Referenzhandbuch Inhalt 6.24.3 IGMP Snooping über mehrere Bridges hinweg..............398 6.24.4 Konfiguration........................400 6.24.5 IGMP Status ........................405 6.25 Konfiguration des WWAN-Zugriffs.......................407 6.26 Umschalten zwischen Mobilfunk-Profilen oder SIM-Karten..............412 6.27 Erweiterung des Temperaturbereichs für L-305/310................412 7 IPv6..........................414 7.1 IPv6-Grundlagen............................414 7.1.1 Warum IP-Adressen nach dem Standard IPv6?...............414 7.1.2 Aufbau einer IP-Adresse nach IPv6-Standard.................414 7.1.3 Migrationsstufen........................415 7.2 IPv6-Tunneltechnologien........................415...
Seite 9 Referenzhandbuch Inhalt 8.2 Was ist eine Firewall?..........................474 8.2.1 Die Aufgaben einer Firewall....................474 8.2.2 Unterschiedliche Typen von Firewalls..................475 8.3 Die Firewall im Gerät..........................478 8.3.1 So prüft die Firewall im Gerät die Datenpakete..............479 8.3.2 Besondere Protokolle......................481 8.3.3 Allgemeine Einstellungen der Firewall..................482 8.3.4 Die Parameter der Firewall-Regeln..................485 8.3.5 Die Alarmierungsfunktionen der Firewall................489 8.3.6 Strategien für die Einstellung der Firewall................492 8.3.7 Tipps zur Einstellung der Firewall...................494...
Seite 10 10.5.11 Gemeinsamer Aufbau von Security Associations..............562 10.5.12 Diagnose der VPN-Verbindungen..................563 10.6 myVPN..............................563 10.6.1 VPN-Profil für die LANCOM myVPN App mit dem Setup-Assistenten von LANconfig einrichten..........................564 10.6.2 VPN-Profil mit der LANCOM myVPN App beziehen...............566 10.6.3 VPN-Verbindung auf dem iOS-Gerät herstellen und beenden..........572 10.6.4 VPN-Profil auf dem iOS-Gerät löschen..................573...
Seite 11 10.7.13 Erweiterte Zertifkats-Unterstützung..................593 10.7.14 VPN-Verbindungen auf Zertifikatsunterstützung einstellen..........594 10.7.15 Zertifikatsbasierte VPN-Verbindungen mit dem Setup-Assistenten erstellen......599 10.7.16 LANCOM Advanced VPN Client auf Zertifikatsverbindungen einstellen.......604 10.7.17 Vereinfachte Einwahl mit Zertifikaten.................606 10.7.18 Vereinfachte Netzwerkanbindung mit Zertifikaten – Proadaptives VPN......607 10.7.19 Anfrage von Zertifikaten mittels CERTREQ................608 10.7.20 Certificate Revocation List - CRL..................608...
Seite 12 10.15.5 Betrieb als L2TP Network Server (LNS) für RAS-Clients............642 10.16 Konkrete Verbindungsbeispiele......................644 10.16.1 Statisch/statisch.........................644 10.16.2 Dynamisch/statisch......................645 10.16.3 Statisch/dynamisch (mit LANCOM Dynamic VPN)...............645 10.16.4 Dynamisch/dynamisch (mit LANCOM Dynamic VPN)............646 10.16.5 VPN-Verbindungen: hohe Verfügbarkeit mit „Lastenausgleich“..........647 10.17 Wie funktioniert VPN?........................650 10.17.1 IPSec – Die Basis für VPN....................650 10.17.2 Alternativen zu IPSec......................650...
Seite 13 12.5.1 Grundbegriffe ........................689 12.5.2 IEEE 802.11i / WPA2......................690 12.5.3 TKIP und WPA ........................693 12.5.4 WEP ............................694 12.5.5 LEPS – LANCOM Enhanced Passphrase Security..............694 12.5.6 Background WLAN Scanning....................695 12.5.7 Erkennung von Replay-Attacken...................696 12.5.8 WLAN Protected Management Frames (PMF)...............696 12.6 Konfiguration der WLAN-Parameter.....................699 12.6.1 Allgemeine WLAN-Einstellungen..................700...
Seite 14 Referenzhandbuch Inhalt 12.6.16 Übernahme der User-Priorität von IEEE 802.11e in VLAN-Tags...........737 12.6.17 UUID-Info-Element für LANCOM WLAN Access Points............737 12.6.18 Erweiterte WLAN-Parameter....................738 12.6.19 Ratenadaptionsalgorithmus....................738 12.7 Konfiguration des Client-Modus......................739 12.7.1 Client-Einstellungen......................740 12.7.2 Radio-Einstellungen......................740 12.7.3 SSID des verfügbaren Netzwerks einstellen................742 12.7.4 Verschlüsselungseinstellungen.....................742 12.7.5 PMK-Caching im WLAN-Client-Modus..................743 12.7.6 Prä-Authentifizierung im WLAN-Client-Modus..............744...
Seite 15 Referenzhandbuch Inhalt 12.21.3 PRP-Implementation in den Access Points................776 12.21.4 PRP ausschließlich über WLAN realisieren................776 12.21.5 Dual Roaming........................776 12.21.6 Unterstützung von Diagnosemöglichkeiten................777 12.21.7 Tutorial: Einrichtung einer PRP-Verbindung über ein Point-to-Point-Netz (P2P)....778 12.21.8 Tutorial: Roaming mit einem Dual-Radio-Client und PRP............780 13 WLAN-Management.....................784 13.1 Ausgangslage............................784 13.2 Technische Konzepte..........................784 13.2.1 Der CAPWAP-Standard......................784...
Seite 16 Referenzhandbuch Inhalt 13.9 Anzeigen und Aktionen im LANmonitor....................870 13.10 Funkfeldoptimierung..........................871 13.10.1 Gruppenbezogene Funkfeldoptimierung................872 13.11 Client Steering über den WLC......................873 13.11.1 Konfiguration........................874 13.12 Kanallastanzeige im WLC-Betrieb.......................877 13.13 Sicherung der Zertifikate........................877 13.13.1 Backup der Zertifikate anlegen...................877 13.13.2 Zertifikats-Backup in das Gerät einspielen................878 13.13.3 Sichern und Wiederherstellen weiterer Dateien der SCEP-CA..........878 13.13.4 One Click Backup der SCEP-CA...................879 13.14 Backuplösungen..........................880...
Seite 17 15 Voice over IP - VoIP....................1048 15.1 Einleitung............................1048 15.2 VoIP-Implementation im LANCOM VoIP Router..................1049 15.2.1 Anwendungsbeispiele......................1049 15.2.2 Die zentrale Position der LANCOM VoIP Router..............1053 15.3 Die Gesprächsvermittlung: Call-Routing.....................1054 15.3.1 SIP-Proxy und SIP-Gateway....................1055 15.3.2 Die Anmeldung von Benutzern am SIP-Proxy..............1055 15.3.3 Rufnummernumsetzung an Netz-Übergängen..............1058 15.3.4 Der Call-Manager.......................1059...
Seite 18 15.14.3 VoIP-Telefonie als Ergänzung zur untergeordneten ISDN-TK-Anlage.........1131 15.14.4 VoIP-Telefonie als Ergänzung zu vorhandenen ISDN-Telefonen........1135 15.14.5 Anbindung an übergeordnete SIP-TK-Anlage..............1138 15.14.6 VoIP-Kopplung von Standorten ohne SIP-TK-Anlage............1141 15.14.7 LANCOM VoIP Router an einem P2P-Anschluss (Anlagenanschluss).........1146 15.14.8 SIP-Trunking........................1148 15.14.9 Remote Gateway......................1150 15.15 Diagnose der VoIP-Verbindungen....................1152 15.15.1 SIP Traces........................1152...
Seite 19 Referenzhandbuch Inhalt 18.4 Das LANCOM CAPI Faxmodem......................1186 18.5 LANCOM Faxmodem-Option......................1186 18.6 Unterstützte B-Kanal-Protokolle......................1186 19 Weitere Dienste......................1188 19.1 Automatische IP-Adressverwaltung mit DHCP..................1188 19.1.1 Einleitung..........................1188 19.1.2 Konfiguration der DHCP-Parameter mit LANconfig.............1189 19.1.3 Konfiguration der DHCP-Parameter mit Telnet oder WEBconfig..........1194 19.1.4 DHCP-Relay-Server......................1202 19.1.5 Konfiguration der Stationen....................1203 19.1.6 Anzeige von Statusinformationen des DHCP-Servers............1204...
Seite 20 19.12.1 Konfiguration des Printservers im LANCOM..............1256 19.12.2 Konfiguration der Drucker auf dem Rechner..............1257 19.13 LANCOM Content Filter........................1261 19.13.1 Einleitung ........................1261 19.13.2 Voraussetzungen für die Benutzung des LANCOM Content Filters........1263 19.13.3 Quickstart........................1263 19.13.4 Die Standardeinstellungen im LANCOM Content Filter.............1264 19.13.5 Allgemeine Einstellungen....................1265 19.13.6 Einstellungen für das Blockieren..................1266...
Seite 21 Referenzhandbuch Inhalt 19.16.3 SMS-Nachrichten mit LANmonitor verwalten..............1296 19.16.4 SMS-Nachrichten mit LANmonitor versenden..............1297 19.16.5 URL-Platzhalter für den SMS-Versand................1298 19.16.6 Zeichensatz für den SMS-Versand..................1298 19.17 Geräte-LEDs bootpersistent ausschalten...................1299...
Seite 22: Copyright
GmbH. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern und übernimmt keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. Produkte von LANCOM Systems enthalten Software, die vom "OpenSSL Project" für die Verwendung im "OpenSSL Toolkit"...
Seite 23: System-Design
Das LANCOM-Betriebssystem LCOS ist aus einer Vielzahl von verschiedenen Software-Modulen aufgebaut; die LANCOM-Geräte selbst verfügen über unterschiedliche Schnittstellen (Interfaces) zum (W)WAN und zum (W)LAN hin. Je nach Anwendung laufen die Daten auf dem Weg von einem Interface zum anderen über verschiedene Module.
Seite 24 Referenzhandbuch 1 System-Design den Einsatz der VLAN-Funktionen können in der LAN-Bridge virtuelle LANs eingerichtet werden, die auf einer physikalischen Verkabelung den Betrieb von mehreren logischen Netzen erlaubt. Mit den verschiedenen IP-Modulen (NetBIOS, DNS, DHCP-Server, RADIUS, RIP, NTP, SNMP, SYSLOG, SMTP) können die Anwendungen über den IP-Router oder direkt über die LAN-Bridge kommunizieren.
Seite 25: Konfiguration
über das angeschlossene Netzwerk (sowohl [W]LAN als auch [W]WAN; auch "Inband" genannt) [1, 2]; über die serielle Konfigurationsschnittstelle (Config-Schnittstelle; auch "Outband" genannt) [3]; über den ISDN-Anschluss oder – in Verbindung mit dem LANCOM Modem Adapter Kit – ein Modem (analog oder GSM) [4].
Seite 26: Software Zur Konfiguration
SNMP Nein Management-Programm *in Verbindung mit dem LANCOM Modem Adapter Kit Bitte beachten Sie, dass alle Verfahren auf dieselben Konfigurationsdaten zugreifen. Wenn Sie beispielsweise in LANconfig Einstellungen ändern, hat dies auch direkte Auswirkungen auf die Werte unter WEBconfig und Telnet.
Seite 27: Zugang Zum Gerät Mit Webconfig
Referenzhandbuch 2 Konfiguration Zugang zum Gerät mit WEBconfig Für die Konfiguration mit WEBconfig müssen Sie wissen, wie sich das Gerät ansprechen lässt. Das Verhalten der Geräte sowie ihre Erreichbarkeit zur Konfiguration über einen Webbrowser hängen davon ab, ob im LAN schon DHCP-Server und DNS-Server aktiv sind, und ob diese beiden Serverprozesse die Zuordnung von IP-Adressen zu symbolischen Namen im LAN untereinander austauschen.
Seite 28: Netz Mit Dhcp-Server
Referenzhandbuch 2 Konfiguration diesem Fall erreichen Sie das Gerät unter der Adresse x.x.x.254 (die “x” stehen für die ersten drei Blöcke in der IP-Adresse des Konfigurationsrechners). Netz mit DHCP-Server Ist im LAN ein DHCP-Server zur Zuweisung der IP-Adressen aktiv, schaltet ein unkonfiguriertes Gerät seinen eigenen DHCP-Server aus, wechselt in den DHCP-Client-Modus und bezieht eine IP-Adresse vom DHCP-Server aus dem LAN.
Seite 29: System Information
Referenzhandbuch 2 Konfiguration bestimmte Betriebssysteme ausgelaufen ist. In diesem Fall empfiehlt sich dringend der Wechsel auf einen alternativen Webbrowser. Setup-Wizards Mit den Setup-Wizards haben Sie die Möglichkeit, schnell und komfortabel die häufige Einstellungen für ein Gerät vorzunehmen. Wählen Sie dazu den gewünschten Assistenten aus und geben Sie auf den folgenden Seiten die benötigten Daten ein.
Seite 30: Gerätestatus
Referenzhandbuch 2 Konfiguration Gerätestatus Auf der Registerkarte Gerätestatus finden Sie umfangreiche Informationen über den aktuellen Betriebszustand des Gerätes. Dazu gehört z. B. die visuelle Darstellung der Schnittstellen mit Angabe der darauf aktiven Netzwerke. Über entsprechende Links können relevante weitere Statistiken aufgerufen werden (z. B. DHCP-Tabelle). Bei wesentlichen Mängeln in der Konfiguration (z.
Seite 31 Referenzhandbuch 2 Konfiguration Syslog Das Gerät legt Syslog-Informationen im Arbeitsspeicher ab (siehe dazu Das SYSLOG-Modul auf Seite 273). Die letzten Ereignisse können Sie zur Diagnose über WEBconfig auf der Registerkarte Gerätestatus einsehen. Zeitstempel beginnend mit '1900-…' weisen auf eine nicht oder nicht korrekt gesetzte Uhrzeit hin. Konfiguration Der Menübereich Konfiguration bietet dieselben Konfigurationsparameter in der gleichen Struktur an wie LANconfig.
Seite 32: Dateimanagement
Referenzhandbuch 2 Konfiguration Darüber hinaus verfügt der Menübaum über ein kontextsensitives Hilfesystem: Mit einem Klick auf das Fragezeichen neben einem Eintrag können Sie für jeden Menüpunkt, jede Tabelle und jeden Parameter eine eigene Hilfeseite aufrufen. Weitere Informationen zu den einzelnen Einträgen finden Sie außerdem in der Menüreferenz. Status Im Status-Menü...
Seite 33 Referenzhandbuch 2 Konfiguration In das Gerät hochgeladene Zertifikate oder Dateien können Sie anschließend im Status-Menü unter Dateisystem einsehen. Extras Im Menübereich Extras finden Sie einige Funktionen, welche die Konfiguration der Geräte erleichtern; je nach Gerät aber auch einige Sonderfunktionen und spezielle Analysemodule bereitstellen, die sich keinem der bisherigen Menüpunkte sinnvoll zuordnen lassen.
Seite 34 Referenzhandbuch 2 Konfiguration Schlüssel-Fingerprints anzeigen Diese Seite zeigt Ihnen eine Übersicht der Fingerprints aller im Gerät werksseitig vorhandenen Kryptographie-Schlüssel Geräteinterne SSH-/SSL-Schlüssel an. Mehr dazu erfahren Sie unter auf Seite 89. Erlaubte öffentliche SSH Schlüssel Diese Seite zeigt Ihnen eine Übersicht dem vom Gerät akzeptierten öffentlichen Schlüssel (SSH Public-Keys), anhand derer eine Public-Key-Authentifizierung möglich ist.
Seite 35: Software-Option Aktivieren
Referenzhandbuch 2 Konfiguration Beachten Sie, dass dieser Vorgang die Firmwareverwaltung in der AP-Tabelle für den ausgewählten AP deaktiviert. Dies verhindert, dass der WLC ggf. automatisch eine andere Firmware einspielt. Die Firmware-Verwaltung lässt sich im Setup-Menü unter WLAN-Management > AP-Konfiguration > Verwalte-Firmware jederzeit wieder aktivieren.
Seite 36: Terminalsitzung Starten
Referenzhandbuch 2 Konfiguration Multi-Protokoll-Client PuTTY ausweichen. PuTTY selbst ist sowohl für Windows- als auch Linux-Betriebssysteme erhältlich. Terminalsitzung starten Bei vielen Betriebssystemen starten Sie eine Terminalsitzung an der Kommandozeile mit einer Befehlskombination aus dem verwendeten Protokoll und der zu verbindenen IP-Adresse. Je nach Protokoll oder Client kann es jedoch einzelne Abweichungen geben.
Seite 37: Die Menüstruktur Der Konsole
Referenzhandbuch 2 Konfiguration Die Menüstruktur der Konsole Das LCOS-Kommandozeilen-Interface (die Konsole) ist wie folgt strukturiert: Status Enthält die Zustände und Statistiken aller internen Module des Gerätes sowie den Direktzugriff auf das Dateisystem Setup Beinhaltet alle einstellbaren Parameter aller internen Module des Gerätes Firmware Beinhaltet das Firmware-Management Sonstiges...
Seite 38 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Laden einer neuen Firmware-Datei (nur via TFTP). writeflash Zugriffsrecht: Supervisor-Write Lädt ein Zertifikatsdatei in das Gerät. Mögliche Optionsschalter sind: loadfile [-a <Adresse>] [-s <Server-IP-Adresse>] : Bestimmt die Quelladresse der Datei: [-n] [-f <Dateiname>] [-o : Quell-IP-Adresse a.b.c.d <Dateiname>] [-c : Adresse des ersten Intranet-Interfaces als Quelladresse verwenden...
Seite 39 Referenzhandbuch 2 Konfiguration Befehl Beschreibung [-f <Dateiname>] [-R : Das Gerät überschreibt bereits existierende Schlüssel ohne Rückfrage (Quiet-Modus) <Hostname>] : Dieser Parameter bestimmt den Typ des erzeugten Schlüssels. Insgesamt unterstützt SSH folgende Typen von Schlüsseln: ECDSA : Dieser Parameter bestimmt die Länge des Schlüssels in Bit für RSA-Schlüssel. Wenn Sie keine Länge angeben, erzeugt das Kommando immer einen Schlüssel mit einer Länge von 1024 Bit.
Seite 40 Referenzhandbuch 2 Konfiguration Befehl Beschreibung LANCOM übertragen, sondern zunächst in den Skript-Speicher des Gerätes. Mögliche Optionsschalter sind: : Erzwingt die unbedingte ("unconditional") Ausführung eines Skriptes oder einer Konfiguration. -C d : Überspringt die standardmäßige Differenzprüfung ("Check for difference"). Gilt auch, wenn die Option gesetzt ist.
Seite 41 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Schaltet eine Software-Option mit dem angegebenen Aktivierungsschlüssel frei. feature <Code> Zugriffsrecht: Supervisor-Write Regelt die Speicherung von Konfigurationsänderungen über die Kommandozeile. flash yes|no Die Änderungen an der Konfiguration über die Befehle an der Kommandozeile werden standardmäßig ( bzw.
Seite 42 Referenzhandbuch 2 Konfiguration Befehl Beschreibung IPv6-Adressen finden Sie im Kapitel Übersicht der Parameter im ping-Befehl ping -6 Seite 45. <IPv6-Address>%<Scope> Gibt eine Übersicht aller Umgebungsvariablen und deren Werte aus. printenv Gibt die kompletten Konfiguration in Form der Geräte-Syntax aus. readconfig Zugriffsrecht: Supervisor-Read Erzeugt eine Textausgabe aller Befehle und Parameter, die für die Konfiguration readscript [-n] [-d] [-i]...
Seite 43 Referenzhandbuch 2 Konfiguration Befehl Beschreibung -d <Destination> : Ziel-Rufnummer -t <Text> : Inhalt der Kurznachricht mit <=160 Zeichen. Eine Übersicht der verfügbaren Zeichen finden Sie im Abschnitt Zeichensatz für den SMS-Versand auf Seite 1298. Sonderzeichen sind nur in UTF8-kodierter Form möglich.
Seite 44 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Schreibt eine neue Konfiguration in Form der Geräte-Syntax in das Gerät. Das System writeconfig [-u] [-C d] interpretiert alle folgenden Zeilen solange als Konfigurationswerte, bis zwei Leerzeilen auftreten. Mögliche Optionsschalter sind: : Erzwingt die unbedingte ("unconditional") Ausführung eines Skriptes oder einer Konfiguration.
Seite 45 Referenzhandbuch 2 Konfiguration Soll ein Suchmuster Zeichen enthalten, die zur Strukturierung in der Filtersyntax verwendet werden (z. B. Leerzeichen), dann kann das Suchmuster als Ganzes mit '"' umschlossen werden. Alternativ kann den speziellen Zeichen ein '\' vorangestellt werden. Wenn ein '"' oder ein '\' gesucht werden soll, muss diesem ein '\' vorangestellt werden.
Seite 46 Referenzhandbuch 2 Konfiguration Tabelle 3: Übersicht aller optionalen Parameter im ping-Befehl Parameter Bedeutung Setzt die Absenderadresse des Pings (Standard: IP-Adresse des Routers) -a a.b.c.d Setzt die Intranet-Adresse des Routers als Absenderadresse -a INT Setzt die DMZ-Adresse des Routers als Absenderadresse -a DMZ Setzt eine der 16 Loopback-Adressen im Gerät als Absenderadresse.
Seite 47 Referenzhandbuch 2 Konfiguration Parameter Bedeutung Die Eingabe von “stop” oder das Drücken der RETURN-Taste beenden das stop /<RETURN> Ping-Kommando Übersicht der Parameter im trace-Befehl Die jeweils für ein bestimmtes Modell verfügbaren Traces können über die Eingabe von trace ohne Argumente auf der Kommandozeile angezeigt werden.
Seite 48 Referenzhandbuch 2 Konfiguration Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Zeigt die Aktionen der Firewall Firewall IP Routing Information Protocol Address Resolution Protocol Internet Control Message Protocol ICMP Vorgänge im Masquerading-Modul IP-Masquerading Dynamic Host Configuration Protocol DHCP NetBIOS-Verwaltung NetBIOS...
Seite 49 Referenzhandbuch 2 Konfiguration Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: SIP-Informationen, die zwischen einem VoIP Router und einem SIP-Provider bzw. SIP-Packet einer übergeordneten SIP-TK-Anlage ausgetauscht werden IPSec und IKE Verhandlungen VPN-Status IPSec und IKE Pakete VPN-Packet Meldungen des Public-Spot-XML-Interfaces XML-Interface-PbSpot Informationen zum Hardware-NAT...
Seite 50 Referenzhandbuch 2 Konfiguration Parameter Bedeutung Zeigt alle APs, welche die angegebene Firmware besitzen. Geben Sie dazu für -v <firmware> <firmware> die Versionsnummer gefolgt von der Build-Nummer an, z. B. 9.00.0001 Zeigt alle APs, deren Firmware-Version kleiner ist als die auf dem aktuellen Gerät -x <firmware>...
Seite 51 Referenzhandbuch 2 Konfiguration IPv6-DHCP-Client : show dhcpv6-client IPv6-Route : show ipv6-route Darüber hinaus lässt sich die IPv6-Kommunikation über das trace-Kommando mitverfolgen. IPv6-Adressen Der Befehl show ipv6-adresses zeigt eine aktuelle Liste der genutzten IPv6-Adressen. Diese ist nach Interfaces sortiert. Hierbei ist zu beachten, dass ein Interface mehrere IPv6-Adressen haben kann. Eine dieser Adressen ist immer die Link lokale Adresse, welche mit fe80: beginnt.
Seite 52 Referenzhandbuch 2 Konfiguration Deprecated prefixes: Alle Präfixe, die derzeit abgekündigt werden. Diese sind noch funktional, werden allerdings nach einem bestimmten Zeitrahmen gelöscht. IPv6-Interfaces Der Befehl show ipv6-interfaces zeigt eine Liste der IPv6 Interfaces und deren jeweiligen Status. Die Ausgabe ist folgendermaßen formatiert: <Interface>...
Seite 53 Referenzhandbuch 2 Konfiguration Ausgabe Erläuterung DELAY Der Nachbar ist nicht länger als REACHABLE qualifiziert, aber es wurden vor kurzem Daten an ihn gesendet und auf Verifikation durch andere Protokolle gewartet. PROBE Der Nachbar ist nicht länger als REACHABLE qualifiziert. Es werden Neighbour Solicitation Probes an ihn gesendet um die Erreichbarkeit zu bestätigen.
Seite 54: Tastenkombinationen Für Die Kommendozeile
Referenzhandbuch 2 Konfiguration Variablenname Inhalt Die Versionsbezeichnung des aktuell im Gerät installierten Loaders in der Form 'x.yy'. Die Loader-Version __LDRVERSION besteht aus der Major-Release vor dem Punkt und der Minor-Release nach dem Punkt. Der Typ des Gerätes, angegeben als 12-stellige Zeichenkette hexadezimaler Werte in Kleinschreibung __MACADDRESS ohne Trennzeichen.
Seite 55 Referenzhandbuch 2 Konfiguration Tastenkürzel Esc key sequences Beschreibung weiteren Buchstaben ein, um ein eindeutiges Vervollständigen der Eingabe zu ermöglichen. 3. Wenn es keine Möglichkeit gibt, den Befehl bzw. den Pfad zu vervollständigen, so wird dies durch einen Hinweiston beim Drücken der Tab-Taste angezeigt.
Seite 56: Funktionstasten Für Die Konsole
Referenzhandbuch 2 Konfiguration [11][Soft-Retries] : 3 chars from: 1234567890 [7][11b-Preamble] : Auto (0), Long (1) [16][Min-HT-MCS] : Auto (0), MCS-0/8 (1), MCS-1/9 (2), MCS-2/10 (3), MCS-3/11 (4), MCS-4/12 (5), MCS-5/13 (6), MCS-6/14 (7), MCS-7/15 (8) [17][Max-HT-MCS] : Auto (0), MCS-0/8 (1), MCS-1/9 (2), MCS-2/10 (3), MCS-3/11 (4), MCS-4/12 (5), MCS-5/13 (6), MCS-6/14 (7), MCS-7/15 (8) [23][Use-STBC] : No (0), Yes (1)
Seite 57: Snmp Management-Programm
Das Simple Network Management Protocol (SNMPv2c nach RFC1901 bis RFC1908) ermöglicht die Überwachung und Konfiguration von Geräten in einem Netz von einer zentralen Instanz aus. Neben den LCMS-Tools (LANCOM Mananagement System) gibt es noch eine ganze Reihe von Konfigurations- und Management-Programmen, die über SNMP laufen. Hierzu zählen insbesondere kommerzielle Programme, allerdings existieren auch zahlreiche Programme auf Freeware- und...
Seite 58: Fernverbindung Über Einen Ppp-Client Und Telnet
2. Stellen Sie eine Telnet-Verbindung zum Gerät her. Wenn Sie keine IP-Adresse für den PPP-Client festgelegt haben, verwenden Sie dazu die IP-Adresse 172.17.17.18. Diese Adresse verwendet ein LANCOM-Gerät automatisch, falls nichts anderes vereinbart ist. Der Konfigurations-PC reagiert dann auf die IP 172.17.17.17.
Seite 59: Default-Layer Für Die Ferninbetriebnahme
Setup/Config/Fernconfig <MSN> vor. Fertig! Solange keine MSN für den Konfigurations-Zugriff eingetragen ist, nimmt ein unkonfiguriertes LANCOM die Rufe auf alle MSNs an. Sobald die erste Änderung in der Konfiguration gespeichert ist, nimmt das Gerät nur noch die Anrufe auf der Konfigurations-MSN an! Wenn bei der ersten Konfiguration keine Konfigurations-MSN eingetragen wird, ist die Fernkonfiguration damit ausgeschaltet und das Gerät gegen den Zugriff über die...
Seite 60: Lancom Layer 2 Management Protokoll (Ll2M)
Montage von Access Points nicht immer gegeben ist oder in größeren Szenarien erheblichen Aufwand darstellen kann. Um auch ohne IP-Verbindung einen Konfigurationszugriff auf ein Gerät zu ermöglichen wird das LANCOM Layer 2 Management Protokoll (LL2M) verwendet. Dieses Protokoll benötigt nur eine Verbindung auf Layer 2, also auf dem direkt oder über Layer-2-Switches angebundenen Ethernet, um eine Konfigurationssitzung aufzubauen.
Seite 61 Referenzhandbuch 2 Konfiguration -a <MAC-Adresse> Schränkt den Befehl nur auf die Geräte mit der angegebenen MAC-Adresse ein. Die MAC-Adresse geben Sie in der Form 00a057010203, 00-a0-57-01-02-03 oder 00:a0:57:01:02:03 an. Wird keine MAC-Einschränkung gesetzt, geht der detect als Multicast (oder via -b alternativ als Broadcast) an alle LL2M-fähigen Geräte.
Seite 62: Alternative Boot-Config
Referenzhandbuch 2 Konfiguration Die Befehlszeile ll2mexec root@00a057010203 set /setup/name MyLANCOM zum Beispiel meldet den LL2M-Client als 'root' auf dem LL2M-Server mit der MAC-Adresse '00a057010203' an. Da das Kennwort weggelassen wurde, sucht das Gerät zunächst nach dem entsprechenden Nutzernamen in der lokalen Datenbank und setzt automatisch das für diesen Nutzer gespeicherte Kennwort ein.
Seite 63 Referenzhandbuch 2 Konfiguration Besonderheiten der Rollout-Konfiguration Die Verwendung der Rollout-Konfiguration wird über den Reset-Taster ausgelöst. Der Reset-Taster hat verschiedene Funktionen, die durch unterschiedlich lange Betätigungszeiten des Tasters ausgelöst werden: weniger als 5 Sekunden: Booten (Neustart); dabei wird die benutzerdefinierte Konfiguration aus dem Konfigurationsspeicher geladen. Wenn die benutzerdefinierte Konfiguration leer ist, werden die kundenspezifischen Standardeinstellungen (erster Speicherplatz) geladen.
Seite 64: Speichern Und Hochladen Der Boot-Konfigurationen
Referenzhandbuch 2 Konfiguration Bei Drücken des Reset-Knopfs für mehr als 15 Sekunden wird die benutzerdefinierte Konfiguration gelöscht und die Rollout-Konfiguration geladen. Wenn die Rollout-Konfiguration nicht vorhanden ist, werden die Werkseinstellungen geladen. 2.5.3 Speichern und Hochladen der Boot-Konfigurationen Speichern Die kundenspezifischen Standardeinstellungen als auch die Rollout-Konfiguration werden in einem komprimierten Format gespeichert.
Seite 65: Löschen Der Boot-Konfigurationen
Referenzhandbuch 2 Konfiguration Speicherplatz) und/oder Rollout-Konfiguration (zweiter Speicherplatz). Alternative Bootkonfigurationen müssen als *.lcf-Datei vorliegen. Wenn beide Speicherplätze der Boot-Konfigurationen belegt (also kundenspezifischen Standardeinstellungen und Rollout-Konfiguration gespeichert) sind, lässt sich das Gerät nicht mehr über den Reset-Taster auf die Werkseinstellungen zurücksetzen. Gehen Sie für einen Geräte-Reset stattdessen so vor, wie unter Firmware-Upload über Outband mit Rücksetzen der Konfiguration auf Seite 69 beschrieben.
Seite 66: Konfiguration
Referenzhandbuch 2 Konfiguration Von den beiden im Gerät gespeicherten Firmware-Versionen kann immer nur eine aktiv sein. Beim Laden einer neuen Firmware wird die nicht aktive Firmware überschrieben. Sie können durch Auswahl des FirmSafe-Modus selbst entscheiden, welche Firmware nach dem Upload aktiviert werden soll. 2.6.2 Konfiguration Den Modus für den Firmware-Upload stellen Sie im Setup-Menü...
Seite 67: Umstellung Auf Asymmetrisches Firmsafe
Sie ein Backup der bisherigen Firmware bereithalten für den Fall, dass der Update-Vorgang fehlschlägt und das Gerät z. B. auf eine Minimal-Firmware zurückfällt, welche keinen Internet-Zugang zulässt. Wenn Ihnen die entsprechende www.lancom.de Firmware-Datei nicht mehr zur Verfügung steht, suchen Sie auf Enthält die neu eingespielte Firmware Parameter, die in der aktuellen Firmware des Gerätes nicht vorhanden sind, werden...
Seite 68: Firmware-Upload Über Webconfig
Referenzhandbuch 2 Konfiguration LANconfig informiert Sie dann in der Beschreibung über Art, Version und Release-Datum der Firmware. 3. Optional: Wählen Sie aus, ob das Gerät die Firmware nach dem Laden dauerhaft aktivieren oder zunächst in einem Test-Modus betreiben soll. Sofern Sie sich für den Test-Modus entscheiden, geben Sie eine Zeitraum an, nach der das Gerät wieder zur vorherigen Firmware wechselt, wenn Sie die Firmware über die Konfigurations-Verwaltung nicht aus diesem Modus heraus freischalten.
Seite 69: Firmware-Upload Über Outband Mit Rücksetzen Der Konfiguration
Referenzhandbuch 2 Konfiguration Geschwindigkeit in bps: 115200 Datenbits: 8 Stopbits: 1 Parität: keine Flusssteuerung: RTS/CTS bzw. RFR/CTS 4. Wechseln Sie in das Firmware-Menü und legen Sie über den Befehl set Modus-FirmSafe <Value> den gewünschten FirmSafe-Modus fest, wobei <Value> für einen der möglichen Modi steht. Stellen Sie ggf. zusätzlich mit set Timeout-FirmSafe <Time>...
Seite 70: Dateien Über Tftp, Http(S) Oder Scp Direkt In Das/Aus Dem Gerät Laden
Referenzhandbuch 2 Konfiguration 4. Drücken Sie im Begrüßungsbildschirm des Terminal-Programms die Eingabe-Taste, bis die Aufforderung zur Eingabe des Passwortes erscheint. 5. Geben Sie als Passwort die Seriennummer ein, die unter der Firmware-Version angezeigt wird und drücken Sie erneut die Eingabe-Taste. Das System fährt daraufhin herunter und erwartet den Firmware-Upload. 6.
Seite 71: Anwendungsbeispiele
Referenzhandbuch 2 Konfiguration Unter vielen Windows-und Linux-Betriebssystemen z. B. ist standardmäßig ein kommandozeilenbasierter TFTP-Client enthalten. In Windows-Versionen 7 und neuer muss der TFTP-Client allerdings erst aktiviert werden. Alternativ können Sie auch einen anderen Client verwenden, wie z. B. die freie TFTP-Client-Server-Anwendung Tftpd32. Als Port geben Sie dann den Standardport 69 an.
Seite 72: Datei Laden Über Einen Scp-Client
Referenzhandbuch 2 Konfiguration Fehlersuche Sollten Sie keine Verbindung zum Gerät herstellen können, kann es sein, dass die Firewall Ihres Betriebssystems TFTP-Verbindungen blockiert. Sofern Sie die Firewall-Einstellungen des Gerätes verändert haben, prüfen Sie auch hier, ob diese Verbindungen über TFTP nachwievor erlaubt. Stellen Sie außerdem sicher, dass Sie im Gerät den Zugriff über das TFTP-Protokoll aus dem für den Upload verwendeten Netzwerk-Typ freigegeben haben (in LANconfig einstellbar unter Management >...
Seite 73 Referenzhandbuch 2 Konfiguration Mountingpoint Lesen Schreiben Beschreibung vpn_pkcs12_2 Nein VPN - Container (VPN2) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_3 Nein VPN - Container (VPN3) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_4 Nein VPN - Container (VPN4) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_5 Nein VPN - Container (VPN5) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_6 Nein VPN - Container (VPN6) als PKCS#12-Datei (*.pfx, *.p12)
Seite 74: Datei-Download Von Einem Tftp- Oder Http(S)-Server
Referenzhandbuch 2 Konfiguration Mountingpoint Lesen Schreiben Beschreibung WLC_Script_3.lcs CAPWAP - WLC_Script_3.lcs default_pkcs12 Nein rollout_wizard Nein rollout_template Nein rollout_logo Nein hip_cert_0 Nein issue Text zum Anzeigen beim Login auf der Kommandozeile (z. B: ASCII Logos) Anwendungsbeispiele Um z. B. einen Datei von Ihrem Rechner auf das Gerät zu übertragen, nutzen Sie einen Befehl wie den folgenden: C:\>pscp.exe -scp -pw MyPwd c:\path\myfile.ext root@10.0.0.1:target Um z.
Seite 75 Referenzhandbuch 2 Konfiguration die zu ladende Datei referenziert. Diese URL können Sie auch im Setup-Menü unter Automatisches-Laden > Netzwerk > … > URL hinterlegen, sodass sich eine Firmware, Konfiguration oder Skriptdatei auch allein durch Eingabe des Kommandos allein ins Gerät laden lässt. Verbindungen zu einem HTTP(S)-Server Bei Nutzung von HTTP(S) kann der Befehl in der üblichen URL-Schreibweise angegeben werden.
Seite 76 Referenzhandbuch 2 Konfiguration Über diesen Parameter geben Sie den Pfad und den Namen der Datei auf dem Server an. Der Parameter ersetzt zusammen mit -s die Angabe einer URL. -s <Host> Verfügbar für Protokoll: TFTP Verfügbar für Befehl: alle Über diesen Parameter geben Sie den DNS-Namen oder die IP-Adresse des Servers an. Der Parameter ersetzt zusammen mit -f die Angabe einer URL.
Seite 77 Referenzhandbuch 2 Konfiguration -c <MainDir>/<File> Verfügbar für Protokoll: HTTPS Verfügbar für Befehl: alle Über diesen Parameter geben Sie den Namen des Zertifikats an, mit dem das Gerät die Identität des Servers prüft, bevor es die angeforderte Datei lädt. -d <Passphrase> Verfügbar für Protokoll: HTTPS Verfügbar für Befehl: LoadFile Mit dieser Passphrase verschlüsselt das Gerät einen unverschlüsselten PKCS#12-Container.
Seite 78 Referenzhandbuch 2 Konfiguration Darüber hinaus können Sie in nicht bereits vom Gerät vorgegebenen Dateinamen und -pfaden Variablen verwenden, um z. B. dynamische Verzeichnisstrukturen zu realisieren (siehe Variablen auf Seite 78. Variablen Sie haben die Möglichkeit, in den Load-Befehlen dynamische Pfadangaben zu verwenden, wann immer Sie innerhalb eines Parameters oder einer URL auf eine Datei referenzieren.
Seite 79 Referenzhandbuch 2 Konfiguration erfolgt dabei von einem externen Server (siehe Datei-Download von einem TFTP- oder HTTP(S)-Server auf Seite 74 ) über die Befehle 'LoadFirmware' und 'LoadConfig' unter Verwendung fixer Dateinamen. Die Zeitplanung realisieren Sie mittels Cron-Jobs. 1. Geben Sie die URL an, von dem der Befehl 'LoadFirmware' die Firmware lädt, wenn keine anderen Parameter vorliegen. Für das Laden der Firmware von einem HTTP-Server z.
Seite 80: Automatisches Laden Von Firmware Oder Konfiguration Über Usb
Referenzhandbuch 2 Konfiguration Der Dateiname wird später durch den Cron-Job definiert. 4. Stellen Sie die Bedingung für das Laden der Konfiguration so ein, dass nur eine andere als die im Gerät vorhandene Konfiguration geladen wird: set /Setup/Automatisches-Laden/Netzwerk/Konfiguration/Bedingung wenn-unterschiedlich 5. Erstellen Sie einen Cron-Job, der regelmäßig alle 10 Minuten das Kommando 'LoadFirmware' ausführt: cd /Setup/Config/Cron-Tabelle set 1 * * * 10 * * * * LoadFirmware\ $__SERIALNO-LCOS.upx Im obigen Beispiel muss die Firmware auf dem HTTP-Server also in der Form <SerialNumber>-LCOS.upx...
Seite 81: Automatisches Laden Von Konfigurations- Und/Oder Skript-Dateien
Referenzhandbuch 2 Konfiguration automatischer Ladevorgang für eine Firmware. Auch bei dem zweiten Ladevorgang blinken die Power- und die Online-LED am Gerät abwechselnd. An den automatischen Ladevorgang von Loader- und/oder Firmware-Dateien können sich evtl. noch weitere Ladevorgänge Automatisches Laden von Konfigurations- und/oder für Konfigurations- und/oder Skript-Dateien anschließen, siehe Skript-Dateien auf Seite 81.
Seite 82: Geräte-Reset Durchführen
Referenzhandbuch 2 Konfiguration 2. Wechseln Sie in den Dialog Management > Erweitert. 3. (De-)Aktivieren Sie das automatische Laden von Loader- und/oder Firmware-Dateien über die Auswahlliste Firmware. Dazu wählen Sie die entsprechende Rahmenbedingung aus. Aus: Das automatische Laden von Loader- und/oder Firmware-Dateien für das Gerät ist deaktiviert. Bei unkonfiguriert.
Seite 83: Konfiguration Des Reset-Knopfes
Referenzhandbuch 2 Konfiguration das Gerät in den Auslieferungszustand zurückzusetzen. Dazu betätigen Sie den Reset-Knopf bis zum ersten Aufleuchten sämtlicher LEDs des Gerätes (ca. 5 Sekunden). Das Gerät startet nach dem Reset neu im unkonfigurierten Zustand, alle Einstellungen gehen dabei verloren. Sichern Sie daher vor dem Reset nach Möglichkeit die aktuelle Konfiguration des Gerätes! Ein Access Point befindet sich nach dem Reset im Managed-Modus.
Seite 84: Rechteverwaltung Für Verschiedene Administratoren
Referenzhandbuch 2 Konfiguration 2.11 Rechteverwaltung für verschiedene Administratoren Sie haben die Möglichkeit, in der Konfiguration Ihres Gerätes mehrere Administratoren anzulegen, die über unterschiedliche Zugriffs- und Funktionsrechte verfügen. Neben den in der Konfiguration angelegten Administratoren gibt es auch noch den Root-Administrator mit dem Haupt-Geräte-Passwort.
Seite 85 Referenzhandbuch 2 Konfiguration Bezeichnung unter Bezeichnung im Rechtebeschreibung LANconfig Setup-Menü Keine Kein Hat keinen Zugriff auf die Konfiguration. Lokale Administratoren können auch die Admintabelle bearbeiten. Dabei kann ein lokaler Administrator jedoch nur solche Einträge bearbeiten oder anlegen, die die gleichen oder weniger Rechte haben wie er selbst. Ein lokaler Administrator kann also keinen Supervisor anlegen und sich selbst auch nicht diese Rechte einräumen.
Seite 86 Referenzhandbuch 2 Konfiguration Bezeichnung: [1]LANconfig, [2]Setup-Menü Hexschreibweise an der Rechtebeschreibung Konsole ermöglichen, um komplexe Anmeldeszenarien zu realisieren. Näheres dazu siehe XML-Interface auf Seite 967. 1. RAS-Assistent 0x00000010 Assistent für die Einrichtung eines Einwahlzugangs (RAS, VPN) 2. RAS-Assistent 1. Rollout-Assistent 0x00002000 Assistent für den Rollout* 2.
Seite 87: Konfigurieren Des Snmp-Lesezugriffs
Referenzhandbuch 2 Konfiguration Bezeichnung auf der Konsole Wert Provider-Auswahl 0x00000008 RAS-Assistent 0x00000010 Zeit-Setzen 0x00000040 WLAN-Linktest 0x00000100 ODER-verknüpft 0x0000015a Alternativ zur Schreibweise 0x0000015a stehen Ihnen auch die verkürzten Kurzschreibweisen 0000015a, 0x15a und 15a zur Option. Konfigurationsbeispiel auf der Konsole Mit dem folgenden Befehl legen Sie in der Kurzschreibweise einen neuen Benutzer in der Admintabelle (im Setup-Menü unter Config >...
Seite 88 Referenzhandbuch 2 Konfiguration ein potentielles Sicherheitsrisiko darstellt, haben Sie die Möglichkeit, in LANconfig unter Management > Admin die Community 'public' zu deaktivieren und/oder eine eigene Community zu definieren. Unauthorisierten Lesezugriff verbieten Um die Abfrage von Zugangsdaten beim SNMP-Lesezugriff zu aktivieren, müssen Sie die Community 'public' deaktivieren. Dies erreichen Sie durch Anwählen der Einstellung SNMP Read-Only Community 'Public' deaktiviert.
Seite 89: Geräteinterne Ssh-/Ssl-Schlüssel
Referenzhandbuch 2 Konfiguration 2.12 Geräteinterne SSH-/SSL-Schlüssel Sämtliche Geräte, die mit einer LCOS-Version vor 8.84 ausgeliefert werden, sind ab Werk mit einem Satz vordefinierter Kryptographie-Schlüssel mit 1024 Bit Länge ausgestattet, die folgende Fingerprints abbilden: ssh-dss 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7 ssh-rsa 03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7 SHA-1: f9:14:7f:7c:e0:15:20:b6:71:94:46:3f:0e:00:93:9c:ad:ff:d9:fb MD5: ac:5b:45:2d:f9:20:3e:0b:b0:45:35:44:b8:3a:de:c6 Das Gerät übermittelt diese Fingerprints beim Aufbau gesicherter Verbindungen (z.
Seite 90 Referenzhandbuch 2 Konfiguration Sie lassen den individuellen Schlüssel auf der Konsole direkt durch LCOS erzeugen. Sie erzeugen mit einem externen Programm einen OpenSSH-Private-Key und laden diesen Schlüssel anschließend als SSH - DSA-Schlüssel […] bzw. SSH - RSA-Schlüssel (*.key [BASE64 unverschlüsselt]) in das Gerät. Der Weg über ein externes Programm bietet sich z.
Seite 91: Ssh-Authentifizierung Mit Hilfe Eines Public-Keys
Referenzhandbuch 2 Konfiguration SSH-Schlüsselerzeugung unter Linux-Systemen Zahlreiche Linux-Distributionen haben das OpenSSH-Paket bereits installiert. Hier genügt ein einfacher Befehl an der Shell, um die gewünschte Schlüsseldatei zu erzeugen. Die verwendete Syntax entspricht dabei der des LCOS-Befehls sshkeygen: ssh-keygen [-t (dsa|rsa)] [-b <Bits>] [-f <OutputFile>] Mit einem Befehl ssh-keygen -t rsa -b 4096 -f hostkey erzeugen Sie also einen RSA-Schlüssel mit 4096 Bit Länge, welcher sich aus dem privaten Bestandteil 'hostkey' und dem öffentlichen Bestandteil 'hostkey.pub' zusammensetzt.
Seite 92: Ssh-Schlüsselpaar Erzeugen Mit Putty
Referenzhandbuch 2 Konfiguration 2.13.2 SSH-Schlüsselpaar erzeugen mit PuTTy Für die SSH-Authentifizierung mit Hilfe eines Public-Keys benötigten Sie zu allererst ein persönliches Schlüsselpaar. Dieses Tutorial beschreibt, wie Sie mit PuTTYgen ein RSA-Schlüsselpaar – bestehend aus Public Key und Private Key – erzeugen. Unter Linux-Betriebssystemen erstellt der Befehl ssh-keygen an der Shell ein RSA-Schlüsselpaar aus dem öffentlichen Teil 'id_rsa.pub' und dem privaten Teil 'id_rsa', siehe SSH-Schlüsselerzeugung unter Linux-Systemen...
Seite 93: Syntax Und Benutzer Öffentlicher Schlüssel Anpassen
Referenzhandbuch 2 Konfiguration 4. PuTTYgen generiert die für die Schlüsselerzeugung notwendigen Zufallszahlen aus den Bewegungen des Mauszeigers, die Sie innerhalb des Programmfensters vollziehen. Bewegen Sie die Maus daher solange willkürlich im Programmfenster, bis der Forschrittsbalken das Ende erreicht hat. 5. Optional: Sofern Sie Ihren Private-Key mit einer zusätzlichen Passphrase absichern möchten, tragen Sie diese im Feld Key passphrase ein und bestätigen die Eingabe im Feld darunter.
Seite 94: Gerät Für Die Public-Key-Authentifizierung Einrichten
Referenzhandbuch 2 Konfiguration wCkWlx8= ---- END SSH2 PUBLIC KEY ---- 2. Löschen Sie die Kopf- und Fußzeile sowie die Kommentarzeile, sodass nur noch der eigentliche Schlüssel in der Datei verbleibt. Entfernen Sie anschließend sämtliche Zeilenumbrüche, sodass der öffentliche Schlüssel in einer einzigen Zeile steht.
Seite 95: Public-Key-Authentifizierung Mit Putty
Referenzhandbuch 2 Konfiguration 5. Konfigurieren Sie im Abschnitt Konfigurations-Zugriffs-Wege unter Zugriffsrechte > … > SSH für jedes Netz die SSH-Authentisierungs-Methode. Die zulässigen Authentifizierungs-Methoden für den SSH-Zugang können für LAN, WAN und WLAN getrennt eingestellt werden. Folgende Möglichkeiten zur Auswahl: Public-Key oder Passwort: Hier wird zuerst die Authentisierungs-Methode Public-Key versucht. Sollte dieses scheitern wird die Passwort-Abfrage gewählt.
Seite 96: Public-Key-Authentifizierung Mit Lanconfig
Referenzhandbuch 2 Konfiguration 2. Geben Sie im sich öffnenden Fenster den Host-Namen oder die IP-Adresse des Gerätes an, und wählen Sie als Connection type die Option SSH. Der Standardport für SSH-Verbindungen ist 22. 3. Wechseln Sie in den Dialog Connection > Data und tragen Sie in das Eingabefeld Auto-login username den Benutzernamen ein, auf den Sie den Public-Key zuvor ausgestellt haben (z.
Seite 97 Referenzhandbuch 2 Konfiguration 2. Öffnen Sie über die Menüleiste den Dialog Extras > Optionen > Kommunikation. 3. Deaktivieren Sie im Bereich Protokoll mit Ausnahme von SSH und Prüfen bevorzugt mittels TFTP durchführen alle anderen Auswahlkästchen bzw. Protokolle. Dadurch verhindern Sie, dass LANconfig ein anderes Protokoll bei der Gerätekommunikation bevorzugt (z. B. HTTPS) oder bei Fehlschlagen der Authentifizierung auf ein anderes, womöglich unverschlüsseltes Protokoll (z.
Seite 98: Ssh- Und Telnet-Client Im Lcos
Referenzhandbuch 2 Konfiguration 2.14 SSH- und Telnet-Client im LCOS 2.14.1 Einleitung Neben einem SSH-Server, der Ihnen eine sichere und authentifizierte Einwahl in das Gerät ermöglicht (siehe SSH-Authentifizierung mit Hilfe eines Public-Keys auf Seite 91), verfügt das Betriebssystem Ihres Gerätes auch über einen SSH-Client.
Seite 99: Syntax Des Telnet-Clients
Referenzhandbuch 2 Konfiguration Über diesen Parameter geben Sie das Interval in Sekunden an, in dem Ihr Gerät die Keep-Alive-Pakete verschickt. Die Keep-Alive-Pakete werden dabei nur versendet, wenn der SSH-Client für die Dauer des Intervalls keine anderen Daten an das entfernte System schicken muss. <User>...
Seite 100: Liste Der Bekannten Ssh-Server
Referenzhandbuch 2 Konfiguration weil der SSH-Client eine Man-in-the-middle-Attacke vermutet. Sofern das entfernte System den öffentlichen Schlüssel kürzlich geändert hat, muss der Administrator den veralteten Eintrag aus der Liste der bekannten Server löschen (siehe Bekannte SSH-Serverschlüssel manuell entfernen auf Seite 100. Nach der erfolgreichen Verifikation des Server-Schlüssels kann der Administrator das Passwort zur Anmeldung am entfernten System eingeben.
Seite 101: Schlüssel Für Den Ssh-Client Im Lcos Erzeugen
Referenzhandbuch 2 Konfiguration 2.14.5 Schlüssel für den SSH-Client im LCOS erzeugen Die Erzeugung eines Schlüsselpaares – bestehend aus einem öffentlichen und einem privaten Schlüssel – starten Sie an der Konsole des Gerätes, dessen LCOS-internen SSH-Client Sie nutzen wollen, mit folgendem Befehl: sshkeygen [-(?|h)] [-t (dsa|rsa|ecdsa)] [-b <Bits>] Eine detaillierte Beschreibung der Parameter im sshkeygen-Befehl finden Sie im Abschnitt SSH-Schlüsselerzeugung...
Seite 102: Basic Http Fileserver Für Externe Speichermedien
Referenzhandbuch 2 Konfiguration Admin > Weitere Administratoren) das Funktionsrecht SSH-Client. Ohne dieses Funktionsrecht kann sich ein Administrator nicht zu einem anderen SSH-/Telnet-Gerät weiterverbinden. 2.15 Basic HTTP Fileserver für externe Speichermedien 2.15.1 Einleitung Der eingebaute HTTP-Server in LCOS bietet Ihnen die Möglichkeit, Dateien von einem USB-Speichermedium über das HTTP-Protokoll bereitzustellen und arbeitet so als einfacher Dateiserver.
Seite 103: Regeln Für Den Verzeichniszugriff
Referenzhandbuch 2 Konfiguration Wenn z. B. eine Datei coupon.jpeg benannt ist und auf dem einzigen USB-Medium im Basisverzeichnis unter \public_html gespeichert ist, dann können Sie mit folgendem Link darauf zugreifen: http://<Device-IP-Adress>/filesrv/usb/coupon.jpeg Der Zugriff kann auch über HTTPS anstatt HTTP erfolgen. 2.15.5 Regeln für den Verzeichniszugriff Das Verzeichnis \public_html darf Unterverzeichnisse beinhalten.
Seite 104: Default-Rollout-Assistent
Referenzhandbuch 2 Konfiguration Um wieder zum Default-Rollout-Wizard zurückzukehren, müssen Sie den benutzerdefinierten Rollout-Assistenten aus dem Dateisystem des Gerätes löschen. 2.16.1 Default-Rollout-Assistent Ihr Gerät beinhaltet standardmäßig einen vorkonfigurierten Rollout-Assistenten, welcher es Ihnen ermöglicht, mit wenigen Klicks von einem Large Scale Rollout & Management (LSR) -Server eine Konfigurationen zu beziehen. Dieser Default-Rollout-Assistent erscheint immer dann, wenn Sie den Rollout-Assistenten im LCOS aktiviert und keinen benutzerdefinierten Rollout-Assistenten eingerichtet haben.
Seite 105: Struktur Des Benutzerdefinierten Assistenten
Referenzhandbuch 2 Konfiguration Statusprüfungen, wie z. B. Prüfen der Uhrzeit im Gerät Verbindungsprüfungen, wie z. B. die erfolgreiche VPN-Verbindung zu einer bestimmten Gegenstelle Sie erstellen den neuen Assistenten nach den Regeln der Beschreibungssprache in Form einer Text-Datei, die Sie anschließend in das Gerät laden. Der Anwender am Einsatzort kann den benutzerdefinierten Assistenten dann unter WEBconfig über den gewählten Namen ausführen.
Seite 106 Referenzhandbuch 2 Konfiguration Wenn die benötigte Zeile der Tabelle erst bei der Ausführung des Assistenten durch eine Benutzereingabe definiert wird, referenzieren Sie die Wert in der Tabelle über die Verwendung einer Variablen mit: config.<SNMP-ID>.\"<Interne-Variable>\".ID:<Spalte> Beispiel für die Zeile, deren Wert in der ersten Spalte mit dem aktuellen Wert der internen Variablen wizard.target_network übereinstimmt: config.1.2.8.2."\wizard.target_network"\.ID:2 Geräte-Variablen für Geräteeigenschaften beginnen mit dem Schlüsselwort device.
Seite 107 Referenzhandbuch 2 Konfiguration Die Beschreibung des Assistenten kann die eigene Bezeichnung (das Label) als Sprungziel nutzen. Statischer Text, beginnend mit dem Schlüsselwort static_text, gefolgt von einer Referenz auf einen Eintrag String-Tabelle static_text str.conf_general Felder für verschiedene Datentypen wie Text oder IP-Adresse: Eingabefelder, Kontrollkästchen, Optionsfelder, Auswahllisten etc.
Seite 108 Referenzhandbuch 2 Konfiguration Operanden Das Bedingungsmuster kann folgende Operanden enthalten: Statische Texte Interne Variablen des Assistenten Variablen zur Referenzierung von Werten aus der aktuellen Konfiguration des Gerätes (Konfigurations-Variablen) Das Zeichen '*' als Platzhalter (Wildcard) Operatoren Das Bedingungsmuster kann folgende Operatoren enthalten: equal: Prüft, ob die beiden Operanden gleich sind.
Seite 109 Referenzhandbuch 2 Konfiguration check_local_ip Dieses Feld prüft, ob der Assistent zuvor die IP-Adresse des Gerätes verändert hat und leitet den Benutzer auf die entsprechende HTML-Seite weiter. Mögliche Attribute: destination: Ziel für die Weiterleitung als FQDN oder IPv4-Adresse. timeout: Wartezeit vor der Weiterleitung. check_time Dieses Feld prüft, ob das Gerät über eine gültige Zeitinformation verfügt.
Seite 110 Referenzhandbuch 2 Konfiguration signed_value: Ermöglicht die Angabe eines numerischen Wertes mit Vorzeichen never_empty: Der Wert '1' für dieses Attribut kennzeichnet ein Feld, welches der Benutzer nicht freilassen darf. add_to_charset: Fügt zusätzliche Zeichen zum standardmäßig verwendeten Eingabezeichensatz hinzu. default_value: Standardwert unit: Die Einheit des Wertes, welchen der Assistent in der HTML-Darstellung nach dem Eingabefeld anzeigt.
Seite 111 Referenzhandbuch 2 Konfiguration loopback: Loopback-Adresse, die der Ping anstelle der standardmäßigen Antwortadresse verwendet success_jump: Label der Seite, die der Assistent bei erfolgreichem Ping öffnet. fail_jump: Label der Seite, die der Assistent bei nicht erfolgreichem Ping öffnet. limit: Maximale Anzahl der Pings, bevor der Assistent die Prüfung als erfolglos ansieht. Setzen Sie das Limit auf den Wert '0', um die Pings ohne Limit fortzusetzen.
Seite 112 Referenzhandbuch 2 Konfiguration Einfügen von Assistenten-Variablen Um eine interne Variable in den Wert eines Attributs einzusetzen, verwenden Sie die Syntax $(VariablenName). Um den Benutzernamen aus der internen Variablen wizard.username in eine URL einzusetzen, fügen Sie z. B. das folgende Attribut ein: http://host/directory?param=$(username). Einfügen von Umgebungsvariablen Um eine Umgebungsvariable in den Wert eines Attributs einzusetzen, verwenden Sie die Syntax %VariablenName.
Seite 113 Referenzhandbuch 2 Konfiguration device.SerialNumber Diese Variable gibt die Seriennummer des Gerätes an. device.Location Diese Variable gibt den Standort des Gerätes an, wie er im Setup-Menü unter SNMP > Standort eingetragen ist. device.DeviceString Diese Variable gibt den Typ des Gerätes an. device.Name Diese Variable gibt den Namen des Gerätes an, wie er im Setup-Menü...
Seite 114: Trace Für Rollout-Assistenten (Debugging)
Referenzhandbuch 2 Konfiguration Diese Aktion hängt den Inhalt der Quell-Variablen an die Ziel-Variable an. Beispiel Die folgende Aktion fügt den Inhalt der Variablen wizard.user und die Variable wizard.name an: cat wizard.name, wizard.user Diese Aktion löscht eine bestimmte Anzahl von Zeichen aus der Ziel-Variablen. Geben Sie die Position der zu löschenden Stelle von links gesehen sowie optional die Anzahl der zu löschenden Zeichen als Parameter an.
Seite 115: Dateien Für Den Assistenten Hochladen
HTML-Template in das Gerät laden, verwendet der Assistent ein vordefiniertes Template. Auf einigen Geräten darf das Template eine Größe von 64 kB nicht übersteigen. Davon nicht betroffen sind zum Zeitpunkt von LCOS 9.00 folgende Geräte: LANCOM 1781er-Serie LANCOM L-45x-Serie...
Seite 116 Referenzhandbuch 2 Konfiguration Löschen über den rollout-Befehl Die Löschfunktion des rollout-Befehls besitzt die folgende Syntax: rollout (-r|-remove) <RelatedFile> Mögliche Dateien sind: wizard: Löscht den Assistenten template: Löscht das Template logo: Löscht das Logo alle: Löscht den Assistenten, das Template und das Logo Löschen über das Dateisystem Im Dateisystem löschen Sie die Dateien des Assistenten über die analog lautenden Mountingpoints: rollout_wizard...
Seite 117 Referenzhandbuch 2 Konfiguration readonly_text device_string description str.dev_type readonly_text device_serial_number description str.dev_serial_number selection_buttons select_inet description str.inet_Selection button_text str.inet_PPPoE, str.inet_IPoE on_show set wizard.device_string, device.DeviceString set wizard.device_serial_number, device.SerialNumber on_next Der Assistent zeigt die Sektion IPoE nur dann an, wenn die Variable select_inet den Wert '1' hat. Auf dieser Seite fragt der Assistent vom Benutzer die Werte für die IP-Adresse, die Netzmaske, das Gateway und den DNS-Server ab.
Seite 118 Referenzhandbuch 2 Konfiguration description str.con_dns never_empty Der Assistent zeigt die Sektion PPPoE nur dann an, wenn die Variable select_inet den Wert '0' hat. Auf dieser Seite fragt der Assistent vom Benutzer den Benutzernamen und das Passwort mit einer Länge von jeweils maximal 30 Zeichen ab.
Seite 119 Referenzhandbuch 2 Konfiguration Auf der letzten Seite zeigt der Assistent zunächst einen zusammenfassenden, statischen Text an. Folgende Aktionen führt der Assistent beim Fertigstellen des Assistenten aus: Wenn der Benutzer 'IPoE' ausgewählt hat, legt der Assistent eine passende Gegenstelle und einen Eintrag in der Liste der IP-Parameter an.
Seite 120: Aktivierung Des Rollout-Assistenten
Referenzhandbuch 2 Konfiguration 2.16.3 Aktivierung des Rollout-Assistenten Um den Rollout-Assistenen allgemein verfügbar zu machen, setzen Sie im Setup-Menü den Parameter HTTP > Rollout-Wizard > In-Betrieb auf ja. Dies aktiviert zunächst den Default-Rollout-Wizard. Im WEBconfig erscheint dann unter Setup-Wizards ein neuer Assistent mit dem unter HTTP > Rollout-Wizard > Titel vergebenen Namen. Um ihn anschließend durch einen benutzerdefinierten Rollout-Assistenten zu ersetzen, laden Sie die Beschreibung des Assistenten in das Gerät (siehe hierzu Dateien für den Assistenten hochladen...
Seite 121: Tcp/Http-Tunnel Erzeugen
Referenzhandbuch 2 Konfiguration 2. Geben Sie für den Parameter Max.-Tunnel-Verbindungen die maximale Anzahl der gleichzeitig aktiven TCP/HTTP-Tunnel an, die Sie erlauben wollen. 3. Geben Sie für den Parameter Tunnel-Idle-Timeout die Lebensdauer eines Tunnels ohne Aktivität an (in Sekunden). Nach Ablauf dieser Zeit wird der Tunnel automatisch geschlossen, wenn darüber keine Daten übertragen werden. Fertig! Damit haben Sie die konfiguration der TCP/HTTP-Tunnel abgeschlossen.
Seite 122: Benamte Loopback-Adressen Einrichten
Referenzhandbuch 2 Konfiguration Aktive TCP-Verbindungen in diesem Tunnel werden mit dem Löschen des Tunnels nicht beendet, es können aber keine neuen Verbindungen mehr aufgebaut werden. 2.18 Benamte Loopback-Adressen einrichten Ihrem Gerät lassen sich bis zu 16 IPv4- bzw 8 IPv6-Loopback-Adressen definieren, unter denen sich das Gerät (z. B. zum Management größerer Netz-Strukturen) ansprechen lässt.
Seite 123: Ändern Der Sim-Karten-Pin
Referenzhandbuch 2 Konfiguration 3. Geben Sie die Portnummern für die gewünschten Management-Protokolle ein. 4. Schließen Sie alle geöffneten Dialoge durch einen Klick auf OK. LANconfig schreibt die eingegebene Konfiguration zurück auf das Gerät. 2.20 Ändern der SIM-Karten-PIN Bei Geräten mit Mobilfunkmodem haben Sie über LANconfig die Möglichkeit, die PIN der SIM-Karte zu ändern. Die Änderung kann einfach vollzogen werden, indem Sie sowohl die alte PIN als auch die neue PIN eingeben.
Seite 124: Lancom Management System (Lcms)
Referenzhandbuch 3 LANCOM Management System (LCMS) 3 LANCOM Management System (LCMS) Das Gerät unterstützt verschiedene Mittel (sprich Software) und Wege (in Form von Kommunikationszugängen) für die Konfiguration. Die Situationen, in denen konfiguriert wird, unterscheiden sich ebenso wie die persönlichen Ansprüche und Vorlieben der Ausführenden.
Seite 125: Lanconfig Starten
Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.1 LANconfig starten Starten Sie LANconfig, z. B. mit einem Doppelklick auf das Desktop-Symbol. LANconfig sucht nun automatisch im lokalen Netz nach Geräten. Wird dabei ein noch nicht konfiguriertes Gerät im lokalen Netz gefunden, startet LANconfig selbstständig den Setup-Assistenten.
Seite 126 Referenzhandbuch 3 LANCOM Management System (LCMS) Sobald LANconfig mit der Suche fertig ist, zeigt es in der Liste alle gefundenen Geräte mit Namen, evtl. einer Beschreibung, der IP-Adresse und dem Status an. Ein Klick auf die Schaltfläche Konfigurieren ( ) oder den Menüeintrag Gerät > Konfigurieren liest die aktuellen Einstellungen aus dem Gerät aus und zeigt die allgemeinen Geräteinformationen an.
Seite 127: Arbeiten Mit Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) LANconfig führt dann alle Aktionen für die ausgewählten Geräte nacheinander durch. So können Sie z. B. gleichzeitg für mehrere Geräte neue Firmwares hochladen. Zur bequemen Verwaltung lassen sich Geräte zu Gruppen zusammenfassen. Dazu muss die Ansicht Verzeichnisbaum aktiviert sein.
Seite 128: Sprache Der Grafischen Oberfläche Umschalten
Referenzhandbuch 3 LANCOM Management System (LCMS) Sprache der grafischen Oberfläche umschalten Die Sprache für die grafische Oberfläche von LANconfig können Sie unter Extras > Optionen > Applikation wahlweise auf Deutsch, Englisch oder Spanisch einstellen. Verzeichnisbäume zur Organisation nutzen LANconfig erlaubt mit dem Verzeichnisbaum die übersichtliche Verwaltung einer Vielzahl von Geräten. Für jedes Projekt oder jeden Kunden können Sie einen eigenen Ordner anlegen, in dem Sie die entsprechenden Geräte organisieren:...
Seite 129 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Sortierung der Ansicht können Sie auch direkt durch einen Klick mit der linken Maustaste in die entsprechende Spaltenüberschrift ändern. Mit jedem erneuten Klick wechselt die Sortierung. Im Einzelnen können Sie folgende Informationen in den Spalten anzeigen:...
Seite 130: Quickfinder In Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Die Spalte Kommentar enthält die Informationen des Kommentarfeldes 1 im Gerät. QuickFinder in LANconfig In der Hauptansicht von LANconfig finden Sie den QuickFinder in der Symbolleiste. Geben Sie im Suchfenster einen Suchbegriff ein, um die Liste der angezeigten Geräte zu reduzieren. LANconfig durchsucht dabei alle Werte, die in den Spalten der Geräte-Liste verfügbar sind –...
Seite 131 Referenzhandbuch 3 LANCOM Management System (LCMS) Der Konfigurationsbaum im linken Bereich von LANconfig ist nun reduziert auf alle Bereiche an, in denen der Suchbegriff enthalten ist: Wählen Sie einen der Bereiche im Konfigurationsbaum (z. B. Wireless-LAN > Allgemein'), um die entsprechenden...
Seite 132: Quicklinks Zur Verwaltung Von Quelltabellen
Referenzhandbuch 3 LANCOM Management System (LCMS) Nutzen Sie die Navigationsschaltflächen 'Zurück' und 'Vor' links neben dem Suchfeld, um in den zuletzt besuchten Dialogen zu blättern. Für einen besonders schnellen Zugriff auf die letzten 10 besuchten Dialoge klicken Sie auf den Pfeil rechts neben der Schaltfläche 'Vor':...
Seite 133: Assistent Oder Konfigurationsdialog Wählbar
Referenzhandbuch 3 LANCOM Management System (LCMS) Elementen zunächst die aktuelle Auswahl verlassen zu müssen, können Sie diese Elemente direkt bei Bedarf anlegen. Diese neuen Elemente stehen sofort für eine Selektion zur Verfügung. Um die Konfigurationsstruktur zu verdeutlichen, zeigt LANconfig neben den einzelnen Quellen den Konfigurations-Pfad an.
Seite 134 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfigurationsdialogen ("Multithreading"). Nach dem Öffnen einer Konfiguration können aus der Liste der Geräte im LANconfig einfach weitere Konfigurationen geöffnet werden. Alle Konfigurationen können parallel bearbeitet werden. Zwischen den geöffneten Konfigurationen können Inhalte mit "Copy and Paste" über die Zwischenablage übertragen werden.
Seite 135: Projektmanagement Mit Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Projektmanagement mit LANconfig LANconfig erleichtert die Konfiguration von verschiedenen Geräten in einem Projekt mit einigen Funktionen, die gleichzeitig auf mehreren Geräten ausgeführt werden können. Sind in der Liste der Geräte im LANconfig mehrere Einträge markiert, können mit einem rechten Mausklick über das Kontextmenü...
Seite 136: Flexible Gruppen-Konfiguration Mit Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Zertifikat oder Datei hochladen Öffnet den Upload-Dialog für das geräteinterne Dateimanagement. Geräte überwachen, Geräte temporär überwachen Öffnet die ausgewählten Geräte im LANmonitor zur Überwachung. WLAN Geräte überwachen Öffnet die ausgewählten Geräte im WLANmonitor zur Überwachung.
Seite 137 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben später ausschließlich die Option, Ihre erstellten Gruppen-Konfigurations-Vorlagen zu ändern, nicht jedoch die LANconfig-Basis-Vorlagen. Folgende Vorlagen für Gruppen-Konfigurationen stehen in LANconfig zur Verfügung: Group Template WLAN: Beinhaltet die Parameter, die auf WLAN-Geräten gemeinsam verwaltet werden.
Seite 138 Referenzhandbuch 3 LANCOM Management System (LCMS) Gruppen-Konfiguration zu verwenden. Die neue Gruppen-Konfiguration übernimmt in diesem Fall die Standardwerte vom gewählten Geräte-Typ. Um inkonsistente Sätze von Konfigurationsparametern zu vermeiden, basieren die alternativen Basiseinstellungen auf einer leeren Vorlage entsprechend dem Group Template Empty.
Seite 139 Referenzhandbuch 3 LANCOM Management System (LCMS) Der Konfigurationsdialog startet mit der Ansicht Konfigurationswerte bearbeiten. In dieser Ansicht finden Sie ausschließlich die gemeinsam zu verwaltenden Parameter der Gruppe. Hier ist die Einstellung auf die gewünschten Werte und Inhalte möglich. Alle Parameter, die für die einzelnen Geräte gelten, sind ausgeblendet.
Seite 140 Referenzhandbuch 3 LANCOM Management System (LCMS) Im Konfigurations-Modus Gruppen-Parameter auswählen wählen Sie aus allen verfügbaren Parametern diejenigen an- oder ab, die Sie für eine angepasste Gruppen-Konfiguration benötigen. Hellblau eingefärbte Elemente sind für die Verwendung in der Gruppen-Konfiguration ausgewählt. Klicken Sie einmal mit der linken Maustaste auf ein Element, um dessen Auswahlstatus zu ändern.
Seite 141 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben zudem die Möglichkeit, diese Gruppen-Konfiguration zukünftig als eigene Vorlage für die Erstellung weiterer Gruppen-Konfigurationen angeboten zu bekommen. Aktivieren Sie hierzu die Option Als Vorlage bereitstellen und vergeben Sie eine aussagekräftige Bezeichnung. Sie haben auch später noch die Gelegenheit, aus einer bereits existierenden Gruppen-Konfiguration eine Vorlage zu erstellen.
Seite 142 Referenzhandbuch 3 LANCOM Management System (LCMS) Gerätekonfigurationen mit Gruppen-Konfigurationen aktualisieren Beim Aufrufen oder Aktualisieren eines Ordners prüft LANconfig, ob die Konfiguration der Geräte in diesem Ordner mit den Einstellungen in der aktiven Gruppen-Konfiguration übereinstimmt. Über Abweichungen von der Gruppen-Konfiguration informiert der Gerätestatus Gruppen-Aktualisierung empfohlen.
Seite 143 Referenzhandbuch 3 LANCOM Management System (LCMS) Beim folgenden Prüfen der Geräte wird LANconfig feststellen, dass die Konfigurationen der anderen Geräte im Ordner nicht mehr mit der neuen Gruppen-Konfiguration übereinstimmen und dies über den Gerätestatus entsprechend anzeigen. Mehrere Gruppen-Konfigurationen verwenden Innerhalb eines Ordners können mehrere Gruppen-Konfigurationen angelegt werden. Von diesen Gruppen-Konfigurationen darf jeweils nur eine aktiv sein, da sich der Gerätestatus nur auf eine einzelne Gruppen-Konfiguration beziehen kann.
Seite 144: Automatische Sicherung Der Gerätekonfiguration
Referenzhandbuch 3 LANCOM Management System (LCMS) Ausgangsgerät in ein ähnliches Zielgerät einzuspielen. Dabei werden alle Konfigurationsparameter, die sowohl im Ausgangs- wie auch im Zielgerät vorhanden sind, nach Möglichkeit mit den bisher verwendeten Werten belegt: Wenn das Zielgerät über den entsprechenden Parameter verfügt und der Wert im möglichen Bereich liegt, wird der Wert des Ausgangsgerätes übernommen.
Seite 145 Referenzhandbuch 3 LANCOM Management System (LCMS) Um die erweiterten Meta-Daten in eine Konfigurationsdatei mit aufzunehmen, klicken Sie im Datei-speichern-Dialog von LANconfig auf die Schaltfläche Erweitert und geben die Daten – sofern nicht bereits vorausgefüllt – in die jeweiligen Felder ein.
Seite 146 Referenzhandbuch 3 LANCOM Management System (LCMS) Um eine Konfigurationssicherung wiederherzustellen, markieren Sie einen Eintrag und klicken auf Wiederherstellen. Darüber hinaus haben Sie die Möglichkeit, die Konfigurationssicherungen mit zusätzlichen Kommentaren zu versehen bzw. die darin enthaltenen Kommentare zu bearbeiten und ggf. zu ergänzen: Über die Schaltfläche Beschreibung bearbeiten ( ) aktivieren Sie das darunterliegende Kommentarfeld, um den darin enhaltenen Text zu bearbeiten.
Seite 147 Referenzhandbuch 3 LANCOM Management System (LCMS) Gruppe 1;IP;3;192.168.2.101;;;;LANCOM WLC-4025;1;263;;;;; LANCOM WLC-4025;LANCOM WLC-4025;;4000841918000018;00a0571218bb;C;"31; C:\Users\MyUser\AppData\Roaming\LANCOM\LANconfig\Config\; \%y_%mn_%dn\%N_%G_%F[1-4]_%hh-%mm-%s;12|"; Die erste Zeile enthält die Namen der Geräte-Parameter. Darunter sind zeilenweise die einzelnen Geräte aufgeführt, deren Parameter jeweils durch Semikolons voneinander getrennt sind. Folgen 2 Semikolons direkt aufeinander, ist der eingeschlossene Parameter-Wert leer.
Seite 148: Inhalt Der Konfigurations-Vorlagendatei
Referenzhandbuch 3 LANCOM Management System (LCMS) Inhalt der CSV-Datei Die CSV-Datei enthält Datensätze von Geräten, die LANconfig importieren kann. Sie haben somit die Möglichkeit, diese komfortabel im Netzwerk zu verwalten. Nachfolgend ein Beispiel einer einfachen CSV-Datei: CONFIG_FILENAME;DEVICE_PATH;DEVICE_INTERFACE;DEVICE_ADDRESS;DEVICE_LOCATION;DEVICE_NAME;KEY;USER Fil52146.lcs;Filialen/NRW;IP;192.168.1.1;Wuerselen;Fil52146;secret1;user1@internet Fil80637.lcs;Filialen/BAY;IP;192.168.2.1;Muenchen;Fil80637;secret2;user2@internet Die erste Zeile enthält die Namen der Geräte-Parameter. Darunter sind zeilenweise die einzelnen Geräte aufgeführt, deren Parameter jeweils durch Semikolons voneinander getrennt sind.
Seite 149 Referenzhandbuch 3 LANCOM Management System (LCMS) In dieser Vorlagendatei repräsentieren die Variablen bestimmte Geräte-Parameter. Während des Import-Vorgangs verknüpfen Sie diese Variablen mit den entsprechenden Einträgen der Geräte-Datei. Der Konfigurations-Assistent ersetzt die Variablen anschließend mit den zugewiesenen Geräte-Daten aus der CSV-Datei.
Seite 150 Referenzhandbuch 3 LANCOM Management System (LCMS) Zuordnung funktioniert. Fügen Sie aber Variablen für die Konfigurationserzeugung hinzu, greift die Autoerkennung nicht. 7. Das Feld Vorschau zeigt sofort die anhand Ihrer ausgewählten Parameter zu importierenden Datensätze an. Bestätigen Sie Ihre Eingabe mit Weiter.
Seite 151 Referenzhandbuch 3 LANCOM Management System (LCMS) 10. Ordnen Sie die Spalten den Geräte-Eigenschaften zu. Zugeordnete Eigenschaften erkennen Sie in der Liste an dem vorangestellten "+". Klicken Sie danach auf Weiter. Bei Verwendung der Standardvariablennamen erfolgt diese Zuordnung automatisch. 11. Sie haben die Möglichkeit, aus den Datensätzen individuelle Konfigurationsdateien zu erstellen. Aktivieren Sie dazu die Option Konfigurationsdateien erzeugen.
Seite 152 Referenzhandbuch 3 LANCOM Management System (LCMS) angegeben haben, erfolgt ebenfalls eine automatische Zuordnung für alle gefundenen Variablen. Die Spaltentitel in der Ansicht darunter aktualisieren sich sofort bei jeder Änderung. Klicken Sie anschließend auf Weiter. Bei unvollständigen Angaben weist Sie der Assistent auf mögliche Probleme beim Import hin und bietet Ihnen Korrekturen an.
Seite 153 Referenzhandbuch 3 LANCOM Management System (LCMS) Haben Sie die Erstellung einer individuellen Konfigurationsdatei ausgewählt, so speichert der Assistent im angegebenen Ordner je Gerät eine separate Konfigurationsdatei. Diese Konfigurationsdateien werden gemäß dem Dateinamen "<CONFIG_FILENAME>.lcs" benannt, den die CSV-Datei definiert: lang English flash No set /Setup/Name "Fil52146"...
Seite 154: Software Update Für Lcms
LANconfig sucht im lokalen Firmware-Archiv nach verfügbaren Updates. Optional können Sie die Suche um die folgenden Punkte erweitern: Suchen Sie online nach weiteren Updates im Download-Bereich des LANCOM Web-Servers. Beziehen Sie Release Candidates in die Suche ein. Wenn Sie diese Option einschalten, wird das Software Update nicht nur die für den Einsatz in Produktivumgebungen freigegebenen Software-Versionen zum Download anbieten,...
Seite 155 Referenzhandbuch 3 LANCOM Management System (LCMS) 3. Wechseln Sie auf die Seite Update. 4. Wählen Sie das zeitliche Intervall für die automatische Suche nach Updates (Täglich, Wöchentlich oder Monatlich) aus. Lesen Sie für die übrigen Einstellungsmöglichkeiten von Software-Update auch das Kapitel Update auf Seite 198.
Seite 156 Referenzhandbuch 3 LANCOM Management System (LCMS) Software Update lädt die gewählte Software nun nacheinander herunter und speichert die Dateien im Firmware-Archiv. Nach dem erfolgreichen Download bietet Software Update die Installation der geladenen Software an (nur LANconfig und LANmonitor):...
Seite 157 Referenzhandbuch 3 LANCOM Management System (LCMS) Nach der Installation zeigt Software Update die Ergebnisse des Updates-Vorgangs an: Software Update über MyLANCOM Für einige Funktionen benötigt das Software Update einen Zugang zum Kunden-Portal myLANCOM. Um die Zugangsdaten für myLANCOM einzutragen, gehen Sie vor, wie in den folgenden Schritten beschrieben: 1.
Seite 158: Suche Nach Firmware-Updates Im Archiv
Referenzhandbuch 3 LANCOM Management System (LCMS) LANconfig speichert Ihre Login-Daten verschlüsselt in der Windows-Registry ab. Suche nach Firmware-Updates im Archiv Um das Update auf neue Firmwareversionen in den Geräten möglichst komfortabel zu gestalten, werden die Firmware-Dateien für die verschiedenen Modelle und LCOS-Versionen idealerweise in einem zentralen Archiv-Verzeichnis abgelegt.
Seite 159 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie ein Intervall für die automatische Suche nach Optionen festlegen, zeigt LANconfig nach dem Start automatisch die Geräte an, für die neue Updates zur Verfügung stehen. Manuelle Suche nach Firmware-Updates Für die manuelle Suche nach Firmware-Updates klicken Sie mit der rechten Maustaste auf einen markierten Eintrag in der Geräteliste und wählen im Kontextmenü...
Seite 160: Einrichtung Einer E-Mail-Adresse Für Den Nachrichtenversand
Referenzhandbuch 3 LANCOM Management System (LCMS) zeigt alle gefundenen Versionen für alle markierten Geräte an, dabei auch den aktuellen Versionsstand der Geräte. Für jedes Gerät können Sie genau eine Firmware-Version auswählen, die dann in das Gerät eingespielt wird. Einrichtung einer E-Mail-Adresse für den Nachrichtenversand Bei bestimmten Ereignissen können Sie im Gerät festlegen, dass es eine Nachricht an eine definierte E-Mail-Adresse...
Seite 161: Budget-Überwachung
Referenzhandbuch 3 LANCOM Management System (LCMS) Keine: Keine Verschlüsselung. Das Gerät beachtet eine ggf. vom Server gesendete STARTTLS-Antwort nicht. Verschlüsselt (SMTPS): Das Gerät verwendet SMTPS, verschlüsselt also ab Verbindungsaufbau. Bevorzugt (STARTTLS): Der Verbindungsaufbau erfolgt unverschlüsselt. Bietet der SMTP-Server STARTTLS an, verschlüsselt das Gerät.
Seite 162 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Budget-Überwachung können Sie unter Managment > Budget konfigurieren. Wenn das Gerät bei Überschreiten des festgelegten Datenvolumens eine Email versenden soll, geben Sie bereits in diesem Dialog im Feld E-Mail Adresse die entsprechende Adresse ein.
Seite 163: Schlüssel-Fingerprints Bei Der Inbetriebnahme Von Cc-Geräten Exportieren
Referenzhandbuch 3 LANCOM Management System (LCMS) Freie Netze Wenn die Datenübertragung bestimmter Netze das Volumen-Budget zu einer Gegenstelle nicht belastet, können Sie diese Netze aus der Erfassung herausnehmen. Klicken Sie dazu auf die Schaltfläche Freie Netze und anschließend auf Hinzufügen.
Seite 164 Outband Eine RADIUS-Authentifizierung über SNMP ist derzeit nicht unterstützt. Eine RADIUS-Authentifizierung über LL2M (LANCOM Layer 2 Management Protokoll) ist nicht unterstützt, da LL2M Klartext-Zugriff auf das im Gerät gespeicherte Passwort benötigt. Der RADIUS-Server übernimmt die Verwaltung der Benutzer in den Bereichen Authentifizierung, Autorisierung und Accounting (Triple-A-Protokoll), was bei umfangreichen Netz-Installationen mit mehreren Routern die Verwaltung von Admin-Zugängen stark vereinfacht.
Seite 165: Geräte-Login Authentifizierung
Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte-Login Authentifizierung Im Abschnitt Geräte-Login Authentifizierung wählen Sie die Methode aus, über die sich Benutzer beim Zugriff auf die Verwaltungsoberfläche des Gerätes authentifizieren sollen: Interne Administratoren-Tabelle: Das Gerät übernimmt die komplette Benutzerverwaltung mit Anmeldename, Passwort sowie Zugriffs- und Funktionsrechte-Zuordnung.
Seite 166: Die Menüstruktur In Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Für den Backup-Server müssen Sie einen weiteren Eintrag in der Server-Tabelle vornehmen. Server-Adresse: Vergeben Sie hier die IPv4-Adresse des RADIUS-Servers. Port: Geben Sie hier den Port an, über den der RADIUS-Server mit dem Gerät kommuniziert.
Seite 167 Referenzhandbuch 3 LANCOM Management System (LCMS) Anschluss Im Bereich Anschluss nehmen Sie die Anschluss-Einstellungen für ein Gerät vor. Wählen Sie hier aus, wie das Gerät erreichbar ist: Netzwerkverbindung (TCP/IP): Wählen Sie diese Option, wenn das Gerät über ein IP-Netzwerk zu erreichen ist.
Seite 168 Referenzhandbuch 3 LANCOM Management System (LCMS) LANconfig versucht in der Reihenfolge HTTPS, SSH, HTTP und TFTP und SSH, mit jedem gewählten Protokoll die oben aufgeführten Geräte-Aktionen auszuführen. Endet eine Aktion aufgrund des verwendeten Protokolls fehlerhaft, wiederholt LANconfig sie mit dem nächsten ausgewählten Protokoll.
Seite 169 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte suchen Über diesen Menüpunkt starten Sie die automatische Suche nach neuen Geräten, um Sie der Geräteübersicht hinzuzufügen. Wählen Sie aus, wo nach Geräten gesucht werden soll: An allen seriellen Schnittstellen Im lokalen Netz In einem entfernten Netz Wenn Sie ein entferntes Netz durchsuchen wollen, müssen Sie die Adresse des Netzwerkes und die zugehörige...
Seite 170 3 LANCOM Management System (LCMS) Alle Geräte auf Firmware-Updates prüfen Startet manuell die automatische Suche nach Firmware-Updates. Dabei durchsuchen Sie die LANCOM Online-Datenbank sowie Ihr lokales Firmware-Archiv nach aktuelleren Firmware-Versionen als derzeit den Geräten installiert. Lesen Sie Suche nach Firmware-Updates im Archiv hierzu auch das Kapitel auf Seite 158.
Seite 171 Referenzhandbuch 3 LANCOM Management System (LCMS) Neue Konfigurations-Datei Mit dieser Funktion lassen sich eine Konfiguration und ein Geräte-Eintrag in der Geräteliste anlegen, ohne dass eine Verbindung zu einem real existierenden Gerät besteht. Geräte-Typ Wenn Sie eine Konfigurations-Datei anlegen wollen, müssen Sie angeben, für welches Gerät diese Konfiguration bestimmt ist, damit das Programm die richtigen Parameter für das Gerät anzeigen kann.
Seite 172 Referenzhandbuch 3 LANCOM Management System (LCMS) Mit einem Klick auf OK öffnet sich der Konfigurationsdialog. Sie können auch eine neue Konfigurationsdatei erstellen, indem Sie mit einem mit einem Rechtsklick auf Ihren Desktop im Kontext-Menü Neu > LANconfig Konfiguration auswählen. Die Informationen zu den einzelnen Konfigurationsparametern finden Sie in der LCOS-Dokumentation.
Seite 173 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfigurations-Datei assistieren Über diesen Menüpunkt wählen Sie eine gespeicherte Konfigurationsdatei aus, um sie mit dem Setup-Assistenten zu bearbeiten. Konfigurations-Datei drucken Über diesen Menüpunkt drucken Sie eine gespeicherte Konfigurationsdatei aus. Zusätzlich zum normalen Druckdialog haben Sie im Abschnitt Optionen folgende Einstellungsmöglichkeiten: Passwörter im Klartext drucken...
Seite 174 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte in dieser Ansicht markieren Über diesen Menüpunkt markieren Sie alle aktuellen Geräteeinträge in der gewählten Ansicht. Markierung umkehren Über diesen Menüpunkt kehren Sie die Markierung aller aktuellen Geräteeinträge in der gewählten Ansicht um. Dadurch werden alle Einträge, die vorher markiert waren, unmarkiert und alle Einträge, die vorher nicht markiert waren, markiert.
Seite 175 Folgende Firmware-spezifische Aktionen stehen Ihnen zur Auswahl: Nach Firmware-Updates suchen Startet manuell die automatische Suche nach Firmware-Updates. Dabei durchsuchen Sie die LANCOM Online-Datenbank sowie Ihr lokales Firmware-Archiv nach aktuelleren Firmware-Versionen als derzeit auf dem ausgewählten Gerät installiert. Lesen Sie hierzu auch das Kapitel Suche nach Firmware-Updates im Archiv auf Seite 158.
Seite 176 Referenzhandbuch 3 LANCOM Management System (LCMS) Im Testmodus laufende Firmware freischalten ([Speicherplatz-Nummer]) Sofern Sie für ein Gerät ein Firmware-Update durchgeführt und die zugehörige Firmware im (zeitlich beschränkten) Testmodus hochgeladen haben, können Sie über diesen Menüpunkt die Firmware dauerhaft aktivieren. Mehr zu der Funktion erfahren Sie im Abschnitt FirmSafe auf Seite 65.
Seite 177 Referenzhandbuch 3 LANCOM Management System (LCMS) Telnet-Sitzung öffnen Öffnet eine Verbindung zum Gerät mit dem in den Einstellungen konfigurierten Telnet-Client. SSH-Sitzung öffnen Öffnet eine Verbindung zum Gerät mit dem in den Einstellungen konfigurierten SSH-Client. Gerät überwachen Über diesen Menüpunkt aktivieren Sie die grundsätzliche Überwachung des Gerätes in LANmonitor.
Seite 178 Wenn Sie eine Option testen möchten, können Sie für jedes Gerät einmalig eine zeitlich befristete, 30-tägige Demo-Lizenz aktivieren. Klicken Sie dazu auf den Link unterhalb der Eingabefelder für den Lizenzschlüssel. Sie werden automatisch mit der Webseite des LANCOM-Registrierungsservers verbunden, auf der Sie die gewünschte Demolizenz auswählen und für das Gerät registrieren können.
Seite 179 Referenzhandbuch 3 LANCOM Management System (LCMS) SIM-Karte entsperren Wenn Sie dreimal den falschen PIN eingegeben haben, wird Ihre SIM-Karte gesperrt. Unter diesem Menüpunkt können Sie die SIM-Karte durch die Eingabe des PUK bzw. Super-PIN wieder entsperren. Gilt nur für Geräte mit UMTS-Modem/Karte.
Seite 180 Referenzhandbuch 3 LANCOM Management System (LCMS) Protokolle Wählen Sie ein Protokoll aus und klicken Sie Bearbeiten, um das ausgewählte Protokoll zur Verwendung in externen Programmen zu erlauben oder zu verbieten und ggf. den Standard-Port zu verändern. Logindaten Hinterlegen Sie in diesem Bereich die Zugangsdaten für die externen Programme. Klicken Sie Neu, um ein oder mehrere Programm(e) auszuwählen und die dafür geltenden Zugangsdaten einzugeben.
Seite 181 Referenzhandbuch 3 LANCOM Management System (LCMS) Diese Dialogseite ist nur für Geräte verfügbar, die auch VPN anbieten. Öffentlicher Zugang Geben Sie für die vereinfachte Einrichtung von VPN-Verbindungen eine öffentliche IP bzw. einen Namen und eine Telefonnummer an. Sie können bestimmen, ob die Telefonnummer für den VPN-Verbindungs-Aufbau bevorzugt verwendet werden soll.
Seite 182: Neue Gruppen-Konfiguration
Referenzhandbuch 3 LANCOM Management System (LCMS) Durch einen Klick mit der rechten Maustaste auf die linke Spalte mit den Namen der Einträge, erhalten Sie ein Kontextmenü. Über dieses können Sie die Werte auch in die Zwischenablage übernehmen. Features & Optionen Auf dieser Seite erhalten Sie nähere Informationen zu den vom Gerät unterstützten Features und freigeschalteten Optionen.
Seite 183 Referenzhandbuch 3 LANCOM Management System (LCMS) Neuer Ordner mit Gruppen-Konfiguration Unter Gruppe > Neuer Ordner mit Gruppen-Konfiguration erstellen Sie im aktuellen Ordner einen neuen Unterordner mit einer neuen Gruppen-Konfiguration. Gruppen-Konfiguration hinzufügen Unter Gruppe > Gruppen-Konfiguration hinzufügen speichern Sie eine bereits bestehende Gruppen-Konfiguration in den aktiven Ordner.
Seite 184: Schaltflächen
Referenzhandbuch 3 LANCOM Management System (LCMS) Auf der Seite Info finden Sie den Namen, den Status und den Datei-Namen der Gruppen-Konfiguration. Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der LANconfig-Bedienoberfläche an. Symbolleiste Zur benutzerdefinierten Anpassung der Symbolleiste können im LANconfig die folgenden Optionen gewählt werden: Schaltflächen...
Seite 185 Referenzhandbuch 3 LANCOM Management System (LCMS) Verzeichnisbaum Die Ordnerstruktur am linken Rand des LANconfig-Fensters kann über diesen Menüpunkt (oder alternativ mit der Verzeichnisbäume zur Organisation Funktionstaste F6) ein- und ausgeblendet werden. Lesen Sie dazu auch das Kapitel nutzen auf Seite 128.
Seite 186 Referenzhandbuch 3 LANCOM Management System (LCMS) Symbole anordnen Für eine bessere und schnellere Übersicht und Orientierung auch in großen Projekten können in LANconfig die Spalten mit gerätebezogenen Informationen einzeln ein- bzw. ausgeblendet werden. Klicken Sie dazu mit der rechten Maustaste auf die Spaltenüberschriften und wählen Sie unter Ansicht >...
Seite 187 Referenzhandbuch 3 LANCOM Management System (LCMS) Maustaste auf die Spaltenüberschriften klicken und im sich öffnenden Kontextmenü das Menü unter Ansicht > Details auswählen aufrufen. Gitterlinien anzeigen Über diesen Menüpunkt blenden Sie Gitterlinien in der Geräteansicht ein- oder aus. Kontrollkästchen anzeigen Über diesen Menüpunkt aktivieren Sie die Anzeige von Kontrollkästchen.
Seite 188 Referenzhandbuch 3 LANCOM Management System (LCMS) Tastaturkürzeln mehrere Geräte gezielt auszuwählen und dann Aktionen auf diese Geräte anzuwenden (z. B. neue Firmware hochladen). Protokolldatei betrachten Über diesen Menüpunkt können Sie die Protokolldatei von LANconfig ansehen und bearbeiten. Übergeordneter Ordner Über diesen Menüpunkt gelangen Sie in der jeweiligen Ordneransicht zu dem übergeordneten Ordner.
Seite 189 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfiguration von Geräten Sie können auswählen, ob Sie für die Konfiguration den Setup-Assistenten als Standard verwenden oder ob Sie standardmäßig den Konfigurations-Dialog zur manuellen Bearbeitung starten wollen, wenn Sie einen Doppeklick auf ein Gerät ausführen. In der Standard-Einstellung wird durch Doppelklick auf ein Gerät die Übersicht der Setup-Assistenten geöffnet.
Seite 190 Referenzhandbuch 3 LANCOM Management System (LCMS) Start In diesem Dialog legen Sie das Verhalten und die Aktionen von LANconfig beim Programmstart fest. Bei jedem Start nach neuen Geräten suchen: Wenn Sie diese Option aktivieren, sucht das Programm bei jedem Start in vordefinierten Netzen nach neuen Geräten.
Seite 191 Referenzhandbuch 3 LANCOM Management System (LCMS) Netzwerk Wenn Sie häufiger wechselnde Geräte mit gleicher IP-Adresse in Ihrem Netz haben, dann sollten Sie die Option Vor jedem IP-Zugriff den ARP-Cache löschen einschalten, damit Ihr Rechner diese Geräte erreichen kann. Protokolle Zur Übertragung der Daten bei der Konfiguration mit LANconfig stehen wahlweise die Protokolle HTTPS, SSH, HTTP oder TFTP Verfügung.
Seite 192 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie die Anzahl nicht begrenzen und genügend Resourcen zur Verfügung stehen, kann die erzeugte System- oder Netzlast beliebig hoch werden! Gleichzeitige IP-Geräte-Verbindungen Die Anzahl der gleichzeitig über IP aufgebauten Verbindungen kann künstlich begrenzt werden. Dies ist insbesondere dann sinnvoll, wenn die Verbindungen über physikalisch begrenzt vorhanden Kanäle laufen...
Seite 193 Referenzhandbuch 3 LANCOM Management System (LCMS) Adresse: Tragen Sie hier die IP-Adresse ein, über die der HTTP-Proxy-Server erreichbar ist. Port: Tragen Sie hier ein, welchen Port der HTTP-Proxy-Server verwendet. HTTPS-Proxy verwenden Aktiviert die Verwendung eines HTTPS-Proxys. Adresse: Tragen Sie hier die IP-Adresse ein, über die der HTTPS-Proxy-Server erreichbar ist.
Seite 194 Referenzhandbuch 3 LANCOM Management System (LCMS) Beim Wechsel auf eine Einstellung, die ein automatisches Starten der Anwendung ermöglicht, wird ein Eintrag in der Registry des Betriebssystems vorgenommen. Firewall-Applikationen auf dem Rechner oder die Betriebssysteme selbst (Windows XP, Windows Vista oder Windows 7) können diesen Eintrag ggf.
Seite 195: Gerätekonfiguration
Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte-Konfiguration Hier können Sie wählen, vor welcher Aktion eine automatische Sicherung der aktuellen Gerätekonfiguration durchgeführt werden soll. Um die automatische Sicherung zu aktivieren, müssen Sie mindestens eine der folgenden Einstellungen wählen: Vor dem Firmware-Hochladen: Vor dem Hochladen einer Firmware wird eine automatische Sicherung der Gerätekonfiguration durchgeführt.
Seite 196 Referenzhandbuch 3 LANCOM Management System (LCMS) Adresse Seriennummer Mit den folgenden regulären Ausdrücken können Sie auch Teile der Geräteinformation anzeigen lassen. Zahlen in eckigen Klammern, welche den Variablen folgen, bilden eine Teilinformation, wie etwa %N[5]. Es wird das n-te Zeichen aus dieser Variable expandiert. Mit einem Bindestrich wird eine Zeichenkette definiert, etwa %H[2-5].
Seite 197: Automatische Wiederholung
Konfigurations-Upload-Versuchen verstreichen soll. Die Intervalldauer können Sie im Bereich von 1 bis 9999 einstellen. Browser zur Darstellung von WEBconfig Bestimmen Sie hier, welchen Browser LANconfig standardmäßig für die Anzeige von WEBconfig verwenden soll. Zur Auswahl stehen der Standard-Browser des Betriebssystems und der LANconfig-interne Browser LCCEF (LANCOM Chromium Embedded Framework).
Seite 198 Wählen Sie für das lokale Firmware-Archiv einen geeigneten Speicherort. LANconfig sucht bei der automatischen Suche nach Updates an diesem Speicherort nach neuen Versionen von LCMS und der Firmware. LANCOM Software Update speichert die Updates vom Download-Bereich des LANCOM Web-Servers an diesem Speicherort.
Seite 199: Die Symbole Der Symbolleiste
3 LANCOM Management System (LCMS) Weitere Informationen zum Umgang mit dem Assistenten sowie die Konfiguration von CC-Geräten erhalten Sie gesondert im "LANCOM CC Installation Guide". Diesen finden Sie zusammen mit dem "LANCOM CC Start-up Kit" auf www.lancom-systems.de Für Nicht-CC-Geräte ist dieser Assistent ohne Relevanz.
Seite 200: Das Kontextmenü In Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.5 Das Kontextmenü in LANconfig Das Kontextmenü in der Geräteansicht enthält die Funktionen, die Sie auch unter Menü Gerät finden. 3.1.6 LANconfig Tastaturbefehle Einfg Gerät hinzufügen Entf Gerät löschen Geräte suchen Alle Geräte prüfen...
Seite 201: Lanconfig Kommandozeilen-Parameter
Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.7 LANconfig Kommandozeilen-Parameter Sie haben die Möglichkeit, LANconfig über die Windows-Kommandozeile mit bestimmten Optionen und Befehlen zu starten. Die Eingabe erfolgt gemäß der nachfolgend beschriebenen Syntax. Schrägstrich und Bindestrich werden als Parameter-Präfix unterstützt. Bei allen Parametern ist die Groß- und Kleinschreibung nicht relevant.
Seite 202: Anwendungskonzepte Für Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Close Beendet das Programm nach der Ausführung der noch ausstehenden Befehle. LANconfig startet nach der Ausführung der Befehle normal, es sei denn, eine andere Einstellung wird vorgenommen. Owner Übernimmt das Fenster mit Handle [hwndParent]. Optional wird es bei den Befehlen Print, PrintTo und AutoUpdate genutzt.
Seite 203: Passwort Erzeugen In Lanconfig
Referenzhandbuch 3 LANCOM Management System (LCMS) Passwort erzeugen in LANconfig LANconfig bietet an allen Stellen der Konfiguration, welche die Eingabe eines Passworts oder einer Passphrase erfordern, die Möglichkeit zur automatischen Erzeugung eines Passwortvorschlags. Aktivieren Sie die Option Anzeigen neben dem Feld zur Eingabe des Passworts. Klicken Sie dann auf die Schaltfläche...
Seite 204: Lanmonitor - Geräte Im Lan Überwachen
Referenzhandbuch 3 LANCOM Management System (LCMS) Klicken Sie optional auf den Pfeil neben der Schaltfläche Passwort erzeugen, um den Dialog für die Einstellungen der Passwort-Richtlinien zu öffnen. Stellen Sie mit dem Schieberegler die gewünschte Passwortstärke ein. In der Einstellung Benutzerdefiniert haben Sie die Möglichkeit, die maximale Passwortlänge und die erforderlichen Zeichentypen zu definieren.
Seite 205: Lanmonitor Starten
Referenzhandbuch 3 LANCOM Management System (LCMS) Neben den Statistiken des Geräts, die Sie zum Beispiel auch in einer Telnet- oder Terminalsitzung oder mit WEBconfig auslesen können, stehen Ihnen im LANmonitor noch weitere nützliche Funktionen zur Verfügung, wie beispielsweise die Freischaltung eines Gebührenlimits.
Seite 206: Anzeige-Funktionen Im Lanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) rechten Rand des Suchfensters oder mit den der Tastenkombination 'Strg+F3' zur nächsten Fundstelle oder mit der Tastenkombination 'Strg+Shift+F3' zur vorherigen Fundstelle. 3.2.3 Anzeige-Funktionen im LANmonitor LANmonitor unterstützt den Administrator von umfangreichen Anwendungen mit einer Reihe von Funktionen, die das Überwachen von Geräten an verteilten Standorten erleichtern.
Seite 207 Referenzhandbuch 3 LANCOM Management System (LCMS) Datei Unter diesem Menüpunkt verwalten Sie Geräte allgemein und beenden LANmonitor. Gerät hinzufügen Über Datei > Gerät hinzufügen fügen Sie der Geräteübersicht ein neues Gerät hinzu. Es öffnet sich ein Dialog, in dem Sie u. a. Einstellungen für die Verbindung zum das Gerät und die Protokollierung vornehmen.
Seite 208 Referenzhandbuch 3 LANCOM Management System (LCMS) SNMP-Read-Only-Community: Wählen Sie diese Einstellung, wenn die Authentisierung am Gerät über die öffentliche Community public; oder eine eigene Community in Form eines Master-Passworts oder Benutzername:Passwort-Paares erfolgt. Diese geben Sie anschließend im Eingabefeld Community an.
Seite 209: Protokollierung
Referenzhandbuch 3 LANCOM Management System (LCMS) Protokollierung Auf dieser Seite steuern Sie die Protokollierung der Geräteaktivitäten durch LANmonitor. Dafür bestimmen Sie nach Aktivieren der Protokollierung durch die Filter-Auswahl, welche Aktivitäten LANmonitor erfassen und in welche Protokoll-Datei schreiben soll. Gerät entfernen Wenn Sie ein Gerät markiert haben, können Sie es unter Datei >...
Seite 210 Referenzhandbuch 3 LANCOM Management System (LCMS) Klicken Sie auf Suchen, um die Suche zu starten. Die gefundenen Geräte werden automatisch der Liste hinzugefügt. Wenn ein Gerät gefunden wird, das bereits in der Liste vorhanden ist, wird es nicht ein zweites Mal der Liste hinzugefügt.
Seite 211 Referenzhandbuch 3 LANCOM Management System (LCMS) Aktualisieren Aktualisiert die Anzeige für ein ausgewähltes Gerät. VPN-Verbindungen anzeigen Sie können sich die VPN-Verbindungen von einem bestimmten Gerät anzeigen lassen. In der Liste der VPN-Verbindungen werden die letzten 100 VPN-Verbindungen protokolliert. Dabei werden folgende Detailinformationen erfasst:...
Seite 212 Referenzhandbuch 3 LANCOM Management System (LCMS) Aktualisieren: Aktualisiert die angezeigten Angaben. Schließen: Schließt dieses Informationsfenster. Unter dem Menüpunkt Ansicht finden Sie folgende Funktionen: Immer im Vordergrund: Das Fenster ist immer im Vordergrund. Geräteaktivitäten anzeigen Sie können sich die Geräteaktivitäten von einem bestimmten Gerät anzeigen lassen. Mit dem Aktivitätsprotokoll werden die Aktivitäten auf WAN-, WLAN-, VPN-, LANCAPI- und a/b-Port-Verbindungen sowie der Firewall protokolliert.
Seite 213 Referenzhandbuch 3 LANCOM Management System (LCMS) Über diesen Menüpunkt steuern Sie die Protokollierung der gerätespezifischen Aktivitäten durch LANmonitor. Dafür bestimmen Sie durch die Eingangs-Filter-Auswahl auf der Registerkarte Anzeige, welche Aktivitäten LANmonitor in welchem Umfang (Puffer) erfassen soll. Auf der Registerkarte Erweitert legen Sie zusätzlich fest, ob LANmonitor die aufgezeichneten Daten in einer Datei speichert.
Seite 214 Referenzhandbuch 3 LANCOM Management System (LCMS) Quelle Quelle der Syslog-Meldung Level Level der Syslog-Meldung, z. B. Alarm oder Fehler Meldung Details der Syslog-Meldung Unter dem Menüpunkt Syslog finden Sie folgende Funktionen: Aktualisieren: Aktualisiert die angezeigten Angaben. Syslog speichern: Speichert die angezeigte Syslog-Ausgabe an einem Ort Ihrer Wahl in einem geeigneten Dateiformat (*.lsl).
Seite 215 Referenzhandbuch 3 LANCOM Management System (LCMS) IPv6-Firewall-Ereignisse anzeigen Über Gerät > Firewall-Ereignisse anzeigen lassen Sie sich im LANmonitor die Firewall-Ereignisse eines markierten Geräts anzeigen. Die Firewall-Ereignisanzeige listet die letzten 100 Aktionen der Firewall auf. Die angezeigten IPv4-Firewall Detailinformationen und ihre Erläuterungen sind identisch mit denen der Unter dem Menüpunkt Ereignisanzeige finden Sie folgende Funktionen:...
Seite 216: Mac-Adresse
Referenzhandbuch 3 LANCOM Management System (LCMS) Limit Limit, welches mit der betreffenden Firewall-Aktion verknüpft ist. Sofern eine Firewall-Aktion nicht mit einem Limit verknüpft ist, wird ein Paket-Limit impliziert, das sogleich beim ersten Paket überschritten wird. In diesem Fall zeigt die Spalte den Wert Sofort.
Seite 217 Referenzhandbuch 3 LANCOM Management System (LCMS) Statisch: Ein Rechner hat dem DHCP-Server mitgeteilt, dass er eine feste IP-Adresse besitzt. Diese Adresse darf nicht mehr für andere Stationen im Netz verwendet werden. Dynamisch: Der DHCP-Server hat dem Rechner eine Adresse zugewiesen.
Seite 218 Referenzhandbuch 3 LANCOM Management System (LCMS) Verbindungszeit insgesamt Gesamte Verbindungszeit in Stunden, Minuten und Sekunden. Unter dem Menüpunkt Accounting finden Sie folgende Funktionen: Zurücksetzen: Löscht alle Accounting-Informationen und setzt alle Zähler auf '0' zurück. Aktualisieren: Aktualisiert die angezeigten Angaben. Accounting-Informationen speichern: Speichert die angezeigten Accounting-Informationen an einem Ort Ihrer Wahl in einem geeigneten Dateiformat (*.acc).
Seite 219: Budget-Auswertung
Referenzhandbuch 3 LANCOM Management System (LCMS) Budget-Auswertung Mobilfunk- oder Festnetzanbieter können je nach Vertrag auch bei Flatrates ab einem bestimmten Datenvolumen eine Drosselung der Übertragungsrate aktivieren. Das Gerät erfasst das verbrauchte Datenvolumen je WAN-Schnittstelle, archiviert die Werte für bis zu 12 Monate und kann bei Erreichen eines festgelegten Grenzwertes Aktionen ausführen.
Seite 220 Referenzhandbuch 3 LANCOM Management System (LCMS) Mit einem Rechtsklick auf eine WAN-Schnittstelle können Sie das Budget für die entsprechende Schnittstelle zurücksetzen oder ein zusätzliches Volumen-Budget freischalten. Volumen-Budget-Archiv anzeigen Zeigt das Volumen-Budget-Archiv aller WAN-Schnittstellen an. Zeit- und Gebührenlimits zurücksetzen Hier können Sie das Zeit- und Gebührenlimit des markierten Geräts auf Null zurücksetzen. Damit beginnt die Zeit-/Gebührenzählung erneut, auch wenn der nächste Zeitrahmen zur Limitierung nicht erreicht ist.
Seite 221 Referenzhandbuch 3 LANCOM Management System (LCMS) Zur Eingabe der Parameter und zur Anzeige der Auswertung des Ping-Tests dient ein eigener Dialog, der aus dem LANmonitor heraus aufgerufen werden kann: Konfiguration der Ping-Ausführung Hostname oder IP-Adresse: Hier wird die Gegenstelle eingetragen, die mit dem Ping erreicht werden soll. Möglich sind folgende Angaben für alle in LAN, WAN oder WLAN erreichbaren Netzwerkgeräte (Server, Clients, Router,...
Seite 222 Webbrowser. Weitere Informationen zur Konfiguration finden Sie unter Funktionen des Software-Moduls auf Seite 768 Nur LANCOM Access Points der Serie L-4xx, der Serie L-32x Serie sowie Modelle der 178x-Serie mit WLAN unterstützen die Funktion "Spectral Scan". Punkt-zu-Punkt WLAN-Antennen einrichten Wenn es sich bei dem ausgewählten Gerät um ein WLAN-Gerät handelt, können Sie die Punkt-zu-Punkt WLAN-Antennen einrichten.
Seite 223: Konfigurieren
Referenzhandbuch 3 LANCOM Management System (LCMS) Die Anzeige der Signalqualität über die LEDs muss für die physikalische WLAN-Schnittstelle aktiviert werden. Je schneller die LED blinkt, umso besser ist die Verbindung (eine Blinkfrequenz von 1 Hz steht für eine Signalqualität von 10 dB, eine Verdoppelung der Frequenz zeigt die jeweils doppelte Signalstärke).
Seite 224 Referenzhandbuch 3 LANCOM Management System (LCMS) Content-Filter-Kategorien anzeigen Sofern Ihr Gerät über ein aktiviertes Content-Filter-Modul verfügt, rufen Sie über diesen Menüpunkt die Content-Filter-Kategorien auf. Unter dem Menüpunkt Content-Filter-Kategorien finden Sie folgende Funktionen: Zurücksetzen: Löscht die angezeigten Informationen und setzt alle Zähler auf Null zurück.
Seite 225 Referenzhandbuch 3 LANCOM Management System (LCMS) Die verfügbaren Seiten des Dialogs sind weitgehend identisch mit denen unter Datei > Gerät hinzufügen. Dieser Abschnitt behandelt daher nur jene Seiten, die ausschließlich im Eigenschaften-Dialog erscheinen. Für alle übrigen Seiten, siehe Allgemein auf Seite 207 Protokolle &...
Seite 226 Benutzern, die Anzeige der System-Informationen einzuschalten. Extras Unter diesem Menüpunkt lesen Sie die gespeicherten Informationen ausgewählter Informationsfenster ein (z. B. gespeicherte Syslog- oder Accounting-Protokolle) und starten andere Programmbestandteile des LANCOM Management Systems. LANmonitor (temporär) starten Öffnet ein neues Fenster von LANmonitor zur temporären Überwachung von Geräten. Nach dem Schließen von LANmonitor gehen die Einstellungen des temporären LANmonitor-Fensters verloren.
Seite 227: Die Symbolleiste Im Lanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) Optionen Hier können Sie die Einstellungen zum Bestätigen von Aktionen, zur Spracheinstellung und zum Verhalten der Applikation beim Windows-Systemstart bearbeiten. Folgende Aktionen bestätigen: Geben Sie an, welche Aktionen durch den Nuter bestätigt werden müssen.
Seite 228: Das Kontextmenü Im Lanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) WLANmonitor starten Alle Fenster in den Systray minimieren QuickFinder Unter Ansicht > Symbolleiste blenden Sie die Symbolleiste ein- oder aus. 3.2.6 Das Kontextmenü im LANmonitor Das Kontextmenü zu jedem hinzugefügten Gerät in der LANmonitor-Ansicht zeigt dieselben Funktionen wie das Menü...
Seite 229 Referenzhandbuch 3 LANCOM Management System (LCMS) Die aktuellen Werte einer Kenngröße zeigt LANmonitor direkt im entsprechenden Gruppenzweig der Geräteübersicht an. Um die graphische Aufzeichnung zu starten, öffnen Sie auf einer Kenngröße das Kontextmenü und wählen den Eintrag Graph. Daraufhin öffnet sich ein weiteres Fenster, welches den zeitlichen Verlauf der Kenngröße dargestellt.
Seite 230: Internet-Verbindung Kontrollieren
Referenzhandbuch 3 LANCOM Management System (LCMS) Bitte beachten Sie, dass die angezeigte Werte gelöscht werden, sobald der Dialog geschlossen wird. Für eine längere Überwachung lassen Sie das Fenster dauerhaft geöffnet. Der Dialog stellt maximal die Werte der letzen 24 Stunden dar.
Seite 231: Aktuelles Protokoll Für Das Adsl-Interface Anzeigen
Referenzhandbuch 3 LANCOM Management System (LCMS) Aktuelles Protokoll für das ADSL-Interface anzeigen LANmonitor zeigt für Geräte mit integriertem ADSL-Modem den aktuell verwendeten ADSL-Standard in den System-Informationen an. Wechseln Sie dazu in den Zweig Schnittstellen und wählen Sie ADSL-Modem. Anzeige der GPS-Zeit LANmonitor bietet Ihnen ab LCOS-Version 8.80 die Möglichkeit, die aus dem GPS-Netz empfangene Zeit anzuzeigen.
Seite 232: Passwortschutz Für Snmp-Lesezugriff
Die Zugriffsrechte im LANmonitor sind abhängig von den Rechten des Benutzers. 3.3 WLANmonitor - WLAN-Geräte überwachen Der LANCOM WLANmonitor ist ein separater Bestandteil von LANmonitor. Mit dem ihm überwachen Sie zentral den Status eines drahtlosen Netzwerkes (WLAN). Dabei können Sie sowohl Informationen über das gesamte Netzwerk als auch Detailinformationen zu einzelnen WLAN-Controllern, Access Points und eingeloggten Clients abrufen.
Seite 233 Referenzhandbuch 3 LANCOM Management System (LCMS) Zudem bietet der LANCOM WLANmonitor die Möglichkeit, Access Points zu Gruppen zusammenzufassen. Solche Gruppen können z. B. Etagen, Abteilungen oder Standorte umfassen. Dies erleichtert gerade bei großen WLAN-Infrastrukturen den Überblick über das gesamte Netzwerk.
Seite 234: Wlanmonitor Starten
Referenzhandbuch 3 LANCOM Management System (LCMS) Signalstärke der Verbindung Name des Access-Points, auf dem der Client eingeloggt ist Bezeichnung des WLAN-Netzes (SSID) Für die Funkverbindung verwendetes Verschlüsselungsverfahren WPA-Version (WPA-1 oder WPA-2) Übertragungsrate beim Senden (TX-Rate) Übertragungsrate beim Empfangen (RX-Rate) Letzter Fehler, der im Zusammenhang mit dem Client aufgetreten ist IP-Adresse des WLAN-Clients Sofern Sie keinen Access Point angewählt haben oder der betreffende Access Point über keinerlei Clients verfügt, zeigt...
Seite 235 Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue Clients sind Rechner mit WLAN-Adapter in Reichweite des eigenen WLANs, die sich bei einem der Access Points einzubuchen versuchen, um z. B. die Internetverbindung mit zu nutzen oder Zugang zu geschützten Bereichen des Netzwerks zu erhalten.
Seite 236 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben die Möglichkeit, die gefundenen WLANs je nach Status in eine entsprechenden Gruppe verschieben. Innerhalb der einzelnen Gruppen legen Sie über das Kontextmenü (rechte Maustaste) eigene Gruppen an, mit Ausnahme der Gruppe Alle APs.
Seite 237: Die Menüstruktur Im Wlanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) Sie können die gefundenen Clients je nach Status in eine entsprechenden Gruppe verschieben. Innerhalb der einzelnen Gruppen können Sie über das Kontextmenü (rechte Maustaste) eigene Gruppen anlegen, mit Ausnahme der Gruppe Alle Clients. 3.3.4 Die Menüstruktur im WLANmonitor Über die Menüleiste verwalten Sie WLAN-Geräte und deren Konfigurationen, und passen sowohl das Aussehen als auch...
Seite 238: Access-Point
Referenzhandbuch 3 LANCOM Management System (LCMS) und so eine Struktur aufbauen. Die bei der Suche gefundenen Access-Points befinden sich jeweils in der aktuell ausgewählten Gruppe im Gruppen-Baum. Die bereits erkannten Access Points können Sie per Drag and Drop in die gewünschte Gruppe ziehen.
Seite 239: Aktualisieren
Referenzhandbuch 3 LANCOM Management System (LCMS) Access Point suchen Über diesen Menüpunkt starten Sie die automatische Suche nach verfügbaren Access Points im Netz. Wählen Sie aus, wo nach Geräten gesucht werden soll: Im lokalen Netz In einem entfernten Netz Wenn Sie ein entferntes Netz durchsuchen wollen, müssen Sie die Adresse des Netzwerkes und die zugehörige Netzmaske angeben.
Seite 240 Referenzhandbuch 3 LANCOM Management System (LCMS) erkannt hat. Die dazugehörigen Einstellungsmöglichkeiten sind mit denen von LANmonitor unter Datei > Gerät hinzufügen > Allgemein identisch (siehe Allgemein auf Seite 166). Wenn Sie Benutzernamen und Passwort dauerhaft speichern, erhält jeder Nutzer Zugang zu dem Gerät, der auch WLANmonitor ausführen darf.
Seite 241 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie Benutzernamen und Passwort dauerhaft speichern, erhält jeder Nutzer Zugang zu dem Gerät, der auch WLANmonitor ausführen darf. Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der WLANmonitor-Bedienoberfläche an. Symbol im Systray anzeigen Zeigt das Symbol im Systray an.
Seite 242 Referenzhandbuch 3 LANCOM Management System (LCMS) Fenster horizontal ausrichten Richtet das Fenster horizontal aus, d. h. die Listen für Access Points und Clients werden untereinander dargestellt. Zeilen markieren/ filtern Mit dieser Option filtern Sie die Liste der angezeigten Access Points oder Clients.
Seite 243 Referenzhandbuch 3 LANCOM Management System (LCMS) Optionen Unter diesem Menüpunkt nehmen Sie die programmbezogenen Einstellungen für WLANmonitor vor. Allgemein In diesem Dialog nehmen Sie die allgemeinen Einstellungen zum Programm vor. Windows-Systemstart WLANmonitor kann beim Start des Betriebssystems automatisch geladen werden. Folgende Windows-Systemstart-Arten stehen Ihnen zur Verfügung:...
Seite 244 Referenzhandbuch 3 LANCOM Management System (LCMS) Diese Einstellung ist nur in Windows-Versionen bis XP vorhanden. Ab Vista übernimmt WLANmonitor die Spracheinstellungen aus LANconfig. E-Mail-Benachrichtigung In diesem Dialog nehmen Sie Einstellungen zur Alarmierungsfunktion im WLANmonitor vor. Der WLANmonitor kann den Administrator automatisch per E-Mail informieren, wenn ein unbekannter oder unkonfigurierter Access Point entdeckt wird.
Seite 245 Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue AP Detection In diesem Dialog nehmen Sie Einstellungen zur "Rogue AP Detection" vor. Weitere Informationen zu dieser Funktion Rogue-Detection-Funktion finden Sie im Kapitel auf Seite 234. Der Dialog bietet Ihnen folgende Einstellungsmöglichkeiten: Rogue AP Detection aktiviert: Aktiviert die automatische Suche nach Rogue Access Points.
Seite 246: Die Symbolleiste Im Wlanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue Client Detection In diesem Dialog nehmen Sie Einstellungen zur "Rogue Client Detection" vor. Weitere Informationen zu dieser Funktion Rogue-Detection-Funktion finden Sie im Kapitel auf Seite 234. Der Dialog bietet Ihnen folgende Einstellungsmöglichkeiten: Rogue Client Detection aktiviert: Aktiviert die automatische Suche nach Rogue Client.
Seite 247: Das Kontextmenü Im Wlanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) Gerät entfernen Fenster vertikal ausrichten Fenster horizontal ausrichten Zeilen markieren/ filtern LANmonitor starten Fenster in den Systray minimieren QuickFinder Unter Ansicht > Symbolleiste blenden Sie die Symbolleiste ein- oder aus. 3.3.6 Das Kontextmenü im WLANmonitor Wenn Sie mit der rechten Maustaste auf eine Gerät im WLANmonitor klicken, dann öffnet sich das Kontextmenü.
Seite 248: Lantracer - Tracen Mit Lanconfig Und Lanmonitor
Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue-AP-Detection eingesetzt. Ohne die Aktivierung des Background Scans ist z. B. die Rogue Detection im WLANmonitor auf die Erkennung von Rogue Clients beschränkt. Zur Konfiguration des Background Scans definieren Sie eine Zeit, innerhalb der alle verfügbaren WLAN-Kanäle einmal auf die empfangenen Beacons hin gescannt werden.
Seite 249: Lantracer Starten
Referenzhandbuch 3 LANCOM Management System (LCMS) eines Gerätes erzeugt. Auch Trace-Ergebnisse lassen sich komfortabel in einer Datei speichern, um sie an den Techniker zur Auswertung zurückzugeben. 3.4.1 LANtracer starten Die Ausgabe von Traces kann sehr komfortabel über LANconfig oder LANmonitor vorgenommen werden. Um das Trace-Fenster für ein Gerät zu öffnen, klicken Sie mit der rechten Maustaste auf den Eintrag des Gerätes und wählen im...
Seite 250: Experten-Konfiguration Der Trace-Ausgaben
Referenzhandbuch 3 LANCOM Management System (LCMS) Zum Starten des Assistenten klicken Sie im linken Fensterteil von LANtracer auf Begleitete Konfiguration > Assistent starten und navigieren weiter zur Problemauswahl. Experten-Konfiguration der Trace-Ausgaben Über die Einstellungen des Assistenten Begleitete Konfiguration hinaus können Sie – mit Hilfe der Experten-Konfiguration –...
Seite 251 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Einstellungen der Show-Kommandos werden zusammen mit den eigentlichen Trace-Einstellungen in der Trace-Konfiguration gespeichert. Status Über die Kommandozeile (Telnet) oder über WEBconfig können Sie umfangreiche Statusinformationen und Statistiken über ein Gerät abfragen. Alle verfügbaren Status-Informationen lassen sich aber auch über den Trace-Dialog einsehen.
Seite 252: Trace-Ausgabe Filtern
Referenzhandbuch 3 LANCOM Management System (LCMS) Die Einstellungen der Status-Informationen werden zusammen mit den eigentlichen Trace-Einstellungen in der Trace-Konfiguration gespeichert. Äquivalent dazu wird die Ausgabe der Status-Informationen zusammen mit den eigentlichen Trace-Daten gespeichert. Trace-Einstellungen Im Bereich der Trace-Einstellungen können Sie jene Traces aktivieren, die für das aktuelle Gerät ausgegeben werden sollen.
Seite 253 Referenzhandbuch 3 LANCOM Management System (LCMS) Im folgenden Beispiel aktiviert der Administrator einen einfachen IP-Router-Trace auf einem Gerät mit drei Internetanbindungen und verschickt Pings an verschiedene Ziele. Die ungefilterte Trace-Ausgabe zeigt alle Pakete, die der IP-Router des Gerätes verarbeitet: root@MyDevice:/ >...
Seite 254 Referenzhandbuch 3 LANCOM Management System (LCMS) [IP-Router] 2010/12/20 17:11:07,430 IP-Router Rx (INTERNET3, RtgTag: 3): DstIP: 192.168.3.100, SrcIP: 4.4.4.1, Len: 84, DSCP/TOS: 0x00 Prot.: ICMP (1), echo reply, id: 0x0015, seq: 0x1cdf Route: LAN-1 Tx (INTRANET3): [IP-Router] 2010/12/20 17:11:07,600 IP-Router Rx (LAN-1, INTRANET2, RtgTag: 2): DstIP: 3.3.3.1, SrcIP: 192.168.2.100, Len: 84, DSCP/TOS: 0x00...
Seite 255 Referenzhandbuch 3 LANCOM Management System (LCMS) Leerzeichen: Ein Leerzeichen vor einem Suchbegriff stellt eine logische ODER-Verknüpfung dar. Die Trace-Ausgabe wird nur dann angezeigt, wenn sie eine der so markierten Zeichenketten enthält. +: Ein Pluszeichen vor einem Suchbegriff stellt eine logische UND-Verknüpfung dar. Die Trace-Ausgabe wird nur dann angezeigt, wenn sie alle der so markierten Zeichenketten enthält.
Seite 256: Anzeige Der Trace-Ergebnisse
Referenzhandbuch 3 LANCOM Management System (LCMS) -->ICMP Header Msg : echo reply Checksum : 18796 (OK) Body : 00 00 00 02 00 00 26 54 ..7e c9 6d 8c 00 00 00 00 ~.m..00 01 02 03 04 05 06 07 ..
Seite 257 Referenzhandbuch 3 LANCOM Management System (LCMS) 2. Laden Sie in den noch leeren Ansichtsbereich die Datei mit den aktuell oder zu einem früheren Zeitpunkt erfassten Trace-Daten. 3. Starten Sie die Synchronisation der beiden Traces anhand des Zeitstempels mit der Schaltfläche .
Seite 258: Backup-Einstellungen Für Die Traces
Referenzhandbuch 3 LANCOM Management System (LCMS) nach verschiedenen Schlüsselbegriffen im jeweils der zuletzt geöffneten Fester, um die Trefferliste immer weiter zu verfeinern. Um eine Suchanfrage wieder zu verallgemeinern bzw. einen Suchschritt zurückzugehen, schließen Sie einfach die jeweils zuletzt geöffnete Ergebnisansicht und kehren so zur vorangehenden Ergebnisansicht zurück.
Seite 259: Konfigurationsdatei Für Den Support Ausspielen
Referenzhandbuch 3 LANCOM Management System (LCMS) Show-Befehle – werden beim Ladevorgang übersprungen. LANtracer gibt Ihnen allerdings eine Warnmeldung aus, welche die vom Zielgerät nicht unterstützten Bestandteile einer Tracekonfiguration auflistet. Konfigurationsdatei für den Support ausspielen LANtracer bietet Ihnen die Möglichkeit, eine spezielle Konfigurationsdatei zu erstellen, um Sie zur Fehlerdiagnose oder weiteren Unterstützung an den Support weiterzugeben.
Seite 260 Referenzhandbuch 3 LANCOM Management System (LCMS) Eine Support-Konfigurationsdatei beeinhaltet die aktuelle Konfiguration und zusätzliche Informationen über das Gerät. Da diese Datei für den technischen Support bestimmt ist und somit Ihre Hände verlässt, können Sie in den Einstellungen für die Support-Konfigurationsdatei bei Bedarf sensible Bereiche der Konfiguration ausblenden.
Seite 261 Referenzhandbuch 3 LANCOM Management System (LCMS) Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der LANtracer-Bedienoberfläche an. Trace-Ergebnisse Wechselt in den Modus zur Anzeige der Trace-Ergebnisse Trace-Erg. Doppelansicht Wechselt in den Modus zur geteilten Anzeige der Trace-Ergebnisse in zwei parallelen Fenstern (Doppelansicht).
Seite 262: Gerätezeit
Referenzhandbuch 3 LANCOM Management System (LCMS) Tracedaten Beim Starten eines Traces über LANconfig oder LANmonitor wird automatisch eine Backup-Datei mit den aktuellen Trace-Daten gespeichert. Die Einstellungen für das Trace-Backup nehmen Sie im Abschnitt Tracedaten vor. Geben Sie … die maximale Größe einer Trace-Backup-Datei (in Megabyte) an. Wenn diese Größe mit einem aktiven Trace erreicht wird, wird automatisch eine weitere Trace-Backup-Datei angelegt.
Seite 263 Referenzhandbuch 3 LANCOM Management System (LCMS) Ausblenden von kritischen VoIP-Einstellungen Dialog oder Tabelle Bezeichner SNMP-ID VoIP-Call-Manager > … > SIP-Benutzer Passwort 2.33.3.1.1.3 VoIP-Call-Manager > … > ISDN-Benutzer Passwort 2.33.3.2.2.6 VoIP-Call-Manager > … > Analog-Benutzer Passwort 2.33.3.3.2.5 VoIP-Call-Manager > … > SIP-Leitungen Passwort 2.33.4.1.1.6...
Seite 264: Die Symbolleiste Im Lantracer
Referenzhandbuch 3 LANCOM Management System (LCMS) Dialog oder Tabelle Bezeichner SNMP-ID Kommunikation > … > Aktions-Tabelle Aktion 2.2.25.6 Management > … > Weitere Administratoren Passwort 2.11.21.2 Bedenken Sie, dass das Ausblenden von sensiblen Bereichen der Konfiguration die Fehleranalyse durch den Support erschweren kann.
Seite 265: Das Kontextmenü In Lantracer
Referenzhandbuch 3 LANCOM Management System (LCMS) 3.4.5 Das Kontextmenü in LANtracer Das Kontextmenü ist nur in der Ergebnisansicht verfügbar. Darin haben Sie die Möglichkeit, einzelne Trace-Kategorien auszublenden und so die angezeigten Ergebnisse grob zu filtern, oder den Fensterinhalt komplett zu leeren.
Seite 266: Diagnose
Referenzhandbuch 4 Diagnose 4 Diagnose 4.1 Trace-Ausgaben – Infos für Profis Zur Kontrolle der internen Abläufe im Router während oder nach der Konfiguration bieten sich die Trace-Ausgaben an. Durch einen solchen Trace werden z. B. die einzelnen Schritte bei der Verhandlung des PPPs angezeigt. Erfahrene Anwender können durch die Interpretation dieser Ausgaben evtl.
Seite 267 Referenzhandbuch 4 Diagnose Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: IPX Service Advertising Protocol IPX-Watchdog-Spoofing IPX-Watchdog SPX-Watchdog-Spoofing SPX-Watchdog Least-Cost-Router Script-Verhandlung Script IPX Routing Information Protocol IPX-RIP Zeigt die Aktionen der Firewall Firewall IP Routing Information Protocol Address Resolution Protocol Internet Control Message Protocol ICMP...
Seite 268 Referenzhandbuch 4 Diagnose Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Trace zur Dynamic Frequency Selection, der automatischen Kanalwahl im 5-GHz-WLAN-Band Informationen über die WLAN-Bridge Bridge Trace zum EAP, dem bei WPA/802.11i und 802.1x verwendeten Protokoll zur Schlüsselaushandlung Informationen zum Spanning Tree Protokoll Spgtree...
Seite 269 Referenzhandbuch 4 Diagnose Mögliche Werte: max. 12 hexadezimale Zeichen aus 0123456789abcdef Default: 000000000000 Besondere Werte: 000000000000: Deaktiviert diese Funktion und gibt die Tracemeldungen von allen Clients aus. Dieser Filter wirkt für die Traces WLAN-DATA, WLAN-STRENGTH und WLAN-AGGREGATION, jedoch nicht für WLAN-STATUS. Trace-Mgmt-Packete Mit dieser Auswahl lässt sich einstellen, welche Klassen von Management-Frames im WLAN-DATA-Trace auftauchen sollen.
Seite 270: Kombinationsbefehle
Referenzhandbuch 4 Diagnose Default: Alle Trace-Stufe Für den WLAN-Data-Trace lässt sich die Ausgabe von Tracemeldungen auf einen bestimmten Inhalt beschränken. Der hier eingetragene Wert schränkt die Pakete im WLAN-DATA-Trace bis zur entsprechenden Stufe ein. Mögliche Werte: 0 bis 255 Besondere Werte: 0: nur die Meldung, dass ein Paket überhaupt empfangen/gesendet wurde 1: zusätzlich die physikalischen Parameter der Pakete (Datenrate, Signalstärke etc.) 2: zusätzlich der MAC-Header...
Seite 271: Beispiele Für Die Traces
Referenzhandbuch 4 Diagnose Operator Beschreibung Nicht-Verknüpfung: Der Filter passt dann, wenn der Operand nicht in der Trace-Ausgabe vorkommt " die Ausgabe muss exakt dem Suchmuster entsprechen Als Operanden können beliebige Zeichenketten eingetragen werden, z. B. die Namen von Gegenstellen, Protokollen oder Ports.
Seite 272: Tracen Mit Dem Lanmonitor
Los! erzeugen Sie eine extern zu speichernde Datei, die Sie z. B. mit Wireshark öffnen können. Ab LCOS 9.00 stehen Ihnen für das Paket-Capturing im WLAN verschiedene Formate zur Auswahl, unter denen das Gerät die aufgezeichnete Paketdaten speichern kann. Die entsprechende Auswahl treffen Sie im Setup-Menü über den Parameter...
Seite 273: Das Syslog-Modul
Referenzhandbuch 4 Diagnose 4.4 Das SYSLOG-Modul Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf das Gerät protokollieren zu lassen. Diese Funktion ist insbesondere für Systemadministratoren interessant, da sie die Möglichkeit bietet, eine lückenlose Historie aller Aktivitäten aufzeichnen zu lassen. Um die SYSLOG-Nachrichten empfangen zu können, benötigen Sie einen entsprechenden SYSLOG-Client bzw. -Dämon. Unter UNIX/Linux erfolgt die Protokollierung durch den in der Regel standardmäßig eingerichteten SYSLOG-Dämon.
Seite 274: Aufbau Der Syslog-Nachrichten
Referenzhandbuch 4 Diagnose Die SYSLOG-Meldungen werden nur dann in den geräteinternen Speicher geschrieben, wenn das Gerät als SYSLOG-Client mit der Loopback-Adresse 127.0.0.1 eingetragen wurde. Alternativ können Sie die aktuellen SYSLOG-Meldungen auf der Startseite von WEBconfig auf der Registerkarte Syslog einsehen: 4.4.2 Aufbau der SYSLOG-Nachrichten Die SYSLOG-Nachrichten bestehen aus drei Teilen: Priorität...
Seite 275 Betrieb des Geräts. Sie sollten daher im Regelbetrieb ausgeschaltet sein und nur zur Fehlersuche verwendet werden. Die folgende Tabelle gibt eine Übersicht über die Bedeutung aller internen Nachrichtenquellen, die Sie im LANCOM einstellen können. Zusätzlich gibt Ihnen die letzte Spalte der Tabelle die standardmäßige Zuordnung zwischen den internen Quellen des Geräts und den SYSLOG-Facilities an.
Seite 276: Konfiguration Von Syslog Über Lanconfig
Referenzhandbuch 4 Diagnose 4.4.3 Konfiguration von SYSLOG über LANconfig Die Parameter zur Konfiguration von SYSLOG finden Sie bei LANconfig im Konfigurationsbereich unter Meldungen > Allgemein im Abschnitt SYSLOG. Anlegen von SYSLOG-Clients 1. Klicken Sie in der LANconfig-Konfiguration unter Meldungen > Allgemein im Abschnitt SYSLOG auf SYSLOG-Server und anschließend auf Hinzufügen bzw.
Seite 277 Referenzhandbuch 4 Diagnose Die Tabelle der SYSLOG-Clients ist im Auslieferungszustand mit sinnvollen Einstellungen vorbelegt, um wichtige Ereignisse für die Diagnose im internen SYSLOG-Speicher abzulegen. Diese Einstellungen entsprechen den Vorgaben aus der UNIX-Welt, aus der SYSLOG ursprünglich kommt. Der folgende Screenshot zeigt diese vordefinierten SYSLOG-Clients unter LANconfig: Die folgende Tabelle gibt eine Übersicht über die Bedeutung aller Nachrichtenquellen, die Sie im Gerät einstellen können.
Seite 278 Referenzhandbuch 4 Diagnose Weitere Informationen über die Bedeutung der vordefinierten SYSLOG-Clients sowie die Updatemöglichkeiten für bestehende Geräte finden Sie im Abschnitt "Tabelle der SYSLOG-Clients" bei der Konfiguration von SYSLOG über Telnet oder WEBconfig. Loopback-Adressen für SYSLOG-Clients Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf den Router protokollieren zu lassen. Um die SYSLOG-Nachrichten empfangen zu können, werden die entsprechenden SYSLOG-Clients eingerichtet.
Seite 279: Zuordnung Von Lancom-Internen Quellen Zu Syslog-Facilities
Alle Facilities werden auf 'local7' gesetzt. Unter Linux werden nun in der Datei /etc/syslog.conf durch den Eintrag local7.* /var/log/lancom.log alle Ausgaben des LANCOM in die Datei /var/log/lancom.log geschrieben. Konfigurationsänderungen per Kommandozeile an SYSLOG-Server senden Die Einstellung für das Protokollieren der Konfigurationsänderungen über Kommandozeile finden Sie in LANconfig unter...
Seite 280: Speicherfrist Von Systemereignissen Festlegen
Referenzhandbuch 4 Diagnose Diese Protokollierung umfasst ausschließlich die an der Kommandozeile ausgeführten Befehle. Konfigurationsänderungen und Aktionen über LANconfig oder Webconfig sind davon nicht erfasst. Speicherfrist von Systemereignissen festlegen Unter Meldungen > Systemereignisse bestimmen Sie im Abschnitt Systemereignisse-Protokollierung, für wie lange das Gerät Systemereignisse speichert.
Seite 281: Bedeutung Von Syslog-Meldungen
Ab LCOS-Version 8.82 kann der interne SYSLOG-Server bestimmter Geräte bis zu 23.000 Einträge speichern. Diese Änderung umfasst derzeit die folgenden Gerätetypen und -serien: LANCOM 17xx+-Serie LANCOM 1781-Serie LANCOM 1780EW-4G LANCOM L-460agn dual Wireless LANCOM L-451agn Wireless LANCOM L-452agn dual Wireless LANCOM 7100+ VPN LANCOM 9100+ VPN LANCOM WLC-4006+ 4.4.4 Bedeutung von SYSLOG-Meldungen...
Seite 282 Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity WWAN: Lost network registration Das Modem hat die Verbindung zum NOTICE eingebuchten Funknetz verloren. WWAN: Failed to set network Das Modem hat den Befehl zum Setzen des ERROR Netzwerks mit einer Fehlermeldung beantwortet. Dieser Fehler tritt z. B. auf, wenn das Netzwerk unerreichbar ist oder nicht existiert, oder ein Fehler im Gerät vorliegt.
Seite 283: Dokumentation Von Ereignissen Auf Den Xdsl-Schnittstellen
Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity WWAN: Mode ..., Band '...', Anzeige von Netzwerk-Modus, Band sowie INFORM Channel (Rx/Tx): .../..Kanal (Empfangs- und Senderichtung). WWAN: Max. Datarate (Ds/Us): .../..Aktuelle QoS-Datenrate (Down- und INFORM Upstream) WWAN: Network mode is '...'. Aktueller Modus.
Seite 284: Übersicht Der Parameter Im Ping-Befehl
Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity xDSL: Line data update. Nach einer Synchronisation nehmen NOTICE DS-Rate: ..., US-Rate: ..., Modem und DSLAM eine Optimierung der DS-Margin: ..., US-Margin: ..., xDSL-Verbindung vor. Dadurch können sich DS-Attn: ..., US-Attn: ..., ggf. die Leitungswerte ändern. Nach einer Mode: ..., Profile: ...
Seite 285 Referenzhandbuch 4 Diagnose Parameter Bedeutung Führt ein Ping-Kommando über das mit <Scope> bestimmte Interface auf die -6 <IPv6-Address>%<Scope> Link-Lokale-Adresse aus. Der Parameter-Bereich ist bei IPv6 von zentraler Bedeutung: Da ein IPv6-Gerät sich mit mehreren Schnittstellen (logisch oder physikalisch) pro Schnittstelle eine Link-Lokale-Adresse (fe80::/10) teilt, müssen Sie beim Ping auf eine Link-Lokale-Adresse immer den Bereich (Scope) angeben.
Seite 286: Monitor-Modus Am Switch
Referenzhandbuch 4 Diagnose Parameter Bedeutung Die Eingabe von “stop” oder das Drücken der RETURN-Taste beenden das stop /<RETURN> Ping-Kommando 4.6 Monitor-Modus am Switch Die über den Switch der Geräte übertragenen Daten werden zielgerichtet nur auf den Port aufgelegt, an dem der entsprechende Zielrechner angeschlossen ist.
Seite 287: Kabel-Test
Referenzhandbuch 4 Diagnose 4.7 Kabel-Test Werden auf Ihren LAN- oder WAN-Verbindungen gar keine Daten übertragen, obwohl die Konfiguration der Geräte keine erkennbaren Fehler aufweist, liegt möglicherweise ein Defekt in der Verkabelung vor. Mit dem Kabel-Test können Sie aus dem Gerät heraus die Verkabelung testen. Wechseln Sie dazu unter WEBconfig im LCOS-Menübaum in den Menüpunkt Status >...
Seite 288: Versand Von Anhängen Mit Dem Mailto-Kommando
Referenzhandbuch 4 Diagnose CPU-Last-Intervall Hier können Sie die den Zeitraum zur Mittelung der CPU-Lastanzeige auswählen. Die Anzeige der CPU-Last im LANmonitor, im Status-Bereich, im Display (sofern vorhanden) sowie in evtl. genutzten SNMP-Tools basiert auf dem hier eingestellten Mittelungszeitraum. Im Status-Bereich unter WEBconfig oder CLI werden zusätzlich die CPU-Lastwerte für alle vier möglichen Mittelungszeiträume angezeigt.
Seite 289: Erweiterung Der Sysinfo
Referenzhandbuch 4 Diagnose Als Konsolen-Befehl können beliebige Befehle auf der Konsole genutzt werden, die zu einer sinnvollen Ausgabe von Informationen führen. Der Konsolen-Befehl wird in Backquotes (auch bekannt als Backticks) eingefasst. Dieses Zeichen wird mit Hilfe der Taste für den “Accent Grave” erzeugt. Die Ausgabe des Konsolenbefehls wird in eine Text-Datei geschrieben und an die Mail angehängt.
Seite 290: Ausgabe Zusätzlicher Ports Im Sysinfo An Der Konsole
Referenzhandbuch 4 Diagnose Bei der Auslieferung der Geräte enthält der Zähler für die Konfigurationsänderungen den Wert '0'. Danach erhöht jede Konfigurationsänderung diesen Wert um 1. Der Zähler für die Konfigurationsänderungen erlaubt die Ermittlung der aktuellen Konfigurationsversion auch dann, wenn bei der Konfiguration keine gültige Uhrzeit verfügbar war und der Zeitstempel daher den Wert '00:00:00 0000-00-00' enthält.
Seite 291: Sicherheit
Referenzhandbuch 5 Sicherheit 5 Sicherheit Sie mögen es sicher nicht, wenn Außenstehende die Daten auf Ihren Rechnern einsehen oder verändern können. Darüber hinaus sollten Sie die Konfigurationseinstellungen Ihrer Geräte vor unbefugten Änderungen schützen. Dieses Kapitel widmet sich daher einem sehr wichtigen Thema: der Sicherheit. Die Beschreibung der Sicherheitseinstellungen ist in folgende Abschnitte unterteilt: Schutz für die Konfiguration Passwortschutz...
Seite 292: Eingabe Des Passwortes
Referenzhandbuch 5 Sicherheit Notieren Sie niemals ein Passwort. Beliebt aber völlig ungeeignet sind beispielsweise: Notizbücher, Brieftaschen und Textdateien im Computer. Es klingt trivial, kann aber nicht häufig genug wiederholt werden: verraten Sie Ihr Passwort nicht weiter. Die sichersten Systeme kapitulieren vor der Geschwätzigkeit. Passwörter nur sicher übertragen.
Seite 293: Einschränkung Der Zugriffsrechte Auf Die Konfiguration
Referenzhandbuch 5 Sicherheit Tritt auf einem Zugang die Sperre in Kraft, so sind auch alle anderen Zugänge automatisch gesperrt. Zur Konfiguration der Login-Sperre stehen in den Konfigurationstools folgende Einträge zur Verfügung: Sperre aktivieren nach (Anzahl Login-Fehler) Dauer der Sperre (Sperr-Minuten) LANconfig: Management / Admin WEBconfig: LCOS-Menübaum / Setup / Config 5.1.3 Einschränkung der Zugriffsrechte auf die Konfiguration...
Seite 294: Den Netzwerk-Konfigurationszugriff Einschränken
Referenzhandbuch 5 Sicherheit 1. Wechseln Sie im Konfigurationsbereich 'Management' auf die Registerkarte 'Admin'. 2. Geben Sie als Rufnummer im Bereich 'Geräte-Konfiguration' eine Rufnummer Ihres Anschlusses ein, die nicht für andere Zwecke verwendet wird. Geben Sie alternativ unter Telnet den folgenden Befehl ein: set /setup/config/Fernconfig 123456 Der ISDN-Administrationszugang ist als einzige Konfigurationsmethode von den im folgenden beschriebenen Netzwerk-Zugangsbeschränkungen ausgenommen.
Seite 295: Einschränkung Des Netzwerk-Konfigurationszugriffs Auf Bestimmte Ip-Adressen
Referenzhandbuch 5 Sicherheit Die Konfigurationsdialoge im LANconfig mit den Zugriffsrechten vom lokalen oder aus entfernten Netzen werden über die Schaltfläche Zugriffsrechte geöffnet: Wenn Sie den Netzwerkzugriff auf den Router über das WAN ganz sperren wollen, stellen Sie den Konfigurationszugriff von entfernten Netzen für alle Methoden auf 'nicht erlaubt'. LANconfig: Management / Admin / Zugriffsrechte WEBconfig: LCOS-Menübaum / Setup / Config E Zugriffstabelle Einschränkung des Netzwerk-Konfigurationszugriffs auf bestimmte IP-Adressen...
Seite 296: Abschalten Von Ethernet-Schnittstellen
Referenzhandbuch 5 Sicherheit 5.1.4 Abschalten von Ethernet-Schnittstellen Die Ethernet-Schnittstellen von öffentlich zugänglichen Geräten können ggf. von unbefugten Anwendern genutzt werden, um physikalischen Zugang zu einem Netzwerk zu erhalten. Um diesen Versuch zu verhindern, können die Ethernet-Schnittstellen der Geräte ausgeschaltet werden. LANconfig: Schnittstellen / LAN / Interface-Einstellungen WEBconfig: LCOS-Menübaum / Setup / Schnittstellen Interface-Verwendung...
Seite 297: Überprüfung Des Benutzernamens Und Des Kennwortes
Referenzhandbuch 5 Sicherheit LANconfig: Kommunikation / Ruf-Verwaltung WEBconfig: LCOS-Menübaum / Setup / WAN / Schutz Zur Auswahl stehen die folgenden Möglichkeiten: kein Schutz: Anrufe aller Gegenstellen werden angenommen. nach Nummer: Es werden nur Anrufe angenommen, deren Anschlusskennungen (CLIP) in der Nummernliste eingetragen sind.
Seite 298: Standort-Verifikation Über Isdn Oder Gps
Referenzhandbuch 5 Sicherheit Die Rufnummer für den Rückruf kann vom Anrufer frei eingegeben werden. Und ganz nebenbei steuern Sie über die Einstellungen die Verteilung der Kosten für die Verbindung. Ist in der Gegenstellenliste ein Rückruf 'Nach Name' vereinbart, übernimmt der rückrufende Router alle Gebühreneinheiten bis auf die, die für die Namensübermittlung benötigt wird.
Seite 299 Referenzhandbuch 5 Sicherheit Auf der Registerkarte 'GPS' können Sie das GPS-Modul unabhängig von der Standort-Verifikation einschalten, um z. B. die aktuellen Standortkoordination mit LANmonitor zu überwachen. Mit der Option 'Standort-Überprüfung einschalten' aktivieren Sie die Standort-Verifikation. Wählen Sie die Methode für die Standort-Überprüfung: 'Selbst-Anruf' für die Überprüfung über ISDN mit einem Rückruf.
Seite 300 Referenzhandbuch 5 Sicherheit Alternativ können Sie die Geo-Koordinaten für beliebige Standorte über Tools wie z. B. Google Maps ermitteln. Wenn im LANmonitor die aktuellen Geo-Koordinaten angezeigt werden, können Sie mit einem rechten Mausklick auf den Eintrag 'GPS' den aktuellen Standort in der Satelliten-Ansicht von Google Maps aufrufen. LANconfig: Kommunikation / Gegenstellen / Gegenstellen (ISDN/seriell)
Seite 301 Referenzhandbuch 5 Sicherheit WEBconfig: LCOS-Menübaum / Setup / Config / Standortverifikation Statusabfrage der Standort-Verifikation Der Status der Standortverifikation kann über den LANmonitor eingesehen werden: Mit WEBconfig (Expertenkonfiguration / Status / Config / Standortverifikation) oder Telnet (Status/Config/Standortverifikation) können Sie den Status der Standort-Verifikation einsehen: Erst wenn die Standort-Verifikation im Zustand 'Erfolgreich' ist, kann der Router Daten über die WAN-Interfaces übertragen.
Seite 302: Die Sicherheits-Checkliste
WEP. Stellen Sie sicher, dass in Ihrem Gerät bei aktivierter Verschlüsselungs-Funktion mindestens eine Passphrase oder ein WEP-Schlüssel eingetragen und zur Verwendung ausgewählt ist. LANCOM rät aus Sicherheitsgründen von der Verwendung von WEP ab! Setzen Sie WEP nur in begründeten Ausnahmefällen ein und ergänzen Sie die WEP-Verschlüsselung nach Möglichkeit mit anderen Schutzmechanismen! Zur Kontrolle der Einstellungen wählen Sie in LANconfig im Konfigurationsbereich 'Wireless LAN' auf der Registerkarte...
Seite 303 Referenzhandbuch 5 Sicherheit auf der Registerkarte 'Admin'. Wählen Sie hier unter 'Zugriffsrechte - Vom Wireless LAN' für alle Konfigurationsarten die Option 'nicht erlaubt'. Haben Sie die SNMP-Konfiguration mit einem Kennwort versehen? Schützen Sie auch die SNMP-Konfiguration mit einem Kennwort. Das Feld zum Schutz der SNMP-Konfiguration mit einem Kennwort finden Sie ebenfalls in LANconfig im Konfigurationsbereich 'Management' auf der Registerkarte 'Security'.
Seite 304 Referenzhandbuch 5 Sicherheit Haben Sie für besonders sensiblen Datenaustausch auf dem Funknetzwerk die Funktionen von IEEE-802.1x eingerichtet? Wenn Sie auf Ihrem Funk-LAN besonders sensible Daten austauschen, können Sie zur weiteren Absicherung die IEEE-802.1x-Technologie verwenden. Um die IEEE-802.1x-Einstellungen zu kontrollieren oder zu aktivieren, wählen Sie in LANconfig den Konfigurationsbereich '802.1x'.
Seite 305: Routing Und Wan-Verbindungen
Referenzhandbuch 6 Routing und WAN-Verbindungen 6 Routing und WAN-Verbindungen Dieses Kapitel beschreibt die wichtigsten Protokolle und Konfigurationseinträge, die bei WAN-Verbindungen eine Rolle spielen. Es zeigt auch Wege auf, WAN-Verbindungen zu optimieren. 6.1 Allgemeines über WAN-Verbindungen WAN-Verbindungen werden für folgende Anwendungen verwendet. Internet-Zugang LAN-LAN-Kopplung Remote Access...
Seite 306: Ip-Routing
Ein IP-Router arbeitet zwischen Netzen, die TCP/IP als Netzwerk-Protokoll verwenden. Dabei werden nur Daten übertragen, deren Zieladressen in der Routing-Tabelle eingetragen sind. In diesem Abschnitt erfahren Sie, wie die IP-Routing-Tabelle in einem Router von LANCOM aufgebaut ist und mit welchen weiteren Funktionen das IP-Routing unterstützt wird. 6.2.1 Die IP-Routing-Tabelle In der IP-Routing-Tabelle sagen Sie dem Router, an welche Gegenstelle (also welchen anderen Router oder Rechner) er die Daten für bestimmte IP-Adressen oder IP-Adress-Bereiche schicken soll.
Seite 307: Ip-Routing-Tabellen Für Ipv4/Ipv6
Referenzhandbuch 6 Routing und WAN-Verbindungen Informationen über die Routen aus und erneuern diese fortlaufend. Bei aktiviertem IP-RIP beachtet der IP-Router die statische und die dynamische Routing-Tabelle. Außerdem sagen Sie dem Router in der IP-Routing-Tabelle, wie weit der Weg über diese Route ist, damit im Zusammenspiel mit IP-RIP bei mehreren Routen zum gleichen Ziel der günstigste ausgewählt werden kann.
Seite 308: Konfiguration Der Routing-Tabelle
Referenzhandbuch 6 Routing und WAN-Verbindungen Präfix Bestimmen Sie den Präfix des Netzbereiches, dessen Daten zur angegeben Gegenstelle geroutet werden sollen. Routing-Tag Geben Sie hier das Routing-Tag für diese Route an. Die so markierte Route ist nur aktiv für Pakete mit dem gleichen Tag.
Seite 309: Policy-Based Routing
Referenzhandbuch 6 Routing und WAN-Verbindungen Der Name der Gegenstellen gibt an, was mit den zur IP-Adresse und Netzmaske passenden Datenpaketen geschehen soll. Routen mit dem Eintrag '0.0.0.0' bezeichnen Ausschluss-Routen. Datenpakete für diese „Null-Routen“ werden verworfen und nicht weitergeleitet. Damit werden z. B. die im Internet verbotenen Routen (private Adressräume, z.
Seite 310: Routing-Tags Für Vpn- Und Pptp-Verbindungen
Referenzhandbuch 6 Routing und WAN-Verbindungen Beim Load-Balancing wird der Datenverkehr für bestimmte Protokolle über einen bestimmten DSL-Port mit einem zusätzlichen externen ADSL-Modem geleitet. Ein Server im lokalen Netz, der über eine feste IP-Adresse aus dem WAN erreichbar sein sollte, wird über ein bestimmtes WAN-Interface geroutet.
Seite 311: Lokales Routing
Referenzhandbuch 6 Routing und WAN-Verbindungen In der VPN-Namenliste kann für jede VPN-Verbindung das Routing-Tag angegeben werden, das verwendet werden soll, um die Route zum Remote Gateway zu ermitteln (Default '0'). Zusätzlich kann in der Gateway-Tabelle jedem Gateway ein spezifisches Routing-Tag zugeordnet werden. Das Tag 0 hat in dieser Tabelle eine Sonderfunktion: Wenn bei einem Gateway das Tag 0 gesetzt ist, dann wird das Tag aus der VPN-Namenliste-Tabelle verwendet.
Seite 312: Dynamisches Routing Mit Ip-Rip
Standard-Router und von diesem erneut zum eigentlich zuständigen Router im lokalen Netz geschickt. 6.2.4 Dynamisches Routing mit IP-RIP Neben der statischen Routing-Tabelle verfügen Router von LANCOM auch über eine dynamische Routing-Tabelle. Diese Tabelle füllt der Anwender im Gegensatz zu der statischen nicht aus, das erledigt der Router selbst. Dazu nutzt er das Routing Information Protocol (RIP).
Seite 313: Zusammenspiel: Statische Und Dynamische Tabelle
Referenzhandbuch 6 Routing und WAN-Verbindungen Was bedeuten die Einträge? IP-Adresse und Netzmaske bezeichnen das Ziel-Netz, die Distanz gibt die Anzahl der zwischen Sender und Empfänger liegenden Router an, die letzte Spalte zeigt an, welcher Router diese Route bekannt gemacht hat. Mit der 'Zeit' zeigt die dynamische Tabelle an, wie alt die entsprechende Route ist.
Seite 314: Rip Für Netzwerke Getrennt Einstellen
Referenzhandbuch 6 Routing und WAN-Verbindungen LANconfig: IP-Router / Allgemein / WAN RIP WEBconfig: Setup / IP-Router / RIP / WAN-Tabelle RIP-fähige Router versenden die RIP-Pakete ungefähr alle 30 Sekunden. Der Router ist nur dann auf das Versenden und Empfangen von RIPs eingestellt, wenn er eine eindeutige IP-Adresse hat. In der Grundeinstellung mit der IP-Adresse xxx.xxx.xxx.254 ist das IP-RIP-Modul ausgeschaltet.
Seite 315: Timereinstellungen
Referenzhandbuch 6 Routing und WAN-Verbindungen LANconfig: IP-Router / Allgemein / RIP-Netzwerke WEBconfig: LCOS-Menübaum / Setup / IP-Router / RIP / LAN-Tabelle Timereinstellungen Das Routing Information Protocol (RIP) versendet regelmäßige Update-Nachrichten an die benachbarten Router mit Informationen über die erreichbaren Netzwerke und die zugehörigen Metriken (Hops). RIP verwendet verschiedene Timer, um den Austausch der Routing-Informationen zeitlich zu steuern.
Seite 316: Statische Routen, Die Immer Propagiert Werden
Referenzhandbuch 6 Routing und WAN-Verbindungen Zur Konfiguration der Poisoned Reverse werden LAN- und WAN-RIP-Tabelle erweitert. Statische Routen, die immer propagiert werden Neben den dynamischen Routen propagiert ein Router über RIP auch die statisch konfigurierten Routen. Dabei sind manche der statischen Routen nicht immer erreichbar, z. B. weil eine notwendige Internetverbindung oder ein Wählzugang temporär nicht verfügbar sind.
Seite 317 Referenzhandbuch 6 Routing und WAN-Verbindungen untenstehende Diagramm verdeutlicht die Zuordnung von Netzwerken zu Interfaces auf verschiedenen Ebenen. Die dabei verwendeten Konfigurationsmöglichkeiten werden in den folgenden Kapiteln vorgestellt. So verläuft die Zuordnung von IP-Netzwerken zu Interfaces: Je nach Modell haben die Geräte eine unterschiedliche Anzahl von physikalischen Interfaces, also Ethernet-Ports oder WLAN-Module.
Seite 318 Referenzhandbuch 6 Routing und WAN-Verbindungen Gerade die zuletzt dargestellte Definition von Schnittstellen-Tags für IP-Netze stellt einen der bedeutenden Vorteile des Advanced Routing and Forwarding dar – mit Hilfe dieser Option werden „virtuelle Router“ realisiert. Ein virtueller Router nutzt anhand des Schnittstellen-Tags für ein IP-Netz nur einen Teil der Routing-Tabelle und steuert so das Routing ganz speziell für dieses eine IP-Netzwerk.
Seite 319: Definition Von Netzwerken Und Zuordnung Von Interfaces
Referenzhandbuch 6 Routing und WAN-Verbindungen In Fällen, die keine eindeutige Zuordnung der IP-Adressen über die Schnittstellen-Tags erlauben, wird das Advanced Routing and Forwarding durch entsprechende Firewall-Regeln unterstützt. Das ist im vorgenannten Beispiel der Fall, wenn in jedem Netzwerk ein öffentlich erreichbarer Web- oder Mailserver steht, die ebenfalls die gleiche IP-Adresse verwenden.
Seite 320: Zuweisung Von Logischen Interfaces Zu Bridge-Gruppen
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.3.3 Zuweisung von logischen Interfaces zu Bridge-Gruppen In der Port-Tabelle werden spezielle Eigenschaften der logischen Interfaces definiert. LANconfig: Schnittstellen / Spanning Tree WEBconfig: LCOS-Menübaum / Setup / LAN-Bridge / Port-Daten Aktiv Mit dieser Option wird das logische Interface aktiviert bzw. deaktiviert. Bridge-Gruppe Ordnet das logische Interface einer Bridge-Gruppe zu und ermöglicht so das Bridging von/zu dieser logischen Interface über die LAN-Bridge.
Seite 321: Zuweisung Von Schnittstellen-Tags Über Die Tag-Tabelle
Referenzhandbuch 6 Routing und WAN-Verbindungen Quellroute bstimmt werden. Ein- und ausgehende Kommunikation kann somit einfacher bidirektional in virtuelle Router unterteilt werden. Sowohl die über die Tag-Tabelle, als auch die anhand der Routing-Tabelle ermittelten Schnittstellen-Tags können durch einen passenden Eintrag in der Firewall überschrieben werden. Zuweisung von Schnittstellen-Tags über die Tag-Tabelle LANconfig: Kommukination / Gegenstellen / WAN-Tag-Tabelle WEBconfig: Setup / IP-Router...
Seite 322: Ermittlung Des Routing-Tags Für Lokale Routen
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.3.5 Ermittlung des Routing-Tags für lokale Routen Mit der Definition von Schnittstellen-Tags können im Rahmen des Advanced Routing and Forwarding (ARF) virtuelle Router genutzt werden, die nur einen Teil der gesamten Routing-Tabelle verwenden. Für ein von einem anderen lokalen Router empfangenes Paket wird das Schnittstellen-Tag in den folgenden Schritten ermittelt: 1.
Seite 323 Referenzhandbuch 6 Routing und WAN-Verbindungen Stations-Namen Unter Konfiguration > IPv4 > DNS > Stations-Namen definieren Sie, welche Stations-Namen das Gerät wie und in welchem Tag-Kontext auflöst. DNS-Weiterleitungen Unter Konfiguration > IPv4 > DNS > Weiterleitungen versehen Sie Weiterleitungsregeln mit Routing-Tags, so dass diese nur mit dem korrekten Routing-Tag zur Verfügung stehen.
Seite 324: Virtuelle Router
Referenzhandbuch 6 Routing und WAN-Verbindungen Tag-Kontext-Tabelle Im LANconfig lassen sich unter Konfiguration > IPv4 > DNS > Tag-Kontext-Tabelle Tag-Kontexte definieren, die die globalen Einstellungen des DNS-Servers für bestimmte Schnittstellen- und Routing-Tags (Routing-Kontext) überschreiben: Wenn ein Eintrag für einen Tag-Kontext existiert, dann gelten für diesen Kontext nur die DNS-Einstellungen in dieser Tabelle.
Seite 325: Netbios-Proxy
Referenzhandbuch 6 Routing und WAN-Verbindungen Netzwerkname IP-Adresse Netzmaske VLAN-ID Interface Adressprüfung Rtg-Tag VERTRIEB 10.1.1.1 255.255.255.0 LAN-2 streng Intranet Alternativ kann die Zuweisung der Tags auch über die Kombination von Netzwerkdefinitionen und Firewallregeln erfolgen. Die Netze sind wie folgt definiert: Netzwerkname IP-Adresse Netzmaske VLAN-ID...
Seite 326: Die Konfiguration Von Gegenstellen
Referenzhandbuch 6 Routing und WAN-Verbindungen Die Arbeitsgruppe/Domäne dient dazu, beim Start des Gerätes das Netzwerk nach NetBIOS-Namen abscannen zu können. Diese ist i.A. für jedes Netz verschieden und muss daher überall angegeben werden. In Netzwerken ohne Domäne sollte hier der Name der größten Arbeitsgruppe angegeben werden. 6.4 Die Konfiguration von Gegenstellen Gegenstellen werden in zwei Tabellen konfiguriert: In der Gegenstellenliste (bzw.
Seite 327: Layer-Liste
Referenzhandbuch 6 Routing und WAN-Verbindungen Gegenstellenliste Parameter Bedeutung Virtual Channel Identifier. Die Werte für VCI und VPI werden vom ADSL-Netzbetreiber mitgeteilt. Übliche Werte für die Kombination von VPI und VCI sind: 0/35, 0/38, 1/32, 8/35, 8/48. Einwahl-Gegen- Name Wie in der Liste der DSL-Breitband-Gegenstellen. stellen Rufnummer Eine Rufnummer wird nur benötigt, wenn die Gegenstelle angerufen werden soll.
Seite 328: Ip-Masquerading
Referenzhandbuch 6 Routing und WAN-Verbindungen Parameter Bedeutung 'VC-MUX' Multiplexing über ATM durch Aufbau zusätzlicher VCs nach RFC 2684. Layer-3 Folgende Optionen stehen für die Vermittlungsschicht (oder Netzwerkschicht) zur Verfügung: 'Transparent' Es wird kein zusätzlicher Header eingefügt. 'PPP' Der Verbindungsaufbau erfolgt nach dem PPP-Protokoll (im synchronen Modus, d. h. bitorientiert).
Seite 329: Einfaches Masquerading
Referenzhandbuch 6 Routing und WAN-Verbindungen Die Rechner im LAN nutzen den Router dann als Gateway und können selbst nicht erkannt werden. Der Router trennt Internet und Intranet. 6.5.1 Einfaches Masquerading Wie funktioniert IP-Masquerading? Das Masquerading nutzt die Eigenschaft der Datenübertragung über TCP/IP aus, dass neben der Quell- und Ziel-Adresse auch Portnummer für Quelle und Ziel verwendet werden.
Seite 330: Inverses Masquerading
Referenzhandbuch 6 Routing und WAN-Verbindungen Welche Protokolle können mit IP-Masquerading übertragen werden? Das IP-Masquerading funktioniert problemlos für all jene IP-Protokolle, die auf TCP, UDP oder ICMP basieren und dabei ausschließlich über Ports kommunizieren. Zu diesen unproblematischen Protokollen zählt beispielsweise das Basis-Protokoll des World Wide Web: HTTP.
Seite 331 Referenzhandbuch 6 Routing und WAN-Verbindungen Der Zugriff von außen auf einen Dienst (Port) im Intranet muss beim inversen Masquerading manuell durch Angabe einer Port-Nummer definiert werden. In der Port-Forwarding-Tabelle wird dazu der Ziel-Port mit der Intranet-Adresse z. B. des FTP-Servers angegeben. Beim Zugriff aus dem LAN auf das Internet hingegen wird der Eintrag in der Tabelle mit Port- und IP-Adress-Informationen automatisch durch den Router selbst vorgenommen.
Seite 332: Demilitarisierte Zone (Dmz)
Referenzhandbuch 6 Routing und WAN-Verbindungen Wird als Map-Port die „0“ eingetragen, werden im LAN die gleichen Ports verwendet wie im WAN. Wird ein Portbereich umgesetzt, gibt der Map-Port den ersten verwendeten Port im LAN an. Beim Umsetzen des Portbereichs '1200' bis '1205' auf den internen Map-Port '1000' werden also die Ports von 1000 bis einschließlich 1005 für den Datenverkehr im LAN verwendet.
Seite 333: Zuordnung Der Netzwerkzonen Zur Dmz
Interface nicht routen kann, oder Absenderadressen aus dem eigenen Adresskreis führen daher zu einem IDS-Alarm. Der Default ist bei allen Geräten 'loose'. Nur beim LANCOM 7011 VPN steht der Default auf 'strict', da bei diesem Gerät auch bisher schon eine schärfere Adressprüfung verwendet wurde.
Seite 334: Unmaskierter Internet-Zugang Für Server In Der Dmz
DMZ-Interface (LANCOM 7011 VPN). Alle anderen Modelle mit 4-Port-Switch (LANCOM 821 ADSL/ISDN, LANCOM 1511 DSL, LANCOM 1521 ADSL, LANCOM 1621 ADSL/ISDN, LANCOM 1711 VPN, LANCOM 1811 DSL und LANCOM 1821 ADSL) können die LAN-Ports per Hardware auf Ethernet-Ebene einzeln oder „en bloc“...
Seite 335: Anwendungsbeispiel: Home-Office Mit Privatem Internetzugang
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.7.1 Anwendungsbeispiel: Home-Office mit privatem Internetzugang Eine mögliche Anwendung ist z. B. das Home-Office eines Außendienst-Mitarbeiters, der über eine VPN-Verbindung einen Zugang zum Netzwerk der Zentrale erhalten soll. Das Unternehmen zahlt dabei die Kosten für die VPN-Verbindung, der Mitarbeiter im Home-Office zahlt seinen privaten Internet-Datenverkehr selbst.
Seite 336: Load-Balancing
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.8 Load-Balancing Trotz immer weiter steigender Bandbreite auf DSL-Zugängen stellen diese immer noch das Nadelöhr in der Kommunikation dar. In manchen Fällen ist es durchaus sinnvoll, mehrere DSL-Zugänge zu bündeln. Hierzu gibt es mehrere Möglichkeiten, die zum Teil vom Internet-Provider aktiv unterstützt werden müssen: DSL-Kanalbündelung (Multilink-PPPoE –...
Seite 337: Dsl-Port-Mapping
DSL-Modems dienen. Diese Ports werden in der Interface-Tabelle als getrennte DSL-Interfaces aufgeführt (DSL-1, DSL-2 usw.). Die DSL-Ports werden in der Liste der WAN-Interfaces als DSL-Interface aktiviert, mit den korrekten Up- und Downstreamraten konfiguriert und in der Liste der LAN-Interfaces den Switch-Ports zugeordnet. Beispiel LANCOM Wireless 1811 DSL: Port Zuordnung...
Seite 338 Referenzhandbuch 6 Routing und WAN-Verbindungen 1. LAN4 / DSL-2 2. LAN3 / DSL-3 3. LAN2 / DSL-4 4. LAN1 / LAN-1: Dieser Port bleibt für das LAN reserviert 5. WAN / DSL-1: (dedizierter WAN-Port des Geräts) In der Liste der DSL-Breitband-Gegenstellen wird der zu verwendende DSL-Port angegeben, wenn das Gerät über mehr als einen DSL-Port verfügt: Wird kein Port (oder der Port „0“) angegeben, so wählt das Gerät den Port nach dem für die Verbindung gewählten Kommunikations-Layer aus.
Seite 339: Zuordnung Der Mac-Adresse Zu Den Dsl-Ports
Referenzhandbuch 6 Routing und WAN-Verbindungen Bei Multi-PPPoE ( Multi-PPPoE auf Seite 334) teilen sich mehrere PPPoE-Verbindungen eine physikalische DSL-Leitung. Bei Multi-DSL werden mehrere PPPoE-Verbindungen auf die vorhandenen DSL-Interfaces verteilt. Die Anzahl der parallel möglichen Verbindungen ist auf maximal 8 Kanäle begrenzt. Zuordnung der MAC-Adresse zu den DSL-Ports Wenn ein Gerät durch die Verwendung der Switch-Ports über mehrere DSL(WAN)-Interfaces verfügt, müssen auch entsprechend viele MAC-Adressen zur Unterscheidung der DSL-Ports genutzt werden.
Seite 340: Verteilung Der Datenlast
Referenzhandbuch 6 Routing und WAN-Verbindungen werden diese über eine Load-Balancing-Tabelle miteinander gekoppelt. Diese Liste ordnet einer virtuellen Balancing-Verbindung (das ist die Verbindung, die in der Routing-Tabelle eingetragen wird) die weiteren realen DSL-Verbindungen (Bündel-Verbindungen) zu. Einer Balancing-Verbindung können dabei je nach Anzahl der verfügbaren DSL-Ports mehrere Bündel-Verbindungen zugeordnet werden.
Seite 341: Indirekte Bündelung Für Lan-Lan-Kopplungen Über Pptp
Referenzhandbuch 6 Routing und WAN-Verbindungen Ein Server verwendet ein Protokoll, das neben einem Kontrollkanal weitere Kanäle zur Datenübertragung benötigt (z. B. FTP, H.323, PPTP). Dabei akzeptiert der Server den Aufbau der Datenkanäle nur von der gleichen IP-Adresse, von der auch der Kontrollkanal aufgebaut wurde. Zielbasierte Kanalvorgabe Für die Zielbasierte Kanalvorgabe genügt es, für den jeweiligen Server einen Eintrag in der Routing-Tabelle aufzunehmen, der als Ziel nicht die „virtuelle“...
Seite 342: Direkte Kanalbündelung Über Pptp
Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / WAN / Layer Direkte Kanalbündelung über PPTP Zur Konfiguration der direkten Kanalbündelung über PPPoE gehen Sie folgendermaßen vor: 1. Konfigurieren Sie mehrere getrennte PPTP-Verbindungen (z. B. über den Assistenten von LANconfig). , die jeweils einen anderen DSL-Port nutzen.
Seite 343: Dynamisches Load-Balancing Mit Mehreren Dsl-Zugängen
Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Load-Balancer Dynamisches Load-Balancing mit mehreren DSL-Zugängen Für das dynamische Load-Balancing werden zunächst die Internetzugänge z. B. mit den Assistenten von LANconfig eingerichtet, z. B. 'INET1' und 'INET2'. 1. Um den Internet-Traffic auf verschiedene DSL-Interfaces zu verteilen, werden den einzelnen Gegenstellen in LANconfig unter Kommunikation / Gegenstellen / Gegenstellen (DSL) unterschiedliche DSL-Ports zugewiesen.
Seite 344 Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Load-Balancer 3. Die virtuelle Gegenstelle wird in der Routing-Tabelle in LANconfig über IP-Router / Routing / IP-Routing-Tabelle als Router für die Default-Route eingetragen. Telnet: /Setup/IP-Router/IP-Routing-Tabelle WEBconfig: Expertenkonfiguration / Setup / IP-Router / IP-Routing-Tabelle Für den Zugang zum Internet wird nun die virtuelle Gegenstelle 'INTERNET' verwendet.
Seite 345: N:n-Mapping
Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Firewall / Regel-Tabelle 6.9 N:N-Mapping Das Verfahren der Network Address Translation (NAT) kann für mehrere Dinge benutzt werden: um die immer knapper werdenden IPv4-Adressen besser zu nutzen um Netze mit gleichen (privaten) Adressbereichen miteinander zu koppeln um eindeutige Adressen zum Netzwerkmanagement zu erzeugen Für die erste Anwendung kommt das sogenannte N:1-NAT, auch als IP-Masquerading ( IP-Masquerading...
Seite 346: Anwendungsbeispiele
Referenzhandbuch 6 Routing und WAN-Verbindungen bei diesen Protokollen daher mit den Funktionen der Firewall in einer dynamischen Tabelle festgehalten und zusätzlich zu den Einträgen aus der statischen Tabelle für die korrekte Funktion der Adressumsetzung verwendet. Die Adressumsetzung erfolgt “Outbound”, d.h. bei abgehenden Datenpaketen wird die Quelladresse umgesetzt, und bei eingehenden Datenpaketen wird die Zieladresse umgesetzt, sofern die Adressen im definierten Umsetzungsbereich liegen.
Seite 347 Referenzhandbuch 6 Routing und WAN-Verbindungen von solchen Management-Szenarien unabhängig machen von den unterschiedlichen Datenübertragungstechnologien oder teuren Standleitungen. In diesem Beispiel überwacht ein Dienstleister von einer Zentrale aus die Netzwerke verschiedener Kunden. Zu diesem Zweck sollen die SNMP-fähigen Geräte die entsprechenden Traps über wichtige Ereignisse automatisch an den SNMP-Trap-Empfänger (z.
Seite 348: Konfiguration
Referenzhandbuch 6 Routing und WAN-Verbindungen Bei der dezentralen Variante werden den zu überwachenden Geräten per 1:1-Mapping jeweils alternative IP-Adressen für die Kommunikation mit dem SNMP-Empfänger zugewiesen. Diese Adresse ist in der Fachsprache auch als “Loopback-Adresse” bekannt, die Methode wird entsprechend als “Loopback-Verfahren” bezeichnet. Die Loopback-Adressen gelten jeweils nur für die Kommunikation mit bestimmten Gegenstellen auf den zugehörigen Verbindungen.
Seite 349 Referenzhandbuch 6 Routing und WAN-Verbindungen DNS-Forwarding-Einträge, damit die Anfragen nach bestimmten Geräten in den jeweils anderen Netzen in die gemappten IP-Adressen aufgelöst werden können. Die Regeln der Firewalls in den Gateways müssen so angepasst werden, dass ggf. auch der Verbindungsaufbau von außen von den zulässigen Stationen bzw.
Seite 350: Konfiguration Mit Den Verschiedenen Tools
Referenzhandbuch 6 Routing und WAN-Verbindungen Konfiguration mit den verschiedenen Tools Unter LANconfig stellen Sie die Adressumsetzung im Konfigurationsbereich ’IP-Router’ auf der Registerkarte 'N:N-Mapping' ein: Unter WEBconfig und Telnet finden Sie die NAT-Tabelle zur Konfiguration des N:N-Mappings an folgenden Stellen des Menübaums: Konfigurationstool Aufruf...
Seite 351: Verbindungsaufbau Mit Ppp
LANmonitor zeigt das aktuell verwendete ADSL-Protokoll im Bereich der System-Informationen an. 6.11 Verbindungsaufbau mit PPP Geräte von LANCOM unterstützen auch das Point-to-Point Protocol (PPP). PPP ist ein Sammelbegriff für eine ganze Reihe von WAN-Protokollen, die das Zusammenspiel von Routern verschiedener Hersteller erleichtern, denn dieses Protokoll wird von fast allen Herstellern unterstützt.
Seite 352: Das Protokoll
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.11.1 Das Protokoll Was ist PPP? Das Point-to-Point Protocol (PPP) wurde speziell für Netzwerkverbindungen über serielle Kanäle (auch ISDN, DSL u.ä.) entwickelt und hat sich als Standard für Verbindungen zwischen Routern behauptet. Es realisiert folgende Funktionen: Passwortschutz nach PAP, CHAP oder MS-CHAP Rückruf-Funktionen Aushandlung der über die aufgebaute Verbindung zu benutzenden Netzwerkprotokolle (z.
Seite 353: Die Ppp-Verhandlung Im Gerät
Referenzhandbuch 6 Routing und WAN-Verbindungen Ist die Verhandlung der Parameter für mindestens eines der Netzwerk-Layer erfolgreich verlaufen, können von den Router-Modulen IP- und/oder IPX-Pakete auf der geöffneten (logischen) Leitung übertragen werden. Terminate-Phase In der letzten Phase wird die Leitung geschlossen, wenn die logischen Verbindungen für alle Protokolle abgebaut sind.
Seite 354: Beispiele
Referenzhandbuch 6 Routing und WAN-Verbindungen Beispiele Remote Access Die Zuweisung der Adresse wird durch einen speziellen Eintrag in der IP-Routing-Tabelle ermöglicht. Neben dem Eintrag der IP-Adresse, die der Gegenstelle aus dem Feld 'Router-Name' zugewiesen werden soll, wird als Netzmaske die 255.255.255.255 angegeben. Der Routername ist in diesem Fall der Name, mit dem sich die Gegenstelle beim Gerät anmelden muss.
Seite 355: Die Bedeutung Der Default-Gegenstelle
Referenzhandbuch 6 Routing und WAN-Verbindungen Das Gerät bietet beim Aufbau ausgehender Verbindungen alle aktivierten Protokolle an, lässt aber auch nur eine Auswahl aus genau diesen Protokollen zu. Das Aushandeln eines der nicht aktivierten, evtl. höheren Protokolle ist nicht möglich. Die Einstellung der PPP-Authentifizierungsprotokolle finden Sie in der PPP-Liste. LANconfig: Kommunikation >...
Seite 356: Zusätzliche Gateways Für Pptp-Verbindungen
Referenzhandbuch 6 Routing und WAN-Verbindungen WAN-RADIUS-Tabelle LANconfig: Kommunikation / RADIUS Telnet: Setup / WAN / RADIUS 6.11.7 32 zusätzliche Gateways für PPTP-Verbindungen Einleitung Zur Sicherung der Erreichbarkeit können für jede PPTP-Gegenstelle bis zu 32 zusätzliche Gateways konfiguriert werden, so dass insgesamt pro PPTP-Gegenstelle 33 Gateways genutzt werden können. Konfiguration Die zusätzlichen PPTP-Gateways weden in einer separaten Liste definiert.
Seite 357: Dsl-Verbindungsaufbau Mit Pptp
Referenzhandbuch 6 Routing und WAN-Verbindungen Wählen Sie hier aus, für welche PPTP-Gegenstelle dieser Eintrag gelten soll. Mögliche Werte: Auswahl aus der Liste der definierten PPTP-Gegenstellen. Default: leer. Anfangen mit Wählen Sie hier aus, in welcher Reihenfolge die Einträge versucht werden sollen. Mögliche Werte: Zuletzt benutztem: Wählt den Eintrag, zu dem zuletzt erfolgreich eine Verbindung hergestellt werden konnte.
Seite 358: Konfiguration Von Pptp
Referenzhandbuch 6 Routing und WAN-Verbindungen 6.12.1 Konfiguration von PPTP Im Gerät werden alle notwendigen PPTP-Parameter vom Internet-Zugangs-Assistenten abgefragt, sobald der Internet-Zugang über PPTP ausgewählt wird. Zusätzlich zu den Eingaben, die auch beim normalen PPPoE-Zugang abgefragt werden, ist dabei nur die IP-Adresse des PPTP-Gateways anzugeben. Beim PPTP-Gateway handelt es sich zumeist um das DSL-Modem.
Seite 359: Konfiguration Von Datenvolumen-Budgets
Der folgende Abschnitt beschreibt, wie Sie mit LANconfig die Datenvolumen für Gegenstellen verwalten können. 1. Starten Sie LANconfig über Start > Programme > LANCOM > LANconfig und öffnen Sie die Konfiguration des Gerätes, für das Sie die Erfassung des Datenvolumens einrichten möchten.
Seite 360 Referenzhandbuch 6 Routing und WAN-Verbindungen Syslog-Nachricht versenden: Das Gerät erzeugt eine Syslog-Nachricht (mit dem Flag "Critical"), die Sie im Syslog-Speicher des Gerätes, über LANmonitor oder einen speziellen Syslog-Client auswerten können. E-Mail-Nachricht versenden: Das Gerät verschickt eine Benachrichtigung an die Email-Adresse, die Sie im Dialog weiter oben angegeben haben.
Seite 361: Rückruf-Funktionen
Neben dem Rückruf über den D-Kanal wird auch das von Microsoft spezifizierte CBCP (Callback Control Protocol) sowie der Rückruf über PPP nach RFC 1570 (PPP LCP Extensions) angeboten. Zusätzlich besteht die Möglichkeit eines besonders schnellen Rückrufs über ein von LANCOM Systems entwickeltes Verfahren. PCs mit Windows-Betriebssystem können nur über das CBCP zurückgerufen werden.
Seite 362: Rückrufnummer Vom Anrufer Bestimmt
Zeit kann nicht verkürzt werden, da sie von Windows vorgegeben wird. 6.15.2 Schneller Rückruf mit dem gerätespezifischen Verfahren Sollen zwei LANCOM-Geräte miteinander kommunizieren, wobei das eine zurückgerufen wird, bietet sich der schnelle Rückruf über das gerätespezifische Verfahren an. Der Anrufer, der gerne zurückgerufen werden möchte, stellt in der Gegenstellenliste 'Den Rückruf der Gegenstelle erwarten' ein ('Looser' bei Konfiguration über WEBconfig, Terminalprogramm oder Telnet).
Seite 363: Konfiguration Der Rückruf-Funktion Im Überblick
Die Einstellung 'Name' bietet die höchste Sicherheit, wenn sowohl ein Eintrag in der Nummernliste als auch in der PPP-Liste konfiguriert ist. Die Einstellung 'LANCOM' ermöglicht die schnellste Rückrufmethode zwischen zwei LANCOM-Geräten. Bei Windows-Gegenstellen muss die Einstellung 'Name' gewählt werden. 6.16 ISDN-Kanalbündelung mit MLPPP Wenn Sie eine ISDN-Verbindung zu einer PPP-fähigen Gegenstelle aufbauen, können Sie Ihren Daten Beine machen: Sie...
Seite 364: Zwei Methoden Der Kanalbündelung
LANCOM noch die eingestellte B2-Haltezeit ab und schließt den Kanal dann automatisch wieder. Dabei werden die begonnenen Gebühreneinheiten ausgenutzt, sofern die Gebühreninformationen während der Verbindung übermittelt werden. Der LANCOM benutzt den zweiten B-Kanal also nur, wenn und solange er ihn auch wirklich braucht! 6.16.2 So stellen Sie die Kanalbündelung ein Die Konfiguration der Kanalbündelung für eine Verbindung setzt sich aus drei Einstellungen zusammen:...
Seite 365: Betrieb Eines Modems An Der Seriellen Schnittstelle
Um diesen Anforderungen gerecht zu werden, können die meisten Modelle mit serieller Schnittstelle um ein zusätzliches WAN-Interface über analoge Modems oder GSM bzw. GPRS erweitert werden. Mit einem geeignetem Modem und dem LANCOM Modem Adapter Kit stehen die folgenden Funktionen zur Verfügung: Internet-Zugang über Modem-Verbindung mit Nutzung aller Routerfunktionen wie Firewall, automatischer Verbindungsauf- und -Abbau etc.
Seite 366: Installation
LANCOM Modem Adapter Kit zum Anschluss des Modems über das serielle Konfigurationskabel 6.17.3 Installation Zur Installation wird das Modem einfach über den LANCOM Modem Adapter Kit mit der seriellen Konfigurationsschnittstelle des LANCOM verbunden. Bitte verwenden Sie ausschließlich das originale LANCOM Modem Adapter Kit! Die Kontaktbelegung beim LANCOM Modem Adapter Kit unterscheidet sich von anderen handelsüblichen Adaptern wie z.
Seite 367: Konfiguration Der Modem-Parameter
Referenzhandbuch 6 Routing und WAN-Verbindungen Stellen Sie hier die Bitrate ein, die Ihr Modem maximal unterstützt. LANCOM-Geräte unterstützen an der seriellen Schnittstelle von 19.200 Bit/s, 38.400 Bit/s, 57.600 Bit/s bis maximal 115.200 Bit/s. LANconfig: Interfaces / WAN / V.24-Schnittstelle WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / V.24-Schnittstelle Solange das LANCOM auf Modem-Betrieb eingestellt ist, werden bei einer Verbindung mit einem Terminalprogramm über die serielle Schnittstelle die AT-Kommandos angezeit, mit denen das LANCOM ein...
Seite 368 Referenzhandbuch 6 Routing und WAN-Verbindungen Escapesequence zum Beenden der Datenphase bzw. zur Rückkehr in die Kommandophase [Default: +++] Wartezeit nach Escapesequence [Default: 1000 in Millisekunden] Verbindung trennen: Zeichenfolge, die das Modem in der Datenphase als Anweisung zum Auflegen interpretiert. [Default: ATH] Die Modem-Parameter sind mit Werten vorbelegt, die für die meisten Modem-Typen passen –...
Seite 369: Direkte Eingabe Von At-Befehlen
Mit dem Befehl trace + serial können Sie bei einer aktiven Telnet-Verbindung zu einem LANCOM mit angeschlossenem Modem die Traceausgabe für die serielle Schnittstelle starten. Die Ausgabe zeigt alle Meldungen an, die bis zum Aufbau der Datenübertragung zwischen dem Modem und dem LANCOM ausgetauscht werden.
Seite 370: Konfiguration Von Gegenstellen Für V.24-Wan-Schnittstellen
Für die Konfiguration einer Backupverbindung über ein Modem an der seriellen Schnittstelle muss zunächst ein Eintrag in der Liste der Einwahl-Gegenstellen angelegt werden, über den die gewünschte Gegenstelle erreicht werden kann. Zusätzlich werden noch folgende Einträge in der Konfiguration des LANCOM benötigt:...
Seite 371: Kontaktbelegung Des Lancom Modem Adapter Kits
Rechner direkt am Ende der zu prüfenden Verbindung, z. B. einen DNS-Server im Netz Ihres Providers. Die Polling-Tabelle finden Sie auf folgenden Pfaden: LANconfig: Kommunikation / Gegenstellen / Polling-Tabelle WEBconfig: LCOS-Menübaum / Setup / WAN E Polling-Tabelle 6.17.11 Kontaktbelegung des LANCOM Modem Adapter Kits LANCOM-Signal D-Sub9-Stecker LANCOM- oder Modemsignal D-Sub9-Stecker 6.18 Manuelle Definition der MTU...
Seite 372: Statistik
Referenzhandbuch 6 Routing und WAN-Verbindungen Gerätename: Name der Gegenstelle. Es kann eine physikalische oder eine virtuelle (PPTP/VPN) Gegenstelle sein MTU: Auf der Verbindung zu verwendende MTU 6.18.2 Statistik Unter Status / WAN-Statistik finden Sie die MTU-Statistik, in der für alle aktiven Verbindungen die verwendeten MTUs festgehalten werden.
Seite 373: Das Rapid-Spanning-Tree-Protokoll
Referenzhandbuch 6 Routing und WAN-Verbindungen LANconfig: IP-Router / Allgemein WEBconfig: LCOS-Menübaum / Setup / IP-Router / RIP / WAN-Sites 6.20 Das Rapid-Spanning-Tree-Protokoll In Netzwerken mit mehreren Switches und Bridges können zwischen zwei angeschlossenen Netzwerkteilnehmern durchaus mehrere physikalische Verbindungen bestehen. Diese redundanten Datenwege sind auch durchaus erwünscht, da sie bei Ausfall einzelner Netzstränge alternative Wege zum Ziel anbieten können.
Seite 374: Verbesserungen Durch Rapid Spanning Tree
Referenzhandbuch 6 Routing und WAN-Verbindungen Das Spanning Tree Protokoll wurde daher verbessert und als „Rapid Spanning Tree Protokoll“ (RSTP) zunächst in einem eigenen Standard IEEE 802.1t/w, später als Teil der Neufassung von IEEE 802.1D veröffentlicht. Auch wenn das klassische Spanning Tree Protokoll damit zurückgezogen wurde, wird es in LCOS weiter unterstützt und zur Auswahl angeboten. 6.20.2 Verbesserungen durch Rapid Spanning Tree Wie zuvor bemerkt ist das Hauptziel von RSTP die beschleunigte Aktivierung von Netzwerkpfaden, wenn eine der aktiven Verbindungen ausfällt.
Seite 375: Allgemeine Parameter
Referenzhandbuch 6 Routing und WAN-Verbindungen Allgemeine Parameter Spanning-Tree aktiviert Bei ausgeschaltetem Spanning Tree verschickt ein Gerät keine Spanning-Tree-Pakete und leitet empfangene Spanning-Tree-Pakete durch, anstatt sie selber zu verarbeiten. Protokoll-Version Classic: Verwendet die Verfahren des klassischen STP zur Bestimmung der Netzwerktopologie. Rapid: Verwendet die Verfahren des RSTP zur Bestimmung der Netzwerktopologie.
Seite 376: Statusmeldungen Über Das Spanning-Tree-Protokoll
Referenzhandbuch 6 Routing und WAN-Verbindungen Kennzeichnet den Port als Edge-Port, an dem keine weitere Bridge, sondern nur Endgeräte wie Workstations oder Server angeschlossen sind. Edge-Ports wechseln sofort in den Forwarding-Zustand. Edge-Ports werden weiterhin vom RSTP überwacht. Werden an einem solchen Port BPDU entdeckt, verliert der Port den Status als Edge-Port.
Seite 377: Informationen In Der Rstp-Port-Statistik
Referenzhandbuch 6 Routing und WAN-Verbindungen Die aus der Port-Konfiguration übernommene Priorität dieses Ports. Status Der momentane Status des Ports: disabled: keinerlei Pakete über diesen Port senden oder empfangen. Das tritt ein, wenn der Port entweder manuell deaktiviert wurde oder einen negativen Link-Status hat. Listening: Zwischenzustand auf dem Weg zur Aktivierung.
Seite 378: Die Aktions-Tabelle
Referenzhandbuch 6 Routing und WAN-Verbindungen Protokoll-Version Klassisch oder Rapid. Kosten Eingestellte Kosten für diesen Port. 6.21 Die Aktions-Tabelle 6.21.1 Einleitung Über die Aktions-Tabelle werden Aktionen gesteuert, die bei einem Zustandswechsel von WAN-Verbindungen ausgelöst werden. Als WAN-Verbindung kommen dabei sowohl die direkten Verbindungen z. B. zum Internetprovider in Frage als auch die darüber liegenden VPN-Verbindungen, z.
Seite 379: Dynamic-Dns-Client Im Gerät Über Http
Referenzhandbuch 6 Routing und WAN-Verbindungen http://<Adresse des Ger ts>/config/1/6/8/3/ Dynamic-DNS-Client im Gerät über HTTP Alternativ kann das Gerät die aktuelle WAN-IP auch direkt an den DynDNS-Anbieter übertragen: Dazu definieren Sie eine Aktion, die z. B. nach jedem Verbindungsaufbau automatisch eine HTTP-Anfrage an den DynDNS-Server sendet, dabei die benötigten Informationen über das DynDNS-Konto übermittelt und so ein Update der Registrierung auslöst.
Seite 380: Dynamic-Dns-Client Im Gerät Über Gnudip
Referenzhandbuch 6 Routing und WAN-Verbindungen Bestimmen Sie jetzt die WAN-Gegenstelle, für die die Aktion gelten soll. Geben Sie abschließend noch Ihre Zugangsdaten ein. Der Setup-Assistent ergänzt die beschriebene Basis-Aktion um weitere anbieter-spezifischen Parameter, die hier nicht näher beschrieben sein sollen. Außerdem legt der Setup-Assistent weitere Aktionen an, die das Verhalten des Geräts steuern für den Fall, dass der DynDNS-Dienstleister die Aktualisierung nicht im ersten Versuch erfolgreich durchführen konnte.
Seite 381: Weitere Beispiele Für Aktionen
Referenzhandbuch 6 Routing und WAN-Verbindungen Die Anfragen an einen GnuDIP-Server werden aus dem Gerät mit einer Aktion in der folgenden Form ausgelöst: gnudip://<srv>[:port][/pfad]?<parameter> <srv> – Die Adresse des GnuDIP-Servers. [:port] – Die Angabe des Ports ist optional, falls nicht definiert, werden die Standardwerte verwendet (3495 für TCP, 80 bzw.
Seite 382: Beispiel: Benachrichtigung Bei Zwangstrennung Der Dsl-Verbindung Unterdrücken
Referenzhandbuch 6 Routing und WAN-Verbindungen Der Zustand der VPN-Verbindung muss überwacht werden, z. B. durch die „Dead-Peer-Detection“ DPD. Das Gerät muss als NTP-Client konfiguriert sein, damit das Gerät über eine aktuelle Systemzeit verfügt. Ein SMTP-Konto zum Versand der E-Mails muss eingerichtet sein. Wenn diese Voraussetzungen erfüllt sind, kann die Benachrichtigung eingerichtet werden.
Seite 383: Konfiguration
Referenzhandbuch 6 Routing und WAN-Verbindungen Mit zwei weiteren Cron-Befehlen set /setup/wan/action-table/1 yes/no wird der entsprechende Eintrag in der Aktionstabelle drei Minuten vor 3.00 Uhr aus- und drei Minuten nach 3:00 Uhr wieder eingeschaltet. Die Ziffer 1 nach dem Pfad zu Aktionstabelle steht dabei als Index für den ersten Eintrag der Tabelle. 6.21.4 Konfiguration In der Aktions-Tabelle können Sie Aktionen definieren, die das Gerät ausführen soll, wenn sich der Zustand einer WAN-Verbindung ändert.
Seite 384 Referenzhandbuch 6 Routing und WAN-Verbindungen Abbruch mit Fehler – die Aktion erfolgt, wenn die Verbindung beendet ist, das Gerät selbst aber diesen Abbau nicht ausgelöst oder erwartet hat. Aufbaufehler – die Aktion erfolgt, wenn ein Verbindungsaufbau nicht erfolgreich war. Volumen erreicht – die Aktion erfolgt, wenn das festgelegte Volumen erreicht ist. Volumen zurückgesetzt –...
Seite 385: Verwendung Der Seriellen Schnittstelle Im Lan
Referenzhandbuch 6 Routing und WAN-Verbindungen Die Variable %z steht ausschließlich bei nativen IPv6-WAN-Verbindungen und nicht bei Tunnel-Verbindungen (6to4, 6in4, 6rd) zur Verfügung. Das Ergebnis der Aktionen werten Sie anschließend im Feld Ergebnis-Auswertung aus. Ergebnis-Auswertung: Das Ergebnis der Aktion können Sie hier auswerten, um je nach Ergebnis eine bestimmte Anzahl von Einträge beim Abarbeiten der Aktions-Tabelle zu überspringen.
Seite 386: Konfiguration Der Seriellen Schnittstellen
Referenzhandbuch 6 Routing und WAN-Verbindungen In beiden Fällen wird eine transparente Verbindung zwischen der seriellen Schnittstelle und der TCP-Verbindung hergestellt: Datenpakete, die auf der seriellen Schnittstelle empfangen werden, werden auf der TCP-Verbindung weitergeleitet und umgekehrt. Eine häufige Anwendung im Server-Modus ist die Installation eines virtuellen COM-Port-Treibers auf der Gegenstelle, die sich mit dem COM-Port-Server verbindet.
Seite 387: Com-Port-Einstellungen
Referenzhandbuch 6 Routing und WAN-Verbindungen Wenn eine Server-Instanz angelegt oder aktiviert wird, werden die anderen Tabellen der COM-Port-Serverkonfiguration nach Einträgen mit übereinstimmenden Werten für Device-Type und Port-Nummer durchsucht. Falls kein passender Eintrag gefunden wird, verwendet die Server-Instanz sinnvolle Default-Werte. LANconfig: COM-Ports / Server / Geräte Ports WEBconfig: Setup / COM-Ports / COM-Port-Server / Geraete Device-Type Auswahl aus der Liste der im Gerät verfügbaren seriellen Schnittstellen.
Seite 388 Referenzhandbuch 6 Routing und WAN-Verbindungen Bitte beachten Sie, dass alle diese Parameter durch die Gegenstelle überschrieben werden können, wenn die RFC2217-Verhandlung aktiviert ist; die aktuellen Einstellungen können im Status-Menü eingesehen werden. LANconfig: COM-Ports / Server / Serielle Schnittstelle WEBconfig: Setup / COM-Ports / COM-Port-Server / COM-Port-Einstellungen Device-Type Auswahl aus der Liste der im Gerät verfügbaren seriellen Schnittstellen.
Seite 389 Referenzhandbuch 6 Routing und WAN-Verbindungen aufzubauen bzw. abzubrechen. Die Bereitschaft des Ports kann auf zwei verschiedene Arten ermittelt werden. Im DTR-Modus (Default) wird nur der DTR-Handshake überwacht. Die serielle Schnittstelle wird solange als bereit angesehen, wie die DTR-Leitung aktiv ist. Im Daten-Modus wird die serielle Schnittstelle als bereit betrachtet, sobald sie Daten empfängt.
Seite 390 Referenzhandbuch 6 Routing und WAN-Verbindungen die Gegenstelle. Wenn die TCP-Sitzung zur Gegenstelle verfügbar ist, antwortet diese mit ihrem Empfängerstatus. Wenn die TCP-Sitzung zur Gegenstelle nicht verfügbar ist, wird die Anfrage in einem kürzeren Intervall solange wiederholt, bis die Gegenstelle mit ihrem Empfängerstatus antwortet (danach wird wieder ein längeres Intervall verwendet).
Seite 391: Netzwerkeinstellungen
Referenzhandbuch 6 Routing und WAN-Verbindungen Maximale Anzahl der Versuche, mit denen der Zustand einer TCP-Verbindung geprüft und das Ergebnis an die Applikation gemeldet wird, welche die entsprechende TCP-Verbindung nutzt. Mögliche Werte: 0 bis 9 Besondere Werte: 0 verwendet den Standardwert nach RFC 1122 (5 Versuche). Default: Die maximale Dauer der TCP-Verbindungsprüfung wird aus dem Produkt von TCP-Wdh.-Timeout und TCP-Wdh.-Zahl gebildet.
Seite 392: Konfiguration Der Wan-Geräte
Referenzhandbuch 6 Routing und WAN-Verbindungen Manche seriellen Geräte wie z. B. die CardBus haben mehr als einen seriellen Port. Tragen Sie hier die Nummer des Ports ein, der auf der seriellen Schnittstelle für den COM-Port-Server genutzt werden soll. TCP-Modus Jede Instanz des COM-Port-Servers überwacht im Server-Modus den definierten Listen-Port auf eingehende TCP-Verbindungen.
Seite 393: Status-Informationen Über Die Seriellen Verbindungen
Referenzhandbuch 6 Routing und WAN-Verbindungen Aktiv Status des angeschlossenen Gerätes: 6.22.6 Status-Informationen über die seriellen Verbindungen Für jede Instanz des COM-Port-Servers werden verschiedene Statistiken und Zustandswerten erfasst. Der serielle Port, den die Instanz verwendet, wird in den beiden ersten Spalten der Tabelle angegeben – hier werden die bei der Konfiguration eingetragenen Werte für Device-Type und Port-Nummer angezeigt.
Seite 394 Referenzhandbuch 6 Routing und WAN-Verbindungen Nicht-Vorhanden: Der serielle Port ist derzeit nicht für den COM-Port-Server verfügbar, z. B. weil der USB- oder CardBus-Adapter entfernt wurde oder weil die Schnittstelle von einer anderen Funktion des Geräts verwendet wird. Nicht-Bereit: Der serielle Port ist prinzipiell für den COM-Port-Server verfügbar, derzeit aber nicht bereit für eine Datenübertragung, z.
Seite 395: Com-Port-Adapter
Referenzhandbuch 6 Routing und WAN-Verbindungen Port-Errors In dieser Tabelle werden die Fehler auf dem seriellen Port angezeigt. Diese Fehler können auf ein fehlerhaftes Kabel oder auf Fehler in der Konfiguration hinweisen. Device-Type Liste der im Gerät verfügbaren seriellen Schnittstellen. Port-Nummer Nummer des Ports, der auf der seriellen Schnittstelle für den COM-Port-Server genutzt wird.
Seite 396: Datenpakete Aus Dem Lan Via X.25 Weiterleiten (Isdn)
Als primäre(n) IP-Adresse und Port tragen Sie in Ihrem Terminal wie gewohnt das Zielnetz oder den Zielrechner ein. Als sekundäre(n) IP-Adresse und Port hinterlegen Sie Ihr LANCOM, an welches das Terminal seine Datenpakete sendet, falls das primäre Ziel nicht erreichbar ist.
Seite 397: Igmp Snooping
Referenzhandbuch 6 Routing und WAN-Verbindungen X.25-Lokal Die Angabe einer Terminal-IP und Loopback-Adresse ist optional, bei Konfigurationen mit mehreren lokalen Netzen aber dringend empfehlenswert. Für Verbindungen zu einigen Anbietern (z. B. TeleCash) ist darüber hinaus die Angabe der Protokoll-ID und die Userdata erforderlich. Fertig! Damit ist die Basiskonfiguration der TCP-X.25-Bridge abgeschlossen.
Seite 398: Ablauf Des Igmp Snooping
Referenzhandbuch 6 Routing und WAN-Verbindungen IGMP kann als Layer-3-Protokoll nur IP-Subnetze entsprechend der Anmeldungen an Multicast-Gruppen verwalten. Die in den Netzwerkstrukturen vorhandenen Geräte wie Bridges, Switches oder WLAN Access Points leiten die Pakete aber oft nur auf Layer 2 weiter, so dass IGMP zunächst keine Funktionen bietet, um die Pakete zielgerichtet durch diese Netzwerkstrukturen zu leiten.
Seite 399 Referenzhandbuch 6 Routing und WAN-Verbindungen Die Bridges müssen also über Router-Ports verfügen, damit sich die Informationen über die Mitgliedschaften in Multicast-Gruppen verbreiten können. Da die Ports der Bridge nur durch IGMP-Anfragen zu Router-Ports werden können, muss einer der Multicast-fähigen Router im Netzwerk die Aufgabe übernehmen, die benötigten IGMP-Anfragen in Netzwerk zu streuen.
Seite 400: Konfiguration
Referenzhandbuch 6 Routing und WAN-Verbindungen Wenn nun PC 1 einen Multicast aussendet für eine der von PC 2 registrierten Multicast-Gruppen, leiten alle Bridges (2, 1 und dann 3) die Pakete jeweils über den Mitglieds-Port weiter bis zu PC 2. 6.24.4 Konfiguration Allgemeine Einstellungen Die Konfiguration des IGMP-Snooping finden Sie im LANconfig unter Schnittstellen >...
Seite 401 Referenzhandbuch 6 Routing und WAN-Verbindungen Automatisch Default: Automatisch In der Einstellung Automatisch aktiviert die Bridge das IGMP-Snooping nur, wenn auch Querier im Netz vorhanden sind. Wenn diese Funktion deaktiviert ist, sendet die Bridge alle IP-Multicast-Pakete über alle Ports. Bei einer Änderung des Betriebszustandes setzt die Bridge die IGMP-Snooping-Funktion vollständig zurück, d.
Seite 402: Robustheit
Referenzhandbuch 6 Routing und WAN-Verbindungen Das Anfrage-Intervall muss größer als das Anfrage-Antwort-Intervall sein. Anfrage-Antwort-Intervall Intervall in Sekunden, beeinflusst das Timing zwischen den IGMP-Anfragen und dem Altern der Router-Ports bzw. Mitgliedschaften. Intervall in Sekunden, in dem ein Multicast-fähiger Router (oder ein simulierter Querier) Antworten auf seine IGMP-Anfragen erwartet.
Seite 403 Referenzhandbuch 6 Routing und WAN-Verbindungen Ja: Dieser Port verhält sich immer wie ein Router-Port, unabhängig von den IGMP-Anfragen oder Router-Meldungen, die die Bridge auf diesem Port evtl. empfängt. Nein: Dieser Port verhält sich nie wie ein Router-Port, unabhängig von den IGMP-Anfragen oder Router-Meldungen, die die Bridge auf diesem Port evtl.
Seite 404 Referenzhandbuch 6 Routing und WAN-Verbindungen Mögliche Werte: aktiviert deaktiviert Default: Aktiviert Statische Mitglieder An diese Ports stellt die Bridge die Pakete mit der entsprechenden IP-Multicast-Adresse immer zu, unabhängig von empfangenen Join-Nachrichten. Mögliche Werte: Kommaseparierte Liste der gewünschten Ports, maximal 215 alphanumerische Zeichen. Default: Leer Simulierte-Anfrager...
Seite 405: Igmp Status
Referenzhandbuch 6 Routing und WAN-Verbindungen Bridge-Gruppe Schränkt die Querier-Instanz auf eine bestimmte Bridge-Gruppe ein. Mögliche Werte: Auswahl aus der Liste der verfügbaren Bridge-Gruppen keine Default: BRG-1 Besondere Werte: Ist "keine" Bridge-Gruppe gewählt, gibt die Bridge die IGMP-Anfragen auf allen Brigde-Gruppen aus. VLAN-ID Schränkt die Querier-Instanz auf ein bestimmtes VLAN ein.
Seite 406: Port-Status
Referenzhandbuch 6 Routing und WAN-Verbindungen Werte-loeschen Diese Aktion löscht alle Statistik-Einträge. Port-Status Diese Tabelle zeigt alle Port-bezogenen Statistiken. WEBconfig: LCOS-Menübaum / Status / LAN-Bridge-Statistiken / IGMP-Snooping / Port-Status Router-Port Zeigt an, ob der Port derzeit als Router-Port genutzt wird oder nicht, unabhängig davon, ob dieser Zustand statisch konfiguriert oder dynamisch gelernt wurde.
Seite 407: Konfiguration Des Wwan-Zugriffs
Referenzhandbuch 6 Routing und WAN-Verbindungen Name Zeigt den Namen der Multicast-Gruppe. Bridge-Gruppe Zeigt die Bridge-Gruppe, für welche dieser Eintrag gültig ist. VLAN-Id Zeigt das VLAN, für welches dieser Eintrag gültig ist. Status Zeigt den Status des Eintrags. Initial: Die Querier-Instanz wurde gerade gestartet und sendet IGMP-Anfragen in kurzen Intervallen (viermal schneller als das definierte Anfrage-Intervall).
Seite 408: Automatisch
Referenzhandbuch 6 Routing und WAN-Verbindungen Der Vollständigkeit wegen beschreibt dieses Tutorial die Anlage eines neuen Profils. 3. Geben Sie unter Name eine eindeutige Bezeichnung für das Mobilfunk-Profil an. 4. Geben Sie unter PIN die 4-stellige PIN der verwendeten Mobilfunk-SIM-Karte ein. Das Gerät benötigt diese Information, um das Mobilfunk-Modem in Betrieb zu nehmen.
Seite 409 Referenzhandbuch 6 Routing und WAN-Verbindungen Die manuelle Mobilfunk-Netzwahl eignet sich insbesondere dann, wenn Sie das Gerät stationär betreiben und Sie häufige Einbuchungsvorgänge in ein benachbartes oder funktechnisch stärkeres, mitunter aber unerwünschtes oder teureres Mobilfunk-Netz feststellen. 9. Sofern Sie die manuelle Netz-Auswahl gewählt haben, geben Sie unter Netz-Name die exakte Bezeichnung Ihres Heimnetzes an.
Seite 410 Referenzhandbuch 6 Routing und WAN-Verbindungen 16. Wählen Sie unter Mobilfunk-Profil das zuvor für Ihren Mobilfunk-Provider angelegte Profil aus. 17. Klicken Sie OK, um die Einstellungen zu speichern. 18. Klicken Sie in der Ansicht Kommunikation > Gegenstellen auf Gegenst. (Mobilfunk/…) und fügen Sie ein neues Profil hinzu.
Seite 411 Referenzhandbuch 6 Routing und WAN-Verbindungen 24. Klicken Sie in der Ansicht Kommunikation > Protokolle auf PPP-Liste und fügen Sie eine neue Gegenstelle hinzu. 25. Wählen Sie unter Gegenstelle das zuvor angelegte Gegenstellenprofil aus, z. B WWAN. 26. Wählen Sie unter Authentifizierung der Gegenstelle (Anfrage) jede Vorauswahl ab. 27.
Seite 412: Umschalten Zwischen Mobilfunk-Profilen Oder Sim-Karten
In manchen Anwendungsfällen werden höhere Betriebstemperaturen benötigt als der standardmäßig definierte Temperaturbereich der Access Points LANCOM L-305agn und LANCOM L-310agn zulässt. Diese beiden Modelle können in einem erweiterten Temperaturbereich von bis zu 45° C betrieben werden, wenn die Geschwindigkeit der Gigabit-Ethernet-Schnittstelle auf 100 MBit/s begrenzt wird.
Seite 413 Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: LCOS-Menübaum / Setup / Schnittstellen Übertragungsart Wählen Sie hier aus, welche Übertragungsart Sie für die Verbindung zu Ihrem lokalen Netz verwenden. Mögliche Werte: Automatisch, 10 MBit/s halbduplex, 10 MBit/s vollduplex, 100 MBit/s halbduplex, 100 MBit/s vollduplex, 100 MBit/s automatisch, 1000 MBit/s vollduplex.
Seite 414: Ipv6
Referenzhandbuch 7 IPv6 7 IPv6 7.1 IPv6-Grundlagen IPv4 (Internet Protocol Version 4) ist ein Protokoll zur eindeutigen Adressierung von Teilnehmern in einem Netzwerk und definierte bislang alle weltweit vergebenen IP-Adressen. Da der so gebotene Adressraum Grenzen hat, tritt das IPv6 (Internet Protocol Version 6) in die Fußstapfen des bisherigen Standards.
Seite 415: Migrationsstufen
Referenzhandbuch 7 IPv6 2001:db8::/64 Der übrige Teil der IP-Adresse stellt den Interface Identifier dar. Dieser lautet für das angebene Beispiel: ::54f3:ddb6:1 Gegenüber den IP-Adressen nach dem Standard IPv4 ergeben sich für den Aufbau der neuen IPv6-Adressen einige Änderungen: Während IPv4-Adressen einen Adressraum von 32 Bit abdecken, entsteht durch die neue Länge von 128 Bit ein deutlich größerer Adressbereich von IPv6.
Seite 416: 6Rd-Tunnel
Referenzhandbuch 7 IPv6 eines Subnetzes. Bei einem 48 Bit Präfix stehen sogar 16 Bit des 64 Bit Präfix-Anteils zur Verfügung. Damit lassen sich bis zu 65536 Subnetze realisieren. Der Nachteil der 6in4-Technologie ist der höhere Administrationsaufwand. Eine Anmeldung beim gewählten Tunnelbroker ist notwendig.
Seite 417: Dual-Stack Lite (Ds-Lite)
Referenzhandbuch 7 IPv6 anschließend an ein 6to4-Relay weiter. Das 6to4-Relay entpackt das Paket und leitet es an das gewünschte Ziel weiter. Die folgende Abbildung zeigt das Funktionsprinzip des 6to4-Tunneling: 6to4-Tunnel stellen eine dynamische Verbindung zwischen IPv6- und IPv4-Netzwerken her: die Antwortpakete werden möglicherweise über ein anderes 6to4-Relay zurückgeleitet, als auf dem Hinweg.
Seite 418 Referenzhandbuch 7 IPv6 Klicken Sie anschließend auf Hinzufügen und geben Sie die Bezeichnung des Tunnels, die IPv6-Adresse des Gateways und das Routing-Tag ein. Name des Tunnels Dieser Eintrag bestimmt den Namen des IPv4-über-IPv6-Tunnels. Gateway-Adresse Dieser Eintrag definiert die Adresse des DS-Lite-Gateways, den sogenannten Address Family Transition Router (AFTR).
Seite 419: Dhcpv6
Referenzhandbuch 7 IPv6 Über den LANmonitor lassen sich die Status-Tabelle und die Anzahl der aktuellen DS-Lite-Verbindungen darstellen: 7.3 DHCPv6 Im Vergleich zu IPv4 benötigen Clients in einem IPv6-Netzwerk wegen der Autokonfiguration keine automatischen Adresszuweisungen über einen entsprechenden DHCP-Server. Da aber bestimmte Informationen wie DNS-Server-Adressen nicht per Autokonfiguration übertragen werden, ist es in bestimmten Anwendungsszenarien sinnvoll, auch bei IPv6 einen DHCP-Dienst im Netzwerk zur Verfügung zu stellen.
Seite 420: Lightweight-Dhcpv6-Relay-Agent (Ldra)
Referenzhandbuch 7 IPv6 Damit ein Client jedoch auch Informationen z. B. über DNS-Server erhalten kann, müssen Sie das Gerät so konfigurieren, dass es bei Bedarf den DHCPv6-Client aktiviert. Die Einstellungen für den DHCPv6-Client sorgen dafür, dass das Gerät beim Empfang bestimmter Flags im Router-Advertisment den DHCPv6-Client startet, um spezielle Anfragen beim zuständigen DHCPv6-Server zu stellen: M-Flag: Erhält ein entsprechend konfiguriertes Gerät ein Router-Advertisment mit gesetztem 'M-Flag', dann fordert der DHCPv6-Client eine IPv6-Adresse sowie andere Informationen wie DNS-Server, SIP-Server oder NTP-Server beim...
Seite 421 Referenzhandbuch 7 IPv6 Nach Auswahl der entsprechenden Schnittstelle können Sie die folgenden Einstellungen festlegen: Ausrichtung Hier aktivieren bzw. deaktivieren Sie das DHCPv6-Snooping. Die folgende Auswahl ist möglich: netz-zugewandt: Über diese Schnittstelle kommuniziert der LDRA mit einem DHCPv6-Server. client-zugewandt: Über diese Schnittstelle kommuniziert der LDRA mit den ans Netz angeschlossenen DHCPv6-Clients.
Seite 422: Ipv4-Vpn-Tunnel Über Ipv6
Referenzhandbuch 7 IPv6 7.4 IPv4-VPN-Tunnel über IPv6 Bisher war es nicht möglich, zwei Gegenstellen über VPN zu verbinden, die für den Internetzugang private IPv4-Adressen verwenden (z. B. Mobilfunk). Mit IPv6 ist diese Einschränkung nicht mehr vorhanden, da jedes IPv6-Gerät eine öffentliche IPv6-Adresse erhält. Somit kann über IPv6 ein IPv4-VPN-Tunnel eingerichtet werden, der zwei entfernte IPv4-Netzwerke verbindet, unabhängig von den IPv4-WAN-Adressen der entsprechenden Gegenstellen.
Seite 423: Ipv6-Firewall
Referenzhandbuch 7 IPv6 5. Geben Sie als Gateway-Adresse die IPv6-Adresse des Gateways ein. 6. Schließen Sie den Assistenten dann mit Fertig stellen ab. Der Setup-Assistent schreibt die Konfiguration in das Gerät. 7.5 IPv6-Firewall 7.5.1 Funktion Während die IPv4-Firewall ausschließlich das Forwarding der IP-Daten kontrolliert, regelt die IPv6-Firewall auch die Funktionen der Access-Listen aller IPv6-Server-Dienste.
Seite 424: Ipv6-Firewall-Log-Tabelle
Referenzhandbuch 7 IPv6 ALLOW-ICMP, ACCEPT Erlaube alle Verbindungen über ICMPV6. ALLOW-DHCP-CLIENT, ACCEPT Erlaube die Kommunikation mit dem DHCPv6-Client. ALLOW-DHCP-SERVER, ACCEPT Erlaube die Kommunikation mit dem DHCPv6-Server. ALLOW-CONFIG-LOCALNET, ACCEPT Erlaube die Konfiguration im lokalen Netzwerk über HTTP, HTTPS, SNMP, SSH, TELNET, TFTP. ALLOW-CONFIG-VPN, ACCEPT-VPN Erlaube die HTTP, HTTPS, SNMP, SSH, TELNET und TFTP-Kommunikation über VPN.
Seite 425: Ipv6-Firewall-Log-Tabelle Über Webconfig Auswerten
Referenzhandbuch 7 IPv6 IPv6-Firewall-Log-Tabelle über WEBconfig auswerten Sie können die IPv6-Log-Tabelle im WEBconfig über LCOS-Menübaum > Status > IPv6 > Firewall > Log-Tabelle öffnen. Die Einträge haben folgende Bedeutung: Idx.: Fortlaufender Index. Darüber lässt sich die Tabelle auch über SNMP abfragen. System-Zeit: System-Zeit in UTC-Kodierung (wird bei der Ausgabe der Tabelle in Klartext umgewandelt).
Seite 426: Router-Advertisement-Snooping
Referenzhandbuch 7 IPv6 0x00000400: Internet-(Defaultrouten-)Filter 0x00000800: Drop 0x00001000: Disconnect 0x00004000: Quell-Adresse sperren 0x00020000: Ziel-Adresse und -Port sperren 0x20000000: Sende SYSLOG-Benachrichtigung 0x40000000: Sende SNMP-Trap 0x80000000: Sende E-Mail Alle Firewall-Aktionen erscheinen ebenfalls im IP-Router-Trace. 7.6 Router-Advertisement-Snooping In einem IPv6-Netz senden Router periodisch oder auf Anfrage Router-Advertisments, um sich angeschlossenen Clients als Gateway zu präsentieren.
Seite 427: Ipv6-Präfix-Delegation Vom Wwan Ins Lan
Referenzhandbuch 7 IPv6 Schnittstellen-Typ Bestimmen Sie hier den bevorzugten Schnittstellen-Typ. Die folgende Auswahl ist möglich: Router: Das Gerät vermittelt alle RAs, die an dieser Schnittstelle ankommen (Default). Client: Das Gerät verwirft alle RAs, die an dieser Schnittstelle ankommen. Router-Adresse Sofern Sie den Schnittstellen-Typ Router gewählt haben, geben Sie hier eine optionale Router-Adresse an. Bei Angabe einer Router-Adresse vermittelt das Gerät nur RAs des entsprechenden Routers.
Seite 428: Ipv6-Konfigurationsmenü
Referenzhandbuch 7 IPv6 7.8 IPv6-Konfigurationsmenü Im Gegensatz zu früheren Versionen von LANconfig, in denen es im Konfigurationsmenü die Konfigurationsmöglichkeit TCP/IP für IPv4 gab, finden Sie nun an dieser Stelle die Optionen IPv4 und IPv6. Klicken Sie auf IPv6, um die Einstellungen für dieses Protokoll vorzunehmen. Die Konfiguration IPv6 ist unterteilt in die Optionen Allgemein, Router-Advertisement, DHCPv6 und Tunnel.
Seite 429 Referenzhandbuch 7 IPv6 jeweiligen IPv4-Netzwerks passen. Da ein Gerät beliebig viele IPv6-Adressen haben kann, müssen Sie unter IPv6-Adressen statisch konfigurierte IPv6-Adressen hinzufügen. Die Einträge in der Tabelle LAN-Schnittstellen haben folgende Bedeutung: Schnittstelle aktiv: Aktiviert bzw. deaktiviert diese LAN-Schnittstelle. Interface-Name bzw. Netzwerkname: Benennen Sie das logische IPv6-Interface, für das das physikalische Interface (Schnittstellen-Zuordnung) und die VLAN-ID gelten sollen.
Seite 430 Referenzhandbuch 7 IPv6 Interface-Name: Benennen Sie das logische IPv6-Interface analog zur zugehörigen IPv4-Gegenstelle. Schnittstellen-Tag: Tragen Sie hier als Schnittstellen-Tag einen Wert ein, der das Netzwerk eindeutig spezifiziert. Alle Pakete, die das Gerät auf diesem Netzwerk empfängt, erhalten intern eine Markierung mit diesem Tag. Das Schnittstellen-Tag ermöglicht eine Trennung der für dieses Netzwerk gültigen Routen auch ohne explizite Firewall-Regel.
Seite 431 Referenzhandbuch 7 IPv6 Die folgenden Werte sind möglich: Eine einzelne Gegenstelle aus den Tabellen unter Setup > WAN > PPTP-Gegenstellen, Setup > WAN > L2TP-Gegenstellen oder Setup > PPPoE-Server > Namenliste. Dem Platzhalter "*", der bewirkt, dass diese Schnittstelle für alle PPTP-, PPPoE- und L2TP-Gegenstellen gilt. Dem Platzhalter "*"...
Seite 432 Referenzhandbuch 7 IPv6 Beim Adresstyp EUI-64 entspricht die IPv6-Adresse der IEEE-Norm "EUI-64". Die MAC-Adresse der Schnittstelle stellt damit einen eindeutig identifizierbaren Bestandteil der IPv6-Adresse dar. Ein korrektes Eingabeformat für eine IPv6-Adresse inkl. Präfixlänge nach EUI-64 würde lauten: "2001:db8:1::/64". "EUI-64" ignoriert einen eventuell konfigurierten Interface Identifier der jeweiligen IPv6-Adresse und ersetzt ihn durch einen Interface Identifier nach "EUI-64".
Seite 433: Router-Advertisement
Referenzhandbuch 7 IPv6 Kommentar: Tragen Sie hier einen optionalen Kommentar ein. 7.8.2 Router-Advertisement In der Konfiguration Router-Advertisement bieten sich Ihnen mehrer Schaltflächen mit Optionen zu Einstellungen des Neighbor Discovery Protocol (NDP), falls das Gerät als IPv6-Router arbeiten soll: Schnittstellen-Optionen Hier aktivieren oder deaktivieren Sie die folgenden Funktionen von Schnittstellen: Router-Adv.
Seite 434 Referenzhandbuch 7 IPv6 "Automatisch": Solange eine WAN-Verbindung besteht, setzt das Gerät eine positive Router-Lifetime in den Router-Advertisement-Nachrichten. Das führt dazu, dass ein Client diesen Router als Standard-Gateway verwendet. Besteht die WAN-Verbindung nicht mehr, so setzt der Router die Router-Lifetime auf "0". Ein Client verwendet dann diesen Router nicht mehr als Standard-Gateway.
Seite 435 Referenzhandbuch 7 IPv6 Präfix-Pools Diese Tabelle enthält Präfix-Pools, aus denen RAS-Benutzer einen Präfix bei der Einwahl über IPv6 erhalten. Möglich sind folgende Einstellungen: Interface-Name Bestimmt den Namen der RAS-Schnittstelle, für die dieser Präfix-Pool gelten soll. Erster Präfix Definiert das erste Präfix des Pools, das der Einwahl-Benutzer durch Router-Advertisement zugeteilt bekommt, z.
Seite 436 Referenzhandbuch 7 IPv6 Zweiter DNS IPv6-Adresse des zweiten IPv6-DNS-Servers für dieses Interface. DNS-Suchliste vom internen DNS-Server importieren Gibt an, ob die DNS-Suchliste (DNS Search List) bzw. die eigene Domäne für dieses logische Netzwerk vom internen DNS-Server eingefügt werden soll, z. B. "intern". Die eigene Domäne ist unter IPv4 > DNS > Allgemeine Einstellungen konfigurierbar.
Seite 437: Dhcpv6
Referenzhandbuch 7 IPv6 7.8.3 DHCPv6 Hier konfigurieren Sie DHCPv6-Server, den DHCPv6-Client und den DHCPv6-Relay-Agent. DHCPv6-Netzwerke In dieser Tabelle konfigurieren Sie die Grundeinstellungen des DHCPv6-Servers und definieren, für welche Interfaces diese gelten sollen. Interface-Name-or-Relay Name des Interfaces, auf dem der DHCPv6-Server arbeitet, z. B. "INTRANET". Alternativ hinterlegen Sie hier die IPv6-Adresse des entfernten DHCPv6 Relay-Agenten.
Seite 438 Referenzhandbuch 7 IPv6 DHCPv6-Server aktiviert Aktiviert bzw. deaktiviert den Eintrag. Rapid-Commit Bei aktiviertem Rapid-Commit antwortet der DHCPv6-Server direkt auf eine Solicit-Anfrage mit einer Reply-Nachricht. Der Client muss explizit die Rapid-Commit-Option in seiner Anfrage setzen. Erster DNS IPv6-Adresse des ersten DNS-Servers. Zweiter DNS IPv6-Adresse des zweiten DNS-Servers.
Seite 439 Referenzhandbuch 7 IPv6 Unterstützt wird das Reconfigure Key Authentication Protocol nach RFC 3315 für die Optionen Renew und Information-Request , sowie Rebind nach RFC 6644. Das Auslösen der Rekonfiguration erfolgt auf der Konsole des Gerätes durch einen do-Befehl im Status-Baum: do /Status/IPv6/DHCPv6/Server/Reconfigure Die Reconfigure-Funktion erwartet im Anschluss folgende Parameter: renew: (optional, Default) Fordert den Client auf, ein Renew für seine Adresse und/oder sein Präfix...
Seite 440 Referenzhandbuch 7 IPv6 Erste Adresse Erste Adresse des Pools, z. B. "2001:db8::1" Letzte Adresse Letzte Adresse des Pools, z. B. "2001:db8::9" Bevorzugte Gültigkeit Bestimmen Sie hier die Zeit in Sekunden, die der Client diese Adresse als 'bevorzugt' verwenden soll. Nach Ablauf dieser Zeit führt ein Client diese Adresse als 'deprecated'.
Seite 441 Referenzhandbuch 7 IPv6 Erstes Präfix Erstes zu delegierendes Präfix im PD-Pool, z. B. "2001:db8:1100::" Letztes Präfix Letztes zu delegierendes Präfix im PD-Pool, z. B. "2001:db8:FF00::" Präfix-Länge Länge der Präfixe im PD-Pool, z. B. "56" oder "60" Bevorzugte Gültigkeit Bestimmen Sie hier die Zeit in Sekunden, die der Client dieses Präfix als 'bevorzugt' verwenden soll. Nach Ablauf dieser Zeit führt ein Client diese Adresse als 'deprecated'.
Seite 442 Referenzhandbuch 7 IPv6 Arbeitet das Gerät als DHCPv6-Server, finden sich die Client-IDs der Clients mit aktuellem Bezug von IPv6-Adressen unter Status > IPv6 > DHCPv6 > Server > Adress-Zuteilungen, bzw. mit aktuellem Bezug von IPv6-Präfixen unter Status > IPv6 > DHCPv6 > Server > PD-Zuteilungen. Der LANmonitor zeigt die Client-IDs der Clients unter DHCPv6-Server an.
Seite 443 Referenzhandbuch 7 IPv6 Rapid-Comment Bei aktiviertem Rapid-Commit versucht der Client, mit nur zwei Nachrichten vom DHCPv6-Server eine IPv6-Adresse zu erhalten. Ist der DHCPv6-Server entsprechend konfiguriert, antwortet er auf diese Solicit-Anfrage sofort mit einer Reply-Nachricht. Reconfigure-Accept Wenn der Client mit dem Server beim ersten Kontakt erfolgreich ein Re-Konfiguration (Reconfigure) ausgehandelt hat, dann kann der Server den Client jederzeit auffordern, seine Adresse oder andere Informationen zu aktualisieren.
Seite 444 Referenzhandbuch 7 IPv6 Relay-Agent-Interfaces Ein DHCPv6-Relay-Agent leitet DHCP-Nachrichten zwischen DHCPv6-Clients und DHCPv6-Servern weiter, die sich in unterschiedlichen Netzwerken befinden. Definieren Sie in dieser Tabelle das Verhalten des DHCPv6-Relay-Agents. Interface-Name Name des Interfaces, auf dem der Relay-Agent Anfragen von DHCPv6-Clients entgegennimmt, z. B. "INTRANET". Relay-Agent aktiviert Bestimmt, wie und ob das Gerät den Relay-Agent aktiviert.
Seite 445: Tunnel
Referenzhandbuch 7 IPv6 7.8.4 Tunnel In der Konfiguration Tunnel legen Sie über 3 Schaltflächen IPv6-Tunnel an, die über IPv4-Netzwerke verwendet werden. Dies benötigen Sie, um den Zugang zum IPv6-Internet über eine IPv4-Verbindung herzustellen. 6to4-Tunnel: Diese Schaltfläche öffnet die Einstellung von 6to4-Tunneln. Verbindungen über einen 6to4-Tunnel nutzen Relays, die der Backbone des IPv4-Internet-Providers auswählt.
Seite 446: Tutorials
Referenzhandbuch 7 IPv6 7.9 Tutorials 7.9.1 Konfiguration der IPv6-Firewall-Regeln Mit LANconfig können Sie die Firewall-Regeln unter Firewall/QoS > IPv6-Regeln festlegen. Standardmäßig sind bereits einige Objekte und Listen für die wichtigsten Anwendungsfälle vorgegeben. Sie können Listen oder Objekte nicht löschen, wenn die Firewall diese in einer Forwarding- oder Inbound-Regel verwendet.
Seite 447: Ipv6-Forwarding-Regeln
Referenzhandbuch 7 IPv6 Diese Regel ist für die Firewall aktiv Aktiviert die Regel. Priorität Bestimmt die Priorität der Regel: Je höher der Wert, desto höher die Priorität. Aktionen Bestimmt die Aktion, die die Firewall bei gültiger Regel ausführen soll. Über Wählen können Sie aus einer Liste eine Aktion oder eine Aktions-Liste auswählen.
Seite 448 Referenzhandbuch 7 IPv6 Klicken Sie auf Hinzufügen..., um eine neue Regel festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen der Regel. Diese Regel ist für die Firewall aktiv Aktiviert die Regel. Weitere Regeln beachten, nachdem diese Regel zutrifft Wenn Sie diese Option aktivieren, führt die Firewall zusätzlich die nachfolgenden Regeln der Liste aus.
Seite 449 Referenzhandbuch 7 IPv6 Aktionen Bestimmt die Aktion, die die Firewall bei gültiger Regel ausführen soll. Über Wählen können Sie aus einer Liste eine Aktion oder eine Aktions-Liste auswählen. Wenn Sie hier einen neuen Eintrag eingeben, taucht dieser zunächst unter Unbekannte Quelle auf. Markieren Sie anschließend den Eintrag einer Quelle, der Sie den neuen Eintrag zuordnen möchten und klicken anschließend auf Quelle verwalten.
Seite 450 Referenzhandbuch 7 IPv6 Name Bestimmt den Namen der Liste. Aktions-Objekte Bestimmt die Objekte, die sie in dieser Liste zusammenfassen möchten. Über Wählen können Sie aus einer Liste ein oder mehrere Objekte auswählen. Wenn Sie hier einen neuen Eintrag eingeben, taucht dieser zunächst unter Unbekannte Quelle auf. Markieren Sie anschließend den Eintrag einer Quelle, der Sie den neuen Eintrag zuordnen möchten und klicken anschließend auf Quelle verwalten.
Seite 451 Referenzhandbuch 7 IPv6 Name Bestimmt den Namen des Objektes. Anzahl Bestimmt das Limit, bei dessen Überschreiten die Firewall die Aktion ausführt. Einheit Bestimmt die Einheit des Limits. Wählen Sie im Drop-Down-Menü den entsprechenden Wert aus. Zeit Bestimmt, für welchen Messzeitraum die Firewall das Limit ansetzt. Wählen Sie im Drop-Down-Menü den entsprechenden Wert aus.
Seite 452 Referenzhandbuch 7 IPv6 Bedingungen Bestimmt, welche Bedingung zusätzlich zur Ausführung der Aktion erfüllt sein müssen. Die Bedingungen können Sie unter Bedingungen definieren. Weitere Maßnahmen Bestimmt, welche Trigger-Aktionen die Firewall zusätzlich zur Filterung der Datenpakete starten soll. Die Trigger-Aktionen können Sie unter Weitere Maßnahmen definieren. Bedingungen Über die Schaltfläche Bedingungen definieren Sie Bedingungen, die zum Anwenden der Forwarding- und Inbound-Regeln erfüllt sein müssen.
Seite 453: Weitere Maßnahmen
Referenzhandbuch 7 IPv6 Transport-Richtung Bestimmt, ob die Transportrichtung sich auf den logischen Verbindungsaufbau oder die physikalische Datenübertragung über das jeweilige Interface bezieht. Aktion nur - bei DiffServ-CP Bestimmt, welche Priorität die Datenpakete (Differentiated Services, DiffServ) besitzen müssen, damit die Bedingung erfüllt ist. Weitere Informationen zu den DiffServ-CodePoints finden Sie im Referenzhandbuch im Kapitel “QoS”.
Seite 454 Referenzhandbuch 7 IPv6 E-Mail-Nachricht senden Aktivieren Sie diese Option, wenn die Firewall eine E-Mail-Nachricht versenden soll. Wenn Sie eine Benachrichtigung per E-Mail erhalten möchten, müssen Sie unter Firewall/QoS > Allgemein > Administrator E-Mail eine entsprechende E-Mail-Adresse angeben. Verbindung trennen Aktivieren Sie diese Option, wenn die Firewall die Verbindung trennen soll. Absender-Adresse sperren Aktivieren Sie diese Option, wenn die Firewall die Absender-Adresse sperren soll.
Seite 455 Referenzhandbuch 7 IPv6 TCP/UDP-Dienst-Objekte Über die Schaltfläche TCP/UDP-Dienst-Objekte definieren Sie TCP/UDP-Dienste, die die IPv6-Firewall für Filterregeln verwenden kann. Klicken Sie auf Hinzufügen..., um einen neuen Dienst festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen des Objektes. IP-Protokoll Bestimmt das Protokoll des Dienstes Ports...
Seite 456 Referenzhandbuch 7 IPv6 ICMP Code Bestimmt den Code des ICMP-Dienstes. IP-Protokoll-Objekte Über die Schaltfläche IP-Protokoll-Objekte definieren Sie Internet-Protokoll-Objekte, die die IPv6-Firewall für Filterregeln verwenden kann. Listen mit den offiziellen Protokoll- und Portnummern finden Sie im Internet unter www.iana.org Klicken Sie auf Hinzufügen..., um ein neues Objekt festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen des Objektes.
Seite 457: Einrichtung Eines Ipv6-Internetzugangs
Referenzhandbuch 7 IPv6 Stations-Objekte Über die Schaltfläche Stations-Objekte definieren Sie Stationen, die die IPv6-Firewall für Filterregeln verwenden kann. Klicken Sie auf Hinzufügen..., um ein neues Objekt anzulegen. Sie können die folgenden Eigenschaften der Objekte festlegen: Name Bestimmt den Namen des Objektes. Bestimmt den Stationstyp.
Seite 458 Referenzhandbuch 7 IPv6 Setup-Assistent - IPv6 bei einem neuen Gerät einrichten Wenn Sie ein neues Gerät angeschlossen, aber noch nicht konfiguriert haben, haben Sie die Möglichkeit per Setup-Assistent IPv4- und IPv6-Verbindungen herzustellen. Um Ihre Eingaben zu übernehmen und zum nächsten Dialog zu gelangen, klicken Sie jeweils auf Weiter. 1.
Seite 459 Referenzhandbuch 7 IPv6 Nachfolgend führen wir Sie durch die Einrichtung einer Dual-Stack-Verbindung. Aktivieren Sie die entsprechende Auswahl. 4. Bestimmen Sie das Interface, über das Sie die Verbindung herstellen möchten. Sie haben folgende Einträge zur Auswahl: ADSL-Interface Ethernet-Interface (externes Modem/Router) ISDN-Interface Mobilfunk über USB-Interface...
Seite 460 Referenzhandbuch 7 IPv6 5. Wählen Sie aus der Liste Ihr Land aus. 6. Wählen Sie Ihren Internet-Provider aus. Sie haben folgende Einträge zur Auswahl: Eine Auswahl der wichtigsten Internet-Provider Alternative Internet-Anbieter über T-DSL Internet-Zugang über PPP over ATM (PPPoA) Internet-Zugang über PPP over Ethernet (PPPoE, PPPoEoA) Internet-Zugang über Plain IP (IPoA) Internet-Zugang über Plain Ethernet (IPoE, IPoEoA) 7.
Seite 461 Referenzhandbuch 7 IPv6 Wenn Sie den Internet-Zugang alternativ z. B. über eine PPPoE-Verbindung einrichten wollen, geben Sie zusätzlich noch die entsprechenden ATM-Parameter ein. 8. Tragen Sie die Zugangsdaten ein, die Ihnen Ihr Provider bei der Errichtung Ihres Internetzugangs mitgeteilt hat. Je nach Provider können sich Art und Anzahl der Felder unterscheiden.
Seite 462 Referenzhandbuch 7 IPv6 9. Legen Sie fest, wie sich das Gerät bei einem Verbindungsabbruch verhalten soll. Außerdem können Sie angeben, ob und wann das Gerät die Internetverbindung zwangsweise trennen soll. 10. Definieren Sie die Art der Backup-Verbindung im Fall einer Verbindungsstörung. Sie haben folgende Optionen zur Auswahl: Keine Backup-Verbindung verwenden: Sie überspringen die Konfiguration einer Backup-Verbindung.
Seite 463 Referenzhandbuch 7 IPv6 11. Falls Ihr Gerät noch keine IP-Adresse besitzt, tragen Sie eine neue IP-Adresse sowie die entsprechende Netzmaske ein. 12. Wählen Sie die Art des IPv6-Internet-Zugangs. Sie haben folgende Optionen zur Auswahl: Zusätzlich natives IPv6: Konfigurieren Sie eine direkte Verbindung ohne Tunnel. 6to4-Tunnel: Starten Sie den Assistenten zur Konfiguration eines 6to4-Tunnels.
Seite 464 Referenzhandbuch 7 IPv6 13. Übernehmen Sie die Default-Einstellung IPv6-Parameter automatisch aus Router-Advertisements beziehen. 14. Sie haben die Einrichtung des nativen IPv6-Internetzugangs abgeschlossen. Klicken Sie abschließend auf Fertig stellen, damit der Assistent Ihre Eingaben im Gerät speichern kann. Setup-Assistent - IPv6 bei einem bestehenden Gerät einrichten Wenn Sie ein Gerät für IPv4 konfiguriert haben und zusätzliche eine IPv6-Verbindung einrichten wollen, haben Sie die Möglichkeit, diese IPv6-Verbindungen über den Setup-Assistenten herzustellen.
Seite 465 Referenzhandbuch 7 IPv6 2. Wählen Sie im Setup-Assistenten die Option Internet-Zugang einrichten. Klicken Sie anschließend auf Weiter. 3. Da ihr Gerät bereits für IPv4 beherrscht, bietet der Setup-Assistent Ihnen die Möglichkeit, diese existierende Einstellung um IPv6 zu erweitern. Wählen Sie diese Option und klicken Sie anschließend auf Weiter. 4.
Seite 466: Einrichtung Eines 6To4-Tunnels
Referenzhandbuch 7 IPv6 Sie haben folgende Optionen zur Auswahl: Zusätzlich natives IPv6: Konfigurieren Sie eine direkte Verbindung ohne Tunnel. 6to4-Tunnel: Starten Sie den Assistenten zur Konfiguration eines 6to4-Tunnels. 6in4-Tunnel: Bestimmen Sie in der Eingabemaske die Parameter für den 6in4-Tunnel. 6rd-Tunnel: Bestimmen Sie in der Eingabemaske die Parameter für den 6rd-Tunnel. Aktivieren Sie die Option für die Einrichtung einer nativen IPv6-Internet-Verbindung.
Seite 467 Referenzhandbuch 7 IPv6 2. Wählen Sie das Gerät aus, für das Sie den 6to4-Tunnel einrichten wollen. Markieren Sie es mit einem Links-Klick und starten Sie die Konfiguration in der Menüleiste über Gerät > Konfigurieren. 3. Wechseln Sie im Konfigurationsdialog in die Ansicht IPv6 > Tunnel und klicken Sie auf 6to4-Tunnel. 4.
Seite 468 Referenzhandbuch 7 IPv6 11. Wechseln Sie in das Verzeichnis IPv6 > Router-Advertisements. 12. Öffnen Sie die Präfix-Liste und klicken Sie auf Hinzufügen. 13. Vergeben Sie einen Namen für das Interface, das den 6to4-Tunnel verwenden wird, z. B. "INTRANET". 14. Bestimmen Sie als Präfix den Wert "::/64", um das vom Provider vergebene Präfix automatisch und in voller Länge zu übernehmen.
Seite 469: Verwendung Von Webconfig
Referenzhandbuch 7 IPv6 23. Wechseln Sie in das Verzeichnis IP-Router > Routing. 24. Öffnen Sie die IPv6-Routing-Tabelle und klicken auf Hinzufügen. 25. Vergeben Sie als Präfix den Wert "::/0". 26. Übernehmen Sie für Routing-Tag den Default-Wert "0". 27. Im Feld Router wählen Sie aus der Liste den Namen des Tunnels aus, den Sie definiert haben, im Beispiel oben "TUNNEL-6TO4".
Seite 470 Referenzhandbuch 7 IPv6 1. Geben Sie in der Adresszeile Ihres Browsers die Adresse des Gerätes ein, für das Sie den 6to4-Tunnel einrichten wollen. 2. Wechseln Sie in das Verzeichnis LCOS-Menübaum > Setup > IPv6 > Tunnel > 6to4 und klicken Sie auf Hinzufügen. 3.
Seite 471 Referenzhandbuch 7 IPv6 15. Wechseln Sie in das Verzeichnis LCOS-Menübaum > Setup > IPv6 > Router-Advertisement, öffnen Sie die Tabelle Interface-Optionen und klicken Sie auf Hinzufügen. 16. Übernehmen Sie alle weiteren Default-Werte unverändert. 17. Speichern Sie die Eingaben mit Setzen. 18.
Seite 472: Firewall
Referenzhandbuch 8 Firewall 8 Firewall Für die meisten Firmen und viele Privatanwender ist eine Arbeit ohne das Internet nicht mehr denkbar. E-Mail und Web sind für die Kommunikation und Informationsrecherche unverzichtbar. Jede Verbindung der Rechner aus dem eigenen, lokalen Netzwerk mit dem Internet stellt aber eine potentielle Gefahr dar: Unbefugte können über diese Internet-Verbindung versuchen, Ihre Daten einzusehen, zu verändern oder Ihre Rechner zu manipulieren.
Seite 473: Die Methoden
Referenzhandbuch 8 Firewall Über Funknetzwerke, die als Ergänzung zum drahtgebundenen Netzwerk eingesetzt werden In diesem Kapitel betrachten wir ausschließlich die Wege über die zentrale Internetverbindung, über den Router. Hinweise zum Schutz der Funknetzwerke entnehmen Sie bitte den entsprechenden Kapiteln dieses Referenz-Handbuchs bzw.
Seite 474: Was Ist Eine Firewall
Referenzhandbuch 8 Firewall Seite ist es bei einem schutzlos im Internet aufgestellten Rechner wahrscheinlich nur eine Frage der Zeit, bis er evtl. sogar zufällig einmal das Opfer von Angriffen wird. 8.2 Was ist eine Firewall? Der Begriff der “Firewall” wird sehr unterschiedlich interpretiert. Wir möchten an dieser Stelle erläutern, was im Rahmen dieses Referenz-Handbuchs mit der “Firewall”...
Seite 475: Unterschiedliche Typen Von Firewalls
Referenzhandbuch 8 Firewall Die Protokollierung alleine kommt aber manchmal zu spät. Oft kann durch ein sofortiges Eingreifen des Admins ein größerer Schaden verhindert werden. Aus diesem Grund verfügen Firewalls meistens über eine Alarmierungsfunktion, bei der die Meldungen der Firewall z. B. per E-Mail an den Administrator gemeldet werden. 8.2.2 Unterschiedliche Typen von Firewalls Im Laufe der letzten Jahre hat sich die Arbeitsweise von Firewalls immer weiter entwickelt.
Seite 476: Stateful-Packet-Inspection
Referenzhandbuch 8 Firewall Wenn man die Firewall weiterhin mit einem Pförtner vergleicht, prüft dieser Türsteher nur, ob er den Boten mit dem Paket an der Tür kennt oder nicht. Wenn der Kurier bekannt ist und schon einmal in das Gebäude hinein durfte, darf er auch bei allen folgenden Aufträgen ungehindert und unkontrolliert in das Gebäude bis zum Arbeitsplatz des Empfängers.
Seite 477 Referenzhandbuch 8 Firewall Versucht hingegen ein anderer Rechner im Internet, den gerade offenen Port 4322 im LAN zu nutzen, um selbst Daten von seinem Port 20 auf dem geschützten Client abzulegen, wird dieser Versuch von der Firewall unterbunden, denn die IP-Adresse des Angreifers passt nicht zur erlaubten Verbindung! Nach der erfolgreichen Datenübertragung verschwinden die Einträge automatisch wieder aus der dynamischen Tabelle, die Ports werden also wieder geschlossen.
Seite 478: Die Firewall Im Gerät
Referenzhandbuch 8 Firewall Das Application Gateway steht damit als eine Art Vertreter (Proxy) für jedes der beiden Netzwerke da. Eine andere Bezeichnung für diese Konstellationen ist die des “dualhomed Gateway”, weil dieser Rechner sozusagen in zwei Netzwerken zu Hause ist. Für jede Anwendung, die über dieses Gateway erlaubt werden soll, wird auf dem Gateway ein eigener Dienst eingerichtet, z.
Seite 479: So Prüft Die Firewall Im Gerät Die Datenpakete
Referenzhandbuch 8 Firewall Bei Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die für die Voice-Verbindungen benötigen Ports automatisch freigeschaltet! 8.3.1 So prüft die Firewall im Gerät die Datenpakete Die Firewall filtert aus dem gesamten Datenstrom, der über den IP-Router des Geräts läuft, diejenigen Datenpakete heraus, für die eine bestimmte Behandlung vorgesehen ist.
Seite 480 Referenzhandbuch 8 Firewall Filterliste Und so setzt die Firewall die Listen ein, wenn ein Datenpaket über den IP-Router geleitet werden soll: 1. Zuerst wird nachgeschaut, ob das Paket von einem Rechner kommt, der in der Hostsperrliste vermerkt ist. Ist der Absender gesperrt, wird das Paket verworfen.
Seite 481: Besondere Protokolle
Referenzhandbuch 8 Firewall über welches Protokoll und welchen Port eine Verbindung aktuell erlaubt ist. Darüber hinaus wird in dieser Liste festgehalten, wie lange der Eintrag noch in der Liste stehen bleibt und welche Firewall-Regel den Eintrag erzeugt hat. Diese Liste ist sehr dynamisch und permanent “in Bewegung”. Die Filterliste wird aus den Regeln der Firewall erzeugt.
Seite 482: Allgemeine Einstellungen Der Firewall
Referenzhandbuch 8 Firewall TCP-Verbindungen TCP-Verbindungen können nicht einfach nur durch die Prüfung der Ports nachgehalten werden. Bei einigen Protokollen wie z. B. FTP, PPTP oder H.323 sind Prüfungen der Nutzdaten nötig, um alle später ausgehandelten Verbindungen zu öffnen, und nur die wirklich zu den Verbindungen gehörenden Pakete zu akzeptieren. Dies entspricht einer vereinfachten Version dessen, was auch beim IP-Masquerading gemacht wird, nur ohne Adress- und Port-Mapping.
Seite 483: Sitzungswiederherstellung
Referenzhandbuch 8 Firewall Fragmente Manche Angriffe aus dem Internet versuchen, die Firewall durch fragmentierte Pakete (also in mehrere kleine Einheiten aufgeteilte Pakete) zu überlisten. Zu den Haupteigenschaften einer Stateful Inspection gehört auch die Fähigkeit, fragmentierte Pakete zu Re-assemblieren (wieder zusammenzusetzen), um anschließend das gesamte IP-Paket prüfen zu können.
Seite 484 Referenzhandbuch 8 Firewall Ping-Blocking Eine - nicht unumstrittene - Methode die Sicherheit zu erhöhen, ist das Verstecken des Routers; frei nach der Methode: “Wer mich nicht sieht, wird auch nicht versuchen mich anzugreifen...”. Viele Angriffe beginnen mit der Suche nach Rechnern und/oder offenen Ports über eigentlich recht harmlose Anfragen, z.
Seite 485: Die Parameter Der Firewall-Regeln
Referenzhandbuch 8 Firewall Das Aktivieren der Option “Authentifizierungs-Port tarnen“ kann zu erheblichen Verzögerungen beim Versand und Empfang z. B. von E-Mails oder News führen! Ein Mail- oder News-Server, der mit Hilfe dieses Dienstes etwaige zusätzliche Informationen vom User anfordert, läuft dann zunächst in einen störenden Timeout, bevor er beginnt, die Mails auszuliefern.
Seite 486: Anwendung Der Firewall-Regel
Referenzhandbuch 8 Firewall einzelne Regeln z. B. nicht gleichzeitig die gemeinsame Obergrenze abbilden. Soll jeder von z. B. drei Abteilungen eine Bandbreite von maximal 512 kBit/s zugestanden werden, die gesamte Datenrate der drei Abteilungen aber ein Limit von 1024 kBit/s nicht überschreiten, so muss eine mehrstufige Prüfung der Datenpakete eingerichtet werden: In der ersten Stufe wird geprüft, ob die aktuelle Datenrate der einzelnen Abteilung die Grenze von 512 kBit/s nicht übersteigt.
Seite 487: Verbindung
Referenzhandbuch 8 Firewall Paket-Aktion: Was soll mit den Datenpaketen passieren, wenn die Bedingung erfüllt und das Limit erreicht sind? Paket-Aktion auf Seite 488 Sonstige Sonstige Maßnahmen: Sollen neben der Paket-Aktion noch weitere Maßnamen eingeleitet werden? Maßnahmen auf Seite 489 Quality of Service (QoS): Werden Datenpakete bestimmter Anwendungen oder mit entsprechenden Markierungen Quality of Service (QoS) durch die Zusicherung von speziellen Dienstgütern besonders bevorzugt? auf Seite 489...
Seite 488: Bedingung
Referenzhandbuch 8 Firewall Bestimmte Stationen im LAN (bezeichnet durch den Hostnamen) Bestimmte MAC-Adressen MAC steht für Media Access Control und ist Dreh- und Angelpunkt für die Kommunikation innerhalb eines LAN. In jedem Netzwerkadapter ist eine MAC-Adresse fest eingespeichert. MAC-Adressen sind weltweit eindeutig und unverwechselbar, ähnlich zu Seriennummern von Geräten.
Seite 489: Die Alarmierungsfunktionen Der Firewall
Referenzhandbuch 8 Firewall Verwerfen: Das Paket wird stillschweigend verworfen. Zurückweisen: Das Paket wird zurückgewiesen, der Empfänger erhält eine entsprechenden Nachricht über ICMP. Sonstige Maßnahmen Die Firewall dient nicht nur dazu, die gefilterten Datenpakete zu verwerfen oder durchzulassen, sie kann auch zusätzliche Maßnahmen ergreifen, wenn ein Datenpaket durch den Filter erfasst wurde.
Seite 490: Benachrichtigung Per E-Mail
Referenzhandbuch 8 Firewall Die Ports werden dabei nur bei portbehafteten Protokollen ausgegeben. Zusätzlich werden Rechnernamen dann ausgegeben, wenn das Gerät diese direkt (d.h. ohne weitere DNS-Anfrage) auflösen kann. Werden für einen Filter die Syslog-Meldungen aktiviert (%s-Aktion), so wird diese Meldung ausführlicher. Dann werden Name des Filters, überschrittenes Limit, sowie ausgeführte Aktionen zusätzlich mit ausgegeben.
Seite 491: Benachrichtigung Per Snmp-Trap
SNMP: Specific trap = 26 (0x1A) SNMP: Time stamp = 1442 (0x5A2) System-Descriptor: SNMP: OID = 1.3.6.1.2.1.1.1.0 1. SNMP: String Value = LANCOM Business 6021 2.80.0001 / 23.09.2002 8699.000.036 Device-String: SNMP: OID = 1.3.6.1.2.1.1.5.0 2. System-Name SNMP: String Value = LANCOM Business 6021 Time-Stamp: SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.2.1 3.
Seite 492: Strategien Für Die Einstellung Der Firewall
Referenzhandbuch 8 Firewall Ziel-Adresse: SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.4.1 4. SNMP: IP Address = 192.168.200.10 Protokoll (6 = TCP): SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.5.1 5. SNMP: Integer Value = 6 (0x6) TCP Quell-Port: SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.6.1 6. SNMP: Integer Value = 4353 (0x1101) Ziel-Port (80 = HTTP): SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.7.1 7.
Seite 493 Referenzhandbuch 8 Firewall Die Firewall schützt dabei zunächst die DMZ gegen Angriffe aus dem Internet. Zusätzlich schützt die Firewall aber auch das LAN gegen die DMZ. Die Firewall wird dazu so konfiguriert, dass nur folgende Zugriffe möglich sind: Stationen aus dem Internet können auf die Server in der DMZ zugreifen, der Zugriff aus dem Internet auf das LAN ist jedoch nicht möglich.
Seite 494: Tipps Zur Einstellung Der Firewall
Firewall-Regeln mit Scripten übertragen Firewall-Regeln können einfach und komfortabel mittels Scripten über Geräte- und Softwareversionen hinweg übertragen werden. Explizite Beispielscripte finden sich in der LANCOM KnowledgeBase unter www.lancom.de/support. Aufbau einer expliziten ”Deny-All”-Strategie Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden.
Seite 495 Für den Fall, dass ein VPN nicht vom Gerät selbst terminiert wird (z. B. VPN-Client im lokalen Netz, oder das Gerät als Firewall vor einem zusätzlichen VPN-Gateway), so müssen Sie zusätzlich IPSec bzw. PPTP (für das ’IPSec over PPTP’ des LANCOM VPN Clients) freischalten: Regel...
Seite 496: Konfiguration Der Firewall Mit Lanconfig
Objekt verwenden. Daher werden beim Ändern von Firewall-Objekten alle Firewall-Regeln angezeigt, die ebenfalls diese Objekte verwenden. Existierende Firewalls (in der %-Schreibweise) werden beim Öffnen der Konfiguration mit LANconfig nicht automatisch auf die objektorientierte Form umgestellt. In der LANCOM KnowledgeBase finden Sie vorgefertigte Firewalleinstellungen, welche die neuen Objekte benutzen.
Seite 497 Referenzhandbuch 8 Firewall Aktions-Objekte Hier legen Sie die Firewall-Aktion fest, bestehend aus Bedingung, Limit, Paket-Aktion und sonstigen Maßnahmen, die durch die Firewall-Regeln verwendet werden sollen. QoS-Objekte Hier können Sie die Mindestbandbreiten für die Datenpakete zur Verfügung stellen, die durch die Firewall-Regeln verwendet werden sollen.
Seite 498: Definition Der Firewall-Regeln
Referenzhandbuch 8 Firewall Stations-Objekte Hier werden die Stationen festgelegt, die als Absender oder Adressat der Pakete durch die Firewall-Regeln verwendet werden sollen. Die Stations-Objekte sind dabei nicht auf Quelle oder Ziel festgelegt, sondern können in den Firewall-Regeln je nach Bedarf verwendet werden. Im Zusammenhang mit ARF ist es z. B. möglich, eine bestimtmes IP-Netzwerk als Stations-Objekt zu definieren.
Seite 499: Neue Firewall-Regel Hinzufügen
Referenzhandbuch 8 Firewall Ziel Quell- und Ziel-Dienst Aktion/QoS Kommentar Neue Firewall-Regel hinzufügen Beim Anlegen einer neuen Firewall-Regel werden zunächst die allgemeinen Daten erfasst. Auf den folgenden Registerkarten für Aktionen, QoS, Stationen oder Dienste werden die schon definierten Objekte zur direkten Verwendung angeboten. Alternativ können von dieser Stelle aus neue Objekte angelegt werden, die auch in anderen Regeln verwendet werden können oder benutzerdefinierte Einträge, die nur in der aktiven Firewall-Regel zum Einsatz kommen.
Seite 500: Getrennte Ansicht Für Ipv4- Und Ipv6-Firewall
Referenzhandbuch 8 Firewall Firewall-Regel bearbeiten Beim Bearbeiten einer bestehenden Firewall-Regel wird angezeigt, ob Aktionen, QoS, Stationen oder Dienste als vordefiniertes Objekt eingefügt wurden. Wenn ein referenziertes Objekt bearbeitet werden soll, das schon in anderen Firewall-Regeln verwendet wird, wird ein entsprechender Hinweis ausgegeben. 8.4.3 Getrennte Ansicht für IPv4- und IPv6-Firewall Ab Firmware-Version 8.80 können Sie die Regeln für die IPv4- und IPv6-Firewalls mit LANconfig jeweils in getrennten Ansichten konfigurieren.
Seite 501: Objekttabelle
Die im folgenden beschriebene %-Schreibweise ist nur bei der Definition von Objekten oder Aktionen erforderlich. Existierende Firewalls in der %-Schreibweise werden nicht automatisch auf die objektorientierte Form umgestellt. Allerdings stehen in der LANCOM KnowledgeBase vorgefertigte Firewalleinstellungen bereit, die die neuen Objekte verwenden.
Seite 502: Aktionstabelle
Referenzhandbuch 8 Firewall 20 und 21), HTTP (= TCP + Port 80) und DNS (= TCP, UDP + Port 53) anlegen. Diese können dann wiederum zu einem Objekt zusammengefasst werden, das alle Definitionen der Einzelobjekte enthält. 8.5.3 Aktionstabelle WEBconfig: Setup / IP-Router / Firewall / Aktions-Tabelle Eine Firewall-Aktion besteht aus einer Bedingung, einem Limit, einer Paket-Aktion und sonstigen Maßnahmen.
Seite 503 Referenzhandbuch 8 Firewall Wird die Logging-Tabelle über den LANmonitor aufgerufen, präsentiert sie sich in folgender Darstellung: Wird die Logging-Tabelle über WEBconfig aufgerufen, präsentiert sie sich in folgender Darstellung: Diese Tabelle enthält die folgenden Werte: Element Bedeutung Idx. laufender Index (damit die Tabelle auch über SNMP abgefragt werden kann) System-Zeit System-Zeit in UTC Kodierung (wird bei der Ausgabe der Tabelle in Klartext umgewandelt) Quell-Adresse...
Seite 504: Die Filterliste
Referenzhandbuch 8 Firewall Element Bedeutung Aktion Bitfeld, das alle ausgeführten Aktionen aufführt. Folgende Werte sind zur Zeit definiert: 0x00000001 Accept 0x00000100 Reject 0x00000200 Aufbaufilter 0x00000400 Internet- (Defaultrouten-) Filter 0x00000800 Drop 0x00001000 Disconnect 0x00004000 Quell-Adresse sperren 0x00020000 Zieladresse und -port sperren 0x20000000 Sende Syslog-Benachrichtigung 0x40000000 Sende SNMP-Trap 0x80000000 Sende E-Mail...
Seite 505: Die Verbindungsliste
Referenzhandbuch 8 Firewall Unter WEBconfig hat die Filterliste den folgenden Aufbau: Die einzelnen Felder in der Filterliste haben folgende Bedeutung: Eintrag Beschreibung Idx. laufender Index Prot zu filterndes Protokoll, also z. B. 6 für TCP oder 17 für UDP Quell-MAC Ethernet-Quell-Adresse des zu filternden Pakets oder 000000000000, wenn der Filter für alle Pakete gelten soll Quell-Adresse...
Seite 506 Referenzhandbuch 8 Firewall Unter WEBconfig hat die Filterliste den folgenden Aufbau: Die Tabelle enthält die folgenden Elemente: Element Bedeutung Quell-Adresse Quell-Adresse der Verbindung Ziel-Adresse Ziel-Adresse der Verbindung Prot. verwendetes Protokoll (TCP/UDP etc.) Das Protokoll wird dezimal angegeben Quell-Port Quell-Port der Verbindung. Der Port wird nur bei portbehafteten Protokollen (TCP/UDP) oder Protokollen, die ein vergleichbares Feld besitzen (ICMP/GRE) angegeben Ziel-Port Ziel-Port der Verbindung (bei UDP-Verbindungen wird dieser erst mit der ersten Antwort besetzt)
Seite 507: Grenzen Der Firewall
Referenzhandbuch 8 Firewall Flag Bedeutung 00000400 H.323: zugehörige T.120-Verbindung 00000800 Verbindung über Loopback-Interface 00001000 prüfe verkettete Regeln 00002000 Regel ist verkettet 00010000 Ziel ist auf "lokaler Route" 00020000 Ziel ist auf Default-Route 00040000 Ziel ist auf VPN-Route 00080000 physikalische Verbindung ist nicht aufgebaut 00100000 Quelle ist auf Default-Route 00200000...
Seite 508: Abwehr Von Einbruchsversuchen: Intrusion Detection
Referenzhandbuch 8 Firewall in das lokale Netzwerk gelangen. Die Auswirkungen einiger Viren und Würmer werden zwar unterbunden, weil die Kommunikation über die benötigten Ports gesperrt ist, aber einen echten Schutz vor Viren bietet die Firewall allein nicht. Auch das Abhören von sensiblen Daten im Internet wird durch die Firewall nicht verhindert. Sind die Daten erst einmal über die Firewall hinaus in das unsichere Netz gelangt, stehen sie dort weiterhin den bekannten Gefahren gegenüber.
Seite 509: Konfiguration Des Ids
Referenzhandbuch 8 Firewall 8.8.2 Konfiguration des IDS Hier finden Sie die Einstellungen des IDS. LANconfig: Firewall/QoS / IDS WEBconfig: LCOS-Menübaum / Setup / IP-Router / Firewall Neben der Maximalzahl der Portanfragen, der Paket-Aktion und den möglichen Meldemechanismen gibt es hier noch weitergehende Reaktionsmöglichkeiten: Die Verbindung wird getrennt Die Adresse des Absenders wird für eine einstellbare Zeit gesperrt...
Seite 510: Beispiele Für Denial-Of-Service-Angriffe
Referenzhandbuch 8 Firewall Überschreitet die Anzahl der halboffenen Verbindungen einen Schwellwert, geht das Gerät von einem DoS-Angriff aus. Die dann resultierenden Aktionen und Maßnahmen können wie bei Firewall-Regeln definiert werden. Für Zentralgeräte befinden sich aufgrund der zumeist höheren Anzahl der angeschlossenen Benutzer auch ohne DoS-Angriff eine große Zahl von Verbindungen im halboffenen Zustand.
Seite 511 Referenzhandbuch 8 Firewall SYN Flooding Beim SYN-Flooding schickt der Angreifer in kurzen zeitlichen Abständen TCP-Pakete, mit gesetztem SYN-Flag und sich ständig ändernden Quell-Ports auf offene Ports seines Opfers. Der angegriffene Rechner richtet darauf hin eine TCP-Verbindung ein, sendet dem Angreifer ein Paket mit gesetzten SYN- und ACK-Flags und wartet nun vergeblich auf die Bestätigung des Verbindungsaufbaus.
Seite 512: Konfiguration Der Dos-Abwehr
Referenzhandbuch 8 Firewall Teardrop Der Teardrop-Angriff arbeitet mit überlappenden Fragmenten. Dabei wird nach dem ersten Fragment ein weiteres geschickt, das komplett innerhalb des ersten liegt, d.h. das Ende des zweiten Fragments liegt vor dem Ende des ersten. Wird nun aus Bequemlichkeit des Programmierers des IP-Stack bei der Ermittlung der Länge der zur Reassemblierung zu kopierenden Bytes einfach “neues Ende”...
Seite 513: Konfiguration Von Ping-Blocking Und Stealth-Modus
Referenzhandbuch 8 Firewall 8.9.4 Konfiguration von ping-Blocking und Stealth-Modus LANconfig: Firewall/QoS / Allgemein WEBconfig: LCOS-Menübaum / Setup / IP-Router / Firewall...
Seite 514: Quality-Of-Service
Referenzhandbuch 9 Quality-of-Service 9 Quality-of-Service Dieses Kapitel widmet sich dem Thema Quality-of-Service (kurz: QoS). Unter diesem Oberbegriff sind die Funktionen des LCOS zusammengefasst, die sich mit der Sicherstellung von bestimmten Dienstgüten befassen. 9.1 Wozu QoS? Generell möchte man mit dem Quality-of-Service erreichen, dass bestimmte Datenpakete entweder besonders sicher oder möglichst sofort übertragen werden: Bei der Datenübertragung kann es durchaus vorkommen, dass Datenpakete gar nicht beim Empfänger ankommen.
Seite 515: Was Ist Diffserv
Referenzhandbuch 9 Quality-of-Service Die IP-Header-Bits des ToS- bzw. DiffServ-Feldes werden im Falle einer VPN-Strecke auch in den umgebenden IP-Header des IPSec-VPN-Paketes kopiert. Somit steht QoS auch für VPN-Strecken über das Internet zur Verfügung, sofern der Provider entsprechende Pakete auch im WAN bevorzugt behandelt. Wenn die Applikation selbst nicht die Möglichkeit hat, die Datenpakete entsprechend zu kennzeichnen, kann das Gerät für die richtige Behandlung sorgen.
Seite 516: Dynamisches Bandbreitenmanagement Auch Beim Empfang
Referenzhandbuch 9 Quality-of-Service Bei Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die QoS-Einstellungen für SIP-Gespräche automatisch vorgenommen! Volldynamisches Bandbreitenmanagement beim Senden Das Bandbreitenmanagement erfolgt in Senderichtung dynamisch. Dies bedeutet, dass z. B. eine garantierte Mindestbandbreite nur solange zur Verfügung gestellt wird, wie auch tatsächlich entsprechender Datentransfer anliegt. Ein Beispiel: Zur Übertragung von VoIP-Daten eines entsprechenden VoIP-Gateways soll immer eine Bandbreite von 256 kBit/s garantiert werden.
Seite 517: Das Warteschlangenkonzept
Referenzhandbuch 9 Quality-of-Service 9.3 Das Warteschlangenkonzept 9.3.1 Sendeseitige Warteschlangen Die Anforderungen an die Dienstgüte werden im LCOS durch den Einsatz mehrerer Warteschlangen (Queues) für die Datenpakete realisiert. Auf der Sendeseite kommen folgende Queues zum Einsatz: Urgent-Queue I Diese Queue wird immer vor allen anderen abgearbeitet. Hier landen folgende Datenpakete: Pakete mit ToS “Low Delay“...
Seite 518: Empfangsseitige Warteschlangen
Referenzhandbuch 9 Quality-of-Service Anders sieht das aus, wenn ein Ethernet-Interface die Verbindung ins WAN darstellt. Aus Sicht des Geräts sieht die Verbindung ins Internet über das ein externes DSL-Modem wie ein Ethernet-Abschnitt aus. Auf der Strecke vom Gerät zum DSL-Modem werden die Daten auch mit der vollen LAN-Geschwindigkeit von 10 oder 100 MBit/s übertragen. Hier bildet sich also kein natürlicher Stau, da die Ein- und Ausgangsgeschwindigkeiten gleich sind.
Seite 519: Reduzierung Der Paketlänge
Referenzhandbuch 9 Quality-of-Service Das Reduzieren der Empfangsbandbreite macht es nun möglich, die empfangenen Datenpakete angemessen zu behandeln. Die bevorzugten Datenpakete werden bis zur garantierten Mindestbandbreite direkt in das LAN weitergegeben, die restlichen Datenpakete laufen in einen Stau. Dieser Stau führt in der Regel zu einer verzögerten Bestätigung der Pakete. Bei einer TCP-Verbindung wird der sendende Server auf diese Verzögerungen reagieren, seine Sendefrequenz herabsetzen und sich so der verfügbaren Bandbreite anpassen.
Seite 520: Qos-Parameter Für Voice-Over-Ip-Anwendungen
Referenzhandbuch 9 Quality-of-Service Dieses störende Verhalten kann ausgeglichen werden, wenn alle Datenpakete, die nicht zu der über QoS bevorzugten Verbindung gehören, eine bestimmte Länge nicht überschreiten. Auf der FTP-Verbindung werden dann z. B. nur so kleine Pakete verschickt, dass die zeitkritische VoIP-Verbindung die Pakete in der benötigten Taktung ohne zeitliche Verzögerung zustellen kann.
Seite 521 Referenzhandbuch 9 Quality-of-Service Bei einer Verzögerung von nicht mehr als 100 ms und einem Paketverlust von weniger als 5% wird die Qualität wie bei einer “normalen” Telefonverbindung empfunden, bei nicht mehr als 150 ms Verzögerung und weniger als 10% Paketverlust empfindet der Telefonteilnehmer immer noch eine sehr gute Qualität.
Seite 522 Referenzhandbuch 9 Quality-of-Service Konfiguration der Jitter-Buffer so klein gewählt werden sollte, dass die Qualität noch als ausreichend betrachtet werden kann. Die Verzögerung wird im Detail vor allem durch den verwendeten Codec, die daraus resultierende Paketgröße und die verfügbare Bandbreite bestimmt: Die Zeit für die Verarbeitung wird durch den verwendeten Codec festgelegt.
Seite 523 Weitere Informationen über die Bandbreiten beim Zusammenspiel von Voice over IP und IPSec entnehmen Sie bitte dem LANCOM-Techpaper Performance-Analyse der Router. Die Zeit für die Übertragung über das Internet ist abhängig von der Entfernung (ca. 1 ms pro 200 km) und von den dabei passierten Routern (ca.
Seite 524: Qos In Sende- Oder Empfangsrichtung
Referenzhandbuch 9 Quality-of-Service Der Jitter-Buffer kann an vielen IP-Telefonen direkt eingestellt werden, z. B. als feste Anzahl von Paketen, die für die Zwischenspeicherung verwendet werden sollen. Die Telefone laden dann bis zu 50% der eingestellten Pakete und beginnen dann mit der Wiedergabe. Der Jitter-Buffer entspricht damit der Hälfte der eingestellten Paketanzahl multipliziert mit der Samplingzeit des Codecs.
Seite 525: Qos-Konfiguration
Referenzhandbuch 9 Quality-of-Service 9.7 QoS-Konfiguration 9.7.1 ToS- und DiffServ-Felder auswerten ToS- oder DiffServ? Wählen Sie bei der Konfiguration mit LANconfig den Konfigurationsbereich 'IP-Router'. Auf der Registerkarte 'Allgemein' wird eingestellt, ob das 'Type-of-Service-Feld' oder alternativ das 'DiffServ-Feld' bei der Priorisierung der Datenpakete berücksichtigt wird.
Seite 526: Diffserv In Den Firewall-Regeln
Referenzhandbuch 9 Quality-of-Service DiffServ in den Firewall-Regeln In den Firewallregeln können die Code Points aus dem DiffServ-Feld ausgewertet werden, um weitere QoS-Parameter wie Mindestbandbreiten oder PMTU-Reduzierung zu steuern. Die Parameter für die Auswertung der DiffServ-Felder werden im LANconfig beim Definieren der QoS-Regel festgelegt: Je nach Auswahl des DSCP-Typs (BE, CS, AF, EF) können in zusätzlichen Drop-Down-Listen die gültigen Werte eingestellt werden.
Seite 527: Minimal- Und Maximalbandbreiten Definieren
Referenzhandbuch 9 Quality-of-Service 9.7.2 Minimal- und Maximalbandbreiten definieren Eine Mindestbandbreite für eine bestimmte Anwendung wird im LANconfig über eine Firewallregel nach den folgenden Randbedingungen definiert: Die Regel benötigt keine Aktion, da für die QoS-Regeln immer implizit das “Übertragen” als Aktion vorausgesetzt wird.
Seite 528: Übertragungsraten Für Interfaces Festlegen
Referenzhandbuch 9 Quality-of-Service Eine geforderte Mindestbandbreite wird in den Regeln mit dem Bezeichner “%Q” eingeleitet. Dabei wird implizit angenommen, dass es sich bei der entsprechenden Regel um eine “Accept”-Aktion handelt, die Pakete also übertragen werden. Für eine Maximalbandbreite wird eine einfache Limit-Regel definiert, die mit einer “Drop”-Aktion alle Pakete verwirft, die über die eingestellte Bandbreite hinausgehen.
Seite 529: Sende- Und Empfangsrichtung
Referenzhandbuch 9 Quality-of-Service 9.7.4 Sende- und Empfangsrichtung Die Bedeutung der Datenübertragungsrichtung wird im LANconfig beim Definieren der QoS-Regel festgelegt: Bei der Konfiguration mit WEBconfig oder Telnet wird die Bedeutung der Datenübertragungsrichtung über die Parameter “R” für receive (Empfangen), “T” für transmit (Senden) und “W” für den Bezug zum WAN-Interface an folgenden Stellen in eine neue Regel der Firewall eingetragen: Konfigurationstool Aufruf...
Seite 530: Qos Für Wlans Nach Ieee 802.11E (Wmm/Wme)
Referenzhandbuch 9 Quality-of-Service Die Längenreduzierung der Datenpakete wird im LANconfig beim Definieren der QoS-Regel festgelegt: Bei der Konfiguration mit WEBconfig oder Telnet wird die Reduzierung über die Parameter “P” für die Reduzierung der PMTU (Path MTU, MTU = Maximum Transmission Unit) und “F” für die Größe der Fragmente an folgenden Stellen in eine neue Firewallregel eingetragen: Konfigurationstool Aufruf...
Seite 531 Referenzhandbuch 9 Quality-of-Service Erweiterung stellt damit eine wichtige Basis für die Nutzung von Voice-Anwendungen im WLAN dar (Voice over WLAN – VoWLAN). Die Wi-Fi-Alliance zertifiziert Produkte, die Quality of Service nach 802.11e unterstützen, unter dem Namen WMM (Wi-Fi Multimedia, früher WME für Wireless Multimedia Extension). WMM definiert vier Kategorien (Sprache, Video, Best Effort und Hintergrund), die in Form separater Warteschlangen zur Prioritätensteuerung genutzt werden.
Seite 532: Virtual Private Networks - Vpn
Referenzhandbuch 10 Virtual Private Networks - VPN 10 Virtual Private Networks - VPN 10.1 Welchen Nutzen bietet VPN? Mit einem VPN (Virtual Private Network) können sichere Datenverkehrsverbindungen über kostengünstige, öffentliche IP-Netze aufgebaut werden, beispielsweise über das Internet. Was sich zunächst unspektakulär anhört, hat in der Praxis enorme Auswirkungen. Zur Verdeutlichung schauen wir uns zunächst ein typisches Unternehmensnetzwerk ohne VPN-Technik an.
Seite 533: Vernetzung Über Internet
Referenzhandbuch 10 Virtual Private Networks - VPN In der Zentrale muss für jeden verwendeten Zugangs- und Verbindungsweg (analoge Wählverbindung, ISDN, Standleitungen) entsprechende Hardware betrieben werden. Neben den Investitionskosten für diese Ausrüstung fallen auch kontinuierliche Administrations- und Wartungskosten an. 10.1.2 Vernetzung über Internet Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgende Struktur: Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden.
Seite 534: Private Ip-Adressen Im Internet
Referenzhandbuch 10 Virtual Private Networks - VPN 10.1.3 Private IP-Adressen im Internet? Der IP-Standard definiert zwei Arten von IP-Adressen: öffentliche und private. Eine öffentliche IP-Adresse hat weltweite Gültigkeit, während eine private IP-Adresse nur in einem abgeschotteten LAN gilt. Öffentliche IP-Adressen müssen weltweit eindeutig und daher einmalig sein. Private IP-Adressen dürfen weltweit beliebig häufig vorkommen, innerhalb eines abgeschotteten Netzwerkes jedoch nur einmal.
Seite 535: Das Vpn-Modul Im Überblick
Referenzhandbuch 10 Virtual Private Networks - VPN Damit ist das Ziel moderner Netzwerkstrukturen erreicht: Sichere Verbindungen über das größte und kostengünstigste aller öffentlichen IP-Netze: das Internet. 10.2 Das VPN-Modul im Überblick 10.2.1 VPN Anwendungsbeispiel VPN-Verbindungen werden in sehr unterschiedlichen Anwendungsgebieten eingesetzt. Meistens kommen dabei verschiedene Übertragungstechniken für Daten und auch Sprache zum Einsatz, die über VPN zu einem integrierten Netzwerk zusammenwachsen.
Seite 536: Funktionen Des Vpn-Moduls
VPN-Tunnel über Festverbindung, Wählverbindung und IP-Netzwerk IKE Main- und Aggressive Modus LANCOM Dynamic VPN: Öffentliche IP-Adresse können statisch oder dynamisch sein (für den Aufbau zu Gegenstellen mit dynamischer IP-Adresse ist eine ISDN-Verbindung erforderlich) IPSec-Protokolle ESP, AH und IPCOMP im Transport- und Tunnelmodus Hash-Algorithmen: HMAC-MD5-96, Hashlänge 128 Bits...
Seite 537: Parallele Internet-Nutzung
Referenzhandbuch 10 Virtual Private Networks - VPN Auf jeder Seite des Tunnels befindet sich ein VPN-fähiger Router (VPN-Gateway). Die Konfiguration beider VPN-Gateways muss aufeinander abgestimmt sein. Für die Rechner und sonstigen Geräte in den lokalen Netzwerken ist die Verbindung transparent, d. h., sie erscheint ihnen wie eine gewöhnliche direkte Verbindung.
Seite 538: Was Ist Lancom Dynamic Vpn
IP-Adresse besitzen. Wer benötigt LANCOM Dynamic VPN und wie funktioniert es? Die Antwort erfolgt in zwei Schritten: Zunächst zeigt ein Blick auf die Grundlagen der IP-Adressierung das Problem dynamischer IP-Adressen. Der zweite Schritt zeigt die Lösung durch LANCOM Dynamic VPN.
Seite 539: Dynamisch - Statisch
über das Internet angesprochen werden. Problematisch ist, dass die IP-Adresse von Gateway 2 dynamisch zugeteilt wird, und Gateway 2 seine aktuelle IP-Adresse beim Verbindungsaufruf an Gateway 1 übermitteln muss. In diesem Fall sorgt LANCOM Dynamic VPN für die Übertragung der IP-Adresse beim Verbindungsaufbau.
Seite 540: Dynamisch - Dynamisch
Der Vorteil der Geräte z. B. beim Aufbau der Verbindung aus der Zentrale zu den Filialen: Mit den Funktionen von LANCOM Dynamic VPN können auch Netzwerke ohne Flatrate erreicht werden, die also nicht „allways online“ sind. Der ISDN-Anschluss ersetzt mit der bekannten MSN eine andere Adresse, z. B. eine statische IP-Adresse oder eine dynamische Adressauflösung über Dynamic-DNS-Dienste, die i.d.R.
Seite 541: Dynamische Ip-Adressen Und Dyndns
Referenzhandbuch 10 Virtual Private Networks - VPN Als Information im LLC-Element des D-Kanals. Über das D-Kanal-Protokoll von Euro-ISDN (DSS-1) können im sogenannten LLC-Element (Lower Layer Compatibility) beim Anruf zusätzliche Informationen an die Gegenstelle übermittelt werden. Diese Übermittlung findet vor dem Aufbau des B-Kanals statt. Die Gegenstelle lehnt nach erfolgreicher Übertragung der Adresse den Anruf ab.
Seite 542: Hinweise Zur Dynamic Vpn Lizensierung
LANconfig erkennt beim Prüfen der Geräte z. B. direkt nach dem Programmstart automatisch, wenn ein Gerät aufgrund seiner Konfiguration registriert werden muss. Nach der Bestätigung der entsprechenden Meldung überträgt LANconfig automatisch die erforderlichen Daten des Gerätes an den Registrierungsserver von LANCOM Systems. Der Freischaltcode...
Seite 543 Referenzhandbuch 10 Virtual Private Networks - VPN wird dann ebenfalls automatisch an das Gerät zurückübertragen und aktiviert. Der Vorgang kann in der Statuszeile von LANconfig beobachtet werden.
Seite 544: Konfiguration Von Vpn-Verbindungen
Beim Anmelden auf dem Gerät mit WEBconfig finden Sie im Menü Extras einen Link, der Sie zum Formular auf dem Registrierungsserver von LANCOM Systems führt. Geben Sie dort die Chargen/Seriennummer des Gerätes und Ihre E-Mailadresse an. Nach dem Absenden der Registrierungsanforderung erhalten Sie den Freischaltcode für das Gerät.
Seite 545: Vpn-Tunnel: Verbindungen Zwischen Den Vpn-Gateways
Referenzhandbuch 10 Virtual Private Networks - VPN Netzwerken. Sonderfälle wie die Einwahl in LANs mit einzelnen Rechnern (RAS) oder die Verbindung von strukturierten Netzwerken werden im weiteren Verlauf dargestellt. 10.5.1 VPN-Tunnel: Verbindungen zwischen den VPN-Gateways In virtuellen privaten Netzwerken (VPNs) werden lokale Netzwerke über das Internet miteinander verbunden. Dabei werden die privaten IP-Adressen aus den LANs über eine Internet-Verbindung zwischen zwei Gateways mit öffentlichen IP-Adressen geroutet.
Seite 546 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Markieren Sie Ihr Gerät im Auswahlfenster von LANconfig und wählen Sie die Schaltfläche Setup Assistent oder aus der Menüleiste den Punkt Extras / Setup Assistent. 2. Folgen Sie den Anweisungen des Assistenten und geben Sie die notwendigen Daten ein. Der Assistent meldet, sobald ihm alle notwendigen Angaben vorliegen.
Seite 547: 1-Click-Vpn Für Netzwerke (Site-To-Site)
Referenzhandbuch 10 Virtual Private Networks - VPN nur Teile des Intranets auf die VPN-Verbindung zugreifen können sollen. In diesen Fällen werden die Parameter der Setup-Assistenten nachträglich um weitere Einstellungen ergänzt. Wenn VPN-Verbindungen zu Fremdgeräten konfiguriert werden sollen. 10.5.3 1-Click-VPN für Netzwerke (Site-to-Site) Die Einstellungen für die Kopplung von Netzwerken können sehr komfortabel über den 1-Click-VPN-Assistenten vorgenommen werden.
Seite 548: 1-Click-Vpn Für Lancom Advanced Vpn Client
10.5.4 1-Click-VPN für LANCOM Advanced VPN Client VPN-Zugänge für Mitarbeiter, die sich mit Hilfe des LANCOM Advanced VPN Client in ein Netzwerk einwählen, lassen sich sehr einfach mit dem Setup-Assistenten erstellen und in eine Datei exportieren, die vom LANCOM Advanced VPN Client als Profil eingelesen werden kann.
Seite 549: Manuelles Einrichten Der Vpn-Verbindungen
WINS-Server vorhanden, dann sollte das NetBIOS-Modul deaktiviert werden, so dass das Gerät keine NetBIOS-Proxy-Funktionen mehr ausführt. Um den NetBIOS-Proxy des Gerätes nutzen zu können muss entweder LANCOM Dynamic VPN verwendet werden, da dieses alle nötigen Adressen übermittelt, oder die IP-Adresse der Gegenstelle (hinter dem Tunnel, d.h.
Seite 550: Ike Config Mode
Referenzhandbuch 10 Virtual Private Networks - VPN Bei Nutzung von LANCOM Dynamic VPN: Eintrag für die entsprechende Gegenstelle in der PPP-Liste mit einem geeigneten Passwort für die Dynamic VPN Verhandlung. Als Benutzername ist derjenige VPN-Verbindungsname einzutragen, unter dem das Gerät in der VPN-Verbindungsliste der entfernten Gegenstelle angesprochen wird.
Seite 551: Vpn-Netzbeziehungen Erstellen
Referenzhandbuch 10 Virtual Private Networks - VPN Client: In dieser Einstellung fungiert das Gerät als Client für diese VPN-Verbindung und fordert eine IP-Adresse für die Verbindung von der Gegenstelle (Server) an. Das Gerät verhält sich also so ähnlich wie ein VPN-Client. Aus: Ist der IKE-CFG-Modus ausgeschaltet, werden keine IP-Adressen für die Verbindung zugewiesen.
Seite 552 Referenzhandbuch 10 Virtual Private Networks - VPN Etwas aufwändiger wird die Beschreibung der Netzbeziehungen dann, wenn die Quell- und Zielnetze nicht nur durch den jeweiligen Intranet-Adressbereich der verbundenen LANs abgebildet werden: Wenn nicht das gesamte lokale Intranet in die Verbindung mit dem entfernten Netz einbezogen werden soll, würde die Automatik einen zu großen IP-Adressbereich für die VPN-Verbindung freigeben.
Seite 553: Konfiguration Mit Lanconfig
Referenzhandbuch 10 Virtual Private Networks - VPN Die Firewall-Regeln zur Erzeugung von VPN-Regeln sind auch dann aktiv, wenn die eigentliche Firewall-Funktion im Gerät nicht benötigt wird und ausgeschaltet ist! Als Firewall-Aktion muss auf jeden Fall "Übertragen" gewählt werden. Als Quelle und Ziel für die Verbindung können einzelne Stationen, bestimmte IP-Adressbereiche oder ganze IP-Netzwerke eingetragen werden.
Seite 554 3. Erstellen Sie dann einen neuen Eintrag in der Verbindungs-Liste mit dem Namen des entfernten Gateways als „Name der Verbindung“. Für LANCOM Dynamic VPN Verbindungen muss der Eintrag „Entferntes Gateway“ leer bleiben. Andernfalls tragen Sie hier die öffentliche Adresse der Gegenstelle ein: entweder die feste IP-Adresse oder den DNS-auflösbaren Namen.
Seite 555 Referenzhandbuch 10 Virtual Private Networks - VPN VPN-Gateway das lokale Gerät erreichen soll, und geben Sie ein geeignetes, auf beiden Seiten identisches Passwort ein, welches aus Sicherheitsgründen nicht identisch mit dem verwendeteten Pre-Shared Key sein sollte. Aktivieren Sie auf jeden Fall das „IP-Routing“ und je nach Bedarf „NetBIOS über IP“. 5.
Seite 556 Referenzhandbuch 10 Virtual Private Networks - VPN IP-Adresse Netzmaske Router IP-Masquerading 10.2.0.0 255.255.0.0 10.1.0.2 Nein 10.3.0.0 255.255.0.0 10.1.0.3 Nein Mit diesen Einträgen ist das VPN-Gateway 1 in der Lage, auch die aus dem entfernten Netz eintreffen Pakete für die angebundenen Netzabschnitte richtig weiterzuleiten. 6.
Seite 557 Referenzhandbuch 10 Virtual Private Networks - VPN 7. Auf der Registerkarte „Aktionen“ dieser Firewall-Regel stellen Sie als Paketaktion „Übertragen“ ein. 8. Auf der Registerkarte „Stationen“ dieser Firewall-Regel stellen Sie für die ausgehende Datenübertragung als Quelle die Teilnetze auf der lokalen Seite ein, als Ziel alle Teilnetze auf der entfernten Seite.
Seite 558: Konfiguration Mit Webconfig
Referenzhandbuch 10 Virtual Private Networks - VPN 9. Für die eingehende Datenübertragung erstellen Sie eine Firewall-Regel unter dem Namen „VPN-GATEWAY-1-IN“ mit den gleichen Parametern wie die vorherige Regel. Nur bei den Stationen sind hier die Quell- und Zielnetze vertauscht: 10.5.10 Konfiguration mit WEBconfig 1.
Seite 559 Gateways als „Name“. Als „Entferntes Gateway“ tragen Sie die öffentliche Adresse der Gegenstelle ein: entweder die feste IP-Adresse oder den DNS-auflösbaren Namen. 4. Bei Nutzung von LANCOM Dynamic VPN: Erstellen Sie unter Konfiguration / Setup / WAN / PPP einen neuen Eintrag.
Seite 560 Referenzhandbuch 10 Virtual Private Networks - VPN Wählen Sie als Gegenstelle das entfernte VPN-Gateway aus, tragen Sie als Benutzernamen denjenigen VPN-Verbindungsnamen ein, mit dem das entfernte VPN-Gateway das lokale Gerät erreichen soll, und geben Sie geeignetes, auf beiden Seiten identisches Passwort ein. Aktivieren Sie auf jeden Fall das „IP-Routing“...
Seite 561 Referenzhandbuch 10 Virtual Private Networks - VPN IP-Adresse Netzmaske Router IP-Masquerading 10.3.0.0 255.255.0.0 VPN-Gateway-1 Nein Für die an das eigene LAN angebundenen Teilnetze wird als Router die IP-Adresse des jeweiligen LAN-Routers eingetragen: IP-Adresse Netzmaske Router IP-Masquerading 10.5.0.0 255.255.0.0 10.4.0.5 Nein Mit diesen Einträgen ist das VPN-Gateway 2 in der Lage, auch die aus dem entfernten Netz eintreffenden Pakete für die angebundenen Netzabschnitte richtig weiterzuleiten.
Seite 562: Gemeinsamer Aufbau Von Security Associations
Referenzhandbuch 10 Virtual Private Networks - VPN 1. Für die eingehende Datenübertragung erstellen Sie eine Firewall-Regel unter dem Namen „VPN-GW1-IN“ mit den gleichen Parametern wie die vorherige Regel. Nur bei den Stationen sind hier die Quell- und Zielnetze vertauscht: 10.5.11 Gemeinsamer Aufbau von Security Associations Die Basis für den Aufbau eines VPN-Tunnels zwischen zwei Netzwerken stellen die „Security Associations“...
Seite 563: Diagnose Der Vpn-Verbindungen
Die Fehlermeldung „No rule matched“ deutet hingegen auf einen Fehler in der Konfiguration des lokalen Gateways hin. 10.6 myVPN Mit der LANCOM myVPN App können Sie sehr komfortabel einen VPN-Zugang zu Ihrem Firmennetzwerk auf Ihrem iPhone, iPad oder iPod (allgemein: iOS-Gerät) einrichten. LANCOM myVPN bietet die folgenden Funktionen: Hochsichere, mobile VPN-Verbindungen Übernimmt die komplexe VPN-Konfiguration des in iOS-Geräten integrierten VPN-Clients und des LANCOM Routers...
Seite 564: Vpn-Profil Für Die Lancom Myvpn App Mit Dem Setup-Assistenten Von Lanconfig
So konfigurieren Sie mit dem Setup-Assistenten einen Zugang für einen VPN-Client auf einem iOS-Gerät: 1. Rufen Sie LANconfig z. B. aus der Windows-Startleiste auf mit Start > Programme > LANCOM > LANconfig. LANconfig sucht nun automatisch im lokalen Netz nach Geräten.
Seite 565 Referenzhandbuch 10 Virtual Private Networks - VPN 5. Vergeben Sie einen Namen für diesen Zugang und bestimmen Sie die Adresse, über die der Router für den VPN-Client auf dem iOS-Gerät zu erreichen ist. Klicken Sie anschließend auf Weiter. Der Setup-Assistent schlägt Ihnen einen Namen vor, den Sie übernehmen können. 6.
Seite 566: Vpn-Profil Mit Der Lancom Myvpn App Beziehen
10.6.2 VPN-Profil mit der LANCOM myVPN App beziehen So beziehen Sie auf Ihrem iOS-Gerät mit Hilfe der LANCOM myVPN App ein VPN-Profil von einem LANCOM VPN-Gerät: Die LANCOM myVPN App hat ausschließlich die Aufgabe, die korrekten Einstellungen für den im iOS-Gerät vorhandenen VPN-Client schnell und komfortabel einzurichten.
Seite 567 10 Virtual Private Networks - VPN 2. Öffnen Sie die App auf Ihrem iPhone oder iPad. 3. Optional: Aktivieren Sie die Option Gegenstellen suchen, um VPN-Geräte mit aktiviertem LANCOM myVPN Modul zu finden, welche das iOS-Gerät über WLAN erreichen kann.
Seite 568 über eine Internet-Verbindung (3G oder WLAN) erreichen kann. Geben Sie im folgenden Dialog die IP-Adresse oder den Namen des VPN-Gerätes ein und bestätigen Sie mit Ja. 5. Die App zeigt nun alle VPN-Geräte, welche Profile für die LANCOM myVPN App anbieten.
Seite 569 6. Wählen Sie durch Antippen das gewünschte VPN-Gerät aus der Liste aus und geben Sie im folgenden Dialog die PIN für den Bezug des VPN-Profils ein. Wenn Sie die PIN 5 Mal falsch eingeben, wird das myVPN-Modul auf dem LANCOM VPN-Gerät komplett für eine bestimmte Zeit gesperrt. VPN-Verbindungen von iOS-Geräten mit zuvor erfolgreich eingerichteten VPN-Zugängen sind in diesem Zustand weiter möglich.
Seite 570 Referenzhandbuch 10 Virtual Private Networks - VPN 7. Bestätigen Sie im nächsten Dialog den Hinweis auf ein evtl. nicht signiertes Zertifikat mit der Schaltfläche Ja. 8. Bestätigen Sie im nächsten Dialog die Aufforderung zur Installation des Profils mit der Schaltfläche Installieren.
Seite 571 Referenzhandbuch 10 Virtual Private Networks - VPN Bestätigen Sie auch die notwendigen Änderungen der Einstellungen auf Ihrem iOS-Gerät. 9. Die Installations-Routine fordert Sie im nächsten Schritt zur Eingabe des Kennworts für den VPN-Zugang auf. Das VPN-Kennwort entspricht standardmäßig der PIN für das myVPN-Profil. Wenn Sie das Kennwort für den VPN-Zugang hier eingeben, kann das iOS-Gerät anschließend ohne weitere Kennworteingabe eine VPN-Verbindung zu Ihrem Firmennetzwerk aufbauen.
Seite 572: Vpn-Verbindung Auf Dem Ios-Gerät Herstellen Und Beenden
Auswirkung auf den VPN-Zugang selbst. 10.6.3 VPN-Verbindung auf dem iOS-Gerät herstellen und beenden Nachdem Sie das VPN-Profil mit der LANCOM myVPN App auf Ihrem iOS-Gerät installiert haben, stellen Sie wie folgt die VPN-Verbindung zu Ihrem Firmennetzwerk her oder beenden diese:...
Seite 573: Vpn-Profil Auf Dem Ios-Gerät Löschen
Referenzhandbuch 10 Virtual Private Networks - VPN 2. Im folgenden Dialog ist der Benutzername aus dem myVPN-Profil bereits eingetragen. Geben Sie das Kennwort für die VPN-Verbindung ein und bestätigen Sie mit OK. Standardmäßig entspricht das Kennwort für die VPN-Verbindung der PIN für das myVPN-Profil. Das Kennwort ist bereits eingetragen, wenn Sie das Kennwort für die VPN-Verbindung bei der Installation des myVPN-Profils eingegeben haben.
Seite 574 Referenzhandbuch 10 Virtual Private Networks - VPN 2. Wählen Sie das gewünschte Profil aus, klicken Sie auf Entfernen und bestätigen Sie im nächsten Dialog die Aktion noch einmal mit Entfernen.
Seite 575: Ergänzungen In Lanconfig
Bestimmen Sie im Feld Remote-Gateway die WAN-Adresse oder den über öffentliche DNS-Server auflösbaren Namen dieses Routers. Geben Sie dieses Remote-Gateway in der LANCOM myVPN App an, sofern die App das Gateway nicht über die automatische Suche findet. Bestimmen Sie die PIN-Länge, mit der der Setup-Assistent neue PINs generiert (Default = 4).
Seite 576: Einsatz Von Digitalen Zertifikaten
Download von einem anderen Gerät zu vermeiden. Sobald Sie diese Einstellungen im Gerät speichern, ist das myVPN-Modul auf dem gewählten VPN-Gerät aktiviert. Sie können nun die LANCOM myVPN App auf Ihrem iOS-Gerät starten und mit Eingabe der PIN das VPN-Profil beziehen. 10.7 Einsatz von digitalen Zertifikaten Die Sicherheit der Kommunikation über VPN erfüllt im Kern drei Anforderungen:...
Seite 577: Die Symmetrische Verschlüsselung
Referenzhandbuch 10 Virtual Private Networks - VPN Die symmetrische Verschlüsselung Die symmetrische Verschlüsselung ist seit Jahrtausenden bekannt und basiert darauf, dass sowohl der Sender als auch der Empfänger einer Nachricht über einen gemeinsamen, geheimen Schlüssel verfügen. Dieser Schlüssel kann sehr unterschiedliche Gestalt haben: Die Römer verwendeten zum Ver- und Entschlüsseln z.
Seite 578: Kombination Von Symmetrischer Und Asymmetrischer Verschlüsselung
Referenzhandbuch 10 Virtual Private Networks - VPN Der große Unterschied gegenüber den symmetrischen Verschlüsselungen: Es wird ein öffentlich bekannter Schlüssel verwendet, daher spricht man hier auch vom „Public-Key-Verfahren“. Ein bekanntes asymmetrisches Verschlüsselungsverfahren ist z. B. RSA. Sehen wir uns wieder das Beispiel von Alice und Bob an: Bob erzeugt für die gesicherte Kommunikation zunächst ein Schlüsselpaar mit einem Private Key und einem Public Key, die genau zueinander passen.
Seite 579 Referenzhandbuch 10 Virtual Private Networks - VPN Bob erstellt im ersten Schritt sein Schlüsselpaar und stellt den Public Key öffentlich bereit. Alice verwendet den Public Key, um damit einen geheimen, symmetrischen Schlüssel zu verschlüsseln und schickt ihn an Bob. Dieser geheime Schlüssel wird bei jeder Übertragung durch ein Zufallsverfahren neu bestimmt. Nur Bob kann den geheimen Schlüssel nun wieder mit Hilfe seines Private Keys entschlüsseln.
Seite 580: Vorteile Von Zertifikaten
Hier muss der Aggressive Mode mit geringerer Sicherheit verwendet werden. Der Einsatz von Zertifikaten erlaubt auch bei Peers mit dynamischen IP-Adressen wie z. B. Einwahlrechnern mit LANCOM Advanced VPN Client die Verwendung des Main Mode und damit eine Steigerung der Sicherheit.
Seite 581: Aufbau Von Zertifikaten
Referenzhandbuch 10 Virtual Private Networks - VPN Beim VPN-Verbindungsaufbau über Zertifikate müssen sich die beiden Gegenstellen authentifizieren. In den Zertifikaten können dabei weitere Info-Elemente enthalten sein, die zur Prüfung der Gegenstellen herangezogen werden. Die zeitliche Befristung der Zertifikate gibt zusätzlichen Schutz z. B. bei der Vergabe an Anwender, die nur vorübergehend Zugang zu einem Netzwerk erhalten sollen.
Seite 582: Dateitypen
Referenzhandbuch 10 Virtual Private Networks - VPN RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5: d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd: 9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9: 90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6: 1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25: 7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07: 50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62: 8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9: f0:b4:95:f5:f9:34:9f:f8:43 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:xyz@anywhere.com Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption...
Seite 583: Zertifikate Beim Vpn-Verbindungsaufbau
Referenzhandbuch 10 Virtual Private Networks - VPN Verwenden Sie als Kennwörter für Schlüssel oder PKCS#12-Dateien nur ausreichend lange und sichere Passphrasen. 10.7.5 Zertifikate beim VPN-Verbindungsaufbau Neben den grundlegenden Informationen zum Thema Zertifikate betrachten wir in diesem Abschnitt die konkrete Anwendung beim VPN-Verbindungsaufbau. Für einen solchen Verbindungsaufbau mit Zertifikatsunterstützung müssen auf beiden Seiten der Verbindung (z.
Seite 584: Zertifikate Von Zertifikatsdiensteanbietern
Referenzhandbuch 10 Virtual Private Networks - VPN (erstellt mit dem Private Key der CA) mit dem Public Key der CA entschlüsselt werden, dann ist die Signatur gültig und dem Zertifikat kann vertraut werden. Im nächsten Schritt prüft die Zentrale dann die Signatur der verschlüsselten Prüfsumme. Der Public Key der Filiale aus dem entsprechenden Zertifikat wurde im vorigen Schritt für gültig befunden.
Seite 585: Anfordern Eines Zertifikates Mit Der Stand-Alone Windows Ca
Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.8 Anfordern eines Zertifikates mit der Stand-alone Windows CA Für die Verwendung in einem Router leistet eine Kombination aus PKCS#12-Datei mit Root-Zertifikat, eigenem Geräte Zertifikat und Public Key des Gerätes die besten Dienste. 1.
Seite 586: Zertifikat In Eine Pkcs#12-Datei Exportieren
Der Schlüssel wird an dieser Stelle nicht exportiert, daher muss auch kein Dateiname angegeben werden. Beim Exportieren würde eine Datei im Microsoft-spezifischen *.pvk-Format angelegt, die für die Weiterverarbeitung in einem LANCOM ungeeignet ist. 8. Wählen Sie zuletzt als Hash-Algorithmus 'SHA-1' und reichen Sie die Zertifikatanforderung mit Einsenden ein.
Seite 587: Export Über Den Windows-Konsolenstamm
Referenzhandbuch 10 Virtual Private Networks - VPN Export über den Windows-Konsolenstamm 1. Öffnen Sie dazu die Management-Konsole über den Befehl mmc an der Eingabeaufforderung und wählen Sie den Menüpunkt Datei / Snap-In hinzufügen/entfernen. 2. Klicken Sie auf Hinzufügen... und wählen Sie den Eintrag 'Zertifikate'. Bestätigen Sie mit Hinzufügen, markieren Sie anschließend 'Eigenes Benutzerkonto' und klicken Sie auf Fertig stellen.
Seite 588 Referenzhandbuch 10 Virtual Private Networks - VPN 3. Um das gewünschte Zertifikat in eine Datei zu exportieren, klicken Sie anschließend in der Managementkonsole in der Gruppe Zertifikate - Aktueller Benutzer / Eigene Zertifikate / Zertifikate mit der rechten Maustaste und wählen im Kontextmenü...
Seite 589: Export Über Die Systemsteuerung
Referenzhandbuch 10 Virtual Private Networks - VPN 5. Beim Export werden Sie aufgefordert, ein Kennwort zum Schutz des privaten Schlüssels einzugeben. Wählen Sie hier ein sicheres Kennwort ausreichender Länge (Passphrase). Dieses Kennwort werden Sie bei der Installation der Zertifikate im Gerät wieder benötigen. Für das Kennwort werden je nach Umgebung auch die synonymen Begriffe „Passwort“...
Seite 590: Zertifikat Für Root-Ca Ausstellen
Referenzhandbuch 10 Virtual Private Networks - VPN 4. Starten Sie OpenSSL durch einen Doppelklick auf die openssl.exe im Verzeichnis ./bin. Zertifikat für Root-CA ausstellen 1. Erstellen Sie einen Schlüssel für die CA mit dem Befehl: genrsa -des3 -out ca.key 2048 Merken Sie sich das Kennwort, das Sie nach der Aufforderung für den CA-Schlüssel eingeben, es wird später wieder benötigt! Dieser Befehl erstellt die Datei 'ca.key' im aktuellen Verzeichnis.
Seite 591: Zertifikate In Das Gerät Laden
Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.11 Zertifikate in das Gerät laden Für den zertifikatgesicherten VPN-Verbindungsaufbau müssen in einem Gerät die folgenden Komponenten vorhanden sein: Zertifikat der Root-CA mit dem Public Key der CA Eigenes Geräte-Zertifikat mit dem eigenen Public Key und der Bestätigung der Identität. Die Prüfsumme dieses Zertifikats ist mit dem Private Key der CA signiert.
Seite 592: Zertifikate Sichern Und Hochladen Mit Lanconfig
Referenzhandbuch 10 Virtual Private Networks - VPN Die hochgeladenen Dateien können anschließend in einer Liste unter Expertenkonfiguration / Status / Datei-System / Inhalt eingesehen werden. Eine kombinierte PKCS#12-Datei wird beim Upload automatisch in die benötigten Teile zerlegt. 10.7.12 Zertifikate sichern und hochladen mit LANconfig In einem Gerät können unterschiedliche Zertifikate zur Verschlüsselung bestimmter Dienste verwendet werden.
Seite 593: Erweiterte Zertifkats-Unterstützung
Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.13 Erweiterte Zertifkats-Unterstützung Mehrere Zertifikatshierarchien Zur Unterstützung von mehreren Zertifikatshierarchien können ab der Firmware-Version 7.80 bis zu neun PKCS#12-Dateien in das Gerät geladen werden. Darüber hinaus können weitere Dateien mit zusätzlichen CA-Zertifikaten hochgeladen werden, in denen die Zertifikate einzeln oder als PKCS#12-Container enthalten sein können.
Seite 594: Einstellbare Trace-Stufe Für Den Scep-Client
Referenzhandbuch 10 Virtual Private Networks - VPN Die Kurzbezeichnung wird bei der Konfiguration der Zertifikate für den SCEP-Client als “Verwendung” eingetragen. Einstellbare Trace-Stufe für den SCEP-Client Für den SCEP-Client-Trace kann die Ausgabe von Tracemeldungen auf einen bestimmten Inhalt beschränkt werden. Dazu wird ein Wert angegeben, bis zu welcher Stufe die Pakete im Trace ausgegeben werden sollen.
Seite 595 Referenzhandbuch 10 Virtual Private Networks - VPN 1. In den Listen der Proposals werden zwei neue Proposals mit den exakten Bezeichnung 'RSA-AES-MD5' und 'RSA-AES-SHA' benötigt, die beide als Verschlüsselung 'AES-CBC' und als Authentifizierungsmodus 'RSA-Signature' verwenden und sich nur im Hash-Verfahren (MD5 bzw. SHA1) unterscheiden. LANconfig: VPN / IKE-Param.
Seite 596 Referenzhandbuch 10 Virtual Private Networks - VPN 3. In der Liste der IKE-Schlüssel müssen für alle Zertifikats-Verbindungen die entsprechenden Identitäten eingestellt werden. LANconfig: VPN / IKE-Param. / IKE-Schlüssel Der Preshared Key kann ggf. gelöscht werden, wenn er endgültig nicht mehr benötigt wird. Der Typ der Identitäten wird auf ASN.1 Distinguished Names umgestellt (lokal und remote).
Seite 597 Referenzhandbuch 10 Virtual Private Networks - VPN Kurzzeichen. Die in den Zertifikaten von oben nach unten aufgeführten Werte müssen in den IKE-Schlüssel von links nach rechts eingetragen werden. Beachten Sie auch die Groß- und Kleinschreibung! Die Anzeige von Zertifikaten unter Microsoft Windows zeigt für manche Werte ältere Kurzformen an, beispielweise 'S' anstelle von 'ST' für 'stateOrProvinceName' (Bundesland) oder 'G' anstelle von 'GN' für 'givenName' (Vorname).
Seite 598 Referenzhandbuch 10 Virtual Private Networks - VPN Die Default-IKE-Proposal-Listen und Default-IKE-Gruppen finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Defaults': Unter WEBconfig oder Telnet finden Sie die Default-IKE-Proposal-Listen und Default-IKE-Gruppen an folgenden Stellen: Konfigurationstool Aufruf WEBconfig LCOSMenübaum / Setup / VPN Terminal/Telnet /Setup/VPN In den VPN-Verbindungs-Parametern müssen zum Schluss die VPN-Verbindungen auf die Verwendung der richtigen...
Seite 599: Zertifikatsbasierte Vpn-Verbindungen Mit Dem Setup-Assistenten Erstellen
Referenzhandbuch 10 Virtual Private Networks - VPN Die VPN-Verbindungs-Parameter finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Allgemein' mit einem Klick auf die Schaltfläche Verbindungs-Parameter: Unter WEBconfig oder Telnet finden Sie die VPN-Verbindungs-Parameter an folgenden Stellen: Konfigurationstool Aufruf WEBconfig LCOS-Menübaum / Setup / VPN / VPN-Layer Terminal/Telnet...
Seite 600 Domain für die DNS-Weiterleitung ein. Aktivieren Sie je nach Bedarf die „Extranet“-Funktion und das „NetBIOS-Routing“. RAS-Zugänge RAS-Zugänge mit Zertifikatsunterstützung können für den LANCOM Advanced VPN Client oder für einen anderen VPN-Client mit benutzerdefinierten Parametern eingerichtet werden. Der LANCOM Standard VPN Client bietet keine Unterstützung für Zertifikate an.
Seite 601 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Wählen Sie den Assistenten zum Bereitstellen von Zugängen über VPN. Wählen Sie dann im entsprechenden Dialog die VPN-Verbindungsauthentifizierung über Zertifikate (RSA-Signature). Als „Exchange Mode“ wird dabei automatisch der Main Mode verwendet. 2. In der Konfiguration sind üblicherweise bereits Standard-IKE-Parameter für ankommende Main-Mode-Verbindungen in der Standard-IKE-Proposal-Liste 'IKE_RSA_SIG' definiert.
Seite 602 Referenzhandbuch 10 Virtual Private Networks - VPN Verschlüsselungsverfahren und Authentifizierungsverfahren der Client während der IKE-Verhandlung verwenden kann. 4. Tragen Sie die Identitäten aus dem lokalen und entfernten Geräte-Zertifikat ein. Übernehmen Sie dabei die vollständigen Angaben aus den jeweiligen Zertifikaten in der richtigen Reihenfolge: die in den Zertifikaten unter Windows von oben nach unten aufgeführten ASN.1-Distinguished Names werden in LANconfig von links nach rechts eingetragen.
Seite 603 Referenzhandbuch 10 Virtual Private Networks - VPN Der Telnetbefehl show vpn cert zeigt die Inhalte des Geräte-Zertifikates in einem LANCOM, u.a. dabei die eingetragenen Relative Distinguished Names (RDN) unter „Subject“. Die Relative Distinguished Names werden in dieser Darstellung bis LCOS 6.00 in umgekehrter Reihenfolge, ab LCOS 6.10 in der üblichen Reihenfolge angezeigt! 5.
Seite 604: Lancom Advanced Vpn Client Auf Zertifikatsverbindungen Einstellen
10 Virtual Private Networks - VPN 10.7.16 LANCOM Advanced VPN Client auf Zertifikatsverbindungen einstellen Bei der Einwahl mit dem LANCOM Advanced VPN Client in einen Router müssen die entsprechenden Profil-Einstellungen an die Verwendung von Zertifikaten angepasst werden. 1. Stellen Sie in den IPSec-Einstellungen des Profils die IKE-Richtlinie auf 'RSA-Signatur' um.
Seite 605 Pfad zum Ordner an, in dem die Zertifikatsdateien abgelegt sind 4. Wählen Sie aus, ob die PIN (das Kennwort) für das Zertifikat bei jedem Verbindungsaufbau abgefragt werden soll 5. Alternativ können Sie die PIN über den Menüpunkt Verbindung / PIN eingeben fest im LANCOM Advanced VPN Client speichern.
Seite 606: Vereinfachte Einwahl Mit Zertifikaten
Referenzhandbuch 10 Virtual Private Networks - VPN Bei aktivierter Softzertifikatsauswahl können Sie beim Verbindungsaufbau im Hauptfenster des LANCOM Advanced VPN Client jeweils das gewünschte Zertifikat aus der Liste auswählen, passend zum gewählten Profil. 10.7.17 Vereinfachte Einwahl mit Zertifikaten Bei der Einwahl von Rechnern mit wechselnden IP-Adressen ist zu Beginn der IKE-Verhandlung (Phase 1) die Identität der Gegenstelle noch nicht bekannt, zur Kommunikation werden Defaultwerte für IKE-Proposal-Listen und...
Seite 607: Vereinfachte Netzwerkanbindung Mit Zertifikaten - Proadaptives Vpn
Referenzhandbuch 10 Virtual Private Networks - VPN Zur Konfiguration der vereinfachten Einwahl wird diese Funktion aktiviert. Die Default-Parameter können bei Bedarf verändert werden. Konfigurationstool Aufruf LANconfig VPN / Allgemein und VPN / Allgemein / Defaults WEBconfig, Telnet LCOS-Menübaum > Setup > VPN Durch das Aktivieren der vereinfachten Zertifikate-Einwahl können sich alle Clients mit einem gültigen Zertifikat, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist, in das entsprechende Netzwerk einwählen.
Seite 608: Anfrage Von Zertifikaten Mittels Certreq
Referenzhandbuch 10 Virtual Private Networks - VPN Achten Sie bei der Konfiguration der einwählenden Gegenstellen darauf, dass jede Gegenstelle ein spezielles Netzwerk anfordert, damit es nicht zu Konflikten der Netzwerkadressen kommt. Konfigurationstool Aufruf LANconfig VPN / Allgemein und VPN / Allgemein / Defaults WEBconfig, Telnet LCOS-Menübaum >...
Seite 609: Konfiguration Der Crl-Funktion
Referenzhandbuch 10 Virtual Private Networks - VPN Da sich das Zertifikat selbst beim Mitarbeiter befindet und nicht verändert werden kann, wird eine Zertifikatsperrliste verwendet. In einer solchen Zertifikatsperrliste (Certificate Revocation List – CRL), wie sie z. B. von der Microsoft CA oder von OpenSSL unterstützt werden, sind die ungültigen Zertifikate eingetragen.
Seite 610: Anzeige Des Crl-Status Im Lanmonitor
Referenzhandbuch 10 Virtual Private Networks - VPN Wenn die CRL im ersten Versuch nicht geladen werden kann, werden in kurzen Zeitabständen neue Versuche gestartet. Abruf regelmäßig [Default: 0 Sekunden] Die Länge des Zeitraums, nach dessen Ablauf periodisch versucht wird, eine neue CRL zu erhalten. Hiermit können eventuell außer der Reihe veröffentlichte CRLs frühzeitig heruntergeladen werden.
Seite 611: Wildcard Matching Von Zertifikaten
Referenzhandbuch 10 Virtual Private Networks - VPN Gültige URL, max. 251 Zeichen. Default: Leer 10.7.21 Wildcard Matching von Zertifikaten Einleitung Bei zertifikatsbasierten VPN-Verbindungen werden in der Regel die Subjects (Antragsteller) der verwendeten Zertifikate als lokale und entfernte Identität verwendet. Diese werden in der VPN-Konfiguration in Form von (oftmals komplexen) ASN.1 Distinguished Names (DN) hinterlegt.
Seite 612: Ocsp Client Zur Zertifikatsüberprüfung
Referenzhandbuch 10 Virtual Private Networks - VPN Zeigt den Inhalt des Root-Zertifikats. show vpn cert Zeigt den Inhalt des eigenen Geräte-Zertifikats. Die Relative Distinguished Names werden in dieser Darstellung bis Firmware-Version 6.00 in umgekehrter Reihenfolge, ab Firmware-Version 6.10 in der üblichen Reihenfolge angezeigt! 10.7.23 OCSP Client zur Zertifikatsüberprüfung Einleitung Das Online Certificate Status Protocol (OCSP) bietet eine Möglichkeit, den Status von Zertifikaten z.
Seite 613: Einleitung
Referenzhandbuch 10 Virtual Private Networks - VPN 10.8.1 Einleitung Bei großen oder räumlich verteilten Organisationen werden häufig mehrstufige Zertifikatshierarchien genutzt, bei der Endzertifikate durch eine oder mehrere Zwischen-CAs herausgegeben werden. Die Zwischen-CAs selbst sind dabei durch Root CA zertifiziert. Für die Authentifizierung der Endzertifikate muss die Prüfung der gesamten Zertifikatshierarchie möglich sein. 10.8.2 SSL/TLS mit mehrstufigen Zertifikaten Bei Anwendungen, die auf SSL/TLS basieren, (z.
Seite 614: Zertifikatsenrollment Über Scep
Referenzhandbuch 10 Virtual Private Networks - VPN 10.9 Zertifikatsenrollment über SCEP Zur Sicherung der Kommunikation über öffentlich zugängliche Netzwerke werden immer mehr zertifikatsbasierte VPN-Verbindungen eingesetzt. Dem hohen Sicherheitsanspruch der digitalen Zertifikate steht dabei ein deutlicher Mehraufwand für die Verwaltung und Verteilung der Zertifikate gegenüber. Dieser Aufwand entsteht dabei überwiegend in den Filialen oder Home-Offices einer verteilten Netzwerkstruktur.
Seite 615 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Schlüsselpaar im VPN-Router erzeugen. Im VPN-Router wird ein Schlüsselpaar erzeugt. Der öffentliche Teil dieses Schlüsselpaares wird später zusammen mit der Anfrage an den SCEP-Server übermittelt. Der private Teil des Schlüsselpaares verbleibt im SCEP-Client (VPN-Router). Die Tatsache, dass der private Schlüssel das Gerät zu keiner Zeit verlassen muss, stellt einen Sicherheitsgewinn gegenüber der manuellen Zertifikatsverteilung über z.
Seite 616: Konfiguration Von Scep
Referenzhandbuch 10 Virtual Private Networks - VPN 5. Prüfen der Zertifikatsanfrage auf dem SCEP-Server und Ausstellen des Geräte-Zertifikats. Der SCEP-Server kann die erhaltene Anfrage entschlüsseln und daraufhin ein System- bzw. Gerätezertifikat für den Requester ausstellen. SCEP unterscheidet dabei folgende Methoden für die Bearbeitung der Anfragen: Bei der automatischen Bearbeitung muss die Authentizität des Requesters über die Challenge Phrase sichergestellt sein.
Seite 617: Konfiguration Der Cas
Referenzhandbuch 10 Virtual Private Networks - VPN Aktionen Reinit Startet die manuelle Re-Initialisierung der SCEP-Parameter. Dabei werden wie bei der gewöhnlichen SCEP-Initialisierung auch die notwendigen RA- und CA-Zertifikate von der CA abgerufen und so im Dateisystem des VPN-Routers abgelegt, dass sie noch nicht für die Nutzung im VPN-Betrieb bereit stehen. Sofern das vorhandene Systemzertifikat zum abgerufenen CA-Zertifikat passt, können Systemzertifikat, CA-Zertifikat und privater Geräteschlüssel für den VPN-Betrieb genutzt werden.
Seite 618: Konfiguration Der Systemzertifikate
Referenzhandbuch 10 Virtual Private Networks - VPN %l fügt den Standort des Gerätes ein. %d fügt den Typ des Gerätes ein. Enc-Alg Mit diesem Algorithmus wird die Nutzlast des Zertifikatsantrags verschlüsselt. Mögliche Werte: DES, 3-DES, Blowfish. Default: DES. Identifier CA-Identifier (wird von manchen Webservern benötigt, um die CA zuordnen zu können). RA-Autoapprove Manche CAs bieten die Möglichkeit, ein bereits von dieser CA ausgestelltes Zertifikat als Nachweis der Authentizität für nachfolgende Anträge zu benutzen.
Seite 619 Referenzhandbuch 10 Virtual Private Networks - VPN Durch die Verwendung eines vorangestellten Backslash ("\") können Sie auch reservierte Zeichen benutzen. Diese unterstützten reservierten Zeichen sind: Komma (",") Slash ("/") Plus ("+") Semikolon (";") Gleich ("=") Außerdem lassen sich die folgenden internen Firmware-Variablen nutzen: %% fügt ein Prozentzeichen ein.
Seite 620: Nat Traversal (Nat-T)
Referenzhandbuch 10 Virtual Private Networks - VPN msCodeCom msCTLSign msSGC msEFS nsSGC 1.3.6.1.5.5.7.3.18 für WLAN-Controller 1.3.6.1.5.5.7.3.19 für Access Points im Managed-Modus Systemzertifikate-Schlüssellänge Länge der Schlüssel, die für das Gerät selbst erzeugt werden. Mögliche Werte: 31 oder größer. Verwendung Gibt den Verwendungszweck der eingetragenen Zertifikate an. Die hier eingetragenen Zertifikate werden dann nur für den entsprechenden Verwendungszweck abgefragt.
Seite 621 Im Abschlussrouter 2 müssen jedoch die Ports 500 und 4500 in der Firewall freigeschaltet sein, zusätzlich muss das Port-Forwarding in diesem Router aktiviert werden. In der Kombination der beiden vorhergehenden Fälle stehen auf beiden Seiten der Verbindung reine NAT-Router 2 und 3. Die VPN-Strecke wird zwischen dem LANCOM Advanced VPN-Client 1 und VPN-Router 4 aufgebaut.
Seite 622 Referenzhandbuch 10 Virtual Private Networks - VPN Die beiden Router 2 und 3 müssen über die Firewallfreischaltung der Ports 500 und 4500 die NAT-T-Verbindung zwischen den Tunnelendpunkten zulassen, im Abschlussrouter der Zentrale muss zusätzlich das Port-Forwarding aktiviert werden. Um dieses Verfahren zu ermöglichen, müssen beide Seiten der VPN-Verbindung NAT-T beherrschen. Der Ablauf der VPN-Verbindungsaufbaus sieht (reduziert auf die NAT-T-relevanten Vorgänge) so aus: 1.
Seite 623: Extended Authentication Protocol (Xauth)
Referenzhandbuch 10 Virtual Private Networks - VPN 10.11 Extended Authentication Protocol (XAUTH) 10.11.1 Einleitung Bei der Einwahl von Gegenstellen über WAN-Verbindungen (z. B. über PPP) werden oft RADIUS-Server eingesetzt, um die Benutzer zu authentifizieren. Die üblichen WAN-Verbindungen wurden im Laufe der Zeit dann immer mehr von sichereren (verschlüsselten) und kostengünstigeren VPN-Verbindungen verdrängt.
Seite 624 Referenzhandbuch 10 Virtual Private Networks - VPN LANconfig: VPN / Allgemein / Verbindungs-Liste WEBconfig: Setup / VPN / VPN-Gegenstellen XAUTH Aktiviert die Verwendung von XAUTH für die gewählte VPN-Gegenstelle. Mögliche Werte: Client: In der Betriebsart als XAUTH-Client startet das Gerät die erste Phase der IKE-Verhandlung (Main Mode oder Aggressive Mode) und wartet dann auf den Authentifizierungs-Request vom XAUTH-Server.
Seite 625: Xauth Mit Externem Radius-Server
Referenzhandbuch 10 Virtual Private Networks - VPN 10.11.4 XAUTH mit externem RADIUS-Server Seit der Firmware-Version 7.60 kann ein Router die Gegenstelle auch über das Extended Authentication Protocol (XAUTH) identifizieren und authentifizieren. Zur Authentifizierung wurden dabei die Benutzerdaten aus der PPP-Liste herangezogen. Ab der Firmware-Version 7.80 kann die XAUTH-Authentifizierung auch an einen (externen) RADIUS-Server weitergereicht werden.
Seite 626: Backup Über Alternative Vpn-Verbindung
Referenzhandbuch 10 Virtual Private Networks - VPN 10.12 Backup über alternative VPN-Verbindung 10.12.1 Einleitung Das Thema der Backup-Verbindungen ist gerade in verteilten Standorten mit mehreren Filialen, die über VPN an die Zentrale angebunden sind, ein zentrales Thema für die Verfügbarkeit von unternehmenskritischen Anwendungen. Bei einer direkten Beziehung von Routern in den Filialen zu redundanten Routern in der Zentrale ist das Backup einfach zu lösen: Ist ein Router in der Zentrale nicht über Internet erreichbar, kann sich die Filiale in einen anderen Router der Zentrale einwählen.
Seite 627: Backup-Fähige Netzstruktur
Referenzhandbuch 10 Virtual Private Networks - VPN zu den Filialen über die Vermittlungsknoten bestehen, denn der Vermittlungsknoten ist ja aus Sicht der Zentrale noch erreichbar. Der Vermittlungsknoten erfährt nichts über eine evtl. vorhandene Direktverbindung der Filiale an die Zentrale, er kann also die Ziele im Netz der Filiale nicht über den Umweg der Zentrale erreichen.
Seite 628 Referenzhandbuch 10 Virtual Private Networks - VPN In der Zentrale müssen alle Verbindungen also nur passiv angenommen werden. Die Vermittlungsknoten nehmen ebenfalls die Verbindungen der Filialen passiv an, bauen aber die Verbindungen zur Zentrale aktiv auf. Diese Hierarchie ist Voraussetzung für die spätere Definition der VPN-Regeln. Netzwerkdefinitionen Die Filialen bauen Netzbeziehungen zu den Vermittlungsknoten und zur Zentrale auf, was durch die entsprechenden Regeln abgedeckt sein muss.
Seite 629 Referenzhandbuch 10 Virtual Private Networks - VPN Quelle 10.x.0.0/255.255.0.0 Ziel 10.0.0.0/255.0.0.0 Routing-Informationen Die Routen aus der Zentrale zu den einzelnen Filialen laufen im Normalbetrieb über die Vermittlungsknoten. Im Backup-Fall müssen diese Routen angepasst werden. Damit diese Anpassung automatisch vorgenommen werden kann, wird in den VPN-Gateways der Zentrale die “vereinfachten Einwahl mit Zertifikaten“...
Seite 630: Aufbau Der Backupverbindung
Referenzhandbuch 10 Virtual Private Networks - VPN Vermittlungsknoten auch im Backup-Fall gewährleistet werden, müssen auch in den Vermittlungsknoten die Routen zu den Filialen statisch konfiguriert werden. Aufbau der Backupverbindung Um dem Grundsatz der eindeutigen IPSec-Regeln zu entsprechen, werden im Backup-Fall zunächst die VPN-Regeln für die Hauptverbindung gelöscht und dann neue Regeln für die Backup-Verbindung angelegt.
Seite 631 Referenzhandbuch 10 Virtual Private Networks - VPN Für die Hauptverbindung muss “Dynamic VPN” über ICMP/UDP konfiguriert werden. Für die Backupverbindung bestehen keine Anforderungen bezüglich “Dynamic VPN”. Das Backup wird wie beim ISDN-Backup in der Backup-Tabelle konfiguriert. In der Filiale muss die Zentrale als Backupgegenstelle konfiguriert sein. Zentrale Die vereinfachte Einwahl mit Zertifikaten muss eingeschaltet sein.
Seite 632: Ipsec Over Https
Bitte beachten Sie, dass die IPSec over HTTPS-Technologie nur genutzt werden kann, wenn beide Gegenstellen diese Funktion unterstützen und die entsprechenden Optionen aktiviert sind. IPSec over HTTPS ist verfügbar in VPN-Routern mit Firmware-Version 8.0 oder höher sowie im LANCOM Advanced VPN Client 2.22 oder höher. 10.13.2 Konfiguration der IPSec over HTTPS-Technologie Für den aktiven Verbindungsaufbau eines VPN-Geräts zu einer anderen VPN-Gegenstelle mit Hilfe der IPSec over...
Seite 633 VPN-Verbindungen mit IPSec over HTTPS bei der Gegenstelle aktiviert ist. Für den passiven Verbindungsaufbau zu einem VPN-Gerät von einer anderen VPN-Gegenstelle mit Hilfe der IPSec over HTTPS-Technologie (VPN-Gerät oder LANCOM Advanced VPN-Client) aktivieren Sie die Option in den allgemeinen VPN-Einstellungen.
Seite 634: Statusanzeigen Der Ipsec Over Https-Technologie
Ein, Aus Default: Der LANCOM Advanced VPN Client unterstützt einen automatischen Fallback auf IPSec over HTTPS. In dieser Einstellung versucht der VPN-Client zunächst eine Verbindung ohne die zusätzliche SSL-Kapselung aufzubauen. Falls diese Verbindung nicht aufgebaut werden kann, versucht das Gerät im zweiten Schritt eine Verbindung mit der zusätzlichen SSL-Kapselung aufzubauen.
Seite 635: L2Tpv2 (Layer 2 Tunneling Protocol Version 2)
Referenzhandbuch 10 Virtual Private Networks - VPN MPPE benutzt zur Verschlüsselung den sogenannten "Stateless Mode", um die Synchronisierung beider Kommunikationspartner sicherzustellen. In diesem Modus ändert sich der Sitzungs-Schlüssel mit jedem übertragenden Datenpaket. Außerdem synchronisieren beide Stationen jedesmal ihre Verschlüsselungs-Tabellen, in denen die Schlüssel zur Datenverschlüsselung gespeichert sind.
Seite 636: Konfiguration Der L2Tp-Tunnel
Referenzhandbuch 10 Virtual Private Networks - VPN 10.15.1 Konfiguration der L2TP-Tunnel Mit LANconfig konfigurieren Sie L2TP unter Kommunikation > Gegenstellen. Die Tunnel-Konfiguration für der Steuerdaten eines L2TP-Tunnels zu einem Tunnelendpunkt erfolgt unter L2TP-Endpunkte. Name Namen des Tunnelendpunktes IP-Adresse IP-Adresse des Tunnelendpunktes (IPv4, IPv6, FQDN). Routing-Tag Routing-Tag der Route zum Tunnelendpunkt Port...
Seite 637 Referenzhandbuch 10 Virtual Private Networks - VPN Tunnelaushandlung verschleiern Wenn bereits die Aushandlung eines Tunnels zwischen LAC und LNS verschlüsselt erfolgen soll, ist diese Option aktiv. Hierbei ver- und entschlüsseln beide L2TP-Partner mit Hilfe eines gemeinsamen "preshared Secrets" bestimmte AVPs (Attribute Value Pair) der L2TP-Nachrichten. Unter L2TP-Liste verknüpfen Sie die L2TP-Gegenstellen mit einem zuvor konfigurierten Tunnelendpunkt.
Seite 638: Authentifizierung Über Radius
Referenzhandbuch 10 Virtual Private Networks - VPN Achten Sie darauf, dass alle zusätzlich angegebenen L2TP-Endpunkte identisch zum referenzierten Tunnel-Endpunkt konfiguriert sind. Gegenstelle Name des Tunnelendpunktes, wie er in der Tabelle L2TP-Endpunkte konfiguriert ist. Anfangen mit L2TP-Endpunkt Option zur Auswahl des nächsten Gateways. Folgende Auswahl ist möglich: Zuletzt Benutztem: Auswahl der zuletzt erfolgreichen Adresse Erstem: Auswahl des ersten Gateways in der Liste Zufall: Zufällige Auswahl eines Gateways aus der Liste...
Seite 639: Betrieb Als L2Tp Access Concentrator (Lac)
Referenzhandbuch 10 Virtual Private Networks - VPN RADIUS-Server Aktiviert bzw. deaktiviert den RADIUS-Server für die Authentifizierung des Tunnelendpunktes, unabhängig von einer Authentifizierung einer PPP-Session. Die folgende Auswahl ist möglich: Deaktiviert: Der RADIUS-Server ist nicht aktiv für die Authentifizierung eines Tunnelendpunktes. Aktiviert: Der RADIUS-Server übernimmt die Authentifizierung eines Tunnelendpunktes.
Seite 640 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Erstellen Sie unter Kommunikation > Gegenstellen in der Tabelle L2TP-Endpunkte einen Eintrag für einen LNS als entferntes L2TP-Gateway. 2. Vergeben Sie unter Kommunikation > Protokolle in der Tabelle L2TP-Liste einen Namen für diese Gegenstelle und verbinden Sie sie mit dem zuvor angelegten L2TP-Endpunkt.
Seite 641: Betrieb Als L2Tp Network Server (Lns) Mit Authentifizierung Über Radius
Referenzhandbuch 10 Virtual Private Networks - VPN 4. Legen Sie unter Konfiguration > IP-Router > Routing in der entsprechenden IPv4- oder IPv6-Routing-Tabelle einen Eintrag für diese Gegenstelle an. 10.15.4 Betrieb als L2TP Network Server (LNS) mit Authentifizierung über RADIUS Im folgenden Beispiel arbeitet das Gerät als L2TP Network Server (LNS). Die Authentifizierung der eingehenden L2TP-Tunnel sowie der PPP-Sessions erfolgt über RADIUS.
Seite 642: Betrieb Als L2Tp Network Server (Lns) Für Ras-Clients
Referenzhandbuch 10 Virtual Private Networks - VPN 3. Konfigurieren Sie unter Kommunikation > RADIUS den RADIUS-Server. Den unteren Abschnitt RADIUS-Server-Einstellungen für L2TP konfigurieren Sie nur, wenn eine L2TP-Tunnel-Authentifizierung über den RADIUS-Server erfolgen soll. 4. Konfigurieren Sie den RADIUS-Server entsprechend, damit er die Authentifizierung des L2TP-Tunnels und der PPP-Sessions durchführen kann.
Seite 643 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Erstellen Sie unter Kommunikation > Gegenstelle in der Tabelle L2TP-Endpunkte einen Eintrag "DEFAULT". Der Eintrag für die IP-Adresse lautet "0.0.0.0", da die IP-Adresse des L2TP-LACs dem Gerät unbekannt ist. 2. Konfigurieren Sie anschließend unter Kommunikation > Gegenstellen in der Tabelle L2TP-Liste einen Eintrag "DEFAULT".
Seite 644: Konkrete Verbindungsbeispiele
Referenzhandbuch 10 Virtual Private Networks - VPN 4. Anschließend konfigurieren Sie unter Kommunikation > Protokolle in der PPP-Liste für den Client einen neuen Eintrag. 10.16 Konkrete Verbindungsbeispiele In diesem Kapitel werden die vier möglichen VPN-Verbindungstypen an Hand konkreter Beispiele veranschaulicht. Die vier Verbindungsarten werden nach der IP-Adressart der beiden VPN-Gateways kategorisiert: statisch/statisch dynamisch/statisch (die dynamische Seite initiiert die Verbindung)
Seite 645: Dynamisch/Statisch
Für diesen Verbindungsaufbau ist kein ISDN-Anschluss erforderlich. Die dynamische Seite übermittelt ihre IP-Adresse verschlüsselt über das Internet-Protokoll ICMP (alternativ auch über UDP). 10.16.3 Statisch/dynamisch (mit LANCOM Dynamic VPN) In diesem Fall initiiert (im Gegensatz zur dynamisch/statischen Verbindung) die statische Seite den Aufbau der VPN-Verbindung.
Seite 646: Dynamisch/Dynamisch (Mit Lancom Dynamic Vpn)
Der beschriebene Verbindungsaufbau setzt bei beiden VPN-Gateways einen ISDN-Anschluss voraus, über den im Normalfall jedoch keine gebührenpflichtigen Verbindungen aufgebaut werden. 10.16.4 Dynamisch/dynamisch (mit LANCOM Dynamic VPN) Zwischen den beiden Geräten Zentrale und Filiale wird eine VPN-Verbindung aufgebaut. Beide Seiten haben dynamische IP-Adressen.
Seite 647: Vpn-Verbindungen: Hohe Verfügbarkeit Mit „Lastenausgleich
Referenzhandbuch 10 Virtual Private Networks - VPN Alternativ kann diese Anwendung mit Hilfe von Dynamic-DNS gelöst werden. Dabei wird an Stelle einer statischen IP-Adresse ein dynamischer DNS-Name verwendet, der die Zuordnung zur gerade aktuellen dynamischen IP-Adresse erlaubt. Angabe Zentrale Filiale Typ der eigenen IP-Adresse dynamisch dynamisch...
Seite 648 Referenzhandbuch 10 Virtual Private Networks - VPN Damit die Rechner im LAN der Zentrale auch wissen, welche Aussenstelle gerade über welches VPN-Gateway erreicht werden kann, werden die jeweils aktuellen Outband-Routen zu den verbundenen Gegenstellen über RIPv2 im Netzwerk der Zentrale propagiert. Wenn die Außenstellen so konfiguriert werden, dass sie beim Aufbau der VPN-Verbindung die Gegenstelle zufällig auswählen, wird mit diesem Mechanismus die Hochverfügbarkeit mit gleichmäßiger Lastverteilung zwischen den VPN-Gateways in der Zentrale realisiert („Load Balancing“).
Seite 649 Referenzhandbuch 10 Virtual Private Networks - VPN Bei der Konfiguration mit LANconfig finden Sie die Liste der Gateway-Adressen im Konfigurationsbereich 'VPN' auf die Registerkarte 'Allgemein' unter der Schaltfläche Entferntes Gateway. Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Einstellungen für die Remote-Gateway-Adressen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle...
Seite 650: Wie Funktioniert Vpn
Referenzhandbuch 10 Virtual Private Networks - VPN 10.17 Wie funktioniert VPN? Ein VPN muss in der Praxis einer Reihe von Ansprüchen gerecht werden: Unbefugte Dritte dürfen die Daten nicht lesen können (Verschlüsselung) Ausschluss von Datenmanipulationen (Datenintegrität) Zweifelsfreie Feststellung des Absenders der Daten (Authentizität) Einfache Handhabung der Schlüssel Kompatibilität mit VPN-Geräten verschiedener Hersteller Diese fünf wichtigen Ziele erreicht VPN durch die Verwendung des weitverbreiteten IPSec-Standards.
Seite 651: Sicherheit Auf Verbindungsebene - Pptp, L2F, L2Tp
Referenzhandbuch 10 Virtual Private Networks - VPN Sicherheit auf Verbindungsebene – PPTP, L2F, L2TP Bereits auf der Verbindungsebene (Level 2 des OSI-Modells) können Tunnel gebildet werden. Microsoft und Ascend entwickelten frühzeitig das Point-to-Point Tunneling Protocol (PPTP). Cisco stellte ein ähnliches Protokoll mit Layer 2Forwarding (L2F) vor.
Seite 652: Security Associations - Nummerierte Tunnel
Referenzhandbuch 10 Virtual Private Networks - VPN Sicherung der Authentizität der Pakete Verschlüsselung der Pakete Übermittlung und Management der Schlüssel 10.18.2 Security Associations – nummerierte Tunnel Eine logische Verbindung (Tunnel) zwischen zwei IPSec-Geräten wird als SA (Security Association) bezeichnet. SAs werden selbstständig vom IPSec-Gerät verwaltet.
Seite 653: Die Authentifizierung - Das Ah-Protokoll
Die Verschlüsselung kann unter LANconfig in der Expertenkonfiguration angepasst werden. Eingriffe dieser Art sind in der Regel nur dann erforderlich, wenn VPN-Verbindungen zwischen Geräten unterschiedlicher Hersteller aufgebaut werden sollen. Standardmäßig bieten LANCOM-Gateways die Verschlüsselung entweder nach AES (128-bit), Blowfish (128-bit) oder Triple-DES (168-bit) an.
Seite 654: Der Ablauf Von Ah Im Sender
Referenzhandbuch 10 Virtual Private Networks - VPN Der Ablauf von AH im Sender Im Sender der Pakete läuft die Erstellung der Authentication Data in 3 Schritten ab. 1. Aus dem Gesamtpaket wird eine Prüfsumme mittels Hash-Algorithmen errechnet. 2. Diese Prüfsumme wird zusammen mit einem dem Sender und Empfänger bekannten Schlüssel erneut durch einen Hash-Algorithmus geschickt.
Seite 655: Berechnung Der Authentifizierungsdaten
Referenzhandbuch 10 Virtual Private Networks - VPN Bildung der Prüfsumme für den Integritäts-Check Um die Integrität, also die Korrektheit der transferierten Pakete zu gewährleisten, versieht AH beim Versand jedes Paket mit einer Prüfsumme. Beim Empfänger prüft AH, ob die Prüfsumme zum Inhalt des Paketes passt. Ist das nicht der Fall, dann wurde es entweder falsch übertragen oder bewusst verändert.
Seite 656: Management Der Schlüssel - Ike
Referenzhandbuch 10 Virtual Private Networks - VPN 10.18.5 Management der Schlüssel – IKE Das Internet Key Exchange Protocol (IKE) ist ein Protokoll, in dem Unterprotokolle zum Aufbau der SAs und für das Schlüsselmanagement eingebunden werden können. Innerhalb von IKE werden zwei Unterprotokolle verwendet: Oakley für die Authentifizierung der Partner und den Schlüsselaustausch sowie ISAKMP für die Verwaltung der SAs.
Seite 657: Anwendungskonzepte Für Lanconfig
(RAS, VPN). 2. Wählen Sie im Folgefenster VPN-Verbindung-über das Internet und klicken Sie Weiter. 3. Wählen Sie aus der Liste den Eintrag LANCOM Advanced VPN Client […] und aktivieren Sie die Option Beschleunigen Sie das Konfigurieren mit 1-Click-VPN. 4. Geben Sie im nächsten Schritt den Namen für diesen Zugang ein und wählen Sie aus, über welche Adresse der Router aus dem Internet erreichbar ist.
Seite 658 E-Mail-Programm als Standard-Mail-Anwendung eingerichtet sein, über die auch andere Anwendungen E-Mails versenden dürfen. Beim Erstellen des VPN-Zugangs werden Einstellungen verwendet, die optimal auf die Verwendung im LANCOM Advanced VPN Client abgestimmt sind, darunter z. B.: Gateway: Sofern im VPN-Router definiert, wird hier ein DynDNS-Name verwendet, ansonsten die IP-Adresse FQDN: Kombination aus dem Namen der Verbindung, einer fortlaufenden Nummer und der internen Domäne im...
Seite 659: Virtuelle Lans (Vlans)
Referenzhandbuch 11 Virtuelle LANs (VLANs) 11 Virtuelle LANs (VLANs) 11.1 Was ist ein Virtuelles LAN? Die steigende Verfügbarkeit von preiswerten Layer-2-Switches erlaubt den Aufbau sehr viel größerer LANs als in der Vergangenheit. Bisher wurden oft kleinere Abschnitte eines Netzwerks mit Hubs zusammengeschlossen. Diese einzelnen Segmente (Collision Domains) wurden dann über Router zu größeren Einheiten zusammengeschlossen.
Seite 660: Frame-Tagging
Referenzhandbuch 11 Virtuelle LANs (VLANs) Die Stationen aus Marketing und Vertrieb sollen miteinander kommunizieren können. Außerdem sollen Sie auf den Server zugreifen. Die Buchhaltung benötigt ebenfalls Zugriff auf den Server, soll aber ansonsten von den anderen Stationen abgeschirmt werden. 11.2.1 Frame-Tagging Um den Datenverkehr eines virtuellen LANs gegen die anderen Netzteilnehmer abschirmen und ggf.
Seite 661: Umsetzung In Den Schnittstellen Des Lans
Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.2.2 Umsetzung in den Schnittstellen des LANs Mit den virtuellen LANs sollen bestimmte Stationen zu logischen Einheiten zusammengefasst werden. Die Stationen selbst können aber die notwendigen VLAN-Tags in der Regel weder erzeugen noch verarbeiten. Der Datenverkehr zwischen den Netzteilnehmern läuft immer über die verschiedenen Schnittstellen (Interfaces) der Verteiler im LAN.
Seite 662: Management- Und User-Traffic Auf Einem Lan
Referenzhandbuch 11 Virtuelle LANs (VLANs) Management- und User-Traffic auf einem LAN Auf dem Campus einer Universität werden mehrere Hot-Spots aufgestellt. Damit ist den Studenten über Notebooks mit WLAN-Karten der Zugang zum Server der Bibliothek und zum Internet möglich. Die Hot-Spots sind an das LAN der Universität angeschlossen.
Seite 663: Konfiguration Von Vlans
Referenzhandbuch 11 Virtuelle LANs (VLANs) Mit virtuellen LANs lässt sich diese Aufgabe sehr elegant lösen. Auch bei einem späteren Wechsel von Abteilungen oder Firmen im Gebäude kann die Netzstruktur sehr einfach angepasst werden. Alle Netzteilnehmer nutzen in diesem Beispiel das zentrale Ethernet, das mit den angeschlossenen Geräten von einem Dienstleister überwacht wird.
Seite 664: Allgemeine Einstellungen
Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.3.1 Allgemeine Einstellungen In diesem Dialog finden Sie die allgemeinen Einstellunge für das VLAN. LANconfig: Schnittstellen / VLAN WEBconfig: LCOS-Menübaum / Setup / VLAN VLAN-Modul aktivieren Schalten Sie das VLAN-Modul nur ein, wenn Sie mit den Auswirkungen der VLAN-Nutzung vertraut sind. Mit fehlerhaften VLAN-Einstellungen können Sie den Konfigurationszugang zum Gerät verhindern.
Seite 665: Die Netzwerktabelle
Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.3.2 Die Netzwerktabelle In der Netzwerktabelle werden die virtuellen LANs definiert, an denen das Gerät teilnehmen soll. LANconfig: Schnittstellen / VLAN / VLAN-Tabelle WEBconfig: LCOS-Menübaum / Setup / VLAN / Netzwerke VLAN-Name: Der Name des VLANs dient nur der Beschreibung bei der Konfiguration. Dieser Name wird an keiner anderen Stelle verwendet.
Seite 666: Konfigurierbare Vlan-Ids
Referenzhandbuch 11 Virtuelle LANs (VLANs) Ankommend gemischt: Ankommende Pakete können ein VLAN-Tag haben oder nicht, ausgehende Pakete bekommen nie ein VLAN-Tag. Default: Ankommend gemischt Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören Diese Option gibt an, ob getaggte Datenpakete mit beliebigen VLAN-IDs akzeptiert werden sollen, auch wenn der Port nicht Mitglied dieses VLANs ist.
Seite 667: Vlan-Ids Für Dslol-Interfaces
Referenzhandbuch 11 Virtuelle LANs (VLANs) LANconfig: Kommunikation / Gegenstellen / Gegenstellen (DSL) WEBconfig: LCOS-Menübaum / Setup / WAN / DSL-Breitband-Gegenstellen VLAN-ID ID, mit der das VLAN auf der DSL-Verbindung eindeutig identifiziert werden kann. 11.4.3 VLAN-IDs für DSLoL-Interfaces Um den Datenverkehr über ein DSLoL-Interface besser von restlichen Traffic separieren zu können, kann für das DSLoL-Interface unter Setup/Interfaces/DSLoL oder im LANconfig im Konfigurationsbereich 'Interfaces' auf der Registerkarte 'WAN' bei den Interface-Einstellungen für das DSLoL-Interface im Feld 'VLAN-ID' eingestellt werden.
Seite 668: Konfiguration Des Vlan-Taggings Auf Layer 2/3
Beim Senden eines Paketes auf das Ethernet kann das VLAN-Tag in Abhängigkeit von der Precedence gesetzt werden. Dies darf aber nur dann geschehen, wenn der Empfänger diese Tags auch versteht, d.h. getaggte Pakete empfangen kann. Daher werden die Tags nur für solche Stationen gesetzt, wenn das LANCOM von der jeweiligen Adresse getaggte Pakete empfangen hat.
Seite 669 Referenzhandbuch 11 Virtuelle LANs (VLANs) Die Einstellung für das Layer2-Layer3-Tagging regelt das Verhalten beim Empfangen eines Datenpakets: Ignorieren: VLAN-Tags werden ignoriert. Nach Layer-3 kopieren: Prioritäts-Bits im VLAN-Tag werden immer in die Precedence des DSCP kopiert. Automatisch kopieren: Prioritäts-Bits im VLAN-Tag werden nur dann in die Precedence des DSCP kopiert, wenn diese '000' ist.
Seite 670: Wireless Lan - Wlan
Vergangenheit an. Funk-LANs sind außerdem einsetzbar für Verbindungen über größere Distanzen. Teure Mietleitungen und die damit verbundenen baulichen Maßnahmen können gespart werden. LANCOM Systems unterscheidet zwei Typen von WLAN-Geräten, die für verschiedene Einsatzbereich vorgesehen sind und dementsprechend spezielle Funktionen und Konfigurationsmöglichkeiten bieten: Access Points (APs) werden üblicherweise verwendet, um ein oder mehrere WLANs mit kabelgebundenen LAN zu...
Seite 671: Anwendungsszenarien
Referenzhandbuch 12 Wireless LAN – WLAN deutlich verbessern. Alle Funktionen von Active Radio Control sind kostenlos enthalten im LANCOM Betriebssystem LCOS und lassen sich einfach über die entsprechenden Management-Tools bedienen. RF Optimization (Funkfeldoptimierung) Automatische Auswahl optimaler WLAN-Kanäle: WLAN-Clients profitieren von einem verbesserten Durchsatz dank reduzierter Kanalüberlappungen.
Seite 672: Hotspot Oder Gastzugang
Referenzhandbuch 12 Wireless LAN – WLAN die Kommunikation der Clients untereinander und den Zugang zu anderen Netzwerken. In größeren WLAN-Anwendungen (z. B. in Unternehmen, deren Geschäftsräume sich über mehrere Gebäude oder Etagen verteilen) können auch mehrere verbundene APs einen gemeinsamen Zugang für WLAN-Clients anbieten. Je nach Bedarf können die Clients zwischen den verschiedenen APs wechseln (Roaming).
Seite 673: Managed-Modus
Mit Hilfe des Split-Managements kann die WLAN-Konfiguration von der restlichen Router-Konfiguration getrennt werden. Auf diese Weise können z. B. in Filialen oder Home-Offices die Router- und VPN-Einstellungen lokal erfolgen, die WLAN-Konfiguration kann über einen LANCOM WLAN Controller in der Zentrale erfolgen. 12.3.4 WLAN-Bridge (Point-to-Point) Während es sich bei den bisher vorgestellten Anwendungsszenarien immer um die Anbindung von mehreren WLAN-Clients...
Seite 674: Wlan-Bridge Im Relais-Betrieb
Endpunkten hergestellt werden. Da die APs an den Zwischenstationen in der Regel nur als Schaltstelle dienen, nennt man diese Betriebsart der APs auch „Relais-Modus“. Obwohl LANCOM APs auch pro Radio-Modul neben WLAN-Clients auch noch mehrere P2P-Strecken gleichzeitig bedienen können, empfiehlt sich aus Performance-Gründen die Verwendung von LANCOM Access Points mit zwei Funkmodulen für die Relais-Stationen.
Seite 675: Wireless Distribution System (Point-To-Multipoint)
Referenzhandbuch 12 Wireless LAN – WLAN 12.3.7 Wireless Distribution System (Point-to-Multipoint) Eine besondere Variante der Funkstrecken ist die Anbindung von mehreren verteilten APs an eine zentrale Station – das Point-to-Multipoint-WLAN (P2MP) wird auch als Wireless Distribution System bezeichnet (WDS). In dieser Betriebsart werden z.
Seite 676: Client-Modus Bei Bewegten Objekten Im Industriebereich
IEEE-Normen für LANs dar, von denen IEEE 802.3 für Ethernet die bekannteste ist. Innerhalb der IEEE 802.11 Familie gibt es verschiedene Standards für die Funkübertragung in unterschiedlichen Frequenzbereichen und mit unterschiedlichen Geschwindigkeiten. LANCOM APs und AirLancer Client Adapter unterstützen je nach Ausführung unterschiedliche Standards:...
Seite 677: Ieee 802.11N
Durch die Einhaltung der IEEE-Standards arbeiten die LANCOM WLAN-Geräte problemlos und zuverlässig auch mit Geräten anderer Hersteller zusammen. Ihr LANCOM AP unterstützt je nach Modell die Standards IEEE 802.11g (abwärtskompatibel zu IEEE 802.11b) und/oder IEEE 802.11a sowie IEEE 802.11n Draft 2.0.
Seite 678: Vorteile Von 802.11N
Referenzhandbuch 12 Wireless LAN – WLAN bereits vor der Verabschiedung des Standards entsprechende WLAN-Geräte auf den Markt bringt. Der aktuelle Stand der Diskussion wird als so genannter „Draft 2.0“ definiert, auf den sich die aktuell im Markt verfügbaren Geräte beziehen. Wenn in diesem Dokument von „802.11n“...
Seite 679: Technische Aspekte Von 802.11N
Referenzhandbuch 12 Wireless LAN – WLAN Modulation der Trägersignale auf ein Funksignal im gewählten Frequenzband, bei WLAN entweder 2,4 oder 5 GHz. Die zweite der beiden Modulationen läuft bei IEEE 802.11n genau so ab wie bei den bisherigen WLAN-Standards und ist daher keine weitere Betrachtung wert.
Seite 680 Referenzhandbuch 12 Wireless LAN – WLAN (derzeit werden nur zwei parallele Datenströme realisiert). Das Resultat ist eine Steigerung des Datendurchsatzes und Verbesserung des Funkabdeckung. Die Daten werden also z. B. beim AP in zwei Gruppen aufgeteilt, die jeweils über separate Antennen, aber gleichzeitig zum WLAN-Client gesendet werden.
Seite 681 Referenzhandbuch 12 Wireless LAN – WLAN MIMO ermöglicht also die gleichzeitige Übertragung mehrerer Signale auf einem geteilten Medium wie der Luft. Die einzelnen Sender und Empfänger müssen dazu jeweils einen räumlichen Mindestabstand einhalten, der allerdings nur wenige Zentimeter beträgt. Dieser Abstand schlägt sich in unterschiedlichen Reflexionen bzw. Signalwegen nieder, die zur Trennung der Signale verwendet werden können.
Seite 682 Kanal mit weiteren Trägersignalen zu verwenden. Bereits in der Vergangenheit wurde diese Technik von einigen Herstellern (u. a. LANCOM) eingesetzt und als „Turbo-Modus“ bezeichnet, der Datenraten von bis zu 108 Mbit/s ermöglicht. Der Turbo-Modus ist zwar nicht Bestandteil der offiziellen IEEE-Standards, wird aber z.
Seite 683: Optimierung Des Netto-Datendurchsatzes
Referenzhandbuch 12 Wireless LAN – WLAN Durch die Übertragung der Datenmenge in kürzeren Intervallen steigt der maximale Datendurchsatz damit bei Nutzung der verbesserten OFDM-Modulation, zwei parallelen Datenströmen und Übertragung mit 40 MHz auf maximal 300 Mbit/s. Optimierung des Netto-Datendurchsatzes Die bisher beschriebenen Verfahren haben zum Ziel, den physikalisch möglichen Datendurchsatz zu verbessern. Mit den im Folgenden beschriebenen Verfahren optimieren 802.11n-Netzwerke auch den Durchsatz, der netto zu erzielen ist –...
Seite 684: Resultierender Datendurchsatz
Referenzhandbuch 12 Wireless LAN – WLAN alle zusammengefassten Datenpakete übertragen und Verzögerungen durch die Zugriffsregelung auf das Übertragungsmedium werden erst in größeren Abständen nötig. Der Einsatz dieses als Frame-Aggregation bezeichneten Verfahrens unterliegt aber gewissen Einschränkungen: Damit auch Informationen wie die MAC-Adressen nur einmal für den aggregierten Frame übertragen werden müssen, können nur solche Datenpakete zusammengefasst werden, die an die gleiche Adresse gerichtet sind.
Seite 685: Ieee 802.11A: 54 Mbit/S
Modulationsverfahren ist dabei insbesondere sehr unempfindlich gegen Echos und andere Beeinträchtigungen und ermöglicht hohe Übertragungsraten. Im ’Turbo-Modus’ können LANCOM WLAN-Geräte zwei Funkkanäle gleichzeitig nutzen und damit die Übertragungsrate auf maximal 108 MBit/s steigern. Der Turbo-Modus kann in Verbindung mit dem IEEE 802.11a-Standard genutzt werden zwischen LANCOM Basis-Stationen und AirLancer Funknetzwerkkarten.
Seite 686: Europäische Harmonisierung
Referenzhandbuch 12 Wireless LAN – WLAN Europäische Harmonisierung Um die Nutzung des 5GHz-Bandes in Europa zu vereinheitlichen, hat die Europäische Kommission am 11.07.2005 den Standard ETSI 301 893 erlassen. Die Mitgliedsländer der EU waren verpflichtet, diese bis zum 31.10.2005 umzusetzen. Anstelle der in den 802.11a/h-Standards beschriebenen drei Unterbändern (5150 - 5350 MHz, 5470 - 5725 MHz und 5725 - 5875 MHz für UK) regelt die Norm ETSI 301 893 die drei folgenden Bereiche mit unterschiedlichen Vorschriften: 5150 - 5250 MHz (Unterband 1)
Seite 687: Zulässige Funkkanäle
Referenzhandbuch 12 Wireless LAN – WLAN (UNII-2e) von 5470–5725 MHz und das "Upper Band" (UNII-3) von 5725–5825 MHz. Im Lower Band ist eine maximale mittlere EIRP von 50 mW, im Middle Band von 250 mW sowie im Upper Band von 1 W zugelassen. In Japan ist die Nutzung des 5 GHz-Bandes bisher nur sehr eingeschränkt möglich: hier ist nur das untere Band von 5150–5250 MHz für die private Nutzung freigegeben.
Seite 688: Verwendung
Um die Sendeleistungsdichte im 802.11b-Übertragungsstandard nicht zu überschreiten, ist ein EIRP-Wert von maximal 18dBm möglich. Im Übertragungsstandard 802.11gn kann der EIRP-Wert maximal 20dBm betragen. Ab LCOS-Version 8.84 richtet sich der maximale EIRP-Wert eines WLAN-fähigen LANCOM-Gerätes automatisch nach dem verwendeten Übertragungsstandard.
Seite 689: Wlan-Sicherheit
Referenzhandbuch 12 Wireless LAN – WLAN 12.5 WLAN-Sicherheit 12.5.1 Grundbegriffe Auch wenn immer wieder in Zusammenhang mit Computernetzen pauschal von 'Sicherheit' gesprochen wird, so ist es doch für die folgenden Ausführungen wichtig, die dabei gestellten Forderungen etwas näher zu differenzieren. Authentifizierung Als ersten Punkt der Sicherheit betrachten wir den Zugangsschutz: Dabei handelt es sich zum einen um einen Schutzmechanismus, der nur autorisierten Nutzern den Zugang zum...
Seite 690: Ieee 802.11I / Wpa2
Referenzhandbuch 12 Wireless LAN – WLAN kann nun ausschließlich mit dem privaten Schlüssel des Senders wieder entschlüsselt werden. Ein potenzieller Mithörer des Schlüsselaustauschs kann diese Information aber nicht entschlüsseln, die Übertragung des symmetrischen Schlüssels ist also gesichert. 12.5.2 IEEE 802.11i / WPA2 Mitte 2004 wurde der Standard 802.11i vom IEEE verabschiedet, der auch als Wi-Fi Protected Access 2 (WPA2) bekannt ist.
Seite 691: Wpa Mit Passphrase
Wenn eine SSID ausschließlich WEP oder WPA mit TKIP als Verschlüsselungsverfahren verwendet, erreichen die angebundenen WLAN-Clients eine maximale Brutto-Datenrate von 54 MBit/s. Standard-Verschlüsselung mit WPA2 Im werksseitigen Auslieferungszustand bzw. nach einem Reset unterscheiden sich LANCOM APs und LANCOM Wireless Router.
Seite 692 Schlüssel ist in den 'WPA-/Einzel-WEP-Einstellungen' des Gerätes für jedes logische WLAN-Netzwerk als 'Schlüssel 1/Passphrase' eingetragen. Um mit einer WLAN-Karte eine Verbindung zu einem LANCOM Wireless Router im Auslieferungszustand herzustellen, muss in der WLAN-Karte die WPA-Verschlüsselung aktiviert und der 13-stellige Preshared Key eingetragen werden.
Seite 693: Prä-Authentifizierung Und Pmk-Caching
Referenzhandbuch 12 Wireless LAN – WLAN TKIP-Implementierung hingegen verlangt die Verwendung unterschiedlicher Michael-Schlüssel in Sende- und Empfangsrichtung, so dass CCM in seiner Anwendung deutlich unkomplizierter ist als TKIP. Ähnlich wie TKIP verwendet CCM einen 48 Bit langen Initial Vector in jedem Paket – eine IV-Wiederholung ist damit in der Praxis ausgeschlossen.
Seite 694: Verhandlung Des Verschlüsselungsverfahrens
„persönliche“ Passphrase gelöscht werden, alle anderen behalten ihre Gültigkeit und Vertraulichkeit. Mit LEPS (LANCOM Enhanced Passphrase Security) hat LANCOM Systems ein effizientes Verfahren entwickelt, das die einfache Konfigurierbarkeit von IEEE 802.11i mit Passphrase nutzt und dabei die möglichen Unsicherheiten bei der...
Seite 695: Background Wlan Scanning
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen. 12.5.6 Background WLAN Scanning Zur Erkennung anderer APs in der eigenen Funkreichweite können LANCOM Wireless Geräte aktiv alle verfügbaren Kanälen prüfen (so wie das ein WLAN-Client machen würde, der nach verfügbaren APs sucht). Wenn dort ein anderer AP aktiv ist, werden die entsprechenden Informationen in der Scan-Tabelle gespeichert.
Seite 696: Schnelles Roaming Im Client-Modus
Referenzhandbuch 12 Wireless LAN – WLAN Schnelles Roaming im Client-Modus Das Verfahren des Background-Scanning kann aber auch mit anderen Zielen als der Rogue AP Detection verwendet werden. Ein AP im Client-Modus, der sich selbst bei einem anderen AP anmeldet, kann in einer mobilen Installation auch das Roaming-Verfahren nutzen.
Seite 697 Referenzhandbuch 12 Wireless LAN – WLAN kann aber die Kommunikation innerhalb einer WLAN-Zelle durch gefälschte Management-Informationen empfindlich stören. Der Standard IEEE 802.11w verschlüsselt die übertragenen Management-Informationen, so dass ein Angreifer, der nicht im Besitz des entsprechenden Schlüssels ist, die Kommunikation nicht mehr stören kann. Um Protected Management Frames für ein logisches WLAN-Interface zu aktivieren, wechseln Sie in LANconfig in die Ansicht Wireless-LAN >...
Seite 698 Referenzhandbuch 12 Wireless LAN – WLAN Um die Management-Frames bei P2P-Verbindung zwischen den Basisstationen zu verschlüsseln, wechseln Sie in LANconfig in die Ansicht Wireless-LAN > General, klicken auf Physikalische WLAN-Einst. und wählen in der Auswahlliste Mgmt.-Frames verschlüsseln die entsprechende Option. Um die Verschlüsselung von Management-Frames über einen WLAN-Controller zu verwalten, wechseln Sie in LANconfig in die Ansicht WLAN-Controller >...
Seite 699: Konfiguration Der Wlan-Parameter
12.6 Konfiguration der WLAN-Parameter Die Einstellungen für die Funknetzwerke erfolgen an verschiedenen Stellen in der Konfiguration: Manche Parameter betreffen die physikalische WLAN-Schnittstellen. Einige LANCOM-Modelle verfügen über eine WLAN-Schnittstelle (Single Radio), andere Modelle haben ein zweites WLAN-Modul integriert (Dual Radio). Die Einstellungen für die physikalischen WLAN-Schnittstellen gelten für alle logischen Funknetzwerke, die mit diesem...
Seite 700: Allgemeine Wlan-Einstellungen
Referenzhandbuch 12 Wireless LAN – WLAN 12.6.1 Allgemeine WLAN-Einstellungen LANconfig: Wireless-LAN / Allgemein WEBconfig: LCOS-Menübaum / Setup / WLAN Ländereinstellung Der Betrieb von WLAN-Modulen ist international nicht einheitlich geregelt. Die Verwendung von bestimmten Funkkanälen ist z. B. in manchen Ländern nicht erlaubt. Um den Betrieb der APs auf die in dem jeweiligen Land zulässigen Parameter zu begrenzen, wird für alle physikalischen WLAN-Interfaces gemeinsam das Land eingestellt, in dem der AP betrieben wird.
Seite 701: Allgemeine Einstellungen
Referenzhandbuch 12 Wireless LAN – WLAN Allgemeine Einstellungen Hier finden Sie allgemeine Einstellungen zum WLAN. LANconfig: Wireless-LAN / Security Datenverkehr zwischen SSIDs und Stationen Je nach Anwendungsfall ist es gewünscht oder eben auch nicht erwünscht, dass die an einem AP angeschlossenen WLAN-Clients mit anderen Clients kommunizieren.
Seite 702 Referenzhandbuch 12 Wireless LAN – WLAN Protokoll-Filter Mit dem Protokoll-Filter können Sie die Behandlung von bestimmten Datenpaketen bei der Übertragung aus dem WLAN ins LAN beeinflussen. Mit Hilfe von entsprechenden Regeln wird dabei festgelegt, welche Datenpakete erfasst werden sollen, für welche Interfaces der Filter gilt und welche Aktion mit den Datenpaketen ausgeführt werden soll. LANconfig: Wireless LAN / Security / Protokolle WEBconfig: LCOS-Menübaum / Setup / LAN-Bridge / Protokoll-Tabelle Ein Protokoll-Filter besteht ähnlich einer Firewall-Regel aus zwei Teilen:...
Seite 703 Referenzhandbuch 12 Wireless LAN – WLAN Irrelevant: Die Quell-MAC-Adresse findet keine Beachtung. Wenn das DHCP-Adress-Tracking aktiviert ist, werden die in der Regel evtl. eingetragenen IP-Adressen nicht beachtet. IP-Netzwerk und IP-Netzmaske: Die IP-Adresse des Netzwerks, für das dieser Filter gilt. Nur IP-Pakete, deren Quell- und Ziel-IP-Adressen in diesem Netzwerk liegen, werden von der Regel erfasst.
Seite 704 Referenzhandbuch 12 Wireless LAN – WLAN 2. Diese Informationen werden im zweiten Schritt gegen die Angaben aus den Filter-Regeln geprüft. Dabei werden alle Regeln berücksichtigt, bei denen das Quell- oder das Ziel-Interface in der Interface-Liste enthalten sind. Die Prüfung der Regeln verhält sich für die einzelnen Werte wie folgt: Für DHCP-Source-MAC, Protokoll und Unterprotokoll werden die aus den Paketen ausgelesenen Werte mit den Werten der Regel auf Übereinstimmung geprüft.
Seite 705: Auswahl Der Im Wlan Zulässigen Stationen
Referenzhandbuch 12 Wireless LAN – WLAN Alle Anfragen mit diesem Protokoll aus diesem logischen Funknetz werden dann automatisch umgeleitet auf den Zielserver im LAN. Bei der Rückübertragung der Datenpakete werden die entsprechenden Absenderadressen und Ports aufgrund der Einträge in der Verbindungsstatistik wieder eingesetzt, so dass ein störungsfreier Betrieb in beiden Richtungen möglich ist.
Seite 706: Verschlüsselungs-Einstellungen
Referenzhandbuch 12 Wireless LAN – WLAN Bei der zentralen Verwaltung der LANCOM Wireless Router und LANCOM APs über einen WLC finden Sie die Stationstabelle im Konfigurationsbereich 'WLAN-Controller' auf der Registerkarte 'Stationen' unter der Schaltfläche Stationen. Kontrollieren Sie, ob die Einstellung 'Daten von den aufgeführten Stationen übertragen, alle anderen Stationen ausfiltern' aktiviert ist.
Seite 707: Wpa- Und Einzel-Wep-Einstellungen
Referenzhandbuch 12 Wireless LAN – WLAN WPA- und Einzel-WEP-Einstellungen Die Schlüsseleinstellungen konfigurieren Sie unter Wireless-LAN > 802.11i/WEP > WPA- / Einzel-WEP-Einstellungen. Verschlüsselung aktivieren Aktivieren bzw. deaktivieren Sie die Verschlüsselung für diese WLAN-Schnittstelle. Methode/Schlüssel-1-Typ Stellen Sie hier das zu verwendende Verschlüsselungsverfahren ein. Mögliche Werte sind: 802.11i (WPA)-PSK –...
Seite 708 Referenzhandbuch 12 Wireless LAN – WLAN Bitte beachten Sie, dass die Sicherheit des Verschlüsselungssystems bei der Verwendung einer Passphrase von der vertraulichen Behandlung dieses Kennworts abhängt. Die Passphrase sollte nicht einem größeren Anwenderkreis bekannt gemacht werden. Der WEP-Schlüssel-1, der nur speziell für das jeweilige logische WLAN-Interface gilt, kann je nach Schlüssellänge unterschiedlich eingetragen werden.
Seite 709 Referenzhandbuch 12 Wireless LAN – WLAN Client-EAP-Methode APs in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen AP authentifizieren. Zur Aktivierung der EAP/802.1X-Authentifizierung im Client-Modus wird bei den Verschlüsselungsmethoden für das erste logische WLAN-Netzwerk die Client-EAP-Methode ausgewählt. Beachten Sie, dass die gewählte Client-EAP-Methode zu den Einstellungen des Access Points passen muss, bei dem sich der AP einbuchen will.
Seite 710: Regeln Für Die Eingabe Von Wep-Schlüsseln
Schlüssellänge nicht unterstützen. Passwortfeld-Schutz für WLAN-Schlüssel Ab LCOS 9.00 stellt das System WPA- sowie WEP-Gruppen-Schlüssel an der Konsole nicht mehr im Klartext, sondern als Passworteingabe dar (********). In Folge dessen ist es nicht mehr möglich, diese Schlüssel z. B. per SNMP auszulesen.
Seite 711: Die Physikalischen Wlan-Schnittstellen
WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Betriebs-Einstellungen WLAN-Betriebsart LANCOM APs können grundsätzlich in verschiedenen Betriebsarten arbeiten: Als Basisstation (AP) stellt es für die WLAN-Clients die Verbindung zu einem kabelgebundenen LAN her. Als Client sucht das Gerät selbst die Verbindung zu einem anderen AP und versucht sich in einem Funknetzwerk anzumelden.
Seite 712 Referenzhandbuch 12 Wireless LAN – WLAN Client-Signalstärke: In dieser Betriebsart zeigt die LED die Signalstärke des APs an, bei dem ein AP selbst als Client eingebucht ist. Je schneller die LED blinkt, umso besser ist das Signal. Wählen Sie diese Betriebsart nur, wenn Sie den AP im Client-Modus betreiben.
Seite 713 Referenzhandbuch 12 Wireless LAN – WLAN WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Radio-Einstellungen Frequenzband, Unterband Mit der Auswahl des Frequenzbandes auf der Registerkarte 'Radio' bei den Einstellungen für die physikalischen Interfaces legen Sie fest, ob das WLAN-Modul im 2,4 GHz- oder im 5 GHz-Band arbeitet, und damit gleichzeitig die möglichen Funkkanäle.
Seite 714 Insbesondere müssen Geräte mit älteren WLAN-Chips (Zwei- oder Drei-Chip-Module) diese Richtlinie nicht erfüllen und müssen somit auch nicht nachgerüstet werden. LANCOM bietet mit den aktuellen Firmware-Versionen an, die DFS-4 unterstützen. Dabei werden in der Firmware andere Schwellwerte für die Radar-Muster-Erkennung definiert als beim bisherigen DFS.
Seite 715 Referenzhandbuch 12 Wireless LAN – WLAN Sowohl im 2,4-GHz- als auch im 5-GHz-Frequenzband existieren inzwischen unterschiedliche Funk-Standards, nach denen ein AP senden kann. Im 2,4-GHz-Frequenzband umfasst dies bislang die Standards IEEE 802.11b, IEEE 802.11g und IEEE 802.11n; im 5-GHz-Frequenzband die Standards IEEE 802.11a, IEEE 802.11n und IEEE 802.11ac. Je nach Gerätetyp und gewähltem Frequenzband haben Sie die Möglichkeit, einen AP exklusiv in einem bestimmten Modus zu betreiben oder einen der verschiedenen Kompatibilitätsmodi einzustellen.
Seite 716 Antennengruppierung Nur verfügbar für 802.11n. LANCOM APs mit 802.11n-Unterstützung können bis zu drei Antennen zum Senden und Empfangen der Daten einsetzen. Der Einsatz mehrerer Antennen kann bei 802.11n unterschiedliche Ziele verfolgen: Verbesserung des Datendurchsatzes: Mit dem Einsatz von „Spatial Multiplexing“ können zwei parallele Datenströme realisiert werden, mit denen die doppelte Datenmenge übertragen werden kann.
Seite 717 Referenzhandbuch 12 Wireless LAN – WLAN tatsächlichen Antennengewinn wird dann dynamisch unter Berücksichtigung der anderen eingestellten Parameter wie Land, Datenrate und Frequenzband die maximal mögliche Leistung berechnet und abgestrahlt. Im Gegensatz dazu reduziert der Eintrag im Feld 'Sendeleistungs-Reduktion' die Leistung immer statisch um den dort eingetragenen Wert, ohne Berücksichtigung der anderen Parameter.
Seite 718 Referenzhandbuch 12 Wireless LAN – WLAN WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Leistung TX-Burst Erlaubt/Verbietet das Paket-Bursting, was den Durchsatz erhöht, jedoch die Fairness auf dem Medium verschlechtert. Hardware-Kompression Erlaubt oder verbietet eine Hardwarekompression von Paketen. QoS nach 802.11e Mit der Erweiterung der 802.11-Standards um 802.11e können auch für WLAN-Übertragungen definierte Dienstgüten angeboten werden (Quality of Service).
Seite 719: Punkt-Zu-Punkt-Verbindungen
Referenzhandbuch 12 Wireless LAN – WLAN Punkt-zu-Punkt-Verbindungen APs können nicht nur mit mobilen Clients kommunizieren, sie können auch Daten von einer Basisstation zur anderen übertragen. LANconfig: Wireless LAN / Allgemein / Physikalische WLAN-Einstellungen / Punkt-zu-Punkt WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Interpoint-Einstellungen Punkt-zu-Punkt-Betriebsart 'Aus': Die Basisstation kann nur mit mobilen Clients kommunizieren 'An': Die Basisstation kann mit anderen Basistationen und mit mobilen Clients kommunizieren...
Seite 720 Referenzhandbuch 12 Wireless LAN – WLAN Slave: Alle anderen APs suchen solange nach dem freien Kanal, bis sie einen sendenden Master gefunden haben. In diesem Bereich werden nur die allgemeinen P2P-Parameter definiert – die konkreten Verbindungen zu den entfernten WLAN-Gegenstellen werden unter folgenden Pfaden definiert: LANconfig: Wireless LAN / Allgemein / Punkt-zu-Punkt-Partner WEBconfig: Setup / Schnittstellen / WLAN Interpoint-Gegenstellen Client-Modus...
Seite 721: Die Punkt-Zu-Punkt-Partner
Referenzhandbuch 12 Wireless LAN – WLAN In manchen Installationen ist es jedoch gewünscht, dass die MAC-Adresse eines Rechners und nicht die der Clientstation an den AP übertragen wird. Mit der Option 'Adress-Anpassung' wird das Ersetzen der MAC-Adresse durch die Clientstation unterbunden, die Datenpakete werden mit der originalen MAC-Adresse übertragen – der AP übernimmt im WLAN die MAC-Adresse des Clients.
Seite 722: Die Logischen Wlan-Schnittstellen
Referenzhandbuch 12 Wireless LAN – WLAN Wenn Sie die Erkennung durch MAC-Addresse verwenden, dann tragen Sie hier die MAC-Addresse des WLAN-Moduls und nicht die des Gerätes selbst ein. Auf dem Reiter Alarm sind Grenzwerte für Signalstärke, Gesamtwiederholungen und Tx-Fehler der Punkt-zu-Punkt-Verbindung definierbar.
Seite 723 Referenzhandbuch 12 Wireless LAN – WLAN Netzwerkeinstellungen Die nachfolgenden Einstellungen nehmen Sie in LANconfig unter Wireless-LAN > Allgemein > Logische WLAN-Einstellungen > Netzwerk vor. WLAN-Netzwerk aktiviert Mit diesem Schalter aktivieren bzw. deaktivieren Sie das entsprechende logische WLAN. Netzwerk-Name (SSID) Bestimmen Sie für jedes benötigte logische Funknetzwerk eine eindeutige SSID (den Netzwerknamen). Nur solche Netzwerkkarten, die über die gleiche SSID verfügen, können sich in diesem Funknetzwerk anmelden.
Seite 724 Aktivieren Sie diese Option für einen AP, wenn Sie im WLAN-Client-Modus für eine Client-Station die Client-Bridge-Unterstützung aktiviert haben. Sie können den Client-Bridge-Modus ausschließlich zwischen zwei LANCOM-Geräten verwenden. TX Bandbr.-Begrenzung Über diese Einstellung definieren Sie die zur Verfügung stehende Gesamtbandbreite in Senderichtung für die betreffende SSID (Limit in kBit/s).
Seite 725: Einstellungen Für Die Übertragung
12 Wireless LAN – WLAN Bei WWM (Wi-Fi Multimedia) Power Save handelt es sich um einen Stromsparmechanismus der Wi-Fi Alliance, welcher auf U-APSD basiert. Bestimmte LANCOM APs sind von der Wi-Fi Alliance WMM® Power Save CERTIFIED. Nur Unicasts übertragen, Broad- und Multicasts unterdrücken Multi- und Broadcast-Sendungen innerhalb einer WLAN-Funkzelle bedeuten eine Belastung für die Bandbreite dieser...
Seite 726 Referenzhandbuch 12 Wireless LAN – WLAN MCS-Index Datenströme Modulation Coding-Rate Datendurchsatz (GI=0,4 µs, 40 MHz) BPSK QPSK QPSK 16QAM 16QAM 64QAM 64QAM 64QAM BPSK QPSK QPSK 16QAM 16QAM 64QAM 64QAM 64QAM Die Auswahl des MCS gibt also an, welche Modulationsparameter bei einem oder zwei Spatial-Datenströmen minimal bzw.
Seite 727 Referenzhandbuch 12 Wireless LAN – WLAN Anzahl Spatial-Streams (Nur verfügbar für 802.11n) Mit der Funktion des Spatial-Multiplexing können mehrere separate Datenströme über separate Antennen übertragen werden, um so den Datendurchsatz zu verbessern. Der Einsatz dieser Funktion ist nur dann zu empfehlen, wenn die Gegenstelle die Datenströme mit entsprechenden Antennen verarbeiten kann.
Seite 728: Ieee 802.1X/Eap
Referenzhandbuch 12 Wireless LAN – WLAN Im Automatik-Modus wird das kurze Guard-Intervall aktiviert, sofern die jeweilige Gegenstelle diese Betriebsart unterstützt. Alternativ kann die Nutzung des kurzen Guard-Intervalls auch ausgeschaltet werden. Frame-Aggregation verwenden (Nur verfügbar für 802.11n) Bei der Frame-Aggregation werden mehrere Datenpakete (Frames) zu einem größeren Paket zusammengefasst und gemeinsam versendet.
Seite 729: Spezielle Datenrate Für Eapol-Pakete
Referenzhandbuch 12 Wireless LAN – WLAN Ab Windows XP ist die IEEE-802.1x-Technologie bereits fest integriert. Für andere Betriebssysteme existiert Client-Software. LANconfig: Wireless-LAN > Allgemein > 802.1X WEBconfig: LCOS-Menübaum > Setup > IEEE802.1x Anmeldung regelmäßig erneuern Hier aktivieren Sie die regelmäßige Neuanmeldung. Wird eine Neuanmeldung gestartet, so bleibt der Benutzer während der Verhandlung weiterhin angemeldet.
Seite 730: Apsd - Automatic Power Save Delivery
WLAN-Geräte. Die Werte können durch produktionsbedingte Streuungen, Alterung und Umwelteinflüsse schwanken und müssen je nach Gerät einzeln ermittelt sowie ggf. regelmäßig überprüft werden, sofern der Bedarf für die exakten Signalpegel-Angaben dies rechtfertigt. LANCOM liefert nur für einige Modelle Standard-Werte. Aufgrund der genannten Schwankungen übernimmt LANCOM keine Gewähr für die Genauigkeit dieser Werte.
Seite 731 Referenzhandbuch 12 Wireless LAN – WLAN Scheduled APSD (S-APSD) Die beiden Verfahren unterscheiden sich u.a. in der Nutzung der Übertragungskanäle. LANCOMAPs und Wireless Router unterstützen U-APSD, auf dem auch das von der WiFi als WMM Power Save oder kurz WMMPS zertifizierte Verfahren basiert.
Seite 732: Experten-Wlan-Einstellugnen
Referenzhandbuch 12 Wireless LAN – WLAN 12.6.12 Experten-WLAN-Einstellugnen Die Beaconing-Tabelle Die Einstellungen in der Beaconing-Tabelle beeinflussen, wie die im AP-Modus vom AP ausgestrahlten Beacons (Leuchtfeuer) versendet werden. Teilweise kann damit das Roaming-Verhalten von Clients beeinflusst werden, teilweise dient dies der Optimierung des MultiSSID-Betriebes für ältere WLAN-Clients. LANconfig: Wireless LAN / Allgemein / Experten-WLAN-Einstellugnen / Beaconing WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Beaconing Beacon-Periode...
Seite 733: Die Roaming-Tabelle
Aussendung stellt sich als guter Kompromiss dar, weil hier jedes Netz einmal als erstes ausgesendet wird. Die Roaming-Tabelle Zur genauen Steuerung, wie sich ein LANCOM Wireless Router in der Betriebsart 'Client' beim Roaming verhält, dienen verschiedene Schwellwerte in der Roaming Tabelle.
Seite 734: Gruppenschlüssel Pro Vlan
Referenzhandbuch 12 Wireless LAN – WLAN Roaming-Schwellwert Dieser Schwellwert gibt an, um wieviel Prozent die Signalstärke eines anderen APs besser sein muss, damit der Client auf den anderen AP wechselt. In anderem Zusammenhang wird die Signalstärke teilweise in dB angegeben. In diesen Fällen gilt für die Umrechnung: 64dB - 100% 32dB - 50%...
Seite 735 SSID Zugriff auf das Firmennetzwerk und das Internet. Gäste hingegen erhalten über eine andere SSID eingeschränkten Zugriff auf das Internet. LANCOM APs verwalten darüber hinaus in VLAN-Netzwerk-Tabellen die Zuordnung von WLAN-Clients zu einzelnen VLANs. In umfangreichen Netzwerkumgebungen übernimmt meist ein RADIUS-Server die Rechteverwaltung und Zuordnung der Clients zu genutzten VLANs.
Seite 736: Verwaltung Von Vlan-Gruppenschlüsseln
Referenzhandbuch 12 Wireless LAN – WLAN Verwaltung von VLAN-Gruppenschlüsseln Wenn Sie vorhaben, verschiedene VLAN-IDs auf einem logischen WLAN-Netzwerk (SSID) zu verwenden, besteht die Möglichkeit den entsprechenden Gruppenschlüssel für Broad- und Multicast-Sendungen zuzuordnen. In LANconfig finden Sie diese Einstellung unter Wireless-LAN > 802.11i/WEP > Erweiterte Einstellungen > VLAN-Gruppenschlüssel-Zuordnung Die automatische Zuordnung der Gruppenschlüssel durchläuft folgende Schritte: 1.
Seite 737: Alarm-Grenzwerte Für Wlan Geräte
überschreitet oder Pakete müssen sehr oft erneut versendet werden, was die effektiv zur Verfügung stehende Bandbreite stark reduziert. Um diese Situationen zu erkennen und darauf zu reagieren bietet LANCOM nun auf WLAN Geräten diverse Konfigurationsmöglichkeiten für Grenzwerte, die beim Über- beziehungsweise Unterschreiten einen Alarm auslösen.
Seite 738: Erweiterte Wlan-Parameter
Bei der Überwachung des Netzwerkes taucht diese Information also entweder gar nicht auf, oder sie identifiziert das Gerät je nach Eingabe nicht zwingend als AP. Darüber hinaus besitzen LANCOM Access Points eine UUID (Universally Unique Identifier), die aus Geräte-Typ und Seriennummer errechnet wird und das Gerät eindeutig im Netzwerk identifizieren kann. Durch eine Verschlüsselung bei der UUID-Erzeugung ist jedoch ein Rückschluss auf Gerät oder Seriennummer nur mit hohem Aufwand (Brute-Force-Angriff...
Seite 739: Konfiguration Des Client-Modus
12 Wireless LAN – WLAN 12.7 Konfiguration des Client-Modus Zur Anbindung von einzelnen Geräten mit einer Ethernet-Schnittstelle in ein Funk-LAN können LANCOM-Geräte mit WLAN-Modul in den sogenannten Client-Modus versetzt werden, in dem sie sich wie ein herkömmlicher Funk-LAN-Adapter verhalten und nicht wie ein Access Point (AP). Über den Client-Modus ist es also möglich, auch Geräte wie PCs oder Drucker, die ausschließlich über eine Ethernet-Schnittstelle verfügen, in ein Funk-LAN einzubinden.
Seite 740: Client-Einstellungen
12 Wireless LAN – WLAN 12.7.1 Client-Einstellungen Für LANCOMAPs und LANCOM Wireless Router im Client-Modus können auf der Registerkarte 'Client-Modus' bei den Einstellungen für die physikalischen Interfaces weitere Einstellungen bzgl. des Verhaltens als Client vorgenommen werden. Die Konfiguration der Client-Einstellungen kann auch mit dem WLAN-Assistenten von LANconfig erfolgen.
Seite 741: Greenfield-Modus Für Access Points Mit Ieee 802.11N
Referenzhandbuch 12 Wireless LAN – WLAN 1. Zum Bearbeiten der Radio-Einstellungen wechseln Sie unter LANconfig bei den physikalischen WLAN-Einstellungen für das gewünschte WLAN-Interface auf die Registerkarte 'Radio'. 2. Stellen Sie das Frequenz-Band, die Kanäle und den 2,4 GHz- bzw. 5 GHz-Modus passend zu den Einstellungen des APs ein.
Seite 742: Ssid Des Verfügbaren Netzwerks Einstellen
Referenzhandbuch 12 Wireless LAN – WLAN 12.7.3 SSID des verfügbaren Netzwerks einstellen In den WLAN-Clients muss die SSID des Netzwerks eingetragen werden, zu dem sich die Clientstationen verbinden soll. 1. Zum Eintragen der SSID wechseln Sie unter LANconfig nach Wireless-LAN > Allgemein. Nach einem Klick auf Logische WLAN-Einstellungen wählen Sie das erste WLAN-Interface aus.
Seite 743: Pmk-Caching Im Wlan-Client-Modus
2. Aktivieren Sie die Verschlüsselung und passen Sie die Verschlüsselungsmethode an die Einstellungen des APs an. 3. LANCOM APs und LANCOM Wireless Router in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen AP authentifizieren. Wählen Sie dazu hier die gewünschte Client-EAP-Methode aus. Beachten Sie, dass die gewählte Client-EAP-Methode zu den Einstellungen des APs passen muss, bei dem sich das Gerät einbuchen...
Seite 744: Prä-Authentifizierung Im Wlan-Client-Modus
WLANs das passende Profil für das stärkste oder das bevorzugte WLAN. LANCOM APs können bis zu acht verschiedene WLAN-Profile für die Verwendung im Client-Modus speichern. Für die Profile werden im Client-Modus die Netzwerk- sowie Übertragungsparameter für die logischen WLANs sowie die Verschlüsselungseinstellungen verwendet.
Seite 745: Roaming
Referenzhandbuch 12 Wireless LAN – WLAN Konfiguration Neben den Netzwerk-, Übertragungs- und Verschlüsselungsparametern kann für jedes WLAN-Modul separat definiert werden, nach welchem Kriterium das zu verwendende Client-Profil ausgewählt werden soll. LANconfig: WLAN / Allgemein / Physikalische WLAN-Einstellungen / Client-Modus WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Client-Einstellungen / WLAN-1 AP Auswahl Präferenz Wählen Sie hier aus, wie diese Schnittstelle verwendet werden soll.
Seite 746: Arf-Netzwerk Für Iapp
Referenzhandbuch 12 Wireless LAN – WLAN 1. Zum Aktivieren des Soft-Roaming wechseln Sie unter WEBconfig oder Telnet in den Bereich Setup > Schnittstellen > WLAN > Roaming und wählen dort das physikalische WLAN-Interface. 2. Schalten Sie das Soft-Roaming ein und stellen Sie ggf. die weiteren Parameter wie die Schwellwerte und Signalpegel ein.
Seite 747: Aufbau Von Punkt-Zu-Punkt-Verbindungen
12.8 Aufbau von Punkt-zu-Punkt-Verbindungen 12.8.1 Konfiguration der Punkt-zu-Punkt-Verbindungen LANCOM APs können nicht nur als zentrale Station in einem Funknetzwerk arbeiten, sie können im Punkt-zu-Punkt-Betrieb auch Funkstrecken über größere Distanzen bilden. So können z. B. zwei Netzwerke über mehrere Kilometer hinweg sicher verbunden werden –...
Seite 748 Referenzhandbuch 12 Wireless LAN – WLAN Im LANmonitor kann die Anzeige der Verbindungsqualität über das Kontext-Menü geöffnet werden. Ein Klick mit der rechten Maustaste auf den Eintrag 'Punkt-zu-Punkt' erlaubt den Aufruf 'Punkt-zu-Punkt WLAN-Antennen einrichten ...' Der P2P-Dialog zeigt nach dem Start der Signalüberwachung jeweils die absoluten Werte für die aktuelle Signalstärke sowie den Maximalwert seit dem Start der Messung.
Seite 749: Geometrische Auslegung Von Outdoor-Funknetz-Strecken
Grenzen zu gewährleisten? Auswahl der Antennen mit dem LANCOM Antennen-Kalkulator Zur Berechnung der Ausgangsleistungen in den APs und für eine erste Abschätzung der erreichbaren Distanzen und Datenraten können Sie den LANCOM Antennen-Kalkulator verwenden, den Sie zum Download auf unserer Webseite www.lancom.de unter finden.
Seite 750 Referenzhandbuch 12 Wireless LAN – WLAN Bitte beachten Sie, dass bei der Verwendung von 5 GHz-Antennen je nach Einsatzland zusätzliche Techniken wie die dynamische Frequenzwahl (Dynamic Frequency Selection – DFS) vorgeschrieben sein können. Der Betreiber der WLAN-Anlage ist für die Einhaltung der jeweils geltenden Vorschriften verantwortlich. Positionierung der Antennen Die Antennen strahlen ihre Leistung nicht linear, sondern in einem modellabhängigen Winkel ab.
Seite 751 Referenzhandbuch 12 Wireless LAN – WLAN Um die von der Antenne abgestrahlte Leistung möglichst vollständig auf die empfangende Antenne abzubilden, muss die Fresnel-Zone 1 frei bleiben. Jedes störende Element, das in diese Zone hineinragt, beeinträchtigt die effektiv übertragene Leistung deutlich. Dabei schirmt das Objekt nicht nur einen Teil der Fresnel-Zone ab, sondern führt durch Reflexionen zusätzlich zu einer deutlichen Reduzierung der empfangenen Strahlung.
Seite 752: Ausrichten Der Antennen Für Den P2P-Betrieb
Vorgängen ist einer der wichtigsten Aspekte bei der Auslegung und Installation von WLAN-Systemen im Outdoor-Einsatz. Bitte beachten Sie die entsprechenden Hinweise zum ’Blitz- und Überspannungsschutz’, da LANCOM ansonsten keine Garantie für Schäden an den Komponenten übernehmen kann. Informationen zur Installation von WLAN-Systemen im Outdoor-Einsatz finden Sie im 'LANCOM Outdoor Wireless Guide'.
Seite 753 Referenzhandbuch 12 Wireless LAN – WLAN ist die Verbindung (eine Blinkfrequenz von 1 Hz steht für eine Signalqualität von 10 dB, eine Verdoppelung der Frequenz zeigt die jeweils doppelte Signalstärke). Im LANmonitor kann die Anzeige der Verbindungsqualität über das Kontext-Menü geöffnet werden. Ein Klick mit der rechten Maustaste auf den Eintrag 'Punkt-zu-Punkt' erlaubt den Aufruf 'Punkt-zu-Punkt WLAN-Antennen einrichten ...' Der Eintrag 'Punkt-zu-Punkt' ist im LANmonitor nur sichtbar, wenn in dem überwachten Gerät mindestens eine Basisstation als Gegenstelle für eine P2P-Verbindung eingerichtet ist (LANconfig: Wireless LAN / Allgemein /...
Seite 754: Vermessung Von Funkstrecken
Vermessung von Funkstrecken Nach der Planung und Einrichtung kann die Funkstrecke vermessen werden, um den tatsächlichen Datendurchsatz zu bestimmen. Weitere Informationen zu den verwendeten Tools und zum Mess-Aufbau finden Sie im 'LANCOM Outdoor Wireless Guide' www.lancom.de als Download unter Punkt-zu-Punkt-Betriebsart aktivieren Das Verhalten eines APs beim Datenaustausch mit anderen APs wird in der „Punkt-zu-Punkt-Betriebsart“...
Seite 755: Konfiguration Von P2P-Verbindungen
Referenzhandbuch 12 Wireless LAN – WLAN Es ist daher empfehlenswert, im 5 GHz-Band jeweils einen zentralen AP als 'Master' und alle anderen Punkt-zu-Punkt-Partner als 'Slave' zu konfigurieren. Auch im 2,4 GHz-Band bei aktivierter automatischer Kanalsuche erleichtert diese Einstellung den Aufbau von Punkt-zu-Punkt-Verbindungen. Für die Verschlüsselung von Punkt-zu-Punkt-Verbindungen mit 802.11i/WPA ist die korrekte Konfiguration der Kanalwahlverfahren zwingend erforderlich (ein Master als Authentication Server und ein Slave als Client).
Seite 756 Mit IEEE 802.11i lässt sich die Sicherheit von Punkt-zu-Punkt-Verbindungen im WLAN deutlich verbessern. Alle Vorteile von 802.11i wie die einfache Konfiguration und die starke Verschlüsselung mit AES stehen damit im P2P-Betrieb ebenso zur Verfügung wie die verbesserte Sicherheit der Passphrases durch LANCOM Enhanced Passphrase Security (LEPS).
Seite 757: Leps Für P2P-Verbindungen
12. Nehmen Sie die äquivalenten Konfigurationsschritte für die Gegenstelle (Slave bzw. Master) vor. LEPS für P2P-Verbindungen Einen weiteren Sicherheitsgewinn erzielen Sie durch die zusätzliche Verwendung der LANCOM Enhanced Passphrase Security (LEPS), also der Verknüpfung der MAC-Adresse mit der Passphrase. Mit LEPS können einzelne Punkt-zu-Punkt-Strecken (P2P) mit einer individuellen Passphrase abgesichert werden. Wenn bei einer P2P-Installation ein AP entwendet wird und dadurch Passphrase und MAC-Adresse bekannt werden, sind alle anderen per LEPS abgesicherten WLAN-Strecken weiterhin sicher.
Seite 758: Access Points Im Relais-Betrieb
Referenzhandbuch 12 Wireless LAN – WLAN Bei der Konfiguration mit LANconfig geben Sie die Passphrases der im WLAN zugelassenen Stationen (MAC-Adressen) im Konfigurationsbereich 'Wireless-LAN' auf der Registerkarte 'Stationen' unter der Schaltfläche Stationen ein. Access Points im Relais-Betrieb APs mit zwei Funkmodulen können Funkbrücken über mehrere Stationen hinweg aufbauen. Dabei wird jeweils ein WLAN-Modul als 'Master', das zweite als 'Slave' konfiguriert.
Seite 759: Zentrales Wlan-Management
Referenzhandbuch 12 Wireless LAN – WLAN 12.9 Zentrales WLAN-Management Der weit verbreitete Einsatz von APs und Wireless Routern hat zu einem deutlich komfortableren und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt. Bei allen Vorzügen der WLAN-Strukturen bleiben einige offene Aspekte: Alle APs benötigen eine Konfiguration und ein entsprechendes Monitoring zur Erkennung von unerwünschten WLAN-Clients etc.
Seite 760: Bandbreitenbegrenzung Im Wlan
Referenzhandbuch 12 Wireless LAN – WLAN Die Backup-Datei wird damit auf Ihren Datenträger gespeichert. Die Passphrase wird erst beim Einspielen in einen WLC wieder benötigt. 12.10 Bandbreitenbegrenzung im WLAN Zur besseren Verteilung der Bandbreite bei mehreren Teilnehmern im WLAN können die verfügbaren Bandbreiten begrenzt werden.
Seite 761: Einstellung Als Client
Referenzhandbuch 12 Wireless LAN – WLAN 12.10.2 Einstellung als Client Wird das Gerät selbst als WLAN-Client betrieben, kann das Gerät beim Einbuchen beim AP seine maximalen Bandbreiten übermitteln. Der AP bildet dann mit ggf. eigenen Limits für diesen Client die tatsächlichen maximalen Bandbreiten. Die Bedeutung der Werte Rx und Tx ist abhängig von der Betriebsart des Gerätes.
Seite 762: Automatische Anpassung Der Übertragungsrate Für Multicast- Und Broadcast-Sendungen
Referenzhandbuch 12 Wireless LAN – WLAN 12.11 Automatische Anpassung der Übertragungsrate für Multicast- und Broadcast-Sendungen Während bei Unicast-Sendungen AP und Client die optimale Übertragungsgeschwindigkeit miteinander aushandeln können, findet systembedingt bei Multicast- und Broadcast-Sendungen die Kommunikation nur in eine Richtung statt: Vom AP zum Client.
Seite 763 Referenzhandbuch 12 Wireless LAN – WLAN Das Zertifikat laden Sie über LANconfig im Dateimanagement mit den einzelnen Dateien des Root-CA-Zertifikats oder als PKCS#12-Container in das Gerät: Da Zertifikate üblicherweise auf DNS-Namen ausgestellt werden, muss der Public Spot anstelle einer internen IP-Adresse den DNS-Namen des Zertifikats als Ziel angeben (einzugeben unter Public-Spot >...
Seite 764: Bfwa - Mehr Sendeleistung Für Mehr Reichweite
Strahlungsleistung können mit denselben Richtfunksystemen deutlich größere Distanzen überbrückt werden. LANCOM APs auf Basis von 802.11n sowie alle aktuellen LANCOM 54 Mbit/s APs unterstützen BFWA ab der LCOS-Version 7.70. Bei älteren APs ist die Unterstützung abhängig vom Chipsatz (AR-5414 Chipsatz). Der LANCOM-Support informiert Sie bei diesen Modellen über eine mögliche Unterstützung von BFWA.
Seite 765: Band Steering Konfigurieren
WEBconfig: Setup > Schnittstellen > WLAN > Netzwerk > Minimal-Stations-Staerke Sie können das Band-Steering des APs im LANconfig unter Wireless-LAN > Band Steering aktivieren und verwalten. LANCOM Active Radio Control (ARC) WLAN Band Steering ist Bestandteil von 12.14.1 Band Steering konfigurieren Dieser Dialog bietet Ihnen die Möglichkeit, die Einstellungen für das Band Steering in LANconfig vorzunehmen.
Seite 766: Dfs
Referenzhandbuch 12 Wireless LAN – WLAN 2,4GHz: Das Gerät leitet Clients auf das Frequenzband 2,4GHz. 5GHz: Das Gerät leitet Clients auf das Frequenzband 5GHz. Ablaufzeit für Probe-Requests Der Zeitraum, während dessen der AP den WLAN-Client auf das bevorzugte Frequenzband leitet. Der Standardwert lautet 120 Sekunden.
Seite 767: Dfs4
Referenzhandbuch 12 Wireless LAN – WLAN Für die Erkennung von Wetterradaren (Kanäle 120, 124 und 128 im Frequenzbereich 5,6 - 5,65 MHz) gelten besondere Nutzungsbedingungen. Die DFS-Implementierung im LCOS unterstützt die verschärften Erkennungsbedingungen nicht. Deshalb werden diese drei Kanäle von neueren LCOS-Versionen ausgespart. 12.15.2 DFS4 Ab LCOS-Version 8.80 unterstützen alle Geräte, die im 5GHz-WLAN funken, die Norm ETSI EN 301 893 V1.6.1 ("DFS4").
Seite 768: Funktionen Des Software-Moduls
Sie können jedoch nicht eindeutig feststellen oder gar "ablesen", aus welchem Raum oder Gebäude das Signal kommt und welche Art von Gerät der Verursacher des Störsignals ist. Nur LANCOM Access Points der Serie L-4xx, der Serie L-32x Serie sowie Modelle der 178x-Serie mit WLAN unterstützen die Funktion "Spectral Scan".
Seite 769 Referenzhandbuch 12 Wireless LAN – WLAN Sie können den Spectral Scan auch aus dem LANmonitor heraus starten. Klicken Sie dazu das entsprechende Gerät in der Liste mit der rechten Maustaste an und wählen Sie im Kontextdialog den Punkt Spectral Scan anzeigen. Wenn das WLAN-Modul deaktiviert ist (Setup >...
Seite 770: Analyse-Fenster Spectral Scan
Referenzhandbuch 12 Wireless LAN – WLAN 12.17.2 Analyse-Fenster Spectral Scan Die Anzeige des Spectral Scans erfolgt in einer Browser-Anwendung. Damit sie ordnungsgemäß funktioniert, muss Ihr Browser Websockets in der aktuellen Version das HTML5-Element <canvas> unterstützen. Der in LANmonitor integrierte Browser erfüllt alle Anforderungen. Im separaten Analyse-Fenster des Spectral Scan haben Sie unterschiedliche Möglichkeiten, die jeweiligen Frequenzen bzw.
Seite 771 Referenzhandbuch 12 Wireless LAN – WLAN Nachstehend sehen Sie einige exemplarische Analyse-Ergebnisse, die jeweils andere Einstellungen auf unterschiedliche Weise grafisch aufbereiten: Abbildung 2: Spectral Scan, Frequenz-Anzeige der letzten 10 History-Werte Abbildung 3: Spectral Scan, Kanal-Anzeige Current, Maximum, Average, Störung durch Funk-Kamera...
Seite 772: Adaptive Noise Immunity Zur Abschwächung Von Interferenzen Im Wlan
Referenzhandbuch 12 Wireless LAN – WLAN Abbildung 4: Spectral Scan, Kanal-Anzeige Current, letzte 10 History-Werte und "Time Slider", Störung durch Baby-Phone 12.18 Adaptive Noise Immunity zur Abschwächung von Interferenzen im WLAN Innerhalb eines WLANs kann es aus unterschiedlichen Gründen zu Störungen durch Interferenzen kommen. Einerseits stören Geräte wie Mikrowellenherde oder Funktelefone die Datenübertragung, andererseits können die Netzgeräte selber durch Aussendung von Störfrequenzen die Kommunikation behindern.
Seite 773: Opportunistic Key Caching (Okc)
Physikalische WLAN-Einstellungen > Radio. Aktivieren Sie die Adaptive Noise Immunity, indem Sie im Auswahlfeld Adaptive-Noise-Immunity den Wert "Ein" auswählen. LANCOM Active Radio Control (ARC) Adaptive Noise Immunity ist Bestandteil von 12.19 Opportunistic Key Caching (OKC) Authentifizierung von WLAN-Clients über EAP und 802.1x ist mittlerweile Standard in Unternehmens-Netzwerken, und auch beim öffentlichen Internet-Zugang findet es im Rahmen der Hotspot 2.0-Spezifikation immer mehr Verbreitung.
Seite 774: Fast Roaming
12 Wireless LAN – WLAN Ein LANCOM-AP kann auch OKC durchführen, falls der WLC vorübergehend nicht erreichbar ist. In diesem Fall speichert er den PMK und sendet ihn an den WLC, sobald er wieder verfügbar ist. Der schickt den PMK anschließend an alle APs im Netzwerk, so dass der Client sich beim Wechsel der Funkzelle dort über OKC anmelden kann.
Seite 775: Redundante Verbindungen Mittels Prp
Referenzhandbuch 12 Wireless LAN – WLAN Verbindung mit dem aktuellen AP einen neuen PMK aushandeln. Dieser ist auch auf dem AP gültig, mit dem sich der WLAN-Client im Anschluss verbinden möchte. Zusätzlich ermöglicht IEEE 802.11r in Form eines "resource requests" die Reservierung von zusätzlicher Bandbreite auf dem neuen AP, ohne dass weitere Datenpakete wie bei IEEE 802.11e die Anmeldung unnötig verlängern.
Seite 776: Vorteile Von Wlan-Prp
Referenzhandbuch 12 Wireless LAN – WLAN Über die Duplicate Detection erkennt der Empfänger später eingetroffene Zwillingspakete und verwirft diese. 12.21.2 Vorteile von WLAN-PRP PRP bietet Ihnen aufgrund seiner Funktionsweise bei WLAN deutliche Vorteile. In der Praxis verbesserten sich mit PRP die 3 bedeutendsten Qualitätsindikatoren eines Netzwerkes: Laufzeitschwankungen, Latenz und Paketverluste.
Seite 777: Unterstützung Von Diagnosemöglichkeiten
Referenzhandbuch 12 Wireless LAN – WLAN Eine praktische Anwendung ist ein Client, der sich an Access Points vorbeibewegt. Durch den spezifischen Aufbau des Netzwerkes ist im Regelfall 1 WLAN-Modul verbunden und empfängt PRP-Pakete, während das andere WLAN-Modul sich in den nächsten AP einwählen kann. Ein konkretes Anwendungsbeispiel ist die Materialwirtschaft, dort insbesondere das Überwachen von Warenbewegungen in Echtzeit.
Seite 778: Tutorial: Einrichtung Einer Prp-Verbindung Über Ein Point-To-Point-Netz (P2P)
Referenzhandbuch 12 Wireless LAN – WLAN 2. trace # PRP-NODES PRP-DATA enthält Informationen zu gesendeten und empfangenen Paketen. Enthaltene Informationen: Name der Schnittstellen-Gruppe, die das Paket transportiert; Transportrichtung des Paketes (RX|TX); Trailer-Sequenznummer; MAC-Adresse des Partner-Gerätes; Schnittstelle innerhalb der PRP-Gruppe (A|B), die das Paket transportiert; Behandlung des Paketes (accept|discard) PRP-NODES enthält die folgenden Informationen: Neue Adresse in der (Proxy-)Node-Tabelle, Adresse aus der (Proxy-)Node-Tabelle entfernt, Node-Typ einer Adresse hat sich geändert.
Seite 779 Referenzhandbuch 12 Wireless LAN – WLAN 3. Aktivieren Sie unter Wireless-LAN > Allgemein > Punkt-zu-Punkt-Partner die Punkt-zu-Punkt-Kanäle "P2P-1-1" und "P2P-2-1" und bestimmen Sie die Schnittstellen-Kennungen der jeweiligen Punkt-zu-Punkt-Partner (MAC-Adresse oder Stations-Name). Geben Sie entweder die MAC-Adresse oder den Stations-Namen der entsprechenden WLAN-Schnittstelle des P2P-Partners an.
Seite 780: Tutorial: Roaming Mit Einem Dual-Radio-Client Und Prp
Referenzhandbuch 12 Wireless LAN – WLAN 5. Aktivieren Sie die PRP-Schnittstellen und bestimmen Sie, welche Schnittstellen der AP zur Bündelung verwendet. Wählen Sie hier die zuvor aktivierten Punkt-zu-Punkt-Schnittstellen "P2P-1-1" und "P2P-2-1" aus. Damit PRP reibungslos funktioniert, müssen beide PRP-Instanzen auf getrennten physikalischen Schnittstellen aktiv sein.
Seite 781 Referenzhandbuch 12 Wireless LAN – WLAN Dazu koppelt der Dual-Radio-Client über PRP anfangs z. B. seine physikalische WLAN-Schnittstelle WLAN-1 mit SSID-1 und WLAN-2 mit SSID-2. Verschlechtert sich der Empfang von SSID-1 und ist eine andere Funkzelle mit besserem Empfang in Reichweite, führt der Dual-Radio-Client einen Zellenwechsel durch. Beim Zellenübergang sendet der Dual-Radio-Client über WLAN-2 die Daten noch an SSID-2, während WLAN-1 bereits dieselben Daten an SSID-1 der besseren Funkzelle überträgt.
Seite 782 Referenzhandbuch 12 Wireless LAN – WLAN Die Client-Bridge-Unterstützung lässt sich im LANconfig unter Wireless-LAN > Allgemein > Logische WLAN-Einstellungen in der Ansicht Netzwerk aktivieren. Die PRP-Konfiguration des Dual-Radio-Clients erfolgt in den folgenden Schritten: 1. Aktivieren Sie unter Wireless-LAN > Allgemein > Physikalische WLAN-Einst. in der Ansicht Betrieb beide physikalische WLAN-Schnittstellen (WLAN-Interface 1, WLAN-Interface 2) und wechseln Sie die WLAN-Betriebsart jeweils zu Client.
Seite 783 Referenzhandbuch 12 Wireless LAN – WLAN Verlust der Redundanz z. B. auch zu Verzögerungen bei der Datenübertragung und einer Reduzierung der Bandbreite. 2. Zum Eintragen der SSID wechseln Sie in die Ansicht Wireless-LAN > Allgemein, klicken Logische WLAN-Einstellungen und wählen jeweils das Netz 1 der entsprechenden WLAN-Schnittstelle aus. 3.
Seite 784: Wlan-Management
Referenzhandbuch 13 WLAN-Management 13 WLAN-Management 13.1 Ausgangslage Der weit verbreitete Einsatz von Wireless Access Points (APs) und Wireless Routern hat zu einem deutlich komfortableren und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt. Bei allen Vorzügen der WLAN-Strukturen bleiben einige offene Aspekte: Alle APs benötigen eine Konfiguration und ein entsprechendes Monitoring zur Erkennung von unerwünschten WLAN-Clients etc.
Seite 785: Die Smart-Controller-Technologie
Referenzhandbuch 13 WLAN-Management Datenkanal, optional ebenfalls verschlüsselt mit DTLS. Über diesen Kanal werden die Nutzdaten aus dem WLAN vom AP über den WLC ins LAN übertragen – gekapselt in das CAPWAP-Protokoll. 13.2.2 Die Smart-Controller-Technologie In einer dezentralen WLAN-Struktur mit autonomen APs (Stand-Alone-Betrieb als so genannte "Rich Access Points") sind alle Funktionen für die Datenübertragung auf dem PHY-Layer, die Kontroll-Funktionen auf dem MAC-Layer sowie die Management-Funktionen in den APs enthalten.
Seite 786: Kommunikation Zwischen Access Point Und Wlan-Controller
13.2.3 Kommunikation zwischen Access Point und WLAN-Controller Ab der Firmware-Version LCOS 7.20 unterscheiden sich LANCOM Access Points (z. B. LANCOM L-54ag) und LANCOM Wireless Router (z. B. LANCOM 1811 Wireless) bzgl. der Einstellung der WLAN-Module im Auslieferungszustand. In den folgenden Beschreibungen wird meistens der übergreifende Begriff "Access Point"...
Seite 787 Während der AP nach einem WLC sucht, sind dessen WLAN-Module ausgeschaltet. Bei LANCOM Wireless Routern sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Access-Point' eingestellt. In diesem Modus arbeiten die Wireless Router als autarke Access Points mit einer lokal im Gerät gespeicherten Konfiguration.
Seite 788: Zero-Touch-Management
WLAN-Know-How zur Inbetriebnahme erforderlich ist. 13.2.5 Split-Management LANCOM Access Points können ihren WLC auch in entfernten Netzen suchen – eine einfache IP-Verbindung z. B. über eine VPN-Strecke reicht aus. Da die WLCs nur den WLAN-Teil der Konfiguration im AP beeinflussen, können alle anderen Funktionen separat verwaltet werden.
Seite 789: Zertifikate
Zeit-Server beziehen. Informationen über NTP und die entsprechende Konfiguration finden Sie im LCOS-Referenzhandbuch. Für die Modelle vom Typ LANCOM WLC-4006 muss die Zeitinformation von einem Zeit-Server bezogen oder manuell eingestellt werden, da die Geräte nicht über eine batteriegepufferte Echtzeituhr verfügen.
Seite 790 Referenzhandbuch 13 WLAN-Management 3. Wechseln Sie in der Ansicht Profile in die logischen WLAN-Netzwerke. Erstellen Sie einen neuen Eintrag mit folgenden Werten: Netzwerkname: Geben Sie dem WLAN einen Namen. Dieser Name wird nur für die Verwaltung im WLC verwendet. SSID: Mit dieser SSID verbinden sich die WLAN-Clients. Verschlüsselung: Wählen Sie die Verschlüsselung passend zu den Möglichkeiten der verwendeten WLAN-Clients und geben Sie ggf.
Seite 791 Referenzhandbuch 13 WLAN-Management In normalen AP-Anwendungen sollten Sie nur die 5-GHz-Unterbänder 1 und 2 verwenden. Das Unterband 3 steht nur für besondere Anwendungen zur Verfügung (z. B. BFWA – Broadband Fixed Wireless Access). 5. Erstellen Sie ein neues WLAN-Profil, geben Sie ihm einen eindeutigen Namen und weisen Sie ihm das eben erstellte logische WLAN-Netzwerk sowie die physikalischen WLAN-Parameter zu.
Seite 792: Zuweisung Der Default-Konfiguration Zu Den Neuen Access Points
AP-Tabelle eingetragen sind – z. B. nach einem Reset automatisch wieder ein gültiges Zertifikat zuweisen kann. 13.3.4 Konfiguration der Access Points Ab der Firmware-Version LCOS 7.20 unterscheiden sich LANCOM Access Points (z. B. LANCOM L-54ag) und LANCOM Wireless Router (z. B. LANCOM 1811 Wireless) bzgl. der Einstellung der WLAN-Module im Auslieferungszustand.
Seite 793: Konfiguration
Referenzhandbuch 13 WLAN-Management Bei APs sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Managed' eingestellt. In diesem Modus suchen die APs nach einem zentralen WLC, der ihnen eine Konfiguration zuweisen kann, und bleiben so lange im "Such-Modus", bis sie einen passenden WLC gefunden haben oder die Betriebsart für die WLAN-Module manuell geändert wird.
Seite 794: Allgemeine Einstellungen
Referenzhandbuch 13 WLAN-Management 13.4.1 Allgemeine Einstellungen In diesem Bereich nehmen Sie die Basiseinstellungen für Ihren WLC vor. Automatische Annahme neuer APs (Auto-Accept) Ermöglicht dem WLC, allen neuen APs eine Konfiguration zuzuweisen, auch wenn diese nicht über ein gültiges Zertifikat verfügen. Ermöglicht dem WLC, allen neuen APs ohne gültiges Zertifikat ein solches Zertifikat zuzuweisen.
Seite 795: Vererbung Von Parametern
Referenzhandbuch 13 WLAN-Management Für jedes WLAN-Profil können Sie die folgenden Parameter definieren: LANconfig: WLAN-Controller > Profile > WLAN-Profile WEBconfig: LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Gesamtprofile Profil-Name Name des Profils, unter dem die Einstellungen gespeichert werden. WLAN-Netzwerk-Liste Liste der logischen WLAN-Netzwerke, die über dieses Profil zugewiesen werden. Die APs nutzen aus dieser Liste nur die ersten acht Einträge, die mit der eigenen Hardware kompatibel sind.
Seite 796 Referenzhandbuch 13 WLAN-Management 2. Erzeugen Sie danach Einträge für die spezifischeren Werte, z. B. physikalische Einstellungen für ein bestimmtes Land oder ein logisches WLAN-Netzwerk für den öffentlichen Zugang von mobilen Clients. 3. Wählen Sie aus, von welchem Eintrag Werte geerbt werden sollen und markieren Sie die vererbten Werte. Die so übernommenen Parameter werden im Konfigurationsdialog grau dargestellt und können nicht verändert werden.
Seite 797 Referenzhandbuch 13 WLAN-Management Logische WLAN-Netzwerke Unter WLAN-Controller > Profile > Logische WLAN-Netzwerke können Sie die Parameter für die logischen WLAN-Netzwerke einstellen, die der WLC den APs zuweisen soll. Für jedes logische WLAN-Netzwerk können Sie die folgenden Parameter definieren: Logisches WLAN-Netzwerk aktiviert Aktivieren Sie das logische WLAN-Netzwerk, indem Sie diese Option anklicken.
Seite 798 Referenzhandbuch 13 WLAN-Management "LAN": Der AP lädt die Datenpakete standardmäßig lokal ins LAN weiter (LAN-1). Dazu muss er entsprechend konfiguriert sein. "WLC-Tunnel-x": Die SSID ist mit einem WLC-Bridge-Layer-3-Tunnel verbunden. Der AP liefert alle Datenpakete in diesen Tunnel und damit zum WLC. Dieser Tunnel muss auf dem WLC konfiguriert sein. Beachten Sie, dass Sie bei Weiterleitung aller Datenpakete zum WLC zwar zentrale Routen und Filter definieren können, dieses jedoch eine hohe Last auf dem WLC erzeugt.
Seite 799: Mac-Prüfung Aktiviert
Referenzhandbuch 13 WLAN-Management Der WLC weist dem AP die Konfiguration zu, der sie optional im Flash gespeichert (in einem Bereich, der nicht mit LANconfig oder anderen Tools auszulesen ist). Falls die Verbindung zum WLC abbricht, arbeitet der AP für die hier eingestellte Zeit mit seiner Konfiguration aus dem Flash weiter. Auch nach einem eigenen Stromausfall kann der AP mit der Konfiguration aus dem Flash weiterarbeiten.
Seite 800: Radius-Accounting Aktiviert
Aktivieren Sie diese Option für einen AP, wenn Sie im WLAN-Client-Modus für eine Client-Station die Client-Bridge-Unterstützung aktiviert haben. Der Client-Bridge-Modus ist ausschließlich zwischen zwei LANCOM-Geräten verwendbar. TX Bandbr.-Begrenzung Über diese Einstellung definieren Sie die zur Verfügung stehende Gesamtbandbreite in Senderichtung für die betreffende SSID.
Seite 801 Stromsparmechanismus benutzen kann. Die betreffenden Geräte müssen (U-)APSD allerdings ebenfalls unterstützen. Bei WWM (Wi-Fi Multimedia) Power Save handelt es sich um einen Stromsparmechanismus der Wi-Fi Alliance, welcher auf U-APSD basiert. Bestimmte LANCOM APs sind von der Wi-Fi Alliance WMM® Power Save CERTIFIED. Max. Spatial-Streams Mit der Funktion des Spatial-Multiplexing kann der AP mehrere separate Datenströme über separate Antennen...
Seite 802 Referenzhandbuch 13 WLAN-Management Die Funktion 'STBC' variiert den Versand von Datenpaketen zusätzlich über die Zeit, um auch zeitliche Einflüsse auf die Daten zu minimieren. Durch den zeitlichen Versatz der Sendungen besteht für den Empfänger eine noch bessere Chance, fehlerfreie Datenpakete zu erhalten, unabhängig von der Anzahl der Antennen. LDPC (Low Density Parity Check) aktiviert Aktivieren Sie hier den Low Density Parity Check.
Seite 803: Access Point Konfiguration
Referenzhandbuch 13 WLAN-Management Standardmäßig können die APs alle Kanäle nutzen, die aufgrund der Ländereinstellung erlaubt sind. Um die Auswahl auf bestimmte Kanäle zu beschränken, können hier die gewünschten Kanäle als kommaseparierte Liste eingetragen werden. Dabei ist auch die Angabe von Bereichen (z. B. '1,6,11') möglich. Management VLAN-ID Die VLAN-ID, die für das Management-Netz der APs verwendet wird.
Seite 804: Vererbung
Referenzhandbuch 13 WLAN-Management Vererbung Auswahl eines schon definierten IP-Parameter-Profils, von dem die Einstellungen übernommen werden sollen Vererbung von Parametern (siehe auf Seite 795). Domänen-Name Name der Domäne (DNS-Suffix), die dieses Profil nutzen soll. Netzmaske Netzmaske des Profils. Standard-Gateway Standard-Gateway, welches das Profil verwendet. Erster DNS Der DNS (Domain Name System), den das Profil verwenden soll.
Seite 805 Referenzhandbuch 13 WLAN-Management zu einem WLC aufbauen zu können. Für jeden AP können Sie unter WLAN-Controller > AP-Konfig. > Access-Point-Tabelle die folgenden Parameter definieren: Eintrag aktiv Aktiviert bzw. deaktiviert diesen Eintrag. Update-Management aktiv Wenn Sie für diesen AP das Update-Management aktivieren, können er neue Firmware- oder Script-Versionen automatisch laden.
Seite 806 Referenzhandbuch 13 WLAN-Management IP-Parameter-Profil Geben Sie hier den Profilnamen an, über den der WLC die IP-Einstellungen für den AP referenzieren muss. Wenn Sie den Standardwert DHCP beibehalten, ignoriert der WLC die Angabe der festen IP-Adresse, so dass der AP seine IP-Adresse über DHCP beziehen muss. Betriebsart WLAN-Ifc.
Seite 807: Mögliche Werte
Referenzhandbuch 13 WLAN-Management Sie können die Sendeleistung auf minimal 0,5dBm im 2,4GHz-Band bzw. 6,5dBm im 5GHz-Band reduzieren. Das begrenzt den maximal einzutragenden Wert im 2,4GHz-Band auf 17,5dBi, im 5GHz-Band auf 11,5dBi. Achten Sie darauf, dass Ihr Antennen-, Kabel- und Blitzschutz-Aufbau unter diesen Bedingungen den Regulierungsanforderungen des Landes entspricht, in dem Sie das System einsetzen.
Seite 808 Referenzhandbuch 13 WLAN-Management Name: Sie können zu jedem WLAN-Client einen beliebigen Namen und einen Kommentar eingeben. Dies ermöglicht Ihnen eine einfachere Zuordnung der MAC-Adressen zu bestimmten Stationen oder Benutzern. Mögliche Werte Max. 32 Zeichen Default leer Passphrase: Hier können Sie optional für jede physikalische Adresse (MAC) eine separate Passphrase eintragen, die in den 802.11i/WPA/AES-PSK gesicherten Netzwerken benutzt wird.
Seite 809: Optionen Für Den Wlan-Controller
Referenzhandbuch 13 WLAN-Management Default Besondere Werte Bei der VLAN-ID 0 wird der Station keine spezielle VLAN-ID zugewiesen, es gilt die VLAN-ID der Funkzelle (SSID). Optionen für den WLAN-Controller Im Bereich der Optionen werden die Benachrichtigungen bei Ereignissen im WLC eingestellt sowie einige Defaultwerte definiert.
Seite 810 Referenzhandbuch 13 WLAN-Management Default-Parameter Für einige Parameter können zentral Default-Werte definiert werden, die an anderen Stellen der Konfiguration als 'Default' referenziert werden können. LANconfig: WLAN-Controller > Profile > Default Land Webconfig: LCOS-Menübaum > Setup > WLAN Management > AP-Konfiguration > Laendereinstellung Default Land Land, in dem die Access Points betrieben werden sollen.
Seite 811: Tutorial: Virtualisierung Und Gastzugang Über Wlan Controller
Referenzhandbuch 13 WLAN-Management WLAN-Interface 2 Frequenzband für das zweite WLAN-Modul. Mit diesem Parameter kann das WLAN-Modul auch deaktiviert werden. Verschlüsselung Verschlüsselung für die Kommunikation über den Kontrollkanal. Ohne Verschlüsselung werden die Kontrolldaten im Klartext ausgetauscht. Eine Authentifizierung mittels Zertifikat findet in beiden Fällen statt. Tutorial: Virtualisierung und Gastzugang über WLAN Controller In vielen Unternehmen ist es erwünscht, den Besuchern für die mitgebrachten Notebooks o.
Seite 812 Referenzhandbuch 13 WLAN-Management WLAN-Konfiguration des WLAN Controllers Bei der WLAN-Konfiguration werden die benötigten WLAN-Netzwerke definiert und zusammen mit den physikalischen WLAN-Einstellungen den vom WLC verwalteten APs zugewiesen. 1. Erstellen Sie ein logisches WLAN für die Gäste und eins für die internen Mitarbeiter: Das WLAN mit der SSID 'GAESTE' nutzt die VLAN-ID '100', hier wird keine Verschlüsselung verwendet.
Seite 813 4. Ordnen Sie das WLAN-Profil den vom WLC verwalteten APs zu. Tragen Sie dazu entweder die einzelnen APs mit der MAC-Adresse ein oder nutzen Sie alternativ das Default-Profil. Konfiguration des Switches Die Konfiguration des Switches wird am Beispiel des LANCOM ES-2126+ vorgestellt.
Seite 814 Referenzhandbuch 13 WLAN-Management 1. Stellen Sie den VLAN-Modus auf 'Tag-based' ein, da die Zuweisung der VLAN-Tags durch die APs erfolgt. 2. Zur Unterscheidung der VLANs im Switch werden zwei Gruppen verwendet. Das interne Netz für die Mitarbeiter wird in der Default-Gruppe abgebildet, für die Gäste wird eine eigene Gruppe eingerichtet. Dabei werden jeweils die VLAN-IDs verwendet, die auch schon bei der Konfiguration der WLANs im WLC eingetragen wurden.
Seite 815 Referenzhandbuch 13 WLAN-Management 5. Die Port VLAN ID (PVID) wird für alle Ports auf '1' gestellt, um die Ports dem internen Netz zuzuordnen. Ungetaggt eingehende Pakete werden auf diesen Ports also mit der VLAN-ID '1' weitergeleitet. Konfiguration der IP-Netzwerke im WLAN Controller Für die Trennung der Datenströme auf Layer 3 werden zwei verschiedene IP- Netzwerke verwendet (ARF –...
Seite 816 Referenzhandbuch 13 WLAN-Management 2. Für beide IP-Netzwerke wird ein Eintrag bei den DHCP-Netzwerken angelegt, mit dem der DHCP-Server fest eingeschaltet wird.
Seite 817 Referenzhandbuch 13 WLAN-Management 3. Mit diesen Einstellungen können die WLAN-Clients der internen Mitarbeiter und der Gäste gezielt den jeweiligen Netzwerken zugeordnet werden. Konfiguration der Public-Spot-Zugänge Mit dem Public Spot bieten Sie einen kontrollierten Zugriffspunkt auf Ihr WLAN. Die Authentifizierung erfolgt über ein Webinterface mittels Benutzerabfrage.
Seite 818 Referenzhandbuch 13 WLAN-Management 1. Aktivieren Sie die Authentifizierung für den Netzwerk-Zugriff mit Benutzername und Passwort. 2. Schalten Sie die Benutzeranmeldung für das Interface des WLCs ein, über das er mit dem Switch verbunden ist. 3. Mit dem Eintrag der VLAN-ID '100' für das Gästenetzwerk in der VLAN-Tabelle wird die Public-Spot-Verwendung auf Datenpakete aus diesem virtuellen LAN eingeschränkt.
Seite 819 Referenzhandbuch 13 WLAN-Management Ohne die Einschränkung des Interfaces auf die VLAN-ID ist der Controller auf dem angegebenen physikalischen Ethernet-Port nicht mehr erreichbar! 4. Aktivieren Sie im Public-Spot-Modul die Option zum Bereinigen der Benutzer-Liste, damit die nicht mehr benötigten Einträge automatisch gelöscht werden können. Verwendung nur bis LCOS Version 7.7 notwendig oder wenn die Benutzerliste verwendet wird.
Seite 820 Referenzhandbuch 13 WLAN-Management RADIUS-Server für Public-Spot-Nutzung konfigurieren In den LCOS-Versionen vor 7.70 wurden Public-Spot-Zugänge über den Assistenten in der Benutzer-Liste des Public-Spot-Moduls eingetragen. Ab der LCOS-Version 7.70 speichert der Assistent die Public-Spot-Zugänge nicht mehr in dieser Liste, sondern in der Benutzerdatenbank des internen RADIUS-Servers. Um diese Public-Spot-Zugänge nutzen zu können, muss der RADIUS-Server konfiguriert und das Public-Spot-Modul auf die Nutzung des RADIUS-Servers eingestellt sein.
Seite 821 Referenzhandbuch 13 WLAN-Management Wenn der Public-Spot und der RADIUS-Server vom gleichen Gerät bereitgestellt werden, tragen Sie hier die interne Loopback-Adresse des Geräts (127.0.0.1) und kein Passwort ein. Nach einem LCOS-Update sind die mit der vorherigen LCOS-Version angelegten Benutzerkonten in der Benutzer-Liste des Public-Spot-Moduls weiterhin gültig.
Seite 822 Referenzhandbuch 13 WLAN-Management Wenn der Public-Spot und der RADIUS-Server vom gleichen Gerät bereitgestellt werden, tragen Sie hier die interne Loopback-Adresse des Geräts (127.0.0.1) ein. Nach einem LCOS-Update sind die mit der vorherigen LCOS-Version angelegten Benutzerkonten in der Benutzer-Liste des Public-Spot-Moduls weiterhin gültig. WLAN Layer-3 Tunneling Einleitung Der CAPWAP-Standard für das zentrale WLAN-Management bietet zwei verschiedene Übertragungskanäle an:...
Seite 823 Referenzhandbuch 13 WLAN-Management Mit der Nutzung des Datenkanals entstehen auf der Basis der vorhandenen, physikalischen Netzwerkstruktur zusätzliche logische Netzwerke, die so genannten Overlay-Netzwerke. Abbildung 6: Overlay-Netzwerk über mehrere IP-Netzwerke hinweg Über den Datenkanal können Sie so sogar über mehrere WLCs hinweg logische Overlay-Netzwerke aufspannen. Mehrere WLCs innerhalb einer Broadcast-Domäne können das gleiche Overlay-Netzwerk unterstützen.
Seite 824 Referenzhandbuch 13 WLAN-Management Mit dieser Konfiguration reduzieren Sie das VLAN auf den Kern der Netzstruktur (in der Grafik blau hinterlegt dargestellt). Darüber hinaus erfordern lediglich 3 der genutzten Switch-Ports eine VLAN-Konfiguration. Abbildung 7: Anwendungsbeispiel Overlay-Netz Die Grafik zeigt ein Anwendungsbeispiel mit den folgenden Komponenten: Das Netz besteht aus zwei Segmenten mit jeweils einem eigenen (nicht unbedingt VLAN-fähigen) Switch.
Seite 825 Referenzhandbuch 13 WLAN-Management erste logischen Netz und der VLAN-ID '20' für das zweite logischen Netz. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > Logische WLAN-Netzwerke (SSIDs). 2. Erstellen Sie einen Eintrag in der Liste der physikalischen WLAN-Parameter mit den passenden Einstellungen für Ihre APs, z.
Seite 826 Referenzhandbuch 13 WLAN-Management 3. Erstellen Sie ein WLAN-Profil mit einem passenden Namen und ordnen Sie diesem WLAN-Profil die zuvor erstellten logischen WLAN-Netzwerke und die physikalischen WLAN-Parameter zu. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > WLAN-Profile. 4.
Seite 827 Referenzhandbuch 13 WLAN-Management 5. Ordnen Sie jedem physikalischen Ethernet-Port eine separate logische LAN-Schnittstelle zu, z. B. 'LAN-1'. Stellen Sie sicher, dass die anderen Ethernet-Ports nicht der gleichen LAN-Schnittstelle zugeordnet sind. In LANconfig finden Sie diese Einstellungen unter Konfiguration > Schnittstellen > LAN > Ethernet-Ports. 6.
Seite 828 Referenzhandbuch 13 WLAN-Management 7. Aktivieren Sie unter Schnittstellen > VLANdas VLAN-Modul des WLC und ordnen Sie unter VLAN-Tabelle dem gewünschten VLAN den oben gewählten LAN-Port (LAN-1) sowie den passenden WLC-Tunnel zu. 8. Stellen Sie unter Schnittstellen > VLAN > Port-Tabelle den Tagging-Modus der Tunnel-Interfaces sowie des LAN-Interfaces korrekt ein und setzen Sie die passende Port-VLAN-ID.
Seite 829 Referenzhandbuch 13 WLAN-Management 9. Ergänzend konfigurieren Sie unter IPv4 > Allgemein > IP-Netzwerke für die auf Layer 2 getrennten Netzwerke die IP-Einstellungen. Damit das Gerät die Netzwerke nicht wieder auf Layer 3 verbindet, ist auch eine Trennung auf Layer 3 erforderlich, z.
Seite 830 Referenzhandbuch 13 WLAN-Management In diesem Beispiel haben zwei Benutzergruppen A und B jeweils Zugang zu einem eigenen WLAN (SSID). Die APs in mehreren Etagen des Gebäudes bieten die beiden SSIDs 'GRUPPE_A' und 'GRUPPE_B' an. Abbildung 8: Anwendungsbeispiel Layer-3-Roaming Die Grafik zeigt ein Anwendungsbeispiel mit den folgenden Komponenten: Das Netz besteht aus 3 Segmenten in separaten Etagen eines Gebäudes.
Seite 831 Referenzhandbuch 13 WLAN-Management Das Ziel der Konfiguration: Ein WLAN-Client, der sich an einer bestimmten SSID anmeldet, soll beim Wechsel der Etage nahtlos Zugang zu "seinem" WLAN behalten – unabhängig vom verwendeten AP und unabhängig vom Segment, in dem er sich gerade befindet. Da die Segmente in diesem Beispiel unterschiedliche IP-Adresskreise nutzen, gelingt das nur durch die Verwaltung der APs auf Layer 3 direkt über den zentralen WLC über die Grenzen der VLANs hinweg.
Seite 832 Referenzhandbuch 13 WLAN-Management für diese SSID außerdem den Datenverkehr der Stationen untereinander (Interstation-Traffic). In LANconfig finden Sie diese Einstellung unter Konfiguration > WLAN-Controller > Profile > Logische WLAN-Netzwerke (SSIDs). 2. Erstellen Sie einen Eintrag in der Liste der physikalischen WLAN-Parameter mit den passenden Einstellungen für Ihre APs, z.
Seite 833 Referenzhandbuch 13 WLAN-Management LANconfig finden Sie diese Einstellung unter Konfiguration > WLAN-Controller > Profile > Physikalische WLAN-Parameter. 3. Erstellen Sie ein WLAN-Profil mit einem passenden Namen und ordnen Sie diesem WLAN-Profil die zuvor erstellten logischen WLAN-Netzwerke und die physikalischen WLAN-Parameter zu. In LANconfig finden Sie diese Einstellung unter Konfiguration >...
Seite 834 Referenzhandbuch 13 WLAN-Management 5. Ordnen Sie jedem physikalischen Ethernet-Port eine separate logische LAN-Schnittstelle zu, z. B. 'LAN-1'. Stellen Sie den 4. Ethernet-Port auf die logische LAN-Schnittstelle 'DSL-1' ein. Der WLC verwendet diese LAN-Schnittstelle später für den Internetzugang des Gästenetzes. In LANconfig finden Sie diese Einstellung unter Konfiguration > Schnittstellen >...
Seite 835 Referenzhandbuch 13 WLAN-Management beiden Netzwerke zu trennen. In LANconfig finden Sie diese Einstellung unter Konfiguration > TCP/IP > Allgemein > IP-Netzwerke. 9. Der WLC kann als DHCP-Server für die APs und die angemeldeten WLAN-Clients fungieren. Aktivieren Sie dazu den DHCP-Server für das 'INTRANET' und den 'GASTZUGANG. In LANconfig finden Sie diese Einstellung unter Konfiguration >...
Seite 836 Referenzhandbuch 13 WLAN-Management außerdem die Option 'Intranet und DMZ maskieren (Standard)'. In LANconfig finden Sie diese Einstellung unter Konfiguration > IP-Router > Routing > Routing-Tabelle. 11. Aktivieren Sie die Public Spot-Anmeldung für die logische LAN-Schnittstelle 'WLC-Tunnel 1'. In LANconfig finden Sie diese Einstellung unter Konfiguration >...
Seite 837: Ip-Abhängige Autokonfiguration Und Tagging Von Aps
Referenzhandbuch 13 WLAN-Management 12. Aktivieren Sie im letzten Schritt die Anmeldung über den Public-Spot für den WLC. In LANconfig finden Sie diese Einstellung unter Konfiguration > Public-Spot > Anmeldung. Neben der Konfiguration des WLCs konfigurieren Sie den Public Spot nach Ihren Wünschen entweder für die interne Benutzerliste oder für die Verwendung eines RADIUS-Servers.
Seite 838: Einrichten Von Zuweisungs-Gruppen Für Die Ip-Abhängige Autokonfiguration
Referenzhandbuch 13 WLAN-Management Existieren für einen neuen AP weder ein AP-Profil, noch eine Zuweisungs-Gruppe, gibt der WLC eine Warnung aus, welche den Administrator auf die Fehlkonfiguration hinweist. Nach der erfolgreichen Gruppenzuweisung legt der WLC in der Access-Point-Tabelle automatisch ein AP-Profil für jeden neuen AP an.
Seite 839: Einrichten Von Tag-Gruppen Für Die Selektive Auswahl Von Aps
Referenzhandbuch 13 WLAN-Management 8. Schließen Sie alle Dialogfenster mit OK und schreiben Sie die Konfiguration zurück auf Ihr Gerät. Der WLC weist fortan allen neuen APs die in den Zuweisungs-Gruppen referenzierten Profile zu. Über die LCOS-Konsole haben Sie dann die Möglichkeit, Informationen zur Kategorisierung abzurufen, siehe Übersicht der capwap-Parameter im show-Befehl auf Seite 49.
Seite 840: Access Points Akzeptieren Über Webconfig Mit Zuweisung Eines Zertifikats
Referenzhandbuch 13 WLAN-Management Klicken Sie dazu im LANmonitor mit der rechten Maustaste auf den neuen AP, den Sie in die WLAN-Struktur aufnehmen möchten. Wählen Sie dann im Kontextmenü die Konfiguration, die Sie dem Gerät zuordnen wollen. Mit dem Zuweisen der Konfiguration wird der AP in der AP-Tabelle des WLCs eingetragen. Es dauert jedoch einige Sekunden, bis der WLC dem AP auch ein Zertifikat zugewiesen hat und dieser ein aktives Element der zentralen WLAN-Struktur wird.
Seite 841: Neue Aps Über Den Webconfig Setup-Wizard Hinzufügen
Zertifikatszuweisung abgeschlossen ist. Neue APs über den WEBconfig Setup-Wizard hinzufügen Ab LCOS 9.00 verfügen WLCs über einen überarbeiteten Setup-Wizard Neue Access Points zu Profilen zuordnen, der Ihnen das Hinzufügen neuer APs über WEBconfig erleichtert. Der neue Setup-Wizard erlaubt Ihnen, mit wenigen Mausklicks gezielt nach einem neuen AP zu suchen;...
Seite 842: Access Points Manuell Aus Der Wlan-Struktur Entfernen
Referenzhandbuch 13 WLAN-Management MAC-Adresse). Beim Einbinden des neuen AP löscht der WLC anschließend die Konfiguration des akzeptierten fehlenden AP. Um einen neuen AP mit den getätigten Einstellungen zu akzeptieren, klicken Sie abschließend auf AP-einbinden. Sofern ein Sie einen AP über Zuweisungs-Gruppen konfigurieren lassen, brauchen Sie für den betreffenden AP keine Einstellungen in diesem Setup-Wizard vornehmen.
Seite 843: Access Point Dauerhaft Aus Der Wlan-Struktur Entfernen
Referenzhandbuch 13 WLAN-Management das Zertifikat auf Gültigkeit prüfen, hat aber keinen (aktiven) Eintrag in der AP-Tabelle – er wird also zum sekundären WLC für diesen AP. Findet der AP einen primären WLC, so wird er sich bei diesem anmelden. Access Point dauerhaft aus der WLAN-Struktur entfernen Damit ein AP auf Dauer nicht mehr Mitglied der zentral verwalteten WLAN-Struktur ist, müssen die Zertifikate im SCEP-Client gelöscht oder widerrufen werden.
Seite 844 Referenzhandbuch 13 WLAN-Management Verbindungen aufweisen. Aus Sicht eines hinzukommenden AP sind eingebundene APs "Master-APs". Aus Sicht des Master-AP sind hinzukommende APs "Slave-APs". Abbildung 10: Phase 1 – Hinzukommender AP in Gebäude B sucht nach AutoWDS-Basisnetz und findet Zugangs-AP in Gebäude A Abbildung 11: Phase 2 –...
Seite 845: Hinweise Zur Nutzung Von Autowds
Referenzhandbuch 13 WLAN-Management oder das WLAN bei Ausfall der möglichen Frequenzen – aufgrund mehrerer Radarerkennungen auf verschiedenen Kanälen – für einige Zeit komplett deaktiviert. Der betroffene AP kann somit für Störungen des gesamten AutoWDS-Verbundes verantwortlich sein oder eine Zeit lang gar keine SSIDs aufspannen. Innerhalb von Gebäuden haben Sie die Möglichkeit, evtl.
Seite 846 Referenzhandbuch 13 WLAN-Management Verwendung von AutoWDS auf bis zu 3 Hops Bedingt geeignet: Nutzung einer physikalischen WLAN-Schnittstelle gleichzeitig für AutoWDS-Uplink und -Downlink (Repeater-Modus), wobei alle P2P-Strecken den gleichen Funkkanal verwenden. Verwendung für Betrieb ohne DFS (Indoor) Verwendung von AutoWDS auf bis zu 3 Hops Mögliche auftretende Probleme sind z.
Seite 847: Funktionsweise
Referenzhandbuch 13 WLAN-Management Nicht geeignet: Nutzung einer physikalischen WLAN-Schnittstelle gleichzeitig für AutoWDS-Uplink und -Downlink (Repeater-Modus) bei Outdoor-Betrieb mit mehr als 1 Hop im 5-GHz-Band. Im Repeater-Modus nimmt die physikalische WLAN-Schnittstelle eine Doppelrolle ein: In Richtung des WLCs agiert die Schnittstelle als Master, in Richtung eines Nachbar-APs hingegen als Slave. Hierzu arbeiten alle APs notwendigerweise auf dem selben Funkkanal.
Seite 848: Unterschiede Der Integrationsmodi
Referenzhandbuch 13 WLAN-Management aktiviert haben) und Probe-Responses eine zusätzliche, herstellerspezifische Kennung aus. Diese auch als "AutoWDSInfoFlags" bezeichnete Kennung signalisiert hinzukommenden AutoWDS-fähigen APs die generelle Unterstützung der Funktion und teilt ihnen mit, … ob AutoWDS für die erkannte SSID aktiv/inaktiv ist; ob der AP der betreffenden SSID eine aktive/inaktive WLC-Verbindung besitzt;...
Seite 849: Gestaltung Der Topologie
Fernzugriff entzieht. Ein aktivierter Express-Modus erweitert die Angriffsmöglichkeiten. Deshalb ist es ratsam, den Express-Modus zu deaktivieren, wenn er nicht unbedingt notwendig ist. LANCOM empfiehlt aus o. g. Sicherheitsgründen vornehmlich die vorkonfigurierte Integration. Über das Pairing von WLC und APs haben Sie die Möglichkeit, den Aufwand für die vorkonfigurierte Integration weiter zu reduzieren.
Seite 850: Update Der Ap-Konfiguration Und Aufbau Der P2P-Strecke
Referenzhandbuch 13 WLAN-Management Bei der manuellen Topologie-Konfiguration ist es wichtig, dass sich ein konfigurierter P2P-Master-AP innerhalb der Topologie näher am WLC befindet als ein entsprechender P2P-Slave-AP, da bei einer kurzzeitigen Unterbrechung der P2P-Verbindung der Slave-AP nach dem Master-AP scannt. Update der AP-Konfiguration und Aufbau der P2P-Strecke Hat ein hinzukommender AP vom WLC via CAPWAP das WLAN-Profil mit sämtlichen darin enthaltenen Einstellungen empfangen, versucht er, als Slave eine P2P-Strecke zu dem ihm zugewiesenen Master-AP aufzubauen.
Seite 851 Referenzhandbuch 13 WLAN-Management Ein AP durchläuft den (Re-)Konfigurationsprozess nicht, wenn er im Client-Modus zwar eine Verbindung zu einem Zugangs-AP, jedoch nicht zum WLC aufbauen kann. Der AP wartet 5 Minuten ab Verbindung zum AutoWDS-Basisnetz, ob der WLC eine Konfiguration des Gerätes durchführt. Erfolgt in dieser Zeit keine Konfiguration (z. B. weil kein Administrator den AP akzeptiert), trennt sich der AP vom AutoWDS-Basisnetz und scannt nach weiteren passenden SSIDs.
Seite 852: Beispiel: Ausfall Eines Ap
Referenzhandbuch 13 WLAN-Management Beispiel: Ausfall eines AP Die CAPWAP-Verbindung eines jeden AP sichert sich in einem festgelegten Intervall durch Echo-Requests zum WLC ab. Fällt ein AP aus oder ist seine Anbindung gestört, läuft ein solcher Request ins Leere. Erhalten die betreffenden APs nach mehrmaliger Wiederholung des Echo-Requests keine Antwort des WLC, gilt die CAPWAP-Verbindung als verloren und Verlust der Konnektivität und Rekonfiguration die betreffenden APs beginnen mit dem unter...
Seite 853: Einrichtung Mittels Vorkonfigurierter Integration
Referenzhandbuch 13 WLAN-Management 10. Die APs setzen die neue P2P-Strecke zu den Ihnen zugewiesenen Master-APs auf und kommunizieren mit dem WLC nicht mehr über den WLC-TUNNEL-AUTOWDS, sondern ins LAN gebridged. 13.6.3 Einrichtung mittels vorkonfigurierter Integration Die nachfolgenden Abschnitte zeigen Ihnen, wie Sie ein AutoWDS-Netz über die vorkonfigurierte Integration einrichten. Die Konfiguration verwendet dabei das automatische Topologie-Management des WLC.
Seite 854: Konfiguration Der Aps
Referenzhandbuch 13 WLAN-Management Die hier festgelegte SSID agiert als Managementnetz für sämtliche ein AutoWDS-Netz suchenden APs und ist – bis auf die Passphrase – nicht weiter konfigurierbar. Der WLC verbindet die angegebene SSID intern automatisch mit einem WLC-Tunnel (WLC-TUNNEL-AUTOWDS). Normale WLAN-Clients sind nicht in der Lage, dieses Managementnetz zu benutzen.
Seite 855: Vorkonfigurierte Integration Durch Pairing Beschleunigen
Referenzhandbuch 13 WLAN-Management 4. Geben Sie unter WPA2-Passphrase den Schlüssel des AutoWDS-Basisnetzes ein, den Sie auf dem WLC konfiguriert haben. 5. Ändern Sie die Timeout-Werte für die Zeit bis Such-Modus 'Vorkonfig' auf 1 und die Zeit bis Such-Modus 'Express' auf 0. 6.
Seite 856: Einrichtung Mittels Express-Integration
Referenzhandbuch 13 WLAN-Management 13.6.5 Einrichtung mittels Express-Integration Die nachfolgenden Abschnitte zeigen Ihnen, wie Sie ein AutoWDS-Netz über die Express-Integration einrichten. Die Konfiguration verwendet dabei das automatische Topologie-Management des WLC. vorkonfigurierten Integration Das Ausgangsszenario gleicht dem der Auf einem zurückgesetzten AP ist AutoWDS standardmäßig deaktiviert, sodass Sie zunächst einen kabelgebundenen Zugriff wählen müssen, um die Funktion zu aktivieren.
Seite 857: Umschalten Von Express- Zu Vorkonfigurierter Integration
Referenzhandbuch 13 WLAN-Management Nach erfolgreichem Konfigurations-Update schaltet der AP seine physikalische(n) WLAN-Schnittstelle(n) in den Client-Modus und sucht nach einem beliebigen AutoWDS-Basisnetz. Weitere Informationen zum Ablauf erhalten Sie unter Aufspannen des AutoWDS-Basisnetzes auf Seite 847. 13.6.6 Umschalten von Express- zu vorkonfigurierter Integration Um nach einem Netz-Rollout mittels Express-Integration auf eine vorkonfigurierte Integration umzuschalten, deaktivieren Sie die Express-Integration auf dem WLC.
Seite 858 Referenzhandbuch 13 WLAN-Management Änderungen am Ausgangsszenario Das Ausgangsszenario gleicht dem der vorkonfigurierten Integration. Für die gesamte WLAN-Infrastruktur kommen ausschließlich Dual-Radio-APs zum Einsatz, die entsprechend der untenstehenden Grafik angeordnet sind. Das gemanagte WLAN besteht zu Beginn aus einem einzigen AP, der den hinzukommenden APs als initialer Zugangs-AP dient. Konfiguration des WLC Die nachfolgenden Handlungsanweisungen beschreiben die Deaktivierung des automatischen Topologie-Managements und die Konfiguration manueller P2P-Strecken gemäß...
Seite 859 Referenzhandbuch 13 WLAN-Management 1. Öffnen Sie den Konfigurationsdialog in LANconfig und klicken Sie WLAN-Controller > AP-Konfiguration > Access-Point-Tabelle, um zur Liste der verwalteten APs zu gelangen. 2. Geben Sie für jeden hinzukommenden AP die MAC-Adresse und unter AP-Name einen eindeutigen Namen an. Auf diesen Namen referenzieren Sie später in der Topologie-Konfiguration.
Seite 860: Redundante Strecken Mittels Rstp
Referenzhandbuch 13 WLAN-Management 7. Klicken Sie auf den Eintrag DEFAULT, um das AutoWDS-Standardprofil zu bearbeiten. 8. Ändern Sie den Parameter Topology-Management auf Manuell und speichern Sie die Einstellung mit einem Klick auf Setzen. 9. Wechseln Sie in die Tabelle WLAN-Management > AP-Konfiguration > AutoWDS-Topology und klicken Sie Hinzufügen.
Seite 861: Zentrales Firmware- Und Skript-Management
Damit haben Sie die Konfiguration erfolgreich abgeschlossen. 13.7 Zentrales Firmware- und Skript-Management Mit einem WLC kann die Konfiguration von mehreren LANCOM Wireless Routern und APs von einer Stelle aus komfortabel und konsistent verwaltet werden. Mit dem zentralen Firmware- und Skript-Management können auch Firmware- und Skript-Uploads auf allen verwalteten WLAN-Geräten automatisch ausgeführt werden.
Seite 862: Allgemeine Einstellungen Für Das Firmware-Management
Referenzhandbuch 13 WLAN-Management Mit der Aktion Setup > WLAN-Management > Zentrales-Firmware-Management > Aktualisiere-Firmware-und-Skript-Information können Skript- und Firmwareverzeichnisse aktualisiert werden. Sie finden die Parameter zur Konfiguration auf folgenden Pfaden: LANconfig: WLAN-Controller > AP-Update WEBconfig: Setup > WLAN-Management > Zentrales-Firmware-Management 13.7.1 Allgemeine Einstellungen für das Firmware-Management Firmware-URL Pfad zum Verzeichnis mit den Firmware-Dateien.
Seite 863: Allgemeine Einstellungen Für Das Skript-Management
Referenzhandbuch 13 WLAN-Management Wenn in der Liste der IP-Netzwerke oder in der Liste der Loopback-Adressen ein Eintrag mit dem Namen 'INT' oder 'DMZ' vorhanden ist, wird die IP-Adresse des IP-Netzwerks bzw. der Loopback-Adresse mit dem Namen 'INT' bzw. 'DMZ' verwendet. Firmware-Management-Tabelle In dieser Tabelle wird hinterlegt, welche Geräte (MAC-Adresse) und Gerätetypen mit welcher Firmware betrieben werden sollen.
Seite 864 Referenzhandbuch 13 WLAN-Management Skript-Management-Tabelle In dieser Tabelle werden Skripte anhand ihres Dateinamens einem WLAN-Profil zugeordnet. Die Konfiguration eines Wireless Routers und APs in der Betriebsart "Managed" erfolgt über WLAN-Profile. Mit einem Skript können auch diejenigen Detail-Parameter der gemanagten Geräte eingestellt werden, die nicht im Rahmen der vorgegebenen Parameter eines WLAN-Profils verwaltet werden.
Seite 865: Radius
Referenzhandbuch 13 WLAN-Management Bitte beachten Sie bei der Angabe der Script-Namen die Groß- und Kleinschreibung! 13.8 RADIUS 13.8.1 Prüfung der WLAN-Clients über RADIUS (MAC-Filter) Bei der Nutzung von RADIUS zur Authentifizierung der WLAN-Clients kann neben einem externen RADIUS-Server auch die interne Benutzertabelle der WLC genutzt werden, um nur bestimmten WLAN-Clients anhand ihrer MAC-Adresse den Zugang zum WLAN zu erlauben.
Seite 866: Externer Radius-Server
Referenzhandbuch 13 WLAN-Management Als Benutzername und Passwort wird jeweils die MAC-Adresse in der Schreibweise 'AABBCC-DDEEFF' eingetragen. 13.8.2 Externer RADIUS-Server Standardmäßig übernimmt der WLC die Weiterleitung von Anfragen für die Konto- bzw. Zugangsverwaltung an einen RADIUS-Server. Damit die APs den RADIUS-Server direkt ansprechen können, müssen entsprechenden Server-Informationen hier definiert werden.
Seite 867: Dynamische Vlan-Zuweisung
Referenzhandbuch 13 WLAN-Management Default: leer Port: Port-Nummer, die den AP mitgeteilt wird, um den RADIUS Server zu erreichen. Der Port muss mit dem im RADIUS-Server konfigurierten Wert übereinstimmen. Dieser Wert wird ignoriert, wenn keine IP-Adresse konfiguriert ist, da dann der WLC selbst als RADIUS-Server benutzt wird. Mögliche Werte: Gültige Port-Nummer, im Allgemeinen 1812 für Zugangs- und 1813 für Kontoverwaltung.
Seite 868: Radius-Accounting Im Wlan-Controller Für Logische Wlans Aktivieren
Referenzhandbuch 13 WLAN-Management Alternativ zu einem externen RADIUS-Server kann den WLAN-Clients auch über den internen RADIUS-Server oder die Stationstabelle im WLC eine VLAN-ID zugewiesen werden. 1. Aktivieren Sie das VLAN-Tagging für den WLC. Tragen Sie dazu als Management-VLAN-ID in den physikalischen Parametern des Profils einen Wert größer als '0' ein.
Seite 869 Referenzhandbuch 13 WLAN-Management WEBconfig: LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Netzwerkprofile RADIUS-Accounting aktiviert Stellen Sie hier ein, ob das RADIUS-Accounting in diesem logischen WLAN-Netzwerk aktiviert werden soll. Mögliche Werte: ja, nein Default: nein Die APs, die der WLC mit diesem logischen WLAN-Netzwerk konfiguriert, müssen eine LCOS-Version 8.00 oder höher verwenden.
Seite 870: Anzeigen Und Aktionen Im Lanmonitor
Referenzhandbuch 13 WLAN-Management 13.9 Anzeigen und Aktionen im LANmonitor Über den LANmonitor haben Sie einen schnellen Überblick über die WLC im Netzwerk und die APs in der WLAN-Struktur. LANmonitor zeigt dabei u. a. die folgenden Informationen: Aktive WLAN-Netzwerke mit den eingebuchten WLAN-Clients sowie der Bezeichnung des APs, bei dem der WLAN-Client eingebucht ist.
Seite 871: Funkfeldoptimierung
Referenzhandbuch 13 WLAN-Management 13.10 Funkfeldoptimierung Mit der Auswahl des Kanals in der Kanal-Liste wird der Teil des Frequenzbandes festgelegt, den ein AP für seine logischen WLANs verwendet. Alle WLAN-Clients, die sich mit einem AP verbinden wollen, müssen den gleichen Kanal im gleichen Frequenzband verwenden.
Seite 872: Gruppenbezogene Funkfeldoptimierung
Referenzhandbuch 13 WLAN-Management 3. Der WLC bestimmt für jeden AP auf Basis der im "Background-Scan" erkannten Geräte einen Interferenzwert. 4. Anschließend löscht er die AP-Kanalliste aller APs. Da die Kanalliste nun leer ist, erhalten die APs über ein Konfigurations-Update die neue Kanalliste ihres jeweiligen Profils. 5.
Seite 873: Client Steering Über Den Wlc
Referenzhandbuch 13 WLAN-Management -r <Raum> APs mit der entsprechenden Raumangabe. -d <Ger tename> APs mit den entsprechenden Gerätenamen. -a <Antennen> APs mit der entsprechenden Anzahl an Antennen. Eine Kombination aus den Optionen -d und -a ist nicht sinnvoll. -v <Firmware> APs, die genau diese Firmwareversion besitzen.
Seite 874: Konfiguration
Wenn ein AP die Verbindung zu dem WLC verliert, der für das Client Steering verantwortlich ist, lässt der AP alle Verbindungen von berechtigten WLAN-Clients zu. Für die optimale Funktionsweise des gemanagten Client-Steerings muss auf sämtlichen APs LCOS 9.00 oder höher installiert sein. Wenn Sie im Mischbetrieb APs mit einer älteren LCOS-Version einsetzen, kann in Ihrem WLAN keine sinnvolle Verteilung der Clients erfolgen.
Seite 875 Referenzhandbuch 13 WLAN-Management 2. Im Menü WLAN-Controller > AP-Konfiguration > Client Steering Profile sind bereits zwei Standard-Profile vorkonfiguriert (High-Density, Default), die für die meisten Anwendungsfälle genügen. Optional erstellen Sie dort mit einem Klick auf Hinzufügen ein neues Client Steering-Profil. Client Steering-Profile legen die Bedingungen fest, nach denen der WLC entscheidet, welche APs beim nächsten Anmeldeversuch einen Client annehmen.
Seite 876 3. Optional: Aktivieren Sie über den Parameter Statistikdaten erfassen die Aufzeichnung von Client Steering-Statistiken. Die Statistikdaten lassen sich anschließend z. B. mittels LANmonitor auswerten. Die Statistikaufzeichnung erhöht die Last auf dem WLC. LANCOM empfiehlt daher, die Statistikaufzeichnung nicht dauerhaft zu aktivieren.
Seite 877: Kanallastanzeige Im Wlc-Betrieb
Referenzhandbuch 13 WLAN-Management 13.12 Kanallastanzeige im WLC-Betrieb Für die von einem WLC verwalteten APs wird die Last auf den verwendeten Kanälen in drei Werten als minimale, maximale und durchschnittliche Kanallast angezeigt. Die angezeigten Werte werden in einem Messintervall von drei Minuten ermittelt.
Seite 878: Zertifikats-Backup In Das Gerät Einspielen
Referenzhandbuch 13 WLAN-Management 1. Öffnen Sie die Konfiguration des WLCs mit WEBconfig im Bereich LCOS-Menübaum > Setup > Zertifikate > SCEP-CA > CA-Zertifikate. 2. Wählen Sie den Befehl Erstelle-PKCS12-Backup-Dateien und geben Sie als Parameter die Passphrase für die PKCS12-Container an. Mit dieser Aktion werden die Zertifikate und privaten Schlüssel in die PKCS12-Dateien gespeichert und können dann aus dem Gerät heruntergeladen werden.
Seite 879: One Click Backup Der Scep-Ca
Referenzhandbuch 13 WLAN-Management SCEP-Zertifikatsliste: Liste aller von der SCEP-CA jemals ausgestellten Zertifikate. SCEP-Seriennummern: Enthält die Seriennummer für das nächste Zertifikat. 1. Wählen Sie Dateimanagement > Zertifikat oder Datei herunterladen. 2. Wählen Sie dann als Dateityp nacheinander die oben aufgeführten Einträge und bestätigen Sie mit Download starten.
Seite 880: Backuplösungen
Aufbau einer Zertifikatshierarchie: Verwaltung der Zertifikate durch eine zentrale Zertifizierungsstelle (CA), dargestellt wahlweise durch einen Master-WLC oder eine externe Stelle (z. B. einen Server). Ab LCOS 9.00 erhält die Cluster-Funktion angeführten Verbesserungen, die im Folgenden näher beschrieben sind. CAPWAP im WLC gezielt (de)aktivieren Um mehrere WLCs in einem Verbund (Cluster) zu betreiben, müssen alle beteiligten Geräte eine identische Konfiguration...
Seite 881: Wlc-Tunnel Für Die Interne Kommunikation
Der Einsatz von WLC-Tunneln ist ein essentieller Bestandteil eines WLC-Clusters. Die am WLC-Cluster beteiligten WLCs nutzen diese Tunnel zur Kommunikation untereinander, um die verteilten Statusinformationen im Verbund abzugleichen. Im Rahmen der Funktionserweiterungen ab LCOS 9.00 verbessert sich daher auch der LCOS-interne Umgang mit WLC-Tunneln: WLCs sind dazu in der Lage, sich untereinander automatisch zu finden.
Seite 882: Ideale Ap-Verteilung Manuell Initiieren
Referenzhandbuch 13 WLAN-Management Sie haben aber auch als Administrator die Möglichkeit, via LANmonitor die Ermittlung der idealen AP-Verteilung und eine ggf. daraus resultierende Umverteilung der APs manuell auszulösen (siehe Ideale AP-Verteilung manuell initiieren auf Seite 882). Ideale AP-Verteilung manuell initiieren Die nachfolgenden Schritte zeigen Ihnen, wie Sie die Berechnung der idealen Verteilung manuell starten und dadurch ggf.
Seite 883 Certificate Authority (CA) und die Registration Authority (RA) über die Parameter CA-Distinguished-Name und RA-Distinguished-Name an. Beispiel: /CN=WLC-MAIN CA/O=LANCOM SYSTEMS/C=DE 3. Wechsel Sie in das Menü Setup > Zertifikate > SCEP-CA und setzten Sie den Parameter Aktiv auf Ja. Damit haben Sie die Konfiguration der Root-CA abgeschlossen. Mit dem Befehl show ca cert an der Kommendozeile lässt sich überprüfen, ob der WLC das Zertifikat korrekt erstellt hat.
Seite 884: Backup Mit Redundanten Wlan-Controllern
4. Geben Sie als URL die IP-Adresse oder den DNS-Namen des Haupt-WLCs ein gefolgt vom Pfad zur CA /cgi-bin/pkiclient.exe, also z. B. 10.1.1.99/cgi-bin/pkiclient.exe. Distinguished-Name: Standardname der CA (/CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE) bzw. der Name der auf dem primären Controller vergeben wurde...
Seite 885: Backup Mit Primären Und Sekundären Wlan-Controllern
13 WLAN-Management 5. Erstellen Sie dann einen neuen Eintrag in der Zertifikats-Tabelle mit folgenden Angaben: CA-Distinguished-Name: Der Standardname, der bei der CA eingetragen wurde, also z. B. /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE Subject: Angabe der MAC-Adresse des Haupt-WLAN-Controllers in der Form: /CN=00:a0:57:01:23:45/O=LANCOM SYSTEMS/C=DE Challenge: Das allgemeine Challenge-Passwort der CA auf dem primären WLAN-Controller oder ein extra für...
Seite 886: Primäre Und Sekundäre Controller
Referenzhandbuch 13 WLAN-Management 13.14.4 Primäre und sekundäre Controller Der Verbindungsaufbau zwischen WLC und AP wird immer vom AP initiiert. Ein AP im Managed-Modus sucht in einem LAN nach einem WLC, der ihm eine Konfiguration zuweisen kann. Bei dieser Suche kann der AP unterschiedliche geeignete WLCs finden: Der WLC kann das Zertifikat des APs authentifizieren und hat für die MAC-Adresse des suchenden APs eine Konfiguration gespeichert.
Seite 887: Automatische Suche Nach Alternativen Wlcs
WLAN-Konfiguration in Betrieb, die WLAN-Clients können weiterhin alle Funktionen nutzen. 13.14.5 Automatische Suche nach alternativen WLCs Ab LCOS 9.00 versucht ein AP nicht mehr, sich bei einem Verbindungsabbruch mit dem zuletzt bekannten WLC neu zu Ermittlung des verbinden.
Seite 888: Public Spot
Referenzhandbuch 14 Public Spot 14 Public Spot 14.1 Einführung Dieses Kapitel gibt Antworten auf die beiden folgenden Fragen: Was ist ein "Public Spot"? Welche Funktionen und Eigenschaften zeichnen das Public Spot-Modul aus? 14.1.1 Was ist ein "Public Spot"? Public Spots, auch HotSpots genannt, sind Orte, an denen sich Benutzer mit ihren Endgeräten – z. B. einem Smartphone, Tablet-PC oder Notebook –...
Seite 889: Benutzer-Autorisierung Und -Authentifizierung
Gästezimmern – absolut sicher getrennt vom internen Netz können überall dort, wo es gewünscht ist, Gastzugänge bereitgestellt werden. Für die komfortable Abrechnung ist die LANCOM Public Spot PMS Accounting Plus Option ideal: Sämtliche Public Spot-Anmeldungen werden hierbei automatisch an den zentralen PMS-Server, auf welchem das Hotelabrechnungssystem...
Seite 890: Gastzugänge In Sportstadien
Vergleich zum überlasteten Mobilfunknetz – schnelle Internetverbindung zu bieten, ist ein Offloading in das Stadion-WLAN mithilfe von LANCOM Lösungen empfehlenswert. Durch die Einbindung der Clients in das Stadion-WLAN bietet sich dem Stadionbetreiber die Möglichkeit, zusätzliche Werbeflächen für Sponsoren und damit zusätzliche Einnahmequellen zu schaffen.
Seite 891: Gastzugänge Auf Campingplätzen
Kabeln. So wird beispielsweise im Verwaltungsgebäude des Campingplatzes ein WLAN Controller (inkl. LANCOM Public Spot Option) mit einem LANCOM Dual Radio Outdoor Access Point verbunden. Von diesem wird das Signal nun über Punkt-zu-Punkt-Strecken im 5-GHz-Frequenzband an weitere Outdoor Access Points geleitet, welche die gewünschten Areale –...
Seite 892: Gastzugänge In Schulen Und Universitäten
– und das auch in voneinander getrennten Gebäudeteilen, möglichst kabellos und mit den eigenen Endgeräten. Mit Hilfe von LANCOM WLAN-Lösungen ist dies leicht umsetzbar. Indem separate Netze konfiguriert werden, sind die Internetzugänge der Schüler und Studenten vom Zugang der Verwaltung sicher getrennt. Dank dynamischer VLAN-Zuweisung werden die verschiedenen Benutzergruppen über nur eine SSID den für sie vorgesehenen VLANs...
Seite 893: Gastzugänge In Unternehmen
Office-Mitarbeiter benötigen ebenso Zugriff auf E-Mail-Konten und Datenbanken. Zusätzlich soll Kunden und Besuchern ein separater Gastzugang angeboten werden. Mit den Geräten von LANCOM und der LANCOM Public Spot Option sind auch diese Szenarien leicht umzusetzen. Über VPN-Tunnel werden dabei die Standorte miteinander verbunden. Unternehmen können ihren externen Gästen durch ein separates Gastnetzwerk in der Firmenzentrale oder auch in angebundenen Filialen Zugriff auf das Internet über die...
Seite 894: Gastzugänge Für Provider
Gastzugänge für Provider Für Internet-Provider ist es mit den Lösungen von LANCOM sehr einfach, bei ihren Kunden ein Netzwerk mit Gastzugängen anzubieten. Der Provider erhält von LANCOM alle benötigten Netzwerkprodukte aus einer Hand und managt die Netzwerke seiner Kunden zentral und komfortabel –...
Seite 895: Gastzugänge In Der Gastronomie
Kapitel Alternative Anmeldeformen auf Seite 940. Kein Missbrauch des Netzwerks – durch den LANCOM Content Filter erfolgt eine professionelle, datenbankgestützte Verifizierung von Webseiten. Unerwünschte Websites oder Webinhalte können so für definierte Benutzergruppen unzugänglich gemacht werden. Data Offloading – WLAN-Hotspots entlasten wirkungsvoll das Mobilfunk-Netz, indem der Datenverkehr auf andere Infrastrukturen ausgelagert wird.
Seite 896: Das Public Spot-Modul Im Überblick
Open User Authentication (OUA) Die Open User Authentication (OUA) ist ein Verfahren, das von LANCOM Systems entwickelt wurde. Es stellt eine web-basierte Authentisierung über ein Formular bereit und eignet sich deshalb optimal für Public Spot-Installationen. Typischer Ablauf einer Online-Sitzung mit OUA 1.
Seite 897 Points erfolgen (Multi-SSID). VLAN-Technik kann den öffentlichen Zugang vom privaten Netz des Betreibers trennen. Die virtuelle Routing-Technologie ARF (Advanced Routing and Forwarding) von LANCOM versieht eine SSID mit eigenen Sicherheits- und QoS-Einstellungen und routet darüber nur bestimmte Ziele. So kann der Gastzugang über einen Public Spot – sicher und effektiv vom Produktivnetz getrennt – die gemeinsame Infrastruktur mitnutzen.
Seite 898: Assistent Zur Einrichtung Eines Public Spots
WPA2 (802.1X/802.11i), EAP und 802.11u basiert, werden Datenpakete sowohl bei der Autorisierung als auch während der Sitzung stets verschlüsselt übertragen. LANCOM empfiehlt dringend, sensitive Nutzdaten immer über verschlüsselte Verbindungen zu übertragen, z. B. durch IPSec-basierte VPN-Tunnel mit dem LANCOM Advanced VPN Client oder durch normale HTTPS-gesicherte Datenverbindungen.
Seite 899: Einrichtung Und Betrieb
Bitte beachten Sie, dass der Betrieb eines Public Spots (manchmal auch als "HotSpot" bezeichnet) in Ihrem Land rechtlichen Regulierungen unterliegen kann. Bitte informieren Sie sich vor der Einrichtung eines Public Spots über die jeweils geltenden Vorschriften. Informationen zu diesem Thema finden Sie auch im LANCOM-Techpaper www.lancom.de "Public Spot", erhältlich unter...
Seite 900 Referenzhandbuch 14 Public Spot 2. Starten Sie den Setup-Assistenten über Gerät > Setup Assistent, wählen Sie die Aktion Public Spot einrichten und klicken Sie anschließend auf Weiter. 3. Falls Sie die Nutzung des Public Spots über WLAN einrichten möchten, aktivieren Sie die entsprechende Option und klicken Sie auf Weiter.
Seite 901 Referenzhandbuch 14 Public Spot 4. Wählen Sie aus dem Auswahlmenü die logische Schnittstelle aus, über die Sie den Public Spot anbieten wollen (z. B. WLAN-1), und geben Sie dem Funknetzwerk einen aussagekräftigen Namen (SSID). Klicken Sie auf Weiter. 5. Weisen Sie dem Gerät die IP-Adresse und die Netzmaske zu, die Ihr Public Spot-Netzwerk spezifizieren soll, und klicken Sie auf Weiter.
Seite 902 Referenzhandbuch 14 Public Spot einen neuen Eintrag an und tragen Sie unter IP-Adresse die Netzadresse Ihres Public Spot-Netzes ein sowie unter Router die Adresse, die der Public Spot in Ihrem lokalen Netz besitzt. 6. Legen Sie fest, mit welchen Zugangsdaten sich Ihre Benutzer am Public Spot anmelden. Außerdem können Sie die Anmeldeseite optional mit einem Login-Text personalisieren.
Seite 903 Referenzhandbuch 14 Public Spot Über den Benutzer-Erstellungs-Assistenten Public-Spot-Benutzer einrichten hat ein Administrator die Möglichkeit, zeitliche befristete Benutzerkonten für Public Spot-Benutzer zu erstellen und die dazugehörigen Zugangsdaten auf einem Voucher auszudrucken. Über den Benutzer-Verwaltungs-Assistenten Public-Spot-Benutzer verwalten hat ein Administrator die Möglichkeit, diese Nutzer zu admistrieren.
Seite 904 Referenzhandbuch 14 Public Spot MAC-Adresse des Netzwerkadapters erfolgt, welche sich fälschen lässt, stellt dieser Anmeldungsweg ein potentielles Sicherheitsrisiko dar und ist deshalb standardmäßig deaktiviert. 10. Aktivieren Sie bei Bedarf die Protokollierung der An- und Abmeldungen der Pulic-Spot-Benutzer im internen SYSLOG-Speicher des Gerätes. Klicken Sie anschließend auf Weiter. Da die Protokollierung landesspezifischen Regelungen entspricht, ist diese Option standardmäßig deaktiviert.
Seite 905: Manuelle Installation
Referenzhandbuch 14 Public Spot Bevor Sie die Konfiguration auf Ihr Gerät übertragen, haben Sie die Möglichkeit, die Einstellungen lokal auf Ihrem PC zu sichern, sie per E-Mail zu verschicken oder eine Zusammenfassung auszudrucken. 12. Klicken Sie abschließend auf Weiter und Fertig stellen, um die Basis-Installation des Public Spots abzuschließen. Der Setup-Assistent sendet die Einstellungen daraufhin an das Gerät.
Seite 906: Authentifizierungsseiten Einschränken
Referenzhandbuch 14 Public Spot können, auch die logischen LAN-Interfaces (LAN-1 etc.) und die Point-to-Point-Strecken (P2P-1 etc.). Über LAN- und P2P-Interfaces können Sie weitere Access-Points in den Public Spot eines anderen Gerätes einbeziehen. Wählen Sie für einen singulären Access-Point hingegen z. B. das logische WLAN-Interface WLAN-1. LANconfig: Public-Spot >...
Seite 907 Referenzhandbuch 14 Public Spot Damit Endgeräte über unterschiedliche Interfaces bzw. Schnittstellen eines Public Spot-Gerätes (z. B. zwischen LAN-1 und WLAN-1) miteinander kommunizieren können, sind diese Schnittstellen in Ihrem Gerät logisch miteinander verknüpft (gebridged). In einem Public Spot-Szenario ist solch ein Bridging aus Sicherheitsgründen aber oft nicht erwünscht.
Seite 908 Referenzhandbuch 14 Public Spot Das Public Spot-Modul enthält in Ihrem Netzwerk eine eigene IP-Adresse, die unabhängig von der Adresse ist, die Sie dem Gerät zugewiesen haben. Haben Sie z. B. ein 192.168.0.0/24-Netzwerk aufgespannt und Ihr Gerät besitzt darin die IP 192.168.2.1, können Sie dem Public Spot-Modul z. B. die IP 192.168.3.1 und die Subnetzmaske 255.255.255.0 vergeben, sofern diese IP nicht anderweitig belegt ist.
Seite 909 Referenzhandbuch 14 Public Spot LANconfig: IPv4 > DHCPv4 > DHCP-Netzwerke 9. Deaktivieren Sie die Verschlüsselung für das Interface, über das Sie den Public Spot anbieten. Diese Einstellung betrifft nicht: Router, WLAN Controller, Central Site Gateways. Standardmäßig ist für alle logischen WLANs eine Verschlüsselung aktiviert. In Public Spot-Anwendungen werden die Nutzdaten zwischen den WLAN-Clients und dem Access Point üblicherweise unverschlüsselt übertragen.
Seite 910 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Anmeldung > Anmeldungs-Modus Beachten Sie, dass – wenn Sie die Einstellungen Keine Anmeldung nötig wählen –, auch Unbefugte ungehinderten Zugriff auf Ihren Public Spot haben können! 11. Definieren Sie den internen RADIUS-Server als den für die Benutzerverwaltung und das Accounting zuständigen Server.
Seite 911 Referenzhandbuch 14 Public Spot LANconfig: RADIUS-Server > Allgemein 12. Erstellen Sie für den internen RADIUS-Server in der Anmelde-Server-Liste des Public Spots einen Eintrag. Unter Auth.-Server IP-Adresse und Acc.-Server IP-Adresse tragen Sie die Loopback-Adresse 127.0.0.1 ein; den Auth.-Server Port und den Acc.-Server Port entnehmen Sie dem Authentifizierungs-Port und Accouting-Port aus dem vorangegangenen Einstellungsdialog.
Seite 912 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Benutzer > Anmelde-Server 13. Richten Sie zur Absichererung Ihrer lokalen Netzwerke Filterregeln für den Public Spot in der Firewall ein. Erstellen dazu jeweils eine Erlaubnisregel (z. B. ALLOW_PS-WLAN-1) und eine Verbotsregel (z. B. DENY_PS-WLAN-1). Über die Erlaubnisregel gestatten Sie Geräten aus dem Public Spot-Netzwerk explizit, DNS-Anfragen in alle lokalen Netzwerke –...
Seite 913 Referenzhandbuch 14 Public Spot LANconfig: Firewall/QoS > IPv4-Regeln > Regeln… Einstellungen für die Erlaubnisregel: a) Tragen Sie unter Allgemein den Namen der Regel ein, z. B. ALLOW_PS-WLAN-1. b) Entfernen Sie alle eventuell voreingestellten Aktions-Objekte aus der Liste und fügen Sie über Aktionen > Hinzufügen…...
Seite 914: Standardwerte Für Den Public Spot-Assistenten Setzen
Referenzhandbuch 14 Public Spot d) Wählen Sie im sich öffnenden Stations-Dialog die Option Alle Stationen im lokalen Netzwerk und wählen Sie unter Netzwerk-Name den Namen Ihres Public Spot-IP-Netzwerks, z. B. PS-WLAN-1. Schließen Sie den Stations-Dialog mit OK. e) Aktivieren Sie unter Stationen > Verbindungs-Ziel die Option Verbindungen an folgende Stationen und wählen Sie Hinzufügen…...
Seite 915 Referenzhandbuch 14 Public Spot Der Benutzer-Erstellungs-Assistent verwendet die kürzeste Laufzeit als Standardwert. 4. Definieren Sie unter Max. gleichzeitige Logins die für den jeweiligen Benutzer zutreffende Anzal von Geräten, die maximal gleichzeitig auf das Benutzerkonto zugreifen dürfen. Der Wert 0 steht dabei für 'Unbegrenzt'. Ob die mehrfache Anmeldung mit einem oder mehreren Geräten generell erlaubt ist, gibt der Public Spot-Administrator später beim Anlegen eines neues Benutzers über eine gesonderte Einstellung im Assistenten an.
Seite 916: Beschränkten Administrator Zur Public Spot-Verwaltung Einrichten
Referenzhandbuch 14 Public Spot Fertig! Damit ist die Konfiguration der Standardwerte für den Public Spot-Assistenten abgeschlossen. Beschränkten Administrator zur Public Spot-Verwaltung einrichten Damit auch Mitarbeiter ohne weitere Zugriffsrechte einen Public Spot im Gerät verwalten dürfen, können Sie ihnen explizit die Funktionsrechte für die Verwendung der Public Spot-Assistenten freischalten. Dieses Tutorial beschreibt die Schritte zur Einrichtung der Public Spot-Funktionsrechte für Mitarbeiter ohne weitere Administrationsrechte.
Seite 917: Public-Spot-Benutzer Für Einfache Szenarien Einrichten Und Verwalten
Referenzhandbuch 14 Public Spot Der Public Spot-Administrator wird bei seiner Anmeldung über WEBconfig in der Navigationsleiste die Public Spot-Assistenten angeboten bekommen. Über den Benutzer-Erstellungs-Assistenten Public-Spot-Benutzer einrichten hat ein Administrator die Möglichkeit, zeitliche befristete Benutzerkonten für Public Spot-Benutzer zu erstellen und die dazugehörigen Zugangsdaten auf einem Voucher auszudrucken.
Seite 918 Referenzhandbuch 14 Public Spot 2. Starten Sie den Setup-Assistenten mit einem Klick auf Setup-Wizards > Public-Spot-Benutzer einrichten. 3. Der Benutzer-Erstellungs-Assistent startet mit der Eingabemaske. Die Felder sind mit Standardwerten vorbelegt. Der Assistent vergibt daraufhin automatisch einen Nutzernamen und ein Zugangs-Passwort. Im anschließenden Druck-Dialog können Sie den Voucher-Drucker auswählen und den Voucher ausdrucken.
Seite 919 Referenzhandbuch 14 Public Spot Bandbreitenprofil: Wählen Sie aus der Liste ein Bandbreitenprofil, um die dem Nutzer zur Verfügung gestellte Bandbreite (Uplink und Downlink) selektiv zu beschränken. Banbreitenprofile legen Sie in der Bandbreitenprofile-Tabelle an. SSID (Netzwerkname): Geben Sie an, für welches WLAN-Netz der Zugang gilt. Die hier aufgelisteten SSIDs verwalten Sie in der SSID-Tabelle.
Seite 920 Referenzhandbuch 14 Public Spot In der Auswahlliste Zeige ... Einträge pro Seite stellen Sie die Anzahl angezeigter Einträge pro Seite ein. Die entsprechenden Seiten rufen Sie über die Seitennavigation rechts unten auf: Erste Seite: Zeigt die Seite mit den ersten Einträgen an. Vorherige Seite: Wechselt eine Seite zurück.
Seite 921 Referenzhandbuch 14 Public Spot Abs.-Ablauf Case-Sensitiv 4. Markieren Sie den zu ändernden Benutzer in der ersten Spalte. 5. Ändern Sie die entsprechenden Feldinhalte, und klicken Sie auf Speichern, um diese Änderungen zu übernehmen. Ungespeicherte Änderungen gehen verloren, sobald Sie diesen Assistenten verlassen. 6.
Seite 922: Sicherheitseinstellungen
Referenzhandbuch 14 Public Spot Sofern die Authentifizierung zusätzlich über die MAC-Adresse erfolgt (Authentifizierungs-Modus Anmeldung mit Name, Passwort und MAC-Adresse), definieren Sie die MAC-Adresse über das Feld Rufende Station in der Form 12:34:56:78:90:AB. 2. Setzten Sie den Dienst-Typ auf Anmeldung. 3. Heben Sie sämtliche Protokolleinschränkungen auf, indem Sie alle Auswahlkästchen deselektieren. In einem Public Spot-Szenario findet eine Phase-2-Authentifizierung nicht statt.
Seite 923: Konfigurationszugriff Einschränken
Referenzhandbuch 14 Public Spot Die Leerlaufzeitüberschreitung für das Public Spot-Modul erfüllt den gleichen Zweck wie der Idle-Timeout für WLAN, beschränkt sich allein auf Verbindungen über Public Spot. Ist die Leerlaufzeitüberschreitung gesetzt und kommen von einem Benutzer keine Datenpakete mehr, loggt das Gerät diesen nach Ablauf der eingetragenen Zeit automatisch aus.
Seite 924: Erweiterte Funktionen Und Einstellungen
Referenzhandbuch 14 Public Spot 14.2.3 Erweiterte Funktionen und Einstellungen Der Public Spot beinhaltet zahlreiche erweiterte Funktionen, Optionen und Parameter, mit denen Sie ihn individuell an die spezifischen Eigenarten seines Einsatzgebietes anpassen können. In den folgenden Abschnitten finden Sie Informationen über: Multiple Anmeldungen Standardmäßig ist die Nutzung von Zugangsdaten auf die Anmeldung mit einem Gerät beschränkt.
Seite 925 Referenzhandbuch 14 Public Spot Standardwerte festlegen Um diese Funktion zu verwenden, definieren Sie im ersten Schritt die mögliche Anzahl der gleichzeitig nutzbaren Geräte im Setup-Menü unter Public-Spot-Modul > Neuer-Benutzer-Assistent > Max-gleichzeitige-Logins-Tabelle. Hier tragen Sie jene Werte ein, die Sie im zweiten Schritt mit Hilfe des Assistenten Public-Spot-Benutzer einrichten zuweisen. Der Wert 0 steht dabei für "Unbegrenzt".
Seite 926 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Server > Verzeichnis Zusätzlich zum frei erreichbaren Web-Server können Sie weitere Netze und Spezial-Seiten definieren, welche von Ihren Kunden ohne Anmeldung genutzt werden dürfen. LANconfig: Public-Spot > Server > Freie Netze bzw. Seiten-Tabelle Freie Netze Tragen Sie die IP-Adresse des zusätzlichen Servers oder Netzwerks inklusive Netzmaske ein, auf welche die Public Spot-Benutzer zugreifen dürfen.
Seite 927: Verwaltung Von Public Spot-Nutzern Über Das Web-Api
Referenzhandbuch 14 Public Spot Tragen Sie die Adressen (URL) der Webseiten ein, die der Public Spot dem Benutzer für die Anmeldung, Fehlermeldungen, Status usw. anzeigen soll. Lesen Sie dazu auch das Kapitel über geräteeigene und individuelle Authentifizierungsseiten DNS-Snooping Webdienste mit hohen Nutzerzahlen verteilen die Datenanfragen zur besseren Auslastung auf mehrere Server. So kommt es, dass zwei DNS-Anfragen für denselben Hostnamen (z.
Seite 928 Referenzhandbuch 14 Public Spot Sind für einen Public Spot-Benutzer mehrere Kommentare möglich, geben Sie die Kommentare und die entsprechenden Kommentarfeld-Namen wie folgt an: &comment=<Inhalt1>:<Feldname1>,<Inhalt2>:<Feldname2>,…,<Inhalt5>:<Feldname5>, Existiert ausschließlich ein Kommentarfeld pro Benutzer, genügt die Angabe des Kommentars: &comment=<Kommentar> Deutsche Umlaute werden nicht unterstützt. Die maximale Zeichenanzahl des Kommentar-Parameters beträgt 191 Zeichen.
Seite 929 Referenzhandbuch 14 Public Spot Wert1: Einheit der Laufzeit. Mögliche Werte sind: Minute, Stunde, Tag Wert2: Laufzeit timebudget Zeit-Budget Fehlt dieser Parameter, verwendet der Assistent den Default-Wert. volumebudget Volumen-Budget Fehlt dieser Parameter, verwendet der Assistent den Default-Wert. multilogin Mehrfach-Logins Wenn Sie diesen Parameter angeben, kann sich der Benutzer mehrfach mit seinem Benutzer-Account anmelden. Fehlt dieser Parameter, sind Mehrfach-Logins standardmäßig deaktiviert.
Seite 930 Referenzhandbuch 14 Public Spot Bearbeiten eines Public Spot-Benutzers Über die folgende URL bearbeiten Sie einen oder mehrere Public Spot-Benutzer: http://<Ger te-URL>/cmdpbspotuser/ ?action=editpbspotuser&parameter1=value1&parameter2=value2&... Ihnen stehen folgende Parameter zur Verfügung: pbspotuser Name des Public Spot-Benutzers Mehrere Benutzer geben Sie in der Form &pbspotuser=<Benutzer1>+<Benutzer2>+... Findet der Assistent den angegebenen Benutzer nicht, haben Sie die Möglichkeit nach einem Benutzer suchen.
Seite 931: Bandbreitenprofile Zuweisen
Referenzhandbuch 14 Public Spot Mit diesem Parameter weisen Sie einem Public Spot-Nutzer ein existierendes Bandbreitenprofil zu. Als gültigen Wert für diesen Parameter geben Sie die Zeilennummer eines unter Setup > Public-Spot-Modul > Neuer-Benutzer-Assistent > Bandbreitenprofile angelegten Profilnamens an; z. B. &bandwidthprof=1 für den ersten Eintrag in der Tabelle.
Seite 932: Benutzertabelle Automatisch Bereinigen
Die nachfolgende Liste bietet Ihnen eine grobe Orientierung, welche Kapazitätsgrenzen für bestimmte Modellreihen gelten. Sollten Sie Ihr Gerät darin nicht wiederfinden, entnehmen Sie die genauen Angaben bitte der Produktbeschreibung. Tabelle 25: Größe der Benutzertabelle bei ausgewählten LANCOM-Modellen LANCOM-Modell Größe der Benutzertabelle...
Seite 933: Überwachung
Referenzhandbuch 14 Public Spot Bei ausgeschalteter Stationsüberwachung wird ein Benutzer erst dann abgemeldet, wenn die Gültigkeit seiner Authentifizierung abläuft. Für kommerziell auf Zeitbasis betriebene Public-Spots ist die Stationsüberwachung außerordentlich wichtig. Bei solchen Installationen muss jederzeit gewährleistet sein, dass Benutzer nur für diejenigen Zeiten bezahlen, in denen sie die Dienste des Public-Spots auch tatsächlich in Anspruch genommen haben.
Seite 934 Referenzhandbuch 14 Public Spot Eine Alternative zu diesem zentralisierten Aufbau ist das Aktivieren des Public Spot-Moduls in allen Access Points. Die Authentifizierung und Seiten-Ablaufsteuerung ist dadurch auf alle Geräte verteilt, und es existiert kein "single point of failure". Inter Access Point Protocol (IAPP) Da das Public Spot-Modul als eine "schaltbare"...
Seite 935 Referenzhandbuch 14 Public Spot ein konfiguriertes Passwort hängt ein Access Point die oben angeführten Informationen nicht an eine Übergabeantwort an, was den Client zwingt, sich erneut zu authentifizieren. Authentifizierung über RADIUS RADIUS ist ein weitläufig anerkanntes Protokoll, um auch größeren Benutzergruppen den Zugang zu einem Server bereitzustellen.
Seite 936: Abrechnung Ohne Radius-Accounting-Server
Referenzhandbuch 14 Public Spot denselben Fallback-Server zuzuweisen. Die Kette von Backup-Servern wird dann abgebrochen, wenn eines der folgenden Ereignisse auftritt: Das Anfragen eines RADIUS-Servers ist fehlgeschlagen und der dazugehörige Eintrag der Anmelde-Server-Liste hat ein leeres Backup-Feld. Das Anfragen eines RADIUS-Servers ist fehlgeschlagen und der dazugehörige Eintrag der Anmelde-Server-Liste hat ein ungültiges Backup-Feld, der referenzierte Eintrag lässt sich also nicht in der Anmelde-Server-Liste finden.
Seite 937 Referenzhandbuch 14 Public Spot Zeitkontingente für PrePaid-Modelle kann der Public Spot auch während der aktiven Sitzungen überwachen. Wird ein Zeitguthaben vollständig aufgebraucht, so beendet der Public Spot automatisch die betreffende Sitzung. Die Guthabenüberwachung wird eingeschaltet, indem der RADIUS-Server zum Sitzungsbeginn eines Benutzers dessen Zeitguthaben als Attribut "Session Timeout"...
Seite 938 Referenzhandbuch 14 Public Spot Das Zertifikat laden Sie über LANconfig im Dateimanagement mit den einzelnen Dateien des Root-CA-Zertifikats oder als PKCS#12-Container in das Gerät: Da Zertifikate üblicherweise auf DNS-Namen ausgestellt werden, muss der Public Spot anstelle einer internen IP-Adresse den DNS-Namen des Zertifikats als Ziel angeben (einzugeben unter Public-Spot > Server im Abschnitt Interface-Auswahl...
Seite 939: Benutzern Individuelle Vlans Zuweisen
Referenzhandbuch 14 Public Spot bei Geräte-Hostname). Dieser Name muss im DNS-Server auf die entsprechende IP-Adresse des Public Spots aufgelöst werden. Benutzern individuelle VLANs zuweisen Unabhängig von der Zuweisung einer VLAN-ID für das gesamte Public Spot-Modul bietet Ihnen das Gerät die Möglichkeit, individuelle VLAN-IDs für einzelne Public Spot-Benutzer zu vergeben.
Seite 940: Fehlerseite Bei Wegfall Der Wan-Verbindung Einrichten
Referenzhandbuch 14 Public Spot Die Vergabe einer VLAN-ID erfordert technisch bedingt die erneute Adresszuweisung durch den DHCP-Server. Solange ein Client nach der erfolgreichen Authentifizierung noch keine neue Adresse zugewiesen bekommen hat, befindet sich er sich nachwievor in seinem bisherigen (z. B. ungetaggten) Netz. Damit der Client möglichst rasch in das neue Netz überführt wird, ist es notwendig, die Lease-Time des DHCP-Servers unter IPv4 >...
Seite 941: Übersicht Der Anmeldemodi
Referenzhandbuch 14 Public Spot Ebenso können Sie Ihren Nutzern einen zusätzlichen Komfort bieten, indem Sie z. B. automatisierte Anmeldeverfahren erlauben (Automatische Anmeldung sowie Re-Login über die MAC-Adresse, Anmeldung über WISPr, Hotspot 2.0) und Ihren Nutzern – darauf aufbauend – entsprechende Roaming-Dienste anbieten. Die Hotspot-2.0- und Roaming-Funktionalitäten sind nur im Zusammenhang mit WLAN verfügbar.
Seite 942: Selbständige Benutzeranmeldung (Smart Ticket)
Referenzhandbuch 14 Public Spot Benutzernamenspräfix: Geben Sie hier einen Präfix an, anhand dessen Sie Benutzer in der RADIUS-Benutzertabelle erkennen, die das Gerät automatisch nach Bestätigen der Nutzungsbedinungen angelegt hat. Dieser Präfix wird dem unter Public-Spot > Assistent spezifizierten Muster für den Benutzernamen unmittelbar vorangestellt.
Seite 943: E-Mail-Anmeldung Konfigurieren
Referenzhandbuch 14 Public Spot Spot erhalten. Ein nutzerseitiges Erstellen eigener Zugangsdaten via E-Mail oder SMS entfällt bei dieser Authentifizierungsmethode. Mehr hierzu erfahren Sie im betreffenden Abschnitt unter Übersicht der Anmeldemodi Seite 941, da der "Login nach Einverständniserklärung" kein Bestandteil der Smart-Ticket-Funktion ist. E-Mail-Anmeldung konfigurieren Die Einstellungen für den Versand der Anmeldedaten an das vom Benutzer angegebene E-Mail-Konto nehmen Sie im Dialog Public-Spot >...
Seite 944: Sms-Anmeldung Konfigurieren
Referenzhandbuch 14 Public Spot 9. Definieren Sie über die Tabelle E-Mail-Domains alle E-Mail-Domains, die Sie im Falle einer Anmeldung Ihrer Public Spot-Benutzer via E-Mail erlauben bzw. verbieten wollen. Geben Sie die Domains im Format @web-domain.de 10. Schreiben Sie die Konfiguration zurück auf das Gerät. SMS-Anmeldung konfigurieren Die Einstellungen für den Versand der Anmeldedaten als Kurznachricht (SMS) an die vom Benutzer angegebene Rufnummer nehmen Sie im Dialog Public-Spot >...
Seite 945 Referenzhandbuch 14 Public Spot Für den Versand der Anmeldedaten als SMS über das geräteeigene 3G/4G WWAN-Modul, wählen Sie die Einstellung SMS über internes GSM-Modem versenden und fahren anschließend mit dem nächsten Konfigurations-Hautpschritt fort. Für den Versand der Anmeldedaten als SMS über das 3G/4G WWAN-Modul eines anderen Gerätes, führen Sie zunächst die Schritte im Abschnitt Geräte mit 3G/4G WWAN-Modul als SMS-Gateway einsetzen auf Seite 945...
Seite 946 Referenzhandbuch 14 Public Spot 3. Wechseln Sie in die Ansicht Public-Spot > SMS. 4. Wählen Sie die Einstellung SMS über ein GSM-fähiges Gerät (z. B. mit 3G/4G-Modem) versenden. 5. Geben Sie in den Eingabefeldern Administrator und Passwort den Namen und das Passwort für den Administrator auf dem anderen 3G/4G-Gerät ein.
Seite 947 Referenzhandbuch 14 Public Spot Variablen Folgende Variablen stehen Ihnen im Eingabefeld E-Mail-Inhalt zur Verfügung: $PSpotPasswd Platzhalter für das nutzerspezifische Passwort des Public Spot-Zugangs. $PSpotLogoutLink Platzhalter für die Abmelde-URL des Public Spots in der Form http://<IP-Adresse des Public Spots>/authen/logout. Über diese URL hat ein Public Spot-Benutzer die Möglichkeit, sich vom Public Spot abzumelden, falls nach einem erfolgreichen Login das Sitzungsfenster –...
Seite 948 Referenzhandbuch 14 Public Spot 2. Wechseln Sie in die Ansicht Public-Spot > Assistent. 3. Füllen Sie die Eingabefelder im Abschnitt Benutzer-Vorlage entsprechend Ihren Vorstellungen aus: Ablauf-Art: Über diesen Eintrag definieren Sie, auf welche Art ein automatisch angelegtes Public Spot-Benutzerkonto abläuft. Sie können festlegen, ob die Gültigkeitsdauer eines Benutzer-Accounts absolut (fester Zeitpunkt) und/oder relativ (Zeitspanne ab dem ersten erfolgreichen Login) ist.
Seite 949 Referenzhandbuch 14 Public Spot Automatisches Re-Login Mobile WLAN-Clients (z. B. Smartphones und Tablett-PCs) buchen sich automatisch in bekannte WLAN-Netze (SSID) ein, wenn sie erneut deren Funkzelle erreichen. Viele Apps greifen in diesem Fall automatisch ohne Umweg über den Webbrowser auf Webinhalte zu, um aktuelle Daten abzufragen (z. B. E-Mails, Soziale Netzwerke, Wetterbericht, etc.). Ähnliches gilt für mobile LAN-Clients (z.
Seite 950: Automatische Authentifizierung Mit Der Mac-Adresse
Referenzhandbuch 14 Public Spot Automatische Authentifizierung mit der MAC-Adresse Ein Public Spot gewährt einem Benutzer nach erfolgreicher Authentifizierung den Zugang zu bestimmten Diensten. Zur Authentifizierung zeigt der Public Spot dem Benutzer nach dem Öffnen des Browsers üblicherweise eine Webseite. Der Benutzer gibt in dieser Anmeldeseite seine Benutzerdaten ein, der Public Spot leitet den Benutzer dann auf die erlaubten Webseiten weiter.
Seite 951: Automatische Anmeldung Über Wispr
Referenzhandbuch 14 Public Spot Konfiguration in LANconfig Bei der Konfiguration mit LANconfig finden Sie die Parameter für die Authentifizierung der Clients über die MAC-Adresse im Dialog Public-Spot > Benutzer > MAC-Authentifizierte Benutzer. Automatische Anmeldung über WISPr Ihr Gerät stellt eine Schnittstelle für die Anmeldung über WISPr bereit. Der WISPr-Standard ist der technologische Vorläufer der 802.11u- und Hotspot-2.0-Spezifikation.
Seite 952 Zertifikat muss entweder von einer vertrauenswürdigen Stelle signiert oder – sofern Sie ein selbst-signiertes Zertifikat verwenden – im Client als vertrauenswürdig importiert sein. Ansonsten verweigert ein Client das Login via WISPr. Weitere Informationen zum Laden dieser Objekte in Ihr Gerät finden Sie im LANCOM-Techpaper "Zertifikatsmanagement im Public Spot", erhältlich unter www.lancom.de...
Seite 953: Ieee 802.11U Und Hotspot
Referenzhandbuch 14 Public Spot Abbruch-Login-URL (HTTPS): Geben Sie die HTTPS-Adresse ein, an die das Gerät einen WISPr-Client weiterleitet, wenn die Authentifizierung fehlschlägt. Es gelten die gleichen Regeln wie bei der Login-URL. Die drei URLs müssen unterschiedlich sein, falls der Public Spot im Gerät verwendet wird, z. B.: Login-URL: https://<Device-FQDN>/wisprlogin Logoff-URL: https://<Device-FQDN>/wisprlogoff Abbruch-Login-URL: https://<Device-FQDN>/wisprabort...
Seite 954 2.0. Die Hotspot-2.0-Funktion ist somit lediglich eine Erweiterung des Standards um zusätzliche Elemente, die Geräte bei ihrer Netzwerkwahl als Kriterien heranziehen können. Hierzu gehören z. B. Angaben zu den am Hotspot verfügbaren Diensten und WAN-Metriken. Das dazugehörige Zertifizierungsprogramm heisst Passpoint™. Bestimmte LANCOM Access Points sind von der Wi-Fi Alliance Passpoint™ CERTIFIED.
Seite 955 Referenzhandbuch 14 Public Spot Anmeldung eines 802.11u-fähigen Clients an einem Hotspot 2.0 Diese Funktionsbeschreibung erläutert schematisch Auswahl und Anmeldevorgang eines 802.11u-fähigen Geräts an einem Hotspot 2.0. Anmeldung via Benutzername/Passwort oder digitalem Zertifikat 1. Die Hotspots antworten daraufhin mit einem ANQP-Response, der u. a. jeweils den Namen des Hotspot-Betreibers sowie eine Liste der NAI-Realms enthält, welche alle verfügbaren Roaming-Partner (Service-Provider, kurz SP) auflistet.
Seite 956 Referenzhandbuch 14 Public Spot Deaktivierte Multicast- und Broadcasts in Funkzellen Nicht-zugelassener Datenverkehr zwischen den einzelnen mobilen Endgeräten (Layer-2 Traffic-Inspection & Filtering). Die dazugehörigen Schalter finden Sie im LANconfig unter Wireless-LAN > Securtity. Aktivierte und eingerichtete Firewall auf dem Access-Router, welcher den Internetzugang zur Verfügung stellt Konfigurationsmenü...
Seite 957 Referenzhandbuch 14 Public Spot Aktivierung für Interfaces Die Tabelle Interfaces ist die höchste Verwaltungsebene für 802.11u und Hotspot 2.0. Hier haben Sie die Möglichkeit, die Funktionen für jede Schnittstelle ein- oder auszuschalten, ihnen unterschiedliche Profile zuzuweisen oder allgemeine Einstellungen vorzunehmen. Um die Einträge in der Tabelle Interfaces zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten….
Seite 958: Standort-Informationen Und -Gruppe
Referenzhandbuch 14 Public Spot Netzwerk-Typ: Wählen Sie aus der vorgegebenen Liste einen Netzwerk-Typ aus, der das Wi-Fi-Netzwerk hinter der ausgewählten Schnittstelle am ehesten charakterisiert. Anhand der hier getroffenen Einstellung haben Nutzer die Wahl, die Netzsuche ihrer Geräte auf bestimmte Netzwerk-Typen zu beschränken. Mögliche Werte sind: Privates Netzwerk: Beschreibt Netzwerke, in denen unauthorisierte Benutzer nicht erlaubt sind.
Seite 959 Referenzhandbuch 14 Public Spot Mit Angaben zu den Standort-Informationen unterstützen Sie einen Nutzer bei der Auswahl des richtigen Hotspots im Falle einer manuellen Suche. Verwenden in einer Hotspot-Zone mehrere Betreiber (z. B. mehrere Cafés) die gleiche SSID, kann der Nutzer mit Hilfe der Standort-Informationen die passende Lokalität eindeutig identifizieren. Über die Standort-Gruppe und den Standort-Typ-Code ordnen Sie dagegen Ihr Gerät –...
Seite 960 Referenzhandbuch 14 Public Spot Standort-Gruppe Code = Standort-Typ-Code 11 = Schauspielhaus 12 = Bar 13 = Café 14 = Zoo, Aquarium 15 = Notfallleitstelle Geschäft 0 = Unspezifiziertes Geschäft 1 = Arztpraxis 2 = Bank 3 = Feuerwache 4 = Polizeiwache 6 = Post 7 = Büro 8 = Forschungseinrichtung...
Seite 961 Referenzhandbuch 14 Public Spot Standort-Gruppe Code = Standort-Typ-Code Außen 0 = Unspezifizierter Außenbereich 1 = Städtisches Wi-Fi-Netzwerk (Muni-Mesh-Netzwerk) 2 = Stadtpark 3 = Rastplatz 4 = Verkehrsregelung 5 = Bushaltestelle 6 = Kiosk ANQP-Profile Über diese Tabelle verwalten Sie die Profillisten für ANQP. ANQP-Profile bieten Ihnen die Möglichkeit, bestimmte ANQP-Elemente zu gruppieren und sie in der Tabelle Interfaces unabhängig voneinander logischen WLAN-Schnittstellen zuzuweisen.
Seite 962 Referenzhandbuch 14 Public Spot Es besteht die Möglichkeit, bis zu 3 OIs parallel anzugeben, z. B. für den Fall, dass Sie als Betreiber Verträge mit mehreren Roaming-Partnern haben. Mehrere OIs trennen Sie durch eine kommaseparierte Liste, z. B. 00105E,00017D,00501A. Das Gerät strahlt die eingegebene(n) OI(s) in seinen Beacons aus. Soll das Gerät mehr als 3 OIs übertragen, lassen sich diese unter Zusätzliche OUI konfigurieren.
Seite 963 Referenzhandbuch 14 Public Spot für einen NAI-Realm wird in IETF RFC 2486 definiert und entspricht im einfachsten Fall <username>@<realm>; für user746@providerX.org lautet der entsprechende Realm also providerX.org. EAP-Methode: Wählen Sie aus der Liste eine Authentifizierungsmethode für den NAI-Realm aus. EAP steht dabei für das Authentifizierungs-Protokoll (Extensible Authentication Protocol), gefolgt vom jeweiligen Authentisierungsverfahren.
Seite 964 Referenzhandbuch 14 Public Spot Parameter Sub-Parameter Erläuterung USIM USIM-Karte NFCSecure NFC-Chip HWToken* Hardware-Token SoftToken* Software-Token Certificate Digitales Zertifikat UserPass Benutzername und Passwort None Keine Zugangsdaten erforderlich TunnelEAPCredentials.* SIM* SIM-Karte USIM* USIM-Karte NFCSecure* NFC-Chip HWToken* Hardware-Token SoftToken* Software-Token Certificate* Digitales Zertifikat UserPass* Benutzername und Passwort Anonymous*...
Seite 965 Referenzhandbuch 14 Public Spot Netzwerk-Authentifizierungs-Typen Über diese Tabelle verwalten Sie Adressen, an die das Gerät Stationen für einen zusätzlichen Authentifizierungsschritt weiterleitet, nachdem sich die Station bereits beim Hotspot-Betreiber oder einem seiner Roaming-Partner erfolgreich authentisiert hat. Pro Authentifizierungs-Typ ist nur eine Weiterleitungsangabe erlaubt. Denken Sie daran, das ASRA-Bit in der Tabelle Interfaces zu setzen, wenn Sie einen zusätzlichen Authentifizierungsschritt einrichten! Um die Einträge in der Tabelle Netzwerk-Authentifizierungs-Typen zu bearbeiten, klicken Sie auf die Schaltfläche...
Seite 966 Referenzhandbuch 14 Public Spot Name: Vergeben Sie hierüber einen Namen für das Hotspot-2.0-Profil. Dieser Name erscheint später innerhalb der Interfaces-Tabelle in der Auswahlliste für die Hotspot-2.0-Profile. Betreiber-Namens-Liste: Wählen Sie aus der Liste das Profil eines Hotspot-Betreibers aus. Profile für Hotspot-Betreiber legen Sie im Konfigurationsmenü...
Seite 967 Referenzhandbuch 14 Public Spot Betreiber-Liste Über diese Tabelle verwalten Sie die Klartext-Namen der Hotspot-Betreiber. Ein Eintrag in dieser Tabelle bietet Ihnen die Möglichkeit, einen benutzerfreundlichen Betreiber-Namen an die Stationen zu senden, den diese dann anstelle der Realms anzeigen können. Ob sie das allerdings tatsächlich tun, ist abhängig von der Implementierung. Um die Einträge in der Tabelle Betreiber-Liste zu bearbeiten, klicken Sie auf die Schaltfläche Hinzufügen….
Seite 968 Referenzhandbuch 14 Public Spot Funktion Die Kommunikation zwischen XML-Interface und externem Gateway läuft ab wie folgt: 1. Der Benutzer verbindet sich mit dem WLAN auf dem Public Spot und sendet eine HTTP-Anfrage an den Public Spot. 2. Der Public Spot leitet die HTTP-Anfrage für den Login-Vorgang weiter an das externe Hotspot-Gateway. Dazu befindet sich das externe Hotspot-Gateway entweder in einem frei zugänglichen Netz des Public Spots oder seine Adresse gehört zur Liste der freien Hosts.
Seite 969 Referenzhandbuch 14 Public Spot 6. Der Public Spot übermittelt während der Sitzung die relevanten Daten an den RADIUS-Server, z. B. für eine spätere Abrechnung der Public Spot-Nutzung (Accounting). Standardmäßig verwendet der Public Spot dazu seinen internen RADIUS-Server. Bei Bedarf konfigurieren Sie auf dem Gerät mit Public Spot die Weiterleitung auf einen externen RADIUS-Server.
Seite 970 Referenzhandbuch 14 Public Spot 4. Konfigurieren Sie das Gateway so, dass es die Sitzungsdaten des Benutzers als XML-Datei an die XML-Schnittstelle des Public Spots sendet. Bei Fragen zur Konfiguration des Gateways wenden Sie sich an den zuständigen Service-Provider. Analyse des XML-Interfaces mit cURL Der folgende Abschnitt beschreibt die Analyse des XML-Interfaces mit der Open-Source-Software cURL.
Seite 971 Referenzhandbuch 14 Public Spot Über das Web-API des Public Spots können Sie komfortabel neue Public Spot-Benutzer im internen RADIUS-Server Verwaltung von Public Spot-Nutzern über das Web-API des Gerätes anlegen, siehe auf Seite 927. Das XML-Interface kann die folgenden XML-Elemente im Login-Request verarbeiten: SUB_USER_NAME Benutzername SUB_PASSWORD...
Seite 972 Referenzhandbuch 14 Public Spot Das XML-Interface sendet dem Gateway daraufhin einen Login-Response, der die folgenden XML-Elemente enthalten kann: SUB_USER_NAME Benutzername SUB_STATUS Der aktuelle Benutzerstatus. Folgende Werte sind möglich: RADIUS_LOGIN_ACCEPT: Login erfolgreich RADIUS_LOGIN_REJECT: Login wird zurückgewiesen SUB_MAC_ADDR MAC-Adresse des Benutzer-Gerätes. Mögliche Formate sind: 00164115208c 00:16:41:15:20:8c 00-16-41-15-20-8c...
Seite 973 Referenzhandbuch 14 Public Spot Für die Anmeldung eines Public Spot-Benutzers ohne Änderungen während des Anmeldezeitraums genügt der Parameter RADIUS_LOGIN. Mittels RADIUS_CoA hingegen haben Sie die Möglichkeit, die für einen Public Spot-Benutzer geltenden Rahmenbedingungen auch während einer laufenden Sitzung zu verändern. Dazu sendet Ihr externes Hotspot-Gateway einen RADIUS-CoA-Request an den Public Spot, welcher die darin enthaltenen Änderungen direkt auf die Stations-Tabelle unter Status >...
Seite 974 Referenzhandbuch 14 Public Spot Logout Sendet das externe Gateway in einer XML-Datei einen "Logout"-Request, sperrt der Public Spot den Online-Zugriff für den entsprechenden Benutzer. Ein "Logout"-Request enthält das Attribut COMMAND="RADIUS_LOGOUT". Das XML-Interface kann die folgenden XML-Elemente einer Anfrage verarbeiten: SUB_USER_NAME Benutzername Bekommt das Gerät diesen Request und stellt das Public Spot-Modul fest, dass dieser User mit den passenden MAC online ist, loggt der Public Spot diesen aus.
Seite 975 Referenzhandbuch 14 Public Spot Logout-Response: Das XML-Interface sendet eine Bestätigung über den Stopp einer Sitzung an das externe Gateway: <?xml version="1.0" encoding="ISO-8859-1" ?> <PUBLICSPOTXMLINTERFACE> <ACCESS_CUBE ID="WLC_PM" IP="192.168.100.2" COMMAND="USER_STATUS"> <SUB_STATUS>RADIUS_LOGOUT_DONE</SUB_STATUS> <SUB_MAC_ADDR>00:16:41:15:20:8b</SUB_MAC_ADDR> <SUB_USER_NAME>user2350</SUB_USER_NAME> <TERMINATION_CAUSE>User logout request</TERMINATION_CAUSE> </ACCESS_CUBE> </PUBLICSPOTXMLINTERFACE> Status Mit einem "Status"-Request erfragt das externe Gateway beim Public Spot den aktuellen Status eines Benutzers. Ein "Status"-Request enthält das Attribut COMMAND="RADIUS_Status".
Seite 976: Schnittstelle Für Property-Management-Systeme
Referenzhandbuch 14 Public Spot SESSION_TXPACKETS Anzahl der bisher gesendeten Datenpakete SESSION_RXPACKETS Anzahl der bisher empfangenen Datenpakete SESSION_STATE Aktueller Status der Sitzung SESSION_ACTUAL_TIME Aktuelle Uhrzeit Im Folgenden finden Sie einige Beispiele für XML-Dateien: Status-Request Das externe Gateway sendet den Befehl für die Statusabfrage an den Public Spot: <?xml version="1.0"...
Seite 977 LANCOM 1781-Serie LANCOM WLC-4006 LANCOM WLC-4006+ LANCOM WLC-4025 LANCOM WLC-4025+ LANCOM WLC-4100 LANCOM 7100 VPN LANCOM 7100+ VPN LANCOM 9100 VPN LANCOM 9100+ VPN Funktionsbeschreibung Wenn Sie die PMS-Schnittstelle aktivieren und eine kostenlose oder kostenpflichtige Login-Seite einstellen, erscheinen auf der Public Spot-Portalseite neue Eingabefelder, über die sich der Gast mit seinem Nachnamen, seiner Zimmernummer und ggf.
Seite 978 Referenzhandbuch 14 Public Spot bzw. den Tarif auswählt, den er via Prepaid erwerben will (z. B. 1 min für 0,20 EUR oder 1 h für 1 EUR). Die dabei entstehenden Kosten bucht das im Hintergrund arbeitende PMS automatisch auf die Zimmerrechnung. Bei jeder Anmeldung eines Hotelgastes am Public Spot führt das Gerät einen Abgleich der eingegebenen Registrierungsdaten mit den im PMS hinterlegten Registrierungsdaten durch.
Seite 979: Pms-Schnittstelle Konfigurieren
Referenzhandbuch 14 Public Spot Zeitpunkt erneut aufzunehmen. Die Herunterzählung der Zeit beginnt unabhängig vom Anmeldestatus ab Kauf des Kontingents. PMS-Schnittstelle konfigurieren Die PMS-Schnittstelle Ihres Gerätes konfigurieren Sie über den Dialog Public-Spot > PMS-Schnittstelle. In diesem Dialog haben Sie folgende Einstellungsmöglichkeiten: PMS-Schnittstelle aktiviert: Aktivieren oder deaktivieren Sie die PMS-Schnittstelle für das Gerät.
Seite 980 Referenzhandbuch 14 Public Spot Name des IP-Netzwerks (ARF-Netz), dessen Adresse eingesetzt werden soll INT für die Adresse des ersten Intranets DMZ für die Adresse der ersten DMZ Wenn eine Schnittstelle namens "DMZ" existiert, wählt das Gerät stattdessen deren Adresse! LB0…LBF für eine der 16 Loopback-Adressen oder deren Name Das Gerät verwendet Loopback-Adressen auch auf maskiert arbeitenden Gegenstellen stets unmaskiert! Beliebige IPv4-Adresse Accounting-Informationen im Flash-ROM ablegen: Aktivieren oder deaktivieren Sie, ob Ihr Gerät die...
Seite 981: Geräteeigene Und Individuelle Voucher- Und Authentifizierungsseiten (Templates)
Referenzhandbuch 14 Public Spot Zeitpunkt erneut aufzunehmen. Die Herunterzählung der Zeit beginnt unabhängig vom Anmeldestatus ab Kauf des Kontingents. Währung: Sofern Sie eine kostenpflichtigen Internetzugang anbieten, wählen Sie hier die Währungseinheit aus, mit der Sie die angebotenen Zeitkontingente (einstellbar über die Tarif-Tabelle) abrechnen. Diese Einheit erscheint ebenfalls auf der Portalseite.
Seite 982 Referenzhandbuch 14 Public Spot mittels Zugangsdaten. Je nach Anmeldungsmodus und eventuell auftretender Fehler kann das Zusammenspiel von dem nachfolgend Gezeigten jedoch leicht abweichen: Die Seiten Willkommen bzw. Anmeldung sind jene Seiten, die ein Benutzer angezeigt bekommt, wenn er erstmalig auf das Internet bzw. den Public Spot zugreift. Die Seite Willkommen ist dabei der Anmeldungsseite vorangestellt und in fast allen Anmeldungsmodi optional: Sie können diese Seite z.
Seite 983: Vorinstallierte Standardseiten
Referenzhandbuch 14 Public Spot Die Seite mit den Nutzungsbedingungen ist nur dann zugänglich, wenn Sie die Bestätigung Ihrer Nutzungsbedingungen für den ausgewählten Anmeldungsmodus erforderlich gemacht haben. In diesem Fall erscheint unterhalb des Anmeldeformulars eine Checkbox mit einem zusätzlichen Link, der die Nutzungsbedingungen in einem Pop-Up öffnet.
Seite 984: Personalisierung Der Standardseiten
Referenzhandbuch 14 Public Spot Die nachfolgende Tabelle gibt Ihnen eine schnellen Überblick über die im LCOS enthaltenen Standardseiten: Tabelle 29: Übersicht aller vorinstallierten Standardseiten Seitenbezeichnung Vorinstalliert? Willkommen… nein Anmeldung… Fehler… Start… Status… Abmeldung… Hilfe… nein Kein Proxy… nein Voucher… Nutzungsbedingungen… nein Rückfall-Fehler…...
Seite 985 Referenzhandbuch 14 Public Spot Individueller Text auf der Anmeldeseite Sie haben innerhalb des Public Spot-Moduls die Möglichkeit, einen individuellen Text anzugeben, welcher auf der Anmeldeseite innerhalb der Box des Anmeldeformulars eingeblendet wird. Dieser Login-Text ist in mehreren Sprachen hinterlegbar; welche Sprache das Gerät letztlich ausgibt, hängt von den Spracheinstellungen des vom Benutzer verwendeten Webbrowsers ab.
Seite 986 Referenzhandbuch 14 Public Spot usw.). Auf diese Weise haben Sie die Möglichkeit, Kopfbilder für unterschiedliche Zielgruppen bereitzustellen und diesen stets ein für Ihr Gerät geeignetes Anmelde-Formular anzubieten. Abbildung 16: Anmeldeseite für breite Bildschirme Abbildung 17: Anmeldeseite für schmale Bildschirme Die möglichen Auflösungen werden durch die CSS-Datei des Gerätes vorgegeben. Für die vorinstallierten Standardgrafiken betragen sie 800x150 px für das Großbild und 258x52 px für das Kleinbild.
Seite 987: Konfiguration Benutzerdefinierter Seiten
Referenzhandbuch 14 Public Spot 2. Klicken in der Menüleiste auf Gerät > Konfigurations-Verwaltung > Zertifikat oder Datei hochladen. Der Dialog Zertifikat hochladen öffnet sich. 3. Stellen Sie den Dateityp auf Alle Dateien und wählen Sie den Zertifikattyp, den Sie hochladen möchten. Public Spot - Kopfbild Seiten: Zertifikattyp für das Großbild Public Spot - Kopfbild Box: Zertifikattyp für das Kleinbild 4.
Seite 988 Referenzhandbuch 14 Public Spot file://…: Verwendet eine Vorlage aus dem lokalen Speicher des Geräts. Sie können beliebige Dateinamen verwenden. Sofern Sie sich für die Ablage der Templateseiten im lokalen Speicher des Geräts entscheiden, verwendeten Sie die speziell für den jeweiligen Zweck reservierten URLs. Durch Angabe der lokalen URL als Seiten-Adresse (URL) z.
Seite 989: Einrichten Einer Individuellen Vorlagenseite
Referenzhandbuch 14 Public Spot Login-Seiten in Abhängigkeit vom Anmeldungsmodus Die nachfolgende Tabelle liefert Ihnen darüber hinaus eine Übersicht, welche Login-Seite das Gerät in welchem Anmeldungsmodus ausgibt. Sofern für einen Anmeldungsmodus keine individuelle Seitenvorlage eingerichtet ist; verwendet das Public Spot-Modul dafür die 8.84-interne Standardseite: Tabelle 31: Übersicht der Login-Seiten der einzelnen Anmeldungsmodi Anmeldungsmodus Seitenbezeichnung...
Seite 990 14 Public Spot Weitere Informationen zum Hochladen eigener Templates sowie entsprechende Beispieldateien finden Sie im Internet in der LANCOM Support Knowledgebase unter Implementierung eigener Webseiten 2. Öffnen Sie den Konfigurationsdialog des Gerätes in LANconfig, wechseln Sie in den Dialog Public-Spot > Server und wählen Sie Seiten-Tabelle >...
Seite 991: Benutzerdefinierte Seiten Über Seitenvorlagen
Referenzhandbuch 14 Public Spot Templates auf externen Servern, die mittels Template-Variablen referenziert werden, werden vom Gerät nicht gecached. Template Caching aktivieren Um das Caching für eine Seitenvorlage zu aktivieren, setzen Sie in LANconfig unter Public-Spot > Server > Seiten-Tabelle > <Name der Vorlagenseite> die Einstellung Seite cachen. Im Setup-Menü...
Seite 992: Auto-Fallback
Referenzhandbuch 14 Public Spot Die Benutzer-Authentifizierung erfolgt über die Form user:password@host/... Das Gerät kann nicht-fatale HTTP-Fehler, wie z. B. Redirects, nicht automatisch bereinigen. Stellen Sie also sicher, dass der Zugriff auf die Seite diese Seite auch direkt ausgibt. Sie können symbolische Namen anstatt IP-Adressen für die Server-Hosts verwenden, solange der DNS korrekt konfiguriert ist.
Seite 993 Referenzhandbuch 14 Public Spot Bitte beachten Sie, dass dieser Platzhalter keine erreichbare Adresse erzeugt, wenn das Gerät sich hinter einem Router mit aktiviertem NAT befindet. Fügt die LAN-MAC-Adresse des Public Spot-Gerätes als 12-stelligen Hexadezimal-String ein. Die Ausgabe erfolgt im Format 'aa:bb:cc:dd:ee:ff'. Fügt die Seriennummer des Geräts ein.
Seite 994: Seitenvorlagen-Tags Und Syntax
Vom vorherigen Beispiel ausgehend, zeigt die folgende Zeile nur dann an, wieviel Zeit einem Benutzer noch bleibt, wenn dieser ein Limit hat: <pbcond sesstimeout>Session wird in <pbelem sesstimeout> Sekunden beendet.</pbcond> Ein Satz von Beispiel-Seitenvorlagen ist bei LANCOM Systems verfügbar. Diese Beispiele sollen als reine Illustration und Anregung zum Erstellen eigener Seiten dienen. Seitenvorlagen-Bezeichner Für die Gestaltung benutzerdefinierter Template-Seiten stehen Ihnen die nachfolgenden Bezeichner zur Verfügung.
Seite 995 Referenzhandbuch 14 Public Spot Dieser Bezeichner beinhaltet die IP-Adresse des Public Spots aus Sicht des Clients. Kann für benutzerdefinierte Anmeldeseiten verwendet werden, wenn das LOGINFORM-Element nicht benutzt wird. AUTOPRINT Gültig für: <pbelem> Dieser Bezeichner fügt ein Java-Skript in die Seite ein mit der Anweisung, den Druck-Dialog zu öffnen, um die angezeigte Seite auszudrucken.
Seite 996 Referenzhandbuch 14 Public Spot PASSWORD Gültig für: <pbelem> Dieser Bezeichner beinhaltet auf einem Voucher das Password für den Public Spot-Zugang. REDIRURL Gültig für: <pbelem> <pblink> <pbcond> Dieser Bezeichner hält eine mögliche Umleitungs-URL aus der Authentifizierungsantwort des RADIUS-Servers bereit (sofern es diese gab). Lässt sich nur auf Fehler- und Startseite verwenden. REGEMAILFORM Gültig für: <pbelem>...
Seite 997 Referenzhandbuch 14 Public Spot Dieser Bezeichner enthält auf einem Voucher die SSID, für die der Public Spot-Zugang erstellt wurde. STATUSLINK Gültig für: <pbelem> <pblink> Dieser Bezeichner beinhaltet die URL der Abmeldeseite. Innerhalb des <pblink>-Elements wird automatisch eine Referenz generiert, die ein neues Browser-Fenster öffnet. TXBYTES Gültig für: <pbelem>...
Seite 998: Public Spot-Clients Anzeigen
Referenzhandbuch 14 Public Spot Das Kapitel Anmeldungsfreie Netze auf Seite 925 erhält weitere Informationen, wie Sie einen freien Server konfigurieren. Bitte beachten Sie, dass, wenn eine benutzererstellte Seite als eine Umleitung definiert ist, das Ziel dieser Umleitung ebenfalls zu den Freien Servern gehören sollte. 14.2.6 Public Spot-Clients anzeigen Sie haben die Möglichkeit, sich im LANmonitor detaillierte Informationen zu Public Spot-Clients anzeigen zu lassen.
Seite 999: Zugriff Auf Den Public Spot
Referenzhandbuch 14 Public Spot 2. Aktivieren Sie das Kontrollkästchen Werbung einblenden. Sie haben jetzt die Möglichkeit, den Einblende-Intervall zu verändern und weitere Einstellungen vorzunehmen. 3. Geben Sie unter Einblende-Intervall ein Intervall in Minuten, nach dem der Public Spot einen Benutzer auf eine Werbe-URL umleitet.
Seite 1000: Anmelden Am Public Spot
Referenzhandbuch 14 Public Spot WLAN-Verschlüsselung Obwohl Gastzugänge auch mit aktivierter WLAN-Verschlüsselung wie z. B. WPA denkbar sind, werden Public-Spots in der Regel ohne WLAN-Verschlüsselung betrieben. Für den Zugriffsschutz sorgt dabei die Benutzeranmeldung mit Username und Passwort. Die Datensicherheit bei der Übertragung über den Public Spot muss vom Endanwender selbst bereitgestellt werden (z.

LANCOM LCOS 9.00 Referenzhandbuch

Copyright

1 System-Design

2 Konfiguration

3 LANCOM Management System (LCMS)

4 Diagnose

5 Sicherheit

6 Routing und WAN-Verbindungen

Quicklinks

Verwandte Anleitungen für LANCOM LCOS 9.00

Inhaltszusammenfassung für LANCOM LCOS 9.00