Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Lancom Systems Anleitungen
  4. Netzwerkhardware
  5. LCOS 9.10
  6. Referenzhandbuch

Lancom Systems LCOS 9.10 Referenzhandbuch

Vorschau ausblenden
1
Inhalt
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
connecting
your business
Referenzhandbuch
LCOS 9.10

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Lancom Systems LCOS 9.10

Inhaltszusammenfassung für Lancom Systems LCOS 9.10

  • Seite 1 Referenzhandbuch LCOS 9.10...

  • Seite 2: Inhaltsverzeichnis

    Referenzhandbuch Inhalt Inhalt Copyright..........................22 1 System-Design........................23 2 Konfiguration........................25 2.1 Mittel und Wege für die Konfiguration.....................25 2.2 Software zur Konfiguration........................26 2.2.1 LANconfig..........................26 2.2.2 WEBconfig ..........................26 2.2.3 Terminalprogramm........................35 2.2.4 SNMP Management-Programm....................57 2.3 ISDN-Fernkonfiguration über das DFÜ-Netzwerk..................57 2.3.1 Voraussetzungen für die ISDN-Fernkonfiguration..............58 2.3.2 Fernverbindungen über das DFÜ-Netzwerk................58 2.3.3 Fernverbindung über einen PPP-Client und Telnet..............58 2.3.4 Default-Layer für die Ferninbetriebnahme................59 2.3.5 Konfigurationszugriff für die Fernwartung via ISDN..............59...
  • Seite 3 Referenzhandbuch Inhalt 2.9.2 Datei laden über einen SCP-Client....................76 2.9.3 Datei-Download von einem TFTP- oder HTTP(S)-Server.............78 2.10 Automatisches Laden von Firmware oder Konfiguration über USB............84 2.10.1 Automatisches Laden von Loader- und/oder Firmware-Dateien..........84 2.10.2 Automatisches Laden von Konfigurations- und/oder Skript-Dateien........85 2.10.3 Konfiguration des automatischen Ladens via USB..............85 2.11 Geräte-Reset durchführen........................86 2.11.1 Konfiguration des Reset-Knopfes...................87 2.12 Rechteverwaltung für verschiedene Administratoren................88...
  • Seite 4 Referenzhandbuch Inhalt 2.19 Die LANCOM Clustering Option......................126 2.19.1 Konfigurations-Synchronisation einrichten................126 2.19.2 Konfigurationsänderungen prüfen..................130 2.19.3 1-Klick WLC High Availability Clustering-Assistent..............130 2.20 CPE WAN Management Protokoll (CWMP)...................134 2.20.1 CWMP mit LANconfig einrichten..................134 2.20.2 Gerätekonfiguration über CWMP..................139 2.21 Benamte Loopback-Adressen einrichten....................140 2.22 Management-Ports für den Gerätezugriff anpassen................140 2.23 Ändern der SIM-Karten-PIN.........................141 3 LANCOM Management System (LCMS)................142 3.1 LANconfig - Geräte konfigurieren......................142...
  • Seite 5 Referenzhandbuch Inhalt 3.4.6 LANtracer Tastaturbefehle......................278 4 Diagnose.........................279 4.1 Trace-Ausgaben – Infos für Profis ......................279 4.1.1 So starten Sie einen Trace......................279 4.1.2 Übersicht der Schlüssel......................279 4.1.3 Übersicht der Parameter im trace-Befehl................279 4.1.4 Kombinationsbefehle......................283 4.1.5 Filter für Traces........................283 4.1.6 Beispiele für die Traces......................284 4.1.7 Traces aufzeichnen.........................284 4.2 Tracen mit dem LANmonitor........................285 4.3 Paket-Capturing.............................285...
  • Seite 6 Referenzhandbuch Inhalt 5.3.3 Konfiguration der Standort-Verifikation..................315 5.4 Die Sicherheits-Checkliste........................319 6 Routing und WAN-Verbindungen...................324 6.1 Allgemeines über WAN-Verbindungen....................324 6.1.1 Brücken für Standard-Protokolle....................324 6.1.2 Was passiert bei einer Anfrage aus dem LAN?................324 6.2 IP-Routing.............................325 6.2.1 Die IP-Routing-Tabelle......................325 6.2.2 Policy-based Routing......................328 6.2.3 Lokales Routing........................330 6.2.4 Dynamisches Routing mit IP-RIP....................331 6.2.5 SYN/ACK-Speedup........................335 6.3 Advanced Routing and Forwarding (ARF)....................335...
  • Seite 7 Referenzhandbuch Inhalt 6.10 N:N-Mapping............................370 6.10.1 Anwendungsbeispiele......................371 6.10.2 Konfiguration........................373 6.11 Protokoll für das ADSL-Interface auswählen..................375 6.12 Verbindungsaufbau mit PPP.........................376 6.12.1 Das Protokoll........................377 6.12.2 Alles o.k.? Leitungsüberprüfung mit LCP................378 6.12.3 Zuweisung von IP-Adressen über PPP..................378 6.12.4 Einstellungen in der PPP-Liste....................379 6.12.5 Die Bedeutung der DEFAULT-Gegenstelle................380 6.12.6 RADIUS-Authentifizierung von PPP-Verbindungen..............380 6.12.7 32 zusätzliche Gateways für PPTP-Verbindungen..............381 6.13 DSL-Verbindungsaufbau mit PPTP......................382...
  • Seite 8 Referenzhandbuch Inhalt 6.21.1 Classic und Rapid Spanning Tree..................401 6.21.2 Verbesserungen durch Rapid Spanning Tree.................401 6.21.3 Konfiguration des Spanning-Tree-Protokolls.................402 6.21.4 Statusmeldungen über das Spanning-Tree-Protokoll............404 6.22 Die Aktions-Tabelle..........................405 6.22.1 Einleitung..........................405 6.22.2 Aktionen für Dynamic DNS....................406 6.22.3 Weitere Beispiele für Aktionen.....................409 6.22.4 Konfiguration........................411 6.23 Verwendung der seriellen Schnittstelle im LAN..................413 6.23.1 Einleitung ...........................413 6.23.2 Betriebsarten........................413...
  • Seite 9 Referenzhandbuch Inhalt 7.5 IPv6-Firewall............................451 7.5.1 Funktion..........................451 7.5.2 Konfiguration.........................451 7.5.3 Default-Einträge für die IPv6-Firewall-Regeln.................451 7.5.4 IPv6-Firewall-Log-Tabelle.......................452 7.6 Router-Advertisement-Snooping......................454 7.7 IPv6-Präfix-Delegation vom WWAN ins LAN...................455 7.8 IPv6-Konfigurationsmenü........................456 7.8.1 Allgemein..........................456 7.8.2 Router-Advertisement......................461 7.8.3 DHCPv6..........................465 7.8.4 Tunnel............................473 7.9 Tutorials..............................474 7.9.1 Konfiguration der IPv6-Firewall-Regeln..................474 7.9.2 Einrichtung eines IPv6-Internetzugangs.................485 7.9.3 Einrichtung eines 6to4-Tunnels....................494 8 Firewall...........................500 8.1 Gefährdungsanalyse..........................500...
  • Seite 10 Referenzhandbuch Inhalt 8.8 Abwehr von Einbruchsversuchen: Intrusion Detection................536 8.8.1 Beispiele für Einbruchsversuche.....................536 8.8.2 Konfiguration des IDS......................537 8.9 Schutz vor “Denial-of-Service”-Angriffen....................537 8.9.1 Erhöhter DoS-Schwellwert für Zentralgeräte................537 8.9.2 Beispiele für Denial-of-Service-Angriffe..................538 8.9.3 Konfiguration der DoS-Abwehr....................540 8.9.4 Konfiguration von ping-Blocking und Stealth-Modus.............541 9 Quality-of-Service......................542 9.1 Wozu QoS?............................542 9.2 Welche Datenpakete bevorzugen?......................542 9.2.1 Was ist DiffServ?........................543...
  • Seite 11 Referenzhandbuch Inhalt 10.5.1 VPN-Tunnel: Verbindungen zwischen den VPN-Gateways.............573 10.5.2 VPN-Verbindungen einrichten mit den Setup-Assistenten.............573 10.5.3 1-Click-VPN für Netzwerke (Site-to-Site)................575 10.5.4 1-Click-VPN für LANCOM Advanced VPN Client..............576 10.5.5 VPN-Regeln einsehen......................576 10.5.6 Manuelles Einrichten der VPN-Verbindungen...............577 10.5.7 IKE Config Mode........................578 10.5.8 VPN-Netzbeziehungen erstellen...................579 10.5.9 Konfiguration mit LANconfig....................581 10.5.10 Konfiguration mit WEBconfig.....................586 10.5.11 Gemeinsamer Aufbau von Security Associations..............590...
  • Seite 12 Referenzhandbuch Inhalt 10.8 Mehrstufige Zertifikate für SSL/TLS.......................640 10.8.1 Einleitung..........................641 10.8.2 SSL/TLS mit mehrstufigen Zertifikaten...................641 10.8.3 VPN mit mehrstufigen Zertifikaten..................641 10.9 Zertifikatsenrollment über SCEP......................642 10.9.1 SCEP-Server und SCEP-Client....................642 10.9.2 Der Ablauf einer Zertifikatsverteilung...................642 10.9.3 Konfiguration von SCEP.......................644 10.9.4 Verwendung digitaler Zertifikate (Smart Certificate).............651 10.10 NAT Traversal (NAT-T)........................660 10.11 Extended Authentication Protocol (XAUTH)..................663 10.11.1 Einleitung..........................663...
  • Seite 13 Referenzhandbuch Inhalt 10.19.3 Verschlüsselung der Pakete – das ESP-Protokoll..............693 10.19.4 Die Authentifizierung – das AH-Protokoll................694 10.19.5 Management der Schlüssel – IKE..................697 10.19.6 Replay-Detection .......................697 10.20 Anwendungskonzepte für LANconfig....................698 10.20.1 1-Click-VPN für Netzwerke (Site-to-Site)................698 10.20.2 1-Click-VPN für Advanced VPN Client.................698 11 Virtuelle LANs (VLANs)....................700 11.1 Was ist ein Virtuelles LAN?........................700 11.2 So funktioniert ein VLAN........................700 11.2.1 Frame-Tagging........................701...
  • Seite 14 Referenzhandbuch Inhalt 12.4.6 Maximaler EIRP-Wert abhängig vom Übertragungsstandard..........729 12.5 WLAN-Sicherheit ..........................730 12.5.1 Grundbegriffe ........................730 12.5.2 IEEE 802.11i / WPA2......................731 12.5.3 TKIP und WPA ........................734 12.5.4 WEP ............................735 12.5.5 LEPS – LANCOM Enhanced Passphrase Security..............735 12.5.6 Background WLAN Scanning....................736 12.5.7 Erkennung von Replay-Attacken...................737 12.5.8 WLAN Protected Management Frames (PMF)...............737 12.6 Konfiguration der WLAN-Parameter.....................740 12.6.1 Allgemeine WLAN-Einstellungen..................741...
  • Seite 15 Referenzhandbuch Inhalt 12.9.1 Stationstabelle (ACL-Tabelle)....................799 12.9.2 Zertifikats-Backup aus dem Gerät herunterladen..............799 12.10 Bandbreitenbegrenzung im WLAN.....................800 12.10.1 Einstellung als Access Point....................800 12.10.2 Einstellung als Client......................801 12.10.3 Bandbreitenbeschränkung der LAN-Schnittstellen..............801 12.11 Automatische Anpassung der Übertragungsrate für Multicast- und Broadcast-Sendungen....802 12.12 Mehrstufige Zertifikate für Public Spots....................802 12.13 LANCOM "Wireless Quality Indicators"...
  • Seite 16 Referenzhandbuch Inhalt 13.3.3 Zuweisung der Default-Konfiguration zu den neuen Access Points........835 13.3.4 Konfiguration der Access Points...................835 13.4 Konfiguration............................836 13.4.1 Allgemeine Einstellungen.....................837 13.4.2 Profile..........................837 13.4.3 Access Point Konfiguration....................851 13.4.4 IP-abhängige Autokonfiguration und Tagging von APs............886 13.5 Access Point Verwaltung........................888 13.5.1 Neue Access Points manuell in die WLAN-Struktur aufnehmen..........888 13.5.2 Access Points manuell aus der WLAN-Struktur entfernen.............891 13.5.3 Access Point deaktivieren oder dauerhaft aus der WLAN-Struktur entfernen......891 13.6 AutoWDS –...
  • Seite 17 Referenzhandbuch Inhalt 13.14.5 Automatische Suche nach alternativen WLCs..............939 13.14.6 One Click Backup der SCEP-CA...................939 13.15 Automatischer Konfigurationsabgleich (Config-Sync) mit der LANCOM WLC High Availability Clustering XL Option...............................940 13.15.1 Spezielles LANconfig-Icon für Cluster-Geräte oder mit Config-Sync........941 13.15.2 Spezielles LANmonitor-Icon für Cluster-Geräte oder mit Config-Sync........943 14 Public Spot........................944 14.1 Einführung............................944 14.1.1 Was ist ein "Public Spot"?....................944...
  • Seite 18 Referenzhandbuch Inhalt 15.3.3 Rufnummernumsetzung an Netz-Übergängen..............1106 15.3.4 Der Call-Manager.......................1106 15.3.5 Telefonieren mit dem LANCOM VoIP Router...............1107 15.3.6 Halten, Makeln, Verbinden....................1109 15.3.7 Übertragung von DTMF-Tönen...................1109 15.4 Konfiguration der VoIP-Parameter.....................1110 15.4.1 Allgemeine Einstellungen....................1110 15.4.2 Konfiguration der Leitungen....................1111 15.4.3 Konfiguration der Benutzer....................1126 15.5 Konfiguration des Call-Managers.......................1132 15.5.1 Ablauf des Call-Routings....................1132 15.5.2 Behandlung der Calling Party ID..................1133 15.5.3 Die Parameter der Call-Routing-Tabelle................1135...
  • Seite 19 Referenzhandbuch Inhalt 16.1 SIP-ALG: Eigenschaften........................1184 16.2 SIP-ALG: Konfiguration........................1184 16.2.1 SIP-ALG: Konfiguration über LANconfig................1185 17 Backup-Lösungen.......................1186 17.1 Hochverfügbarkeit von Netzwerken....................1186 17.1.1 Wie wird die Störung einer Netzwerkverbindung erkannt?..........1186 17.1.2 Hochverfügbarkeit der Leitungen – die Backup-Verbindung..........1191 17.1.3 Hochverfügbarkeit der Gateways – redundante Gateways mit VPN Load Balancing...1193 17.1.4 Hochverfügbarkeit des Internetzugangs –...
  • Seite 20 Referenzhandbuch Inhalt 18.5.1 Konfiguration des Zeit-Servers unter LANconfig..............1245 18.5.2 Konfiguration des Zeit-Servers mit WEBconfig oder Telnet..........1246 18.5.3 Konfiguration der NTP-Clients....................1247 18.5.4 Beziehen der Gerätezeit über GPS..................1249 18.6 Scheduled Events..........................1249 18.6.1 Zeitautomatik für LCOS-Befehle..................1249 18.6.2 CRON-Jobs mit Zeitverzögerung..................1250 18.6.3 Konfiguration der Zeitautomatik..................1251 18.7 PPPoE-Server.............................1252 18.7.1 Einleitung..........................1252 18.7.2 Anwendungsbeispiel......................1253...
  • Seite 21 Referenzhandbuch Inhalt 18.13.9 Optionen des LANCOM Content-Filters................1306 18.13.10 Zusätzliche Einstellungen für den LANCOM Content Filter..........1308 18.14 TACACS+............................1311 18.14.1 Einleitung........................1311 18.14.2 Konfiguration der TACACS+-Parameter................1312 18.14.3 Konfiguration der TACACS+-Server..................1314 18.14.4 Anmelden am TACACS+-Server..................1315 18.14.5 Rechtezuweisung unter TACACS+..................1317 18.14.6 Authorisierung von Funktionen..................1318 18.14.7 TACACS+-Umgehung.......................1320 18.15 LLDP..............................1320 18.15.1 Funktionsweise........................1321 18.15.2 Aufbau der LLDP-Nachrichten..................1322...

  • Seite 22: Copyright

    GmbH. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern und übernimmt keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. Produkte von LANCOM Systems enthalten Software, die vom "OpenSSL Project" für die Verwendung im "OpenSSL Toolkit"...

  • Seite 23: System-Design

    Referenzhandbuch 1 System-Design 1 System-Design Das LANCOM-Betriebssystem LCOS ist aus einer Vielzahl von verschiedenen Software-Modulen aufgebaut; die LANCOM-Geräte selbst verfügen über unterschiedliche Schnittstellen (Interfaces) zum (W)WAN und zum (W)LAN hin. Je nach Anwendung laufen die Daten auf dem Weg von einem Interface zum anderen über verschiedene Module. Das folgende Blockschaltbild zeigt ganz abstrakt die generelle Anordnung der LANCOM-Interfaces und LCOS-Module.
  • Seite 24 Referenzhandbuch 1 System-Design den Einsatz der VLAN-Funktionen können in der LAN-Bridge virtuelle LANs eingerichtet werden, die auf einer physikalischen Verkabelung den Betrieb von mehreren logischen Netzen erlaubt. Mit den verschiedenen IP-Modulen (NetBIOS, DNS, DHCP-Server, RADIUS, RIP, NTP, SNMP, SYSLOG, SMTP) können die Anwendungen über den IP-Router oder direkt über die LAN-Bridge kommunizieren.

  • Seite 25: Konfiguration

    Referenzhandbuch 2 Konfiguration 2 Konfiguration In diesem Kapitel erhalten Sie einen Überblick, mit welchen Mitteln und über welche Wege Sie auf das Gerät zugreifen können, um Einstellungen vorzunehmen. Sie finden Beschreibungen zu folgenden Themen: Konfigurationstools Kontroll- und Diagnosefunktionen von Gerät und Software Sicherung und Wiederherstellung kompletter Konfigurationen Installation neuer Firmware im Gerät 2.1 Mittel und Wege für die Konfiguration...

  • Seite 26: Software Zur Konfiguration

    Referenzhandbuch 2 Konfiguration 2.2 Software zur Konfiguration Die Situationen, in denen konfiguriert wird, unterscheiden sich ebenso wie die persönlichen Ansprüche und Vorlieben der Ausführenden. Das Gerät verfügt daher über ein breites Angebot von Konfigurationsmöglichkeiten: LANconfig – menügeführt, übersichtlich und einfach lassen sich nahezu alle Parameter eines Geräts einstellen. LANconfig benötigt einen Konfigurationsrechner mit Windows 98 oder höher.

  • Seite 27: Zugang Zum Gerät Mit Webconfig

    Referenzhandbuch 2 Konfiguration Zugang zum Gerät mit WEBconfig Für die Konfiguration mit WEBconfig müssen Sie wissen, wie sich das Gerät ansprechen lässt. Das Verhalten der Geräte sowie ihre Erreichbarkeit zur Konfiguration über einen Webbrowser hängen davon ab, ob im LAN schon DHCP-Server und DNS-Server aktiv sind, und ob diese beiden Serverprozesse die Zuordnung von IP-Adressen zu symbolischen Namen im LAN untereinander austauschen.

  • Seite 28: Netz Mit Dhcp-Server

    Referenzhandbuch 2 Konfiguration diesem Fall erreichen Sie das Gerät unter der Adresse x.x.x.254 (die “x” stehen für die ersten drei Blöcke in der IP-Adresse des Konfigurationsrechners). Netz mit DHCP-Server Ist im LAN ein DHCP-Server zur Zuweisung der IP-Adressen aktiv, schaltet ein unkonfiguriertes Gerät seinen eigenen DHCP-Server aus, wechselt in den DHCP-Client-Modus und bezieht eine IP-Adresse vom DHCP-Server aus dem LAN.

  • Seite 29: System Information

    Referenzhandbuch 2 Konfiguration bestimmte Betriebssysteme ausgelaufen ist. In diesem Fall empfiehlt sich dringend der Wechsel auf einen alternativen Webbrowser. Setup-Wizards Mit den Setup-Wizards haben Sie die Möglichkeit, schnell und komfortabel die häufige Einstellungen für ein Gerät vorzunehmen. Wählen Sie dazu den gewünschten Assistenten aus und geben Sie auf den folgenden Seiten die benötigten Daten ein.

  • Seite 30: Gerätestatus

    Referenzhandbuch 2 Konfiguration Gerätestatus Auf der Registerkarte Gerätestatus finden Sie umfangreiche Informationen über den aktuellen Betriebszustand des Gerätes. Dazu gehört z. B. die visuelle Darstellung der Schnittstellen mit Angabe der darauf aktiven Netzwerke. Über entsprechende Links können relevante weitere Statistiken aufgerufen werden (z. B. DHCP-Tabelle). Bei wesentlichen Mängeln in der Konfiguration (z.
  • Seite 31 Referenzhandbuch 2 Konfiguration Syslog Das Gerät legt Syslog-Informationen im Arbeitsspeicher ab (siehe dazu Das SYSLOG-Modul auf Seite 289). Die letzten Ereignisse können Sie zur Diagnose über WEBconfig auf der Registerkarte Gerätestatus einsehen. Zeitstempel beginnend mit '1900-…' weisen auf eine nicht oder nicht korrekt gesetzte Uhrzeit hin. Konfiguration Der Menübereich Konfiguration bietet dieselben Konfigurationsparameter in der gleichen Struktur an wie LANconfig.

  • Seite 32: Dateimanagement

    Referenzhandbuch 2 Konfiguration Darüber hinaus verfügt der Menübaum über ein kontextsensitives Hilfesystem: Mit einem Klick auf das Fragezeichen neben einem Eintrag können Sie für jeden Menüpunkt, jede Tabelle und jeden Parameter eine eigene Hilfeseite aufrufen. Weitere Informationen zu den einzelnen Einträgen finden Sie außerdem in der Menüreferenz. Status Im Status-Menü...
  • Seite 33 Referenzhandbuch 2 Konfiguration In das Gerät hochgeladene Zertifikate oder Dateien können Sie anschließend im Status-Menü unter Dateisystem einsehen. Extras Im Menübereich Extras finden Sie einige Funktionen, welche die Konfiguration der Geräte erleichtern; je nach Gerät aber auch einige Sonderfunktionen und spezielle Analysemodule bereitstellen, die sich keinem der bisherigen Menüpunkte sinnvoll zuordnen lassen.
  • Seite 34 Referenzhandbuch 2 Konfiguration Schlüssel-Fingerprints anzeigen Diese Seite zeigt Ihnen eine Übersicht der Fingerprints aller im Gerät werksseitig vorhandenen Kryptographie-Schlüssel Geräteinterne SSH-/SSL-Schlüssel an. Mehr dazu erfahren Sie unter auf Seite 93. Erlaubte öffentliche SSH Schlüssel Diese Seite zeigt Ihnen eine Übersicht dem vom Gerät akzeptierten öffentlichen Schlüssel (SSH Public-Keys), anhand derer eine Public-Key-Authentifizierung möglich ist.

  • Seite 35: Software-Option Aktivieren

    Referenzhandbuch 2 Konfiguration Beachten Sie, dass dieser Vorgang die Firmwareverwaltung in der AP-Tabelle für den ausgewählten AP deaktiviert. Dies verhindert, dass der WLC ggf. automatisch eine andere Firmware einspielt. Die Firmware-Verwaltung lässt sich im Setup-Menü unter WLAN-Management > AP-Konfiguration > Verwalte-Firmware jederzeit wieder aktivieren.

  • Seite 36: Terminalsitzung Starten

    Referenzhandbuch 2 Konfiguration Multi-Protokoll-Client PuTTY ausweichen. PuTTY selbst ist sowohl für Windows- als auch Linux-Betriebssysteme erhältlich. Terminalsitzung starten Bei vielen Betriebssystemen starten Sie eine Terminalsitzung an der Kommandozeile mit einer Befehlskombination aus dem verwendeten Protokoll und der zu verbindenen IP-Adresse. Je nach Protokoll oder Client kann es jedoch einzelne Abweichungen geben.

  • Seite 37: Die Menüstruktur Der Konsole

    Referenzhandbuch 2 Konfiguration Die Menüstruktur der Konsole Das LCOS-Kommandozeilen-Interface (die Konsole) ist wie folgt strukturiert: Status Enthält die Zustände und Statistiken aller internen Module des Gerätes sowie den Direktzugriff auf das Dateisystem Setup Beinhaltet alle einstellbaren Parameter aller internen Module des Gerätes Firmware Beinhaltet das Firmware-Management Sonstiges...
  • Seite 38 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Laden einer neuen Firmware-Datei (nur via TFTP). writeflash Zugriffsrecht: Supervisor-Write Lädt ein Zertifikatsdatei in das Gerät. Mögliche Optionsschalter sind: loadfile [-a <Adresse>] [-s <Server-IP-Adresse>] : Bestimmt die Quelladresse der Datei: [-n] [-f <Dateiname>] [-o : Quell-IP-Adresse a.b.c.d <Dateiname>] [-c : Adresse des ersten Intranet-Interfaces als Quelladresse verwenden...
  • Seite 39 Referenzhandbuch 2 Konfiguration Befehl Beschreibung [-f <Dateiname>] [-R : Das Gerät überschreibt bereits existierende Schlüssel ohne Rückfrage (Quiet-Modus) <Hostname>] : Dieser Parameter bestimmt den Typ des erzeugten Schlüssels. Insgesamt unterstützt SSH folgende Typen von Schlüsseln: ECDSA : Dieser Parameter bestimmt die Länge des Schlüssels in Bit für RSA-Schlüssel. Wenn Sie keine Länge angeben, erzeugt das Kommando immer einen Schlüssel mit einer Länge von 1024 Bit.
  • Seite 40 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Geräts übertragen, sondern zunächst in den Skript-Speicher. Mögliche Optionsschalter sind: : Erzwingt die unbedingte ("unconditional") Ausführung eines Skriptes oder einer Konfiguration. -C d : Überspringt die standardmäßige Differenzprüfung ("Check for difference"). Gilt auch, wenn die Option gesetzt ist.
  • Seite 41 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Schaltet eine Software-Option mit dem angegebenen Aktivierungsschlüssel frei. feature <Code> Zugriffsrecht: Supervisor-Write Regelt die Speicherung von Konfigurationsänderungen über die Kommandozeile. flash yes|no Die Änderungen an der Konfiguration über die Befehle an der Kommandozeile werden standardmäßig ( bzw.
  • Seite 42 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Ändert das Passwort des aktuellen Benutzerkontos. setpass|passwd [-u <User>][-n <new> <old>] Um das Passwort ohne die darauf folgende Eingabeaufforderung zu ändern, verwenden Sie den Optionsschalter mit Angabe des neuen und alten Passwortes. Um bei aktivierter TACACS+-Authentifizierung das Passwort des lokalen Benutzerkontos zu ändern, verwenden Sie den Optionsschalter mit dem Namen des entsprechenden Benutzers.
  • Seite 43 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Zugriffsrecht: Supervisor-Read Der DHCPv6-Client gibt seine IPv6-Adresse und/oder sein Präfix an den release [-x] DHCPv6-Server zurück. Anschließend fragt er erneut den DHCPv6-Server nach einer *|<Interface_1…Interface_n> Adresse oder einem Präfix. Je nach Provider vergibt der Server dem Client eine neue oder die vorherige Adresse.
  • Seite 44 Referenzhandbuch 2 Konfiguration Befehl Beschreibung Zeigt ausgewählte interne Daten, wie z. B. die letzten Boot-Vorgänge ( show <Options> <Filter> bootlog Firewall-Filterregeln ( filter ), VPN-Regeln ( ) oder die Speicherauslastung heap ). Über zusätzliche Filter-Argumente lässt sich die Ausgabe weiter einschränken.
  • Seite 45 Referenzhandbuch 2 Konfiguration Somit sind alle Befehlsbestandteile, die nicht in eckigen Klammern stehen, notwendigen Angaben zuzurechnen. <Path>: Beschreibt den Pfadnamen für ein Menü, eine Tabelle oder einen Parameter, getrennt durch "/" oder "\". .. bedeutet: eine Ebene höher. . bedeutet: aktuelle Ebene. <Value>: Beschreibt einen möglichen Eingabewert.
  • Seite 46 Referenzhandbuch 2 Konfiguration set WINS {4} ANYHOST setzt die Destination der Regel WINS auf ANYHOST. set WINS {destination} ANYHOST setzt auch die Destination der Regel WINS auf ANYHOST. set WINS {dest} ANYHOST setzt die Destination der Regel WINS auf ANYHOST, weil die Angabe von dest hier ausreichend für eine eindeutige Spaltenbezeichnung ist.
  • Seite 47 Referenzhandbuch 2 Konfiguration Parameter Bedeutung flood ping: Sendet große Anzahl von Ping-Signalen in kurzer Zeit. Kann z. B. zum Testen der Netzwerkbandbreite genutzt werden. ACHTUNG: flood ping kann leicht als DoS Angriff fehlinterpretiert werden. Liefert den Computernamen zu einer eingegebenen IP-Adresse zurück Schickt nach einer Antwort sofort eine weitere Anfrage Ping-Kommando liefert keine Ausgaben auf der Konsole Wechselt in Traceroute-Modus: Der Weg der Datenpakete zum Zielcomputer wird...
  • Seite 48 Referenzhandbuch 2 Konfiguration Tabelle 4: Übersicht aller durchführbaren Traces Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Status-Meldungen der Verbindungen Status Fehler-Meldungen der Verbindungen Fehler IPX-Routing wohl > an > des tests nicht. IPX-Router Verhandlung des PPP-Protokolls IPX Service Advertising Protocol IPX-Watchdog-Spoofing IPX-Watchdog...
  • Seite 49 Referenzhandbuch 2 Konfiguration Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Informationen über virtuelle Netzwerke VLAN Informationen über das Internet Group Management Protocol IGMP Informationen über die Aktivitäten in den Funknetzwerken WLAN Status-Meldungen über MAC-Filterregeln. WLAN-ACL Die Anzeige ist abhängig von der Konfiguration des WLAN-Data-Trace. Ist dort eine MAC-Adresse vorgegeben, zeigt der Trace nur die Filterergebnisse an, die diese spezielle MAC-Adresse betreffen.
  • Seite 50 Referenzhandbuch 2 Konfiguration Tabelle 6: Übersicht aller 'capwap group'-Parameter im show-Befehl Parameter Bedeutung Zeigt die im Setup-Menü konfigurierten Namen und die geräteinternen Namen sämtlicher eingerichteten Zuweisungs-/Tag-Gruppen sowie der Default-Gruppe. Die Default-Gruppe stellt eine interne Gruppe dar, die sämtliche APs enthält. Zeigt alle APs der betreffenden Zuweisungs-/Tag-Gruppen.
  • Seite 51 Referenzhandbuch 2 Konfiguration Befehlsbeispiele show capwap group all show capwap group group1 show capwap group -l yourlocation show capwap group -s yourstreetname show capwap group -d yourdevicename show capwap group -p yourprofilename show capwap group -d yourdevicename -p yourprofile -v yourfirmversion … Übersicht der IPv6-spezifischen show-Befehle Über die Kommandozeile besteht die Möglichkeit, diverse IPv6-Funktionen abzufragen.
  • Seite 52 Referenzhandbuch 2 Konfiguration Ausgabe Erläuterung None keine besonderen Eigenschaften (ANYCAST) es handelt sich um eine Anycast-Adresse (AUTO CONFIG) es handelt sich um eine über die Autokonfiguration bezogene Adresse (NO DAD PERFORMED) es wird keine DAD durchgeführt Type Der Typ der IP-Adresse IPv6-Präfixe Der Befehl show ipv6-prefixes zeigt alle bekannten Präfixe an.
  • Seite 53 Referenzhandbuch 2 Konfiguration Tabelle 9: Bestandteile der Kommandozeilenausgabe show ipv6-neighbour-cache Ausgabe Erläuterung IPv6-Adresse Die IPv6-Adresse des benachbarten Gerätes Interface Das Interface, über das der Nachbar erreichbar ist MAC-Adresse Die MAC-Adresse des Nachbarn Switchport Der Switchport, auf dem der Nachbar festgestellt wurde Gerätetyp Gerätetyp des Nachbarn (Host oder Router) Status...

  • Seite 54: Tastenkombinationen Für Die Kommendozeile

    Referenzhandbuch 2 Konfiguration Tabelle 10: Übersicht aller Umgebungsvariablen Variablenname Inhalt Das Sub-Projekt des Gerätes. Diese Umgebungsvariable entspricht dem zweiten Teil des Wertes für __BLDDEVICE PROJECT , wenn Sie in der Kommandozeile den Befehl #sysinfo# ausführen. Das Sub-Projekt besteht in der Regel aus einer Zeichenkette ohne Leerzeichen und steht für das Hardware-Modell des aktuellen Gerätes.
  • Seite 55 Referenzhandbuch 2 Konfiguration Tastenkürzel Esc key sequences Beschreibung Entf Ctrl-D ESC <BS> ESC [3˜ Löscht das Zeichen an der aktuellen Position der Einfügemarke oder beendet die Terminalsitzung, wenn die Zeile leer ist. erase <BS><DEL> Löscht das nächste Zeichen links neben der Einfügemarke. erase-bol Ctrl-U Löscht alle Zeichen links neben der Einfügemarke.
  • Seite 56 Referenzhandbuch 2 Konfiguration Possible Entries for columns in Transmission: [1][Ifc] : WLAN-1 (1), WLAN-1-2 (16), WLAN-1-3 (17), WLAN-1-4 (18), WLAN-1-5 (19), WLAN-1-6 (20), WLAN-1-7 (21), WLAN-1-8 (22) [2][Packet-Size] : 5 chars from: 1234567890 [3][Min-Tx-Rate] : Auto (0), 1M (1), 2M (2), 5.5M (4), 11M (6), 6M (8), 9M (9), 12M (10), 18M (11), 24M (12), 36M (13), 48M (14), 54M (15) [9][Max-Tx-Rate] : Auto (0), 1M (1), 2M (2), 5.5M (4), 11M (6), 6M (8), 9M (9), 12M...

  • Seite 57: Funktionstasten Für Die Konsole

    Referenzhandbuch 2 Konfiguration Den tab-Befehl können Sie auch verkürzt über geschweifte Klammern darstellen. Mit dem folgenden Befehl setzen Sie in der Transmission-Tabelle das Short-Guard-Interval für das Interface WLAN-1-3 auf den Wert Nein: > set WLAN-1-3 {short-guard} No Die geschweiften Klammern ermöglichen ebenfalls, die Reihenfolge der gewünschten Spalten zu verändern. Das folgende Beispiel setzt für das Interface WLAN-1-3 den Wert für das Short-Guard-Interval auf Nein und den Wert für Use-LDPC auf Ja, obwohl die Tabelle die entsprechenden Spalten in einer anderen Reihenfolge anzeigt: >...

  • Seite 58: Voraussetzungen Für Die Isdn-Fernkonfiguration

    Referenzhandbuch 2 Konfiguration eine einzige Einstellung sofort vom Administrator zu erreichen. Damit sparen Sie bei der Konfiguration an entfernten Orten viel Zeit und Geld für die Reise oder für die Einweisung der Mitarbeiter vor Ort in die Konfiguration der Router. Außerdem können Sie eine spezielle Rufnummer für die Fernkonfiguration reservieren.

  • Seite 59: Default-Layer Für Die Ferninbetriebnahme

    Referenzhandbuch 2 Konfiguration 1. Stellen Sie mit Ihrem PPP-Client eine Verbindung zum Gerät her. Verwenden Sie dabei als Anmeldedaten den Benutzer ADMIN und das beim Gerät dafür eingestellte Passwort. Eine IP-Adresse benötigen Sie nur dann, wenn die Verbindung dieses tatsächlich erfordert. 2.

  • Seite 60: Lancom Layer 2 Management Protokoll (Ll2M)

    Referenzhandbuch 2 Konfiguration 1. Wechseln Sie im LANconfig-Konfigurationsdiaglog auf die Registerkarte Management > Admin. 2. Geben Sie als Rufnummer (MSN) eine Rufnummer Ihres Anschlusses ein, die nicht für andere Zwecke verwendet wird. Auf der Kommandozeile nehmen Sie diese Einstellung unter über den Befehl set Setup/Config/Fernconfig <MSN>...

  • Seite 61: Konfiguration Des Ll2M-Servers

    Referenzhandbuch 2 Konfiguration LL2M etabliert dazu eine Client-Server-Struktur: Der LL2M-Client schickt Anfragen oder Befehle an den LL2M-Server, der die Anfragen beantwortet oder die Befehle ausführt. Der LL2M-Client ist im LCOS integriert und wird über die Kommandozeile ausgeführt. Der LL2M-Server ist ebenfalls im LCOS integriert und wird üblicherweise nur für eine kurze Zeitspanne nach dem Einschalten des Gerätes aktiviert.

  • Seite 62: Speichern Und Laden Von Gerätekonfiguration Und Skriptdateien

    Referenzhandbuch 2 Konfiguration -s <Serialnumber> Schränkt den Befehl nur auf die Geräte der entsprechenden Seriennummer ein. -t <Hardware-Type> Schränkt den Befehl nur auf die Geräte des entsprechenden Hardware-Typs ein. -v <VLAN-ID> Versendet die LL2Mdetect-Anfrage nur auf dem angegebenen VLAN. Wenn keine VLAN-ID angegeben ist, wird die VLAN-ID des ersten definierten IP-Netzwerks verwendet.

  • Seite 63: Konfigurationsverwaltung Über Webconfig Und Konsole

    Referenzhandbuch 2 Konfiguration Prüfsumme: Die Textdatei enthält Informationen über die Prüfsumme sowie den Hash-Algorithmus zur Berechnung dieser Prüfsumme. Der Inhalt dieser Textdatei ist mit einem einfachen Texteditor lesbar. Ein LANconfig vor Version 9.10 erkennt auch Dateien mit Prüfsummen. Verschlüsselung: Vor dem Export verschlüsselt das Gerät die Datei mit einem vom Administrator gewählten Passwort. Die Textdatei enthält Informationen über den verwendeten Verschlüsselungsalgorithmus sowie eine Prüfsumme.

  • Seite 64: Skriptverwaltung Über Webconfig Und Konsole

    Referenzhandbuch 2 Konfiguration Um über WEBconfig eine Konfigurationsdatei in das Gerät zu laden, wechseln Sie in die Ansicht Dateimanagement > Konfiguration hochladen. Geben Sie zusätzlich das entsprechende Passwort ein, wenn die Konfigurationsdatei verschlüsselt ist, und klicken Sie auf Upload starten. Weitere Informationen zu alternativen Boot-Konfigurationen finden Sie im Abschnitt Alternative Boot-Config 2.5.2 Skriptverwaltung über WEBconfig und Konsole...

  • Seite 65: Konfigurationsverwaltung Über Lanconfig

    Referenzhandbuch 2 Konfiguration readscript -h: Ergänzt die Konfigurationsdatei um eine Prüfsumme. readscript -s <password>: Verschlüsselt die Konfigurationsdatei auf Basis des angegebenen Passwortes. Mehr Informationen zu den Parametern finden Sie im Abschnitt Befehle für die Konsole in der Zeile für readscript. Um über WEBconfig eine Skriptdatei in das Gerät zu laden, wechseln Sie in die Ansicht Dateimanagement >...

  • Seite 66: Alternative Boot-Config

    Referenzhandbuch 2 Konfiguration Unter Erweitert bestimmen Sie weitere, optionale Parameter, die das Gerät beim automatischen Laden einer Konfigurations-Datei (Auto-Load) auswertet. Hiermit individualisieren Sie die Konfiguration. Um über LANconfig eine Konfigurationsdatei in das Gerät zu laden, klicken Sie in der Liste der Geräte mit der rechten Maustaste auf das Gerät, in das Sie eine Konfiguration laden möchten.
  • Seite 67 Referenzhandbuch 2 Konfiguration Besonderheiten der Rollout-Konfiguration Die Verwendung der Rollout-Konfiguration wird über den Reset-Taster ausgelöst. Der Reset-Taster hat verschiedene Funktionen, die durch unterschiedlich lange Betätigungszeiten des Tasters ausgelöst werden: weniger als 5 Sekunden: Booten (Neustart); dabei wird die benutzerdefinierte Konfiguration aus dem Konfigurationsspeicher geladen. Wenn die benutzerdefinierte Konfiguration leer ist, werden die kundenspezifischen Standardeinstellungen (erster Speicherplatz) geladen.

  • Seite 68: Speichern Und Hochladen Der Boot-Konfigurationen

    Referenzhandbuch 2 Konfiguration Bei Drücken des Reset-Knopfs für mehr als 15 Sekunden wird die benutzerdefinierte Konfiguration gelöscht und die Rollout-Konfiguration geladen. Wenn die Rollout-Konfiguration nicht vorhanden ist, werden die Werkseinstellungen geladen. 2.6.3 Speichern und Hochladen der Boot-Konfigurationen Speichern Die kundenspezifischen Standardeinstellungen als auch die Rollout-Konfiguration werden in einem komprimierten Format gespeichert.

  • Seite 69: Löschen Der Boot-Konfigurationen

    Referenzhandbuch 2 Konfiguration Speicherplatz) und/oder Rollout-Konfiguration (zweiter Speicherplatz). Alternative Bootkonfigurationen müssen als *.lcf-Datei vorliegen. Wenn beide Speicherplätze der Boot-Konfigurationen belegt (also kundenspezifischen Standardeinstellungen und Rollout-Konfiguration gespeichert) sind, lässt sich das Gerät nicht mehr über den Reset-Taster auf die Werkseinstellungen zurücksetzen. Gehen Sie für einen Geräte-Reset stattdessen so vor, wie unter Firmware-Upload über Outband mit Rücksetzen der Konfiguration auf Seite 73 beschrieben.

  • Seite 70: Firmsafe

    Referenzhandbuch 2 Konfiguration 2.7 FirmSafe 2.7.1 Einleitung FirmSafe macht das Einspielen der neuen Software zur sicheren Sache: Die gerade verwendete Firmware wird dabei nicht einfach überschrieben, sondern es wird eine zweite Firmware zusätzlich im Gerät gespeichert (symmetrisches FirmSafe). Damit ist Ihr Gerät insbesondere auch gegen die Folgen eines Stromausfalls oder einer Verbindungsunterbrechung während des Firmware-Uploads geschützt.

  • Seite 71: Asymmetrisches Firmsafe

    Referenzhandbuch 2 Konfiguration 2.7.3 Asymmetrisches FirmSafe Durch den großen und sich stetig erweiternden Funktionsumfang der Firmware ist es nicht bei allen Geräten möglich, zwei vollwertige Firmware-Versionen gleichzeitig zu speichern. Für solche Geräte existiert seit LCOS 7.60 stattdessen das asymmetrische FirmSafe. Beim asymmetrischen FirmSafe enthält das Gerät immer eine "vollständige Firmware"...

  • Seite 72: Firmware-Upload Über Webconfig

    Referenzhandbuch 2 Konfiguration LANconfig informiert Sie dann in der Beschreibung über Art, Version und Release-Datum der Firmware. 3. Optional: Wählen Sie aus, ob das Gerät die Firmware nach dem Laden dauerhaft aktivieren oder zunächst in einem Test-Modus betreiben soll. Sofern Sie sich für den Test-Modus entscheiden, geben Sie eine Zeitraum an, nach der das Gerät wieder zur vorherigen Firmware wechselt, wenn Sie die Firmware über die Konfigurations-Verwaltung nicht aus diesem Modus heraus freischalten.

  • Seite 73: Firmware-Upload Über Outband Mit Rücksetzen Der Konfiguration

    Referenzhandbuch 2 Konfiguration Geschwindigkeit in bps: 115200 Datenbits: 8 Stopbits: 1 Parität: keine Flusssteuerung: RTS/CTS bzw. RFR/CTS 4. Wechseln Sie in das Firmware-Menü und legen Sie über den Befehl set Modus-FirmSafe <Value> den gewünschten FirmSafe-Modus fest, wobei <Value> für einen der möglichen Modi steht. Stellen Sie ggf. zusätzlich mit set Timeout-FirmSafe <Time>...

  • Seite 74: Dateien Über Tftp, Http(S) Oder Scp Direkt In Das/Aus Dem Gerät Laden

    Referenzhandbuch 2 Konfiguration 4. Drücken Sie im Begrüßungsbildschirm des Terminal-Programms die Eingabe-Taste, bis die Aufforderung zur Eingabe des Passwortes erscheint. 5. Geben Sie als Passwort die Seriennummer ein, die unter der Firmware-Version angezeigt wird und drücken Sie erneut die Eingabe-Taste. Das System fährt daraufhin herunter und erwartet den Firmware-Upload. 6.

  • Seite 75: Anwendungsbeispiele

    Referenzhandbuch 2 Konfiguration Unter vielen Windows-und Linux-Betriebssystemen z. B. ist standardmäßig ein kommandozeilenbasierter TFTP-Client enthalten. In Windows-Versionen 7 und neuer muss der TFTP-Client allerdings erst aktiviert werden. Alternativ können Sie auch einen anderen Client verwenden, wie z. B. die freie TFTP-Client-Server-Anwendung Tftpd32. Als Port geben Sie dann den Standardport 69 an.

  • Seite 76: Datei Laden Über Einen Scp-Client

    Referenzhandbuch 2 Konfiguration Fehlersuche Sollten Sie keine Verbindung zum Gerät herstellen können, kann es sein, dass die Firewall Ihres Betriebssystems TFTP-Verbindungen blockiert. Sofern Sie die Firewall-Einstellungen des Gerätes verändert haben, prüfen Sie auch hier, ob diese Verbindungen über TFTP nachwievor erlaubt. Stellen Sie außerdem sicher, dass Sie im Gerät den Zugriff über das TFTP-Protokoll aus dem für den Upload verwendeten Netzwerk-Typ freigegeben haben (in LANconfig einstellbar unter Management >...
  • Seite 77 Referenzhandbuch 2 Konfiguration Mountingpoint Lesen Schreiben Beschreibung vpn_pkcs12_2 Nein VPN - Container (VPN2) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_3 Nein VPN - Container (VPN3) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_4 Nein VPN - Container (VPN4) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_5 Nein VPN - Container (VPN5) als PKCS#12-Datei (*.pfx, *.p12) vpn_pkcs12_6 Nein VPN - Container (VPN6) als PKCS#12-Datei (*.pfx, *.p12)

  • Seite 78: Datei-Download Von Einem Tftp- Oder Http(S)-Server

    Referenzhandbuch 2 Konfiguration Mountingpoint Lesen Schreiben Beschreibung WLC_Script_3.lcs CAPWAP - WLC_Script_3.lcs default_pkcs12 Nein rollout_wizard Nein rollout_template Nein rollout_logo Nein hip_cert_0 Nein issue Text zum Anzeigen beim Login auf der Kommandozeile (z. B: ASCII Logos) Anwendungsbeispiele Um z. B. einen Datei von Ihrem Rechner auf das Gerät zu übertragen, nutzen Sie einen Befehl wie den folgenden: C:\>pscp.exe -scp -pw MyPwd c:\path\myfile.ext root@10.0.0.1:target Um z.
  • Seite 79 Referenzhandbuch 2 Konfiguration die zu ladende Datei referenziert. Diese URL können Sie auch im Setup-Menü unter Automatisches-Laden > Netzwerk > … > URL hinterlegen, sodass sich eine Firmware, Konfiguration oder Skriptdatei auch allein durch Eingabe des Kommandos allein ins Gerät laden lässt. Verbindungen zu einem HTTP(S)-Server Bei Nutzung von HTTP(S) kann der Befehl in der üblichen URL-Schreibweise angegeben werden.
  • Seite 80 Referenzhandbuch 2 Konfiguration Über diesen Parameter geben Sie den Pfad und den Namen der Datei auf dem Server an. Der Parameter ersetzt zusammen mit -s die Angabe einer URL. -s <Host> Verfügbar für Protokoll: TFTP Verfügbar für Befehl: alle Über diesen Parameter geben Sie den DNS-Namen oder die IP-Adresse des Servers an. Der Parameter ersetzt zusammen mit -f die Angabe einer URL.
  • Seite 81 Referenzhandbuch 2 Konfiguration -c <MainDir>/<File> Verfügbar für Protokoll: HTTPS Verfügbar für Befehl: alle Über diesen Parameter geben Sie den Namen des Zertifikats an, mit dem das Gerät die Identität des Servers prüft, bevor es die angeforderte Datei lädt. -d <Passphrase> Verfügbar für Protokoll: HTTPS Verfügbar für Befehl: LoadFile Mit dieser Passphrase verschlüsselt das Gerät einen unverschlüsselten PKCS#12-Container.
  • Seite 82 Referenzhandbuch 2 Konfiguration Darüber hinaus können Sie in nicht bereits vom Gerät vorgegebenen Dateinamen und -pfaden Variablen verwenden, um z. B. dynamische Verzeichnisstrukturen zu realisieren (siehe Variablen auf Seite 82. Variablen Sie haben die Möglichkeit, in den Load-Befehlen dynamische Pfadangaben zu verwenden, wann immer Sie innerhalb eines Parameters oder einer URL auf eine Datei referenzieren.
  • Seite 83 Referenzhandbuch 2 Konfiguration erfolgt dabei von einem externen Server (siehe Datei-Download von einem TFTP- oder HTTP(S)-Server auf Seite 78 ) über die Befehle 'LoadFirmware' und 'LoadConfig' unter Verwendung fixer Dateinamen. Die Zeitplanung realisieren Sie mittels Cron-Jobs. 1. Geben Sie die URL an, von dem der Befehl 'LoadFirmware' die Firmware lädt, wenn keine anderen Parameter vorliegen. Für das Laden der Firmware von einem HTTP-Server z.

  • Seite 84: Automatisches Laden Von Firmware Oder Konfiguration Über Usb

    Referenzhandbuch 2 Konfiguration Der Dateiname wird später durch den Cron-Job definiert. 4. Stellen Sie die Bedingung für das Laden der Konfiguration so ein, dass nur eine andere als die im Gerät vorhandene Konfiguration geladen wird: set /Setup/Automatisches-Laden/Netzwerk/Konfiguration/Bedingung wenn-unterschiedlich 5. Erstellen Sie einen Cron-Job, der regelmäßig alle 10 Minuten das Kommando 'LoadFirmware' ausführt: cd /Setup/Config/Cron-Tabelle set 1 * * * 10 * * * * LoadFirmware\ $__SERIALNO-Device.upx Im obigen Beispiel muss die Firmware auf dem HTTP-Server also in der Form <SerialNumber>-Device.upx...

  • Seite 85: Automatisches Laden Von Konfigurations- Und/Oder Skript-Dateien

    Referenzhandbuch 2 Konfiguration automatischer Ladevorgang für eine Firmware. Auch bei dem zweiten Ladevorgang blinken die Power- und die Online-LED am Gerät abwechselnd. An den automatischen Ladevorgang von Loader- und/oder Firmware-Dateien können sich evtl. noch weitere Ladevorgänge Automatisches Laden von Konfigurations- und/oder für Konfigurations- und/oder Skript-Dateien anschließen, siehe Skript-Dateien auf Seite 85.

  • Seite 86: Geräte-Reset Durchführen

    Referenzhandbuch 2 Konfiguration 2. Wechseln Sie in den Dialog Management > Erweitert. 3. (De-)Aktivieren Sie das automatische Laden von Loader- und/oder Firmware-Dateien über die Auswahlliste Firmware. Dazu wählen Sie die entsprechende Rahmenbedingung aus. Aus: Das automatische Laden von Loader- und/oder Firmware-Dateien für das Gerät ist deaktiviert. Bei unkonfiguriert.

  • Seite 87: Konfiguration Des Reset-Knopfes

    Referenzhandbuch 2 Konfiguration das Gerät in den Auslieferungszustand zurückzusetzen. Dazu betätigen Sie den Reset-Knopf bis zum ersten Aufleuchten sämtlicher LEDs des Gerätes (ca. 5 Sekunden). Das Gerät startet nach dem Reset neu im unkonfigurierten Zustand, alle Einstellungen gehen dabei verloren. Sichern Sie daher vor dem Reset nach Möglichkeit die aktuelle Konfiguration des Gerätes! Ein Access Point befindet sich nach dem Reset im Managed-Modus.

  • Seite 88: Rechteverwaltung Für Verschiedene Administratoren

    Referenzhandbuch 2 Konfiguration 2.12 Rechteverwaltung für verschiedene Administratoren Sie haben die Möglichkeit, in der Konfiguration Ihres Gerätes mehrere Administratoren anzulegen, die über unterschiedliche Zugriffs- und Funktionsrechte verfügen. Neben den in der Konfiguration angelegten Administratoren gibt es auch noch den Root-Administrator mit dem Haupt-Geräte-Passwort.
  • Seite 89 Referenzhandbuch 2 Konfiguration Bezeichnung unter Bezeichnung im Rechtebeschreibung LANconfig Setup-Menü Keine Kein Hat keinen Zugriff auf die Konfiguration. Lokale Administratoren können auch die Admintabelle bearbeiten. Dabei kann ein lokaler Administrator jedoch nur solche Einträge bearbeiten oder anlegen, die die gleichen oder weniger Rechte haben wie er selbst. Ein lokaler Administrator kann also keinen Supervisor anlegen und sich selbst auch nicht diese Rechte einräumen.
  • Seite 90 Referenzhandbuch 2 Konfiguration Bezeichnung: [1]LANconfig, [2]Setup-Menü Hexschreibweise an der Rechtebeschreibung Konsole ermöglichen, um komplexe Anmeldeszenarien zu realisieren. Näheres dazu siehe LANCOM Public Spot XML-Interface 1. RAS-Assistent 0x00000010 Assistent für die Einrichtung eines Einwahlzugangs (RAS, VPN) 2. RAS-Assistent 1. Rollout-Assistent 0x00002000 Assistent für den Rollout* 2.

  • Seite 91: Konfigurieren Des Snmp-Lesezugriffs

    Referenzhandbuch 2 Konfiguration Bezeichnung auf der Konsole Wert Sicherheits-Assistent 0x00000002 Provider-Auswahl 0x00000008 RAS-Assistent 0x00000010 Zeit-Setzen 0x00000040 WLAN-Linktest 0x00000100 ODER-verknüpft 0x0000015a Alternativ zur Schreibweise 0x0000015a stehen Ihnen auch die verkürzten Kurzschreibweisen 0000015a, 0x15a und 15a zur Option. Konfigurationsbeispiel auf der Konsole Mit dem folgenden Befehl legen Sie in der Kurzschreibweise einen neuen Benutzer in der Admintabelle (im Setup-Menü...
  • Seite 92 Referenzhandbuch 2 Konfiguration ein potentielles Sicherheitsrisiko darstellt, haben Sie die Möglichkeit, in LANconfig unter Management > Admin die Community 'public' zu deaktivieren und/oder eine eigene Community zu definieren. Unauthorisierten Lesezugriff verbieten Um die Abfrage von Zugangsdaten beim SNMP-Lesezugriff zu aktivieren, müssen Sie die Community 'public' deaktivieren. Dies erreichen Sie durch Anwählen der Einstellung SNMP Read-Only Community 'Public' deaktiviert.

  • Seite 93: Geräteinterne Ssh-/Ssl-Schlüssel

    Referenzhandbuch 2 Konfiguration 2.13 Geräteinterne SSH-/SSL-Schlüssel Sämtliche Geräte, die mit einer LCOS-Version vor 8.84 ausgeliefert werden, sind ab Werk mit einem Satz vordefinierter Kryptographie-Schlüssel mit 1024 Bit Länge ausgestattet, die folgende Fingerprints abbilden: ssh-dss 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7 ssh-rsa 03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7 SHA-1: f9:14:7f:7c:e0:15:20:b6:71:94:46:3f:0e:00:93:9c:ad:ff:d9:fb MD5: ac:5b:45:2d:f9:20:3e:0b:b0:45:35:44:b8:3a:de:c6 Das Gerät übermittelt diese Fingerprints beim Aufbau gesicherter Verbindungen (z.

  • Seite 94: Individuelle Ssh-Schlüssel Manuell Erzeugen

    Referenzhandbuch 2 Konfiguration 2.13.2 Individuelle SSH-Schlüssel manuell erzeugen Sie haben die Möglichkeit, die werksseitig installierten sowie die automatisch generierten SSH-/SSL-Schlüssel durch eigene RSA- und DSA- oder DSS-Schlüssel zu ersetzen, um z. B. eine höhere Verschlüsselungsstärke zu realisieren. Dafür stehen Ihnen mehrere Wege zur Auswahl: Sie lassen den individuellen Schlüssel auf der Konsole direkt durch LCOS erzeugen.

  • Seite 95: Ssh-Authentifizierung Mit Hilfe Eines Public-Keys

    Referenzhandbuch 2 Konfiguration Dieser Parameter aktiviert den 'Quiet'-Modus für die Schlüsselerzeugung. Wenn Sie diesen Parameter setzen, überschreibt LCOS bereits existierende RSA- oder DSA-Schlüssel ungefragt; Ausgaben über den Fortschritt der Operation entfallen. Nutzen Sie diesen Parameter z. B. in einem Skript, um die Bestätigung von Sicherheitsabfragen durch den Benutzer zu unterdrücken.

  • Seite 96: Ablauf Der Zertifikatsprüfung Beim Ssh-Zugang

    Referenzhandbuch 2 Konfiguration 2.14.1 Ablauf der Zertifikatsprüfung beim SSH-Zugang Beim Aufbau der SSH-Verbindung erkundigt sich der Client zunächst beim Gerät, welche Authentifizierungs-Methoden für diesen Zugang zugelassen sind. Sofern das Public-Key-Verfahren erlaubt ist, sucht der Client nach installierten privaten Schlüsseln und übergibt diese mit der Angabe des Benutzernamens zur Prüfung an das Gerät. Findet das Gerät in der Liste seiner öffentlichen SSH-Schlüssel einen passenden Eintrag, in dem der Benutzername enthalten ist, wird der Zugang über SSH erlaubt.
  • Seite 97 Referenzhandbuch 2 Konfiguration Mauszeigers, die Sie innerhalb des Programmfensters vollziehen. Nach Abschluss der Erzeugung zeigt Ihnen das Programm die erzeugten Schlüsseldaten im Hauptfenster an. 4. PuTTYgen generiert die für die Schlüsselerzeugung notwendigen Zufallszahlen aus den Bewegungen des Mauszeigers, die Sie innerhalb des Programmfensters vollziehen. Bewegen Sie die Maus daher solange willkürlich im Programmfenster, bis der Forschrittsbalken das Ende erreicht hat.

  • Seite 98: Syntax Und Benutzer Öffentlicher Schlüssel Anpassen

    Referenzhandbuch 2 Konfiguration 7. Wählen Sie außerdem Conversions > Export OpenSSH key, um den Schlüssel gleichzeitig als OpenSSH Private-Key abzuspeichern. Den so erstellten privaten Schlüssel verwenden Sie in Kombination mit LANconfig für die Authentisierung. 8. Beenden Sie PuTTYgen. Gehen Sie anschließend zum nächsten Einrichtungskapitel über. 2.14.3 Syntax und Benutzer öffentlicher Schlüssel anpassen Nachdem Sie ein Schlüsselpaar erzeugt haben, müssen Sie den dazugehörigen Public Key in eine vom Gerät akzeptierte und lesbare Form bringen.
  • Seite 99 Referenzhandbuch 2 Konfiguration 2. Wählen Sie Gerät > Konfigurations-Verwaltung > Zertifikat oder Datei hochladen und ändern Sie im sich öffnenden Fenster die Auswahllisten Dateityp auf Alle Dateien sowie Zertifikattyp auf SSH - akzeptierte öffentliche Schlüssel. 3. Wählen Sie die zuvor erstellte Public-Key-Datei aus und klicken Sie Öffnen. LANconfig beginnt daraufhin mit dem Upload des öffentlichen Schlüssels in das Gerät.

  • Seite 100: Public-Key-Authentifizierung Mit Putty

    Referenzhandbuch 2 Konfiguration 6. Schließen Sie den Konfigurationsdialog und schreiben Sie die Konfiguration auf das Gerät zurück. Gehen Sie anschließend zum nächsten Einrichtungskapitel über. 2.14.5 Public-Key-Authentifizierung mit PuTTY Dieses Tutorial beschreibt, wie Sie in PuTTY die SSH-Authentifizierung mit Hilfe eines Public-Keys konfigurieren und sich anschließend am konfigurierten Gerät anmelden.

  • Seite 101: Public-Key-Authentifizierung Mit Lanconfig

    Referenzhandbuch 2 Konfiguration 2.14.6 Public-Key-Authentifizierung mit LANconfig Dieses Tutorial beschreibt, wie Sie in LANconfig die SSH-Authentifizierung mit Hilfe eines Public-Keys konfigurieren. 1. Starten Sie LANconfig. 2. Öffnen Sie über die Menüleiste den Dialog Extras > Optionen > Kommunikation. 3. Deaktivieren Sie im Bereich Protokoll mit Ausnahme von SSH und Prüfen bevorzugt mittels TFTP durchführen alle anderen Auswahlkästchen bzw.

  • Seite 102: Ssh- Und Telnet-Client Im Lcos

    Referenzhandbuch 2 Konfiguration 2.15 SSH- und Telnet-Client im LCOS 2.15.1 Einleitung Neben einem SSH-Server, der Ihnen eine sichere und authentifizierte Einwahl in das Gerät ermöglicht (siehe SSH-Authentifizierung mit Hilfe eines Public-Keys auf Seite 95), verfügt das Betriebssystem Ihres Gerätes auch über einen SSH-Client.

  • Seite 103: Syntax Des Telnet-Clients

    Referenzhandbuch 2 Konfiguration Über diesen Parameter geben Sie das Interval in Sekunden an, in dem Ihr Gerät die Keep-Alive-Pakete verschickt. Die Keep-Alive-Pakete werden dabei nur versendet, wenn der SSH-Client für die Dauer des Intervalls keine anderen Daten an das entfernte System schicken muss. <User>...

  • Seite 104: Liste Der Bekannten Ssh-Server

    Referenzhandbuch 2 Konfiguration weil der SSH-Client eine Man-in-the-middle-Attacke vermutet. Sofern das entfernte System den öffentlichen Schlüssel kürzlich geändert hat, muss der Administrator den veralteten Eintrag aus der Liste der bekannten Server löschen (siehe Bekannte SSH-Serverschlüssel manuell entfernen auf Seite 104. Nach der erfolgreichen Verifikation des Server-Schlüssels kann der Administrator das Passwort zur Anmeldung am entfernten System eingeben.

  • Seite 105: Schlüssel Für Den Ssh-Client Im Lcos Erzeugen

    Referenzhandbuch 2 Konfiguration 2.15.5 Schlüssel für den SSH-Client im LCOS erzeugen Die Erzeugung eines Schlüsselpaares – bestehend aus einem öffentlichen und einem privaten Schlüssel – starten Sie an der Konsole des Gerätes, dessen LCOS-internen SSH-Client Sie nutzen wollen, mit folgendem Befehl: sshkeygen [-(?|h)] [-t (dsa|rsa|ecdsa)] [-b <Bits>] Eine detaillierte Beschreibung der Parameter im sshkeygen-Befehl finden Sie im Abschnitt SSH-Schlüsselerzeugung...

  • Seite 106: Basic Http Fileserver Für Externe Speichermedien

    Referenzhandbuch 2 Konfiguration Admin > Weitere Administratoren) das Funktionsrecht SSH-Client. Ohne dieses Funktionsrecht kann sich ein Administrator nicht zu einem anderen SSH-/Telnet-Gerät weiterverbinden. 2.16 Basic HTTP Fileserver für externe Speichermedien 2.16.1 Einleitung Der eingebaute HTTP-Server in LCOS bietet Ihnen die Möglichkeit, Dateien von einem USB-Speichermedium über das HTTP-Protokoll bereitzustellen und arbeitet so als einfacher Dateiserver.

  • Seite 107: Regeln Für Den Verzeichniszugriff

    Referenzhandbuch 2 Konfiguration Wenn z. B. eine Datei coupon.jpeg benannt ist und auf dem einzigen USB-Medium im Basisverzeichnis unter \public_html gespeichert ist, dann können Sie mit folgendem Link darauf zugreifen: http://<Device-IP-Adress>/filesrv/usb/coupon.jpeg Der Zugriff kann auch über HTTPS anstatt HTTP erfolgen. 2.16.5 Regeln für den Verzeichniszugriff Das Verzeichnis \public_html darf Unterverzeichnisse beinhalten.

  • Seite 108: Default-Rollout-Assistent

    Referenzhandbuch 2 Konfiguration Um wieder zum Default-Rollout-Wizard zurückzukehren, müssen Sie den benutzerdefinierten Rollout-Assistenten aus dem Dateisystem des Gerätes löschen. 2.17.1 Default-Rollout-Assistent Ihr Gerät beinhaltet standardmäßig einen vorkonfigurierten Rollout-Assistenten, welcher es Ihnen ermöglicht, mit wenigen Klicks von einem Large Scale Rollout & Management (LSR) -Server eine Konfigurationen zu beziehen. Dieser Default-Rollout-Assistent erscheint immer dann, wenn Sie den Rollout-Assistenten im LCOS aktiviert und keinen benutzerdefinierten Rollout-Assistenten eingerichtet haben.

  • Seite 109: Struktur Des Benutzerdefinierten Assistenten

    Referenzhandbuch 2 Konfiguration Statusprüfungen, wie z. B. Prüfen der Uhrzeit im Gerät Verbindungsprüfungen, wie z. B. die erfolgreiche VPN-Verbindung zu einer bestimmten Gegenstelle Sie erstellen den neuen Assistenten nach den Regeln der Beschreibungssprache in Form einer Text-Datei, die Sie anschließend in das Gerät laden. Der Anwender am Einsatzort kann den benutzerdefinierten Assistenten dann unter WEBconfig über den gewählten Namen ausführen.
  • Seite 110 Referenzhandbuch 2 Konfiguration Wenn die benötigte Zeile der Tabelle erst bei der Ausführung des Assistenten durch eine Benutzereingabe definiert wird, referenzieren Sie die Wert in der Tabelle über die Verwendung einer Variablen mit: config.<SNMP-ID>.\"<Interne-Variable>\".ID:<Spalte> Beispiel für die Zeile, deren Wert in der ersten Spalte mit dem aktuellen Wert der internen Variablen wizard.target_network übereinstimmt: config.1.2.8.2."\wizard.target_network"\.ID:2 Geräte-Variablen für Geräteeigenschaften beginnen mit dem Schlüsselwort device.
  • Seite 111 Referenzhandbuch 2 Konfiguration Die Beschreibung des Assistenten kann die eigene Bezeichnung (das Label) als Sprungziel nutzen. Statischer Text, beginnend mit dem Schlüsselwort static_text, gefolgt von einer Referenz auf einen Eintrag String-Tabelle static_text str.conf_general Felder für verschiedene Datentypen wie Text oder IP-Adresse: Eingabefelder, Kontrollkästchen, Optionsfelder, Auswahllisten etc.
  • Seite 112 Referenzhandbuch 2 Konfiguration Operanden Das Bedingungsmuster kann folgende Operanden enthalten: Statische Texte Interne Variablen des Assistenten Variablen zur Referenzierung von Werten aus der aktuellen Konfiguration des Gerätes (Konfigurations-Variablen) Das Zeichen '*' als Platzhalter (Wildcard) Operatoren Das Bedingungsmuster kann folgende Operatoren enthalten: equal: Prüft, ob die beiden Operanden gleich sind.
  • Seite 113 Referenzhandbuch 2 Konfiguration check_local_ip Dieses Feld prüft, ob der Assistent zuvor die IP-Adresse des Gerätes verändert hat und leitet den Benutzer auf die entsprechende HTML-Seite weiter. Mögliche Attribute: destination: Ziel für die Weiterleitung als FQDN oder IPv4-Adresse. timeout: Wartezeit vor der Weiterleitung. check_time Dieses Feld prüft, ob das Gerät über eine gültige Zeitinformation verfügt.
  • Seite 114 Referenzhandbuch 2 Konfiguration signed_value: Ermöglicht die Angabe eines numerischen Wertes mit Vorzeichen never_empty: Der Wert '1' für dieses Attribut kennzeichnet ein Feld, welches der Benutzer nicht freilassen darf. add_to_charset: Fügt zusätzliche Zeichen zum standardmäßig verwendeten Eingabezeichensatz hinzu. default_value: Standardwert unit: Die Einheit des Wertes, welchen der Assistent in der HTML-Darstellung nach dem Eingabefeld anzeigt.
  • Seite 115 Referenzhandbuch 2 Konfiguration loopback: Loopback-Adresse, die der Ping anstelle der standardmäßigen Antwortadresse verwendet success_jump: Label der Seite, die der Assistent bei erfolgreichem Ping öffnet. fail_jump: Label der Seite, die der Assistent bei nicht erfolgreichem Ping öffnet. limit: Maximale Anzahl der Pings, bevor der Assistent die Prüfung als erfolglos ansieht. Setzen Sie das Limit auf den Wert '0', um die Pings ohne Limit fortzusetzen.
  • Seite 116 Referenzhandbuch 2 Konfiguration Einfügen von Assistenten-Variablen Um eine interne Variable in den Wert eines Attributs einzusetzen, verwenden Sie die Syntax $(VariablenName). Um den Benutzernamen aus der internen Variablen wizard.username in eine URL einzusetzen, fügen Sie z. B. das folgende Attribut ein: http://host/directory?param=$(username). Einfügen von Umgebungsvariablen Um eine Umgebungsvariable in den Wert eines Attributs einzusetzen, verwenden Sie die Syntax %VariablenName.
  • Seite 117 Referenzhandbuch 2 Konfiguration device.SerialNumber Diese Variable gibt die Seriennummer des Gerätes an. device.Location Diese Variable gibt den Standort des Gerätes an, wie er im Setup-Menü unter SNMP > Standort eingetragen ist. device.DeviceString Diese Variable gibt den Typ des Gerätes an. device.Name Diese Variable gibt den Namen des Gerätes an, wie er im Setup-Menü...

  • Seite 118: Trace Für Rollout-Assistenten (Debugging)

    Referenzhandbuch 2 Konfiguration Diese Aktion hängt den Inhalt der Quell-Variablen an die Ziel-Variable an. Beispiel Die folgende Aktion fügt den Inhalt der Variablen wizard.user und die Variable wizard.name an: cat wizard.name, wizard.user Diese Aktion löscht eine bestimmte Anzahl von Zeichen aus der Ziel-Variablen. Geben Sie die Position der zu löschenden Stelle von links gesehen sowie optional die Anzahl der zu löschenden Zeichen als Parameter an.

  • Seite 119: Dateien Für Den Assistenten Hochladen

    Referenzhandbuch 2 Konfiguration Ein sehr einfaches Beispiel für ein HTML-Template sieht folgendermaßen aus: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <title>Titel des Assistenten</title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <body> <div> <WIZARD_LOGO> </div> <WIZARD_CONTENT> </body> </html> Der Assistent verwendet einige vordefinierte CSS-Klassen, die Sie durch die Angabe von entsprechenden Werte in Ihrem HTML-Template einfach anpassen können, u.
  • Seite 120 Referenzhandbuch 2 Konfiguration Löschen über den rollout-Befehl Die Löschfunktion des rollout-Befehls besitzt die folgende Syntax: rollout (-r|-remove) <RelatedFile> Mögliche Dateien sind: wizard: Löscht den Assistenten template: Löscht das Template logo: Löscht das Logo alle: Löscht den Assistenten, das Template und das Logo Löschen über das Dateisystem Im Dateisystem löschen Sie die Dateien des Assistenten über die analog lautenden Mountingpoints: rollout_wizard...
  • Seite 121 Referenzhandbuch 2 Konfiguration readonly_text device_string description str.dev_type readonly_text device_serial_number description str.dev_serial_number selection_buttons select_inet description str.inet_Selection button_text str.inet_PPPoE, str.inet_IPoE on_show set wizard.device_string, device.DeviceString set wizard.device_serial_number, device.SerialNumber on_next Der Assistent zeigt die Sektion IPoE nur dann an, wenn die Variable select_inet den Wert '1' hat. Auf dieser Seite fragt der Assistent vom Benutzer die Werte für die IP-Adresse, die Netzmaske, das Gateway und den DNS-Server ab.
  • Seite 122 Referenzhandbuch 2 Konfiguration description str.con_dns never_empty Der Assistent zeigt die Sektion PPPoE nur dann an, wenn die Variable select_inet den Wert '0' hat. Auf dieser Seite fragt der Assistent vom Benutzer den Benutzernamen und das Passwort mit einer Länge von jeweils maximal 30 Zeichen ab.
  • Seite 123 Referenzhandbuch 2 Konfiguration Auf der letzten Seite zeigt der Assistent zunächst einen zusammenfassenden, statischen Text an. Folgende Aktionen führt der Assistent beim Fertigstellen des Assistenten aus: Wenn der Benutzer 'IPoE' ausgewählt hat, legt der Assistent eine passende Gegenstelle und einen Eintrag in der Liste der IP-Parameter an.

  • Seite 124: Aktivierung Des Rollout-Assistenten

    Referenzhandbuch 2 Konfiguration 2.17.3 Aktivierung des Rollout-Assistenten Um den Rollout-Assistenen allgemein verfügbar zu machen, setzen Sie im Setup-Menü den Parameter HTTP > Rollout-Wizard > In-Betrieb auf ja. Dies aktiviert zunächst den Default-Rollout-Wizard. Im WEBconfig erscheint dann unter Setup-Wizards ein neuer Assistent mit dem unter HTTP > Rollout-Wizard > Titel vergebenen Namen. Um ihn anschließend durch einen benutzerdefinierten Rollout-Assistenten zu ersetzen, laden Sie die Beschreibung des Assistenten in das Gerät (siehe hierzu Dateien für den Assistenten hochladen...

  • Seite 125: Tcp/Http-Tunnel Erzeugen

    Referenzhandbuch 2 Konfiguration 2. Geben Sie für den Parameter Max.-Tunnel-Verbindungen die maximale Anzahl der gleichzeitig aktiven TCP/HTTP-Tunnel an, die Sie erlauben wollen. 3. Geben Sie für den Parameter Tunnel-Idle-Timeout die Lebensdauer eines Tunnels ohne Aktivität an (in Sekunden). Nach Ablauf dieser Zeit wird der Tunnel automatisch geschlossen, wenn darüber keine Daten übertragen werden. Fertig! Damit haben Sie die konfiguration der TCP/HTTP-Tunnel abgeschlossen.

  • Seite 126: Die Lancom Clustering Option

    Referenzhandbuch 2 Konfiguration Aktive TCP-Verbindungen in diesem Tunnel werden mit dem Löschen des Tunnels nicht beendet, es können aber keine neuen Verbindungen mehr aufgebaut werden. 2.19 Die LANCOM Clustering Option Mit der LANCOM Clustering XL Option haben Sie die Möglichkeit einer deutlich vereinfachten Administration sowie einer großen Zeitersparnis.
  • Seite 127 Referenzhandbuch 2 Konfiguration 2. Aktivieren Sie anschließend auf jedem Gerät, auf dem Sie die Konfigurations-Synchronisation verwenden möchten (inklusive des SCEP-CA-Gerätes), die SCEP-Client-Funktion unter Zertifikate > SCEP-Client. Wenn Sie die Konfigurations-Synchronisation auf einem WLC einrichten, ist der SCEP-Client höchstwahrscheinlich schon aktiv. 3.
  • Seite 128 Referenzhandbuch 2 Konfiguration 4. Ergänzen Sie die Zertifikat-Tabelle im SCEP-Client um einen neuen Eintrag für den Bezug eines Konfigurations-Synchronisation-Zertifikates. Als CA-Distinguished-Name verwenden Sie den bereits bei Erstellung des CA-Tabellen-Eintrages verwendeten Namen. Als Subject tragen Sie die jeweils geräteeigene IP-Adresse ein (z. B. /CN=IPADR /O=COMPANY/C=DE, wobei Sie IPADR durch die IP-Adresse des als SCEP-CA konfigurierten Gerätes ersetzen.
  • Seite 129 Referenzhandbuch 2 Konfiguration 6. Aktivieren Sie nun die Konfigurations-Synchronisation unter Management > Synchronisierung mit der Option Konfigurations-Synchronisierungs-Modul aktiviert. Unter Gruppen-Name können Sie ebenfalls einen benutzerdefinierten Namen für den Cluster festlegen, der anschließend auch in der LANconfig-Geräteliste erscheint. 7. Tragen Sie unter Gruppen-Mitglieder die IP-Adressen aller Geräte ein, die Mitglieder des Clusters werden sollen. 8.

  • Seite 130: Konfigurationsänderungen Prüfen

    Referenzhandbuch 2 Konfiguration Definieren Sie optional unter "Ignorierte Zeilen", welche Zeilen einer Tabelle von der Synchronisation ausgenommen werden sollen. Beispiel: Default-Route auf VPN-Gateways, die für jedes Gateway unterschiedlich sein soll. Die restliche Routing-Tabelle kann durch einen Eintrag in den Menü-Knoten synchronisiert werden. 9.
  • Seite 131 Referenzhandbuch 2 Konfiguration LANconfig zeigt daraufhin die folgende Meldung: Starten Sie den Setup-Assistenten mit einem Klick auf Ja. Der Setup-Assistent startet mit dem Auswahldialog für die Multi-Geräte-Assistenten. 2. Wählen Sie den „1-Klick WLC High Availability Clustering-Assistenten“ aus und klicken Sie auf Weiter. 3.
  • Seite 132 Referenzhandbuch 2 Konfiguration Diese Abfrage erscheint nicht, wenn Sie die Konfiguration per Drag&Drop auf einen anderen WLC übertragen. In diesem Fall verwendet der Setup-Assistent den „gezogenen“ WLC automatisch als Master-Gerät. 4. Vergeben Sie eine Cluster-Bezeichnung und klicken Sie auf Geräte-Adressen. Der Setup-Assistent gibt einen Cluster-Namen vor, den Sie jedoch verändern können.
  • Seite 133 Referenzhandbuch 2 Konfiguration 6. Mit einem Klick auf Fertig stellen schließen Sie den Setup-Assistenten ab. Der Setup-Assistent lädt nun die Konfiguration des Master-Gerätes in die gewählten WLCs. 7. Die Geräteliste zeigt die WLCs wie folgt an: Der Setup-Assistent hat auf allen WLCs den SCEP-Client für den Bezug eines Config-Syncs konfiguriert. LANconfig wartet nun, bis die Zertifikate für alle WLCs verfügbar sind.

  • Seite 134: Cpe Wan Management Protokoll (Cwmp)

    Referenzhandbuch 2 Konfiguration 2.20 CPE WAN Management Protokoll (CWMP) Über das CPE WAN Management Protokoll (CWMP) lassen sich Endgeräte mit einem entsprechenden Konfigurationsserver über eine WAN-Verbindung fernkonfigurieren. Die Kommunikation zwischen dem Gerät (Customer Premises Equipment, CPE) und dem Konfigurationsserver (Auto Configuration Server, ACS) erfolgt über SOAP/HTTP(S) in Form von Remote Procedure Calls (RPC).

  • Seite 135: Fern-Administrator

    Referenzhandbuch 2 Konfiguration ACS-URL Bestimmen Sie hier die Adresse des ACS (Auto Configuration Server), mit dem sich das CPE (Customer Premises Equipment) verbindet. Die Eingabe der Adresse erfolgt im IPv4-, IPv6- oder FQDN-Format. Erlaubt sind HTTP und HTTPS, wobei der Einsatz von HTTPS zu bevorzugen ist, da die Geräte ansonsten gerätespezifische Parameter wie Passwörter oder Zugangsdaten unverschlüsselt übertragen.
  • Seite 136 Referenzhandbuch 2 Konfiguration Firmware-Updates verwalten Dieser Schalter erlaubt dem ACS (Auto Configuration Server), Firmware-Änderungen am Gerät vorzunehmen. Ändern des Benutzernamens erlauben Dieser Schalter erlaubt dem ACS (Auto Configuration Server), den Geräte-Administrator zu wechseln oder den Namen und das Passwort des Geräte-Administrators, den er zur Verbindung mit dem Gerät verwendet, zu ändern.
  • Seite 137 Referenzhandbuch 2 Konfiguration Konfigurations-Zugriffs-Wege unter Zugriffs-Rechte > von einer WAN-Schnittstelle entweder auf WAN oder VPN freigeschaltet werden. Wenn IPv6 verwendet wird, muss in der IPv6-Firewall unter Firewall/QoS > IPv6-Regeln > IPv6-Inbound-Regeln zusätzlich der Zugriff auf den entsprechenden Port erlaubt werden. Der Connection-Request ist nur über eine Authentifizierung per Benutzername und Passwort möglich.
  • Seite 138 Referenzhandbuch 2 Konfiguration Bei der Verwendung von HTTPS in der ACS-URL validiert das CPE das ACS-Zertifikat. Dazu speichern Sie zuvor das CWMP Root-CA-Zertifikat im CPE. Kann das CPE das Serverzertifikat nicht gegen das vorhandene Root-CA-Zertifikat validieren, so lehnt es die Verbindung ab. Der Zertifikatsupload erfolgt entweder durch LANconfig oder WEBconfig. In LANconfig gehen Sie dazu wie folgt vor: 1.

  • Seite 139: Gerätekonfiguration Über Cwmp

    Referenzhandbuch 2 Konfiguration Bei der Verwendung von SSL/TLS zur CPE-Authentifizierung laden Sie das Client-Zertifikat und den privaten Schlüssel per PKCS#12-Datei (CWMP-Container als PKCS#12-Datei) in das CPE. 2.20.2 Gerätekonfiguration über CWMP Alle CWMP-Parameter konfigurieren Sie auf der Kommandozeile entweder durch eine Skript-Datei oder durch das herstellerspezifische RPC X_LANCOM_DE_Command.

  • Seite 140: Benamte Loopback-Adressen Einrichten

    Referenzhandbuch 2 Konfiguration 2.21 Benamte Loopback-Adressen einrichten Ihrem Gerät lassen sich bis zu 16 IPv4- bzw 8 IPv6-Loopback-Adressen definieren, unter denen sich das Gerät (z. B. zum Management größerer Netz-Strukturen) ansprechen lässt. Um die Loopback-Adressen für bestimmte Netzwerke (z. B. im Zusammenhang mit "Advanced Routing and Forwarding") zu nutzen, ordnen Sie den Adressen ausgewählte Routing-Tags zu.

  • Seite 141: Ändern Der Sim-Karten-Pin

    Referenzhandbuch 2 Konfiguration 3. Geben Sie die Portnummern für die gewünschten Management-Protokolle ein. 4. Schließen Sie alle geöffneten Dialoge durch einen Klick auf OK. LANconfig schreibt die eingegebene Konfiguration zurück auf das Gerät. 2.23 Ändern der SIM-Karten-PIN Bei Geräten mit Mobilfunkmodem haben Sie über LANconfig die Möglichkeit, die PIN der SIM-Karte zu ändern. Die Änderung kann einfach vollzogen werden, indem Sie sowohl die alte PIN als auch die neue PIN eingeben.

  • Seite 142: Lancom Management System (Lcms)

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3 LANCOM Management System (LCMS) Das Gerät unterstützt verschiedene Mittel (sprich Software) und Wege (in Form von Kommunikationszugängen) für die Konfiguration. Die Situationen, in denen konfiguriert wird, unterscheiden sich ebenso wie die persönlichen Ansprüche und Vorlieben der Ausführenden.

  • Seite 143: Lanconfig Starten

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.1 LANconfig starten Starten Sie LANconfig, z. B. mit einem Doppelklick auf das Desktop-Symbol. LANconfig sucht nun automatisch im lokalen Netz nach Geräten. Wird dabei ein noch nicht konfiguriertes Gerät im lokalen Netz gefunden, startet LANconfig selbstständig den Setup-Assistenten.
  • Seite 144 Referenzhandbuch 3 LANCOM Management System (LCMS) Sobald LANconfig mit der Suche fertig ist, zeigt es in der Liste alle gefundenen Geräte mit Namen, evtl. einer Beschreibung, der IP-Adresse und dem Status an. Ein Klick auf die Schaltfläche Konfigurieren ( ) oder den Menüeintrag Gerät > Konfigurieren liest die aktuellen Einstellungen aus dem Gerät aus und zeigt die allgemeinen Geräteinformationen an.

  • Seite 145: Arbeiten Mit Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) LANconfig führt dann alle Aktionen für die ausgewählten Geräte nacheinander durch. So können Sie z. B. gleichzeitg für mehrere Geräte neue Firmwares hochladen. Zur bequemen Verwaltung lassen sich Geräte zu Gruppen zusammenfassen. Dazu muss die Ansicht Verzeichnisbaum aktiviert sein.

  • Seite 146: Sprache Der Grafischen Oberfläche Umschalten

    Referenzhandbuch 3 LANCOM Management System (LCMS) Sprache der grafischen Oberfläche umschalten Die Sprache für die grafische Oberfläche von LANconfig können Sie unter Extras > Optionen > Applikation wahlweise auf Deutsch, Englisch oder Spanisch einstellen. Verzeichnisbäume zur Organisation nutzen LANconfig erlaubt mit dem Verzeichnisbaum die übersichtliche Verwaltung einer Vielzahl von Geräten. Für jedes Projekt oder jeden Kunden können Sie einen eigenen Ordner anlegen, in dem Sie die entsprechenden Geräte organisieren: Einen neuen Ordner legen Sie mit einem rechten Mausklick auf das übergeordnete Verzeichnis über den Kontextmenü-Eintrag Neuer Ordner an.
  • Seite 147 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Sortierung der Ansicht können Sie auch direkt durch einen Klick mit der linken Maustaste in die entsprechende Spaltenüberschrift ändern. Mit jedem erneuten Klick wechselt die Sortierung. Im Einzelnen können Sie folgende Informationen in den Spalten anzeigen: Name Ordner Beschreibung...

  • Seite 148: Quickfinder In Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) Die Spalte Kommentar enthält die Informationen des Kommentarfeldes 1 im Gerät. QuickFinder in LANconfig In der Hauptansicht von LANconfig finden Sie den QuickFinder in der Symbolleiste. Geben Sie im Suchfenster einen Suchbegriff ein, um die Liste der angezeigten Geräte zu reduzieren. LANconfig durchsucht dabei alle Werte, die in den Spalten der Geräte-Liste verfügbar sind –...
  • Seite 149 Referenzhandbuch 3 LANCOM Management System (LCMS) Der Konfigurationsbaum im linken Bereich von LANconfig ist nun reduziert auf alle Bereiche an, in denen der Suchbegriff enthalten ist: Wählen Sie einen der Bereiche im Konfigurationsbaum (z. B. Wireless-LAN > Allgemein'), um die entsprechenden Suchergebnisse im Konfigurationsdialog farbig eingerahmt anzuzeigen:...

  • Seite 150: Quicklinks Zur Verwaltung Von Quelltabellen

    Referenzhandbuch 3 LANCOM Management System (LCMS) Nutzen Sie die Navigationsschaltflächen 'Zurück' und 'Vor' links neben dem Suchfeld, um in den zuletzt besuchten Dialogen zu blättern. Für einen besonders schnellen Zugriff auf die letzten 10 besuchten Dialoge klicken Sie auf den Pfeil rechts neben der Schaltfläche 'Vor': Klicken Sie auf das Kreuz rechts neben dem Suchfeld, um die Suche zu löschen und um im Konfigurationsbaum wieder alle Einträge anzuzeigen.

  • Seite 151: Assistent Oder Konfigurationsdialog Wählbar

    Referenzhandbuch 3 LANCOM Management System (LCMS) Elementen zunächst die aktuelle Auswahl verlassen zu müssen, können Sie diese Elemente direkt bei Bedarf anlegen. Diese neuen Elemente stehen sofort für eine Selektion zur Verfügung. Um die Konfigurationsstruktur zu verdeutlichen, zeigt LANconfig neben den einzelnen Quellen den Konfigurations-Pfad an.
  • Seite 152 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfigurationsdialogen ("Multithreading"). Nach dem Öffnen einer Konfiguration können aus der Liste der Geräte im LANconfig einfach weitere Konfigurationen geöffnet werden. Alle Konfigurationen können parallel bearbeitet werden. Zwischen den geöffneten Konfigurationen können Inhalte mit "Copy and Paste" über die Zwischenablage übertragen werden.

  • Seite 153: Projektmanagement Mit Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) Projektmanagement mit LANconfig LANconfig erleichtert die Konfiguration von verschiedenen Geräten in einem Projekt mit einigen Funktionen, die gleichzeitig auf mehreren Geräten ausgeführt werden können. Sind in der Liste der Geräte im LANconfig mehrere Einträge markiert, können mit einem rechten Mausklick über das Kontextmenü...

  • Seite 154: Flexible Gruppen-Konfiguration Mit Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) Zertifikat oder Datei hochladen Öffnet den Upload-Dialog für das geräteinterne Dateimanagement. Geräte überwachen, Geräte temporär überwachen Öffnet die ausgewählten Geräte im LANmonitor zur Überwachung. WLAN Geräte überwachen Öffnet die ausgewählten Geräte im WLANmonitor zur Überwachung. Trace-Ausgabe erstellen Öffnet mehrere LANtracer-Fenster und erstellt für jedes Gerät eine separate Trace-Ausgabe.
  • Seite 155 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben später ausschließlich die Option, Ihre erstellten Gruppen-Konfigurations-Vorlagen zu ändern, nicht jedoch die LANconfig-Basis-Vorlagen. Folgende Vorlagen für Gruppen-Konfigurationen stehen in LANconfig zur Verfügung: Group Template WLAN: Beinhaltet die Parameter, die auf WLAN-Geräten gemeinsam verwaltet werden. Group Template WLC: Beinhaltet möglichst viele Parameter von WLC-Geräten, die im Betrieb eines Clusters von WLCs den Bedarf an individueller Konfiguration minimieren.
  • Seite 156 Referenzhandbuch 3 LANCOM Management System (LCMS) Gruppen-Konfiguration zu verwenden. Die neue Gruppen-Konfiguration übernimmt in diesem Fall die Standardwerte vom gewählten Geräte-Typ. Um inkonsistente Sätze von Konfigurationsparametern zu vermeiden, basieren die alternativen Basiseinstellungen auf einer leeren Vorlage entsprechend dem Group Template Empty. 3.
  • Seite 157 Referenzhandbuch 3 LANCOM Management System (LCMS) Der Konfigurationsdialog startet mit der Ansicht Konfigurationswerte bearbeiten. In dieser Ansicht finden Sie ausschließlich die gemeinsam zu verwaltenden Parameter der Gruppe. Hier ist die Einstellung auf die gewünschten Werte und Inhalte möglich. Alle Parameter, die für die einzelnen Geräte gelten, sind ausgeblendet. Sofern Sie ein leeres Gruppen-Template gewählt haben, ist der angezeigte Dialog leer.
  • Seite 158 Referenzhandbuch 3 LANCOM Management System (LCMS) Im Konfigurations-Modus Gruppen-Parameter auswählen wählen Sie aus allen verfügbaren Parametern diejenigen an- oder ab, die Sie für eine angepasste Gruppen-Konfiguration benötigen. Hellblau eingefärbte Elemente sind für die Verwendung in der Gruppen-Konfiguration ausgewählt. Klicken Sie einmal mit der linken Maustaste auf ein Element, um dessen Auswahlstatus zu ändern.
  • Seite 159 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben zudem die Möglichkeit, diese Gruppen-Konfiguration zukünftig als eigene Vorlage für die Erstellung weiterer Gruppen-Konfigurationen angeboten zu bekommen. Aktivieren Sie hierzu die Option Als Vorlage bereitstellen und vergeben Sie eine aussagekräftige Bezeichnung. Sie haben auch später noch die Gelegenheit, aus einer bereits existierenden Gruppen-Konfiguration eine Vorlage zu erstellen.
  • Seite 160 Referenzhandbuch 3 LANCOM Management System (LCMS) Gerätekonfigurationen mit Gruppen-Konfigurationen aktualisieren Beim Aufrufen oder Aktualisieren eines Ordners prüft LANconfig, ob die Konfiguration der Geräte in diesem Ordner mit den Einstellungen in der aktiven Gruppen-Konfiguration übereinstimmt. Über Abweichungen von der Gruppen-Konfiguration informiert der Gerätestatus Gruppen-Aktualisierung empfohlen. Um die Gruppen-Konfiguration in das WLAN-Gerät zu laden, ziehen Sie den Gruppen-Konfigurationseintrag auf den entsprechenden Geräteeintrag.
  • Seite 161 Referenzhandbuch 3 LANCOM Management System (LCMS) Beim folgenden Prüfen der Geräte wird LANconfig feststellen, dass die Konfigurationen der anderen Geräte im Ordner nicht mehr mit der neuen Gruppen-Konfiguration übereinstimmen und dies über den Gerätestatus entsprechend anzeigen. Mehrere Gruppen-Konfigurationen verwenden Innerhalb eines Ordners können mehrere Gruppen-Konfigurationen angelegt werden. Von diesen Gruppen-Konfigurationen darf jeweils nur eine aktiv sein, da sich der Gerätestatus nur auf eine einzelne Gruppen-Konfiguration beziehen kann.

  • Seite 162: Automatische Sicherung Der Gerätekonfiguration

    Referenzhandbuch 3 LANCOM Management System (LCMS) Ausgangsgerät in ein ähnliches Zielgerät einzuspielen. Dabei werden alle Konfigurationsparameter, die sowohl im Ausgangs- wie auch im Zielgerät vorhanden sind, nach Möglichkeit mit den bisher verwendeten Werten belegt: Wenn das Zielgerät über den entsprechenden Parameter verfügt und der Wert im möglichen Bereich liegt, wird der Wert des Ausgangsgerätes übernommen.
  • Seite 163 Referenzhandbuch 3 LANCOM Management System (LCMS) Um die erweiterten Meta-Daten in eine Konfigurationsdatei mit aufzunehmen, klicken Sie im Datei-speichern-Dialog von LANconfig auf die Schaltfläche Erweitert und geben die Daten – sofern nicht bereits vorausgefüllt – in die jeweiligen Felder ein. Alternativ haben Sie auch die Möglichkeit, eine lcf-/lcs-Datei in einem Texteditor zu öffnen und die erweiterten Meta-Daten nachträglich von Hand zu ergänzen.
  • Seite 164 Referenzhandbuch 3 LANCOM Management System (LCMS) Um eine Konfigurationssicherung wiederherzustellen, markieren Sie einen Eintrag und klicken auf Wiederherstellen. Darüber hinaus haben Sie die Möglichkeit, die Konfigurationssicherungen mit zusätzlichen Kommentaren zu versehen bzw. die darin enthaltenen Kommentare zu bearbeiten und ggf. zu ergänzen: Über die Schaltfläche Beschreibung bearbeiten ( ) aktivieren Sie das darunterliegende Kommentarfeld, um den darin enhaltenen Text zu bearbeiten.
  • Seite 165 Referenzhandbuch 3 LANCOM Management System (LCMS) \%y_%mn_%dn\%N_%G_%F[1-4]_%hh-%mm-%s;12|";; 02:5a:e5:42:ea:d2:da:f0:93:b5:d0:3d:0c:08:70:b8; Die erste Zeile enthält die Namen der Geräte-Parameter. Darunter sind zeilenweise die einzelnen Geräte aufgeführt, deren Parameter jeweils durch Semikolons voneinander getrennt sind. Folgen 2 Semikolons direkt aufeinander, ist der eingeschlossene Parameter-Wert leer. Die Variablen-Namen der ersten Zeile entsprechen den folgenden LANconfig-Einträgen: DEVICE_PATH: Pfad-Name in der Ordner-Ansicht DEVICE_INTERFACE: Anschlussart...

  • Seite 166: Inhalt Der Konfigurations-Vorlagendatei

    Referenzhandbuch 3 LANCOM Management System (LCMS) Inhalt der CSV-Datei Die CSV-Datei enthält Datensätze von Geräten, die LANconfig importieren kann. Sie haben somit die Möglichkeit, diese komfortabel im Netzwerk zu verwalten. Nachfolgend ein Beispiel einer einfachen CSV-Datei: CONFIG_FILENAME;DEVICE_PATH;DEVICE_INTERFACE;DEVICE_ADDRESS;DEVICE_LOCATION;DEVICE_NAME;KEY;USER Fil52146.lcs;Filialen/NRW;IP;192.168.1.1;Wuerselen;Fil52146;secret1;user1@internet Fil80637.lcs;Filialen/BAY;IP;192.168.2.1;Muenchen;Fil80637;secret2;user2@internet Die erste Zeile enthält die Namen der Geräte-Parameter. Darunter sind zeilenweise die einzelnen Geräte aufgeführt, deren Parameter jeweils durch Semikolons voneinander getrennt sind.
  • Seite 167 Referenzhandbuch 3 LANCOM Management System (LCMS) In dieser Vorlagendatei repräsentieren die Variablen bestimmte Geräte-Parameter. Während des Import-Vorgangs verknüpfen Sie diese Variablen mit den entsprechenden Einträgen der Geräte-Datei. Der Konfigurations-Assistent ersetzt die Variablen anschließend mit den zugewiesenen Geräte-Daten aus der CSV-Datei. Anlegen von Konfigurationsdateien Sie erstellen gerätespezifische Konfigurationsdateien wie folgt: 1.
  • Seite 168 Referenzhandbuch 3 LANCOM Management System (LCMS) Zuordnung funktioniert. Fügen Sie aber Variablen für die Konfigurationserzeugung hinzu, greift die Autoerkennung nicht. 7. Das Feld Vorschau zeigt sofort die anhand Ihrer ausgewählten Parameter zu importierenden Datensätze an. Bestätigen Sie Ihre Eingabe mit Weiter. 8.
  • Seite 169 Referenzhandbuch 3 LANCOM Management System (LCMS) 10. Ordnen Sie die Spalten den Geräte-Eigenschaften zu. Zugeordnete Eigenschaften erkennen Sie in der Liste an dem vorangestellten "+". Klicken Sie danach auf Weiter. Bei Verwendung der Standardvariablennamen erfolgt diese Zuordnung automatisch. 11. Sie haben die Möglichkeit, aus den Datensätzen individuelle Konfigurationsdateien zu erstellen. Aktivieren Sie dazu die Option Konfigurationsdateien erzeugen.
  • Seite 170 Referenzhandbuch 3 LANCOM Management System (LCMS) angegeben haben, erfolgt ebenfalls eine automatische Zuordnung für alle gefundenen Variablen. Die Spaltentitel in der Ansicht darunter aktualisieren sich sofort bei jeder Änderung. Klicken Sie anschließend auf Weiter. Bei unvollständigen Angaben weist Sie der Assistent auf mögliche Probleme beim Import hin und bietet Ihnen Korrekturen an.
  • Seite 171 Referenzhandbuch 3 LANCOM Management System (LCMS) Haben Sie die Erstellung einer individuellen Konfigurationsdatei ausgewählt, so speichert der Assistent im angegebenen Ordner je Gerät eine separate Konfigurationsdatei. Diese Konfigurationsdateien werden gemäß dem Dateinamen "<CONFIG_FILENAME>.lcs" benannt, den die CSV-Datei definiert: lang English flash No set /Setup/Name "Fil52146"...

  • Seite 172: Software Update Für Lcms

    Referenzhandbuch 3 LANCOM Management System (LCMS) Software Update für LCMS Das Software Update für LCMS bietet Ihnen neue Versionen von LCMS und der Firmware zu Ihren Geräten automatisch zum Download an. Neue Versionen für LCMS (LANconfig und LANmonitor sowie WLANmonitor) laden Sie direkt aus dem frei zugänglichen Download-Bereich des LANCOM Web-Servers.
  • Seite 173 Referenzhandbuch 3 LANCOM Management System (LCMS) 3. Wechseln Sie auf die Seite Update. 4. Wählen Sie das zeitliche Intervall für die automatische Suche nach Updates (Täglich, Wöchentlich oder Monatlich) aus. Lesen Sie für die übrigen Einstellungsmöglichkeiten von Software-Update auch das Kapitel Update auf Seite 213.
  • Seite 174 Referenzhandbuch 3 LANCOM Management System (LCMS) Software Update lädt die gewählte Software nun nacheinander herunter und speichert die Dateien im Firmware-Archiv. Nach dem erfolgreichen Download bietet Software Update die Installation der geladenen Software an (nur LANconfig und LANmonitor):...
  • Seite 175 Referenzhandbuch 3 LANCOM Management System (LCMS) Nach der Installation zeigt Software Update die Ergebnisse des Updates-Vorgangs an: Software Update über MyLANCOM Für einige Funktionen benötigt das Software Update einen Zugang zum Kunden-Portal myLANCOM. Um die Zugangsdaten für myLANCOM einzutragen, gehen Sie vor, wie in den folgenden Schritten beschrieben: 1.

  • Seite 176: Suche Nach Firmware-Updates Im Archiv

    Referenzhandbuch 3 LANCOM Management System (LCMS) LANconfig speichert Ihre Login-Daten verschlüsselt in der Windows-Registry ab. Suche nach Firmware-Updates im Archiv Um das Update auf neue Firmwareversionen in den Geräten möglichst komfortabel zu gestalten, werden die Firmware-Dateien für die verschiedenen Modelle und LCOS-Versionen idealerweise in einem zentralen Archiv-Verzeichnis abgelegt.
  • Seite 177 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie ein Intervall für die automatische Suche nach Optionen festlegen, zeigt LANconfig nach dem Start automatisch die Geräte an, für die neue Updates zur Verfügung stehen. Manuelle Suche nach Firmware-Updates Für die manuelle Suche nach Firmware-Updates klicken Sie mit der rechten Maustaste auf einen markierten Eintrag in der Geräteliste und wählen im Kontextmenü...

  • Seite 178: Einrichtung Einer E-Mail-Adresse Für Den Nachrichtenversand

    Referenzhandbuch 3 LANCOM Management System (LCMS) zeigt alle gefundenen Versionen für alle markierten Geräte an, dabei auch den aktuellen Versionsstand der Geräte. Für jedes Gerät können Sie genau eine Firmware-Version auswählen, die dann in das Gerät eingespielt wird. Einrichtung einer E-Mail-Adresse für den Nachrichtenversand Bei bestimmten Ereignissen können Sie im Gerät festlegen, dass es eine Nachricht an eine definierte E-Mail-Adresse versendet.

  • Seite 179: Schlüssel-Fingerprints Bei Der Inbetriebnahme Von Cc-Geräten Exportieren

    Referenzhandbuch 3 LANCOM Management System (LCMS) Keine: Keine Verschlüsselung. Das Gerät beachtet eine ggf. vom Server gesendete STARTTLS-Antwort nicht. Verschlüsselt (SMTPS): Das Gerät verwendet SMTPS, verschlüsselt also ab Verbindungsaufbau. Bevorzugt (STARTTLS): Der Verbindungsaufbau erfolgt unverschlüsselt. Bietet der SMTP-Server STARTTLS an, verschlüsselt das Gerät.

  • Seite 180: Geräte-Login Authentifizierung

    Referenzhandbuch 3 LANCOM Management System (LCMS) Eine RADIUS-Authentifizierung über SNMP ist derzeit nicht unterstützt. Eine RADIUS-Authentifizierung über LL2M (LANCOM Layer 2 Management Protokoll) ist nicht unterstützt, da LL2M Klartext-Zugriff auf das im Gerät gespeicherte Passwort benötigt. Der RADIUS-Server übernimmt die Verwaltung der Benutzer in den Bereichen Authentifizierung, Autorisierung und Accounting (Triple-A-Protokoll), was bei umfangreichen Netz-Installationen mit mehreren Routern die Verwaltung von Admin-Zugängen stark vereinfacht.
  • Seite 181 Referenzhandbuch 3 LANCOM Management System (LCMS) Zugriffssrechte via Im RADIUS-Server ist die Autorisierung der Anwender gespeichert. Bei einer Anfrage sendet der RADIUS-Server die Zugriffs- und Funktionsrechte zusammen mit den Login-Daten an das Gerät, das daraufhin den Anwender mit entsprechenden Rechten einloggt. Normalerweise sind Zugriffsrechte im RADIUS Management-Privilege-Level (Attribut 136) festgelegt, sodass das Gerät den übertragenen Wert nur auf die internen Zugriffsrechte zu mappen braucht.

  • Seite 182: Die Menüstruktur In Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.3 Die Menüstruktur in LANconfig Über die Menüleiste können Sie Geräte und deren Konfigurationen verwalten sowie das Aussehen und die Funktionsweise von LANconfig anpassen. Datei Unter diesem Menüpunkt verwalten Sie Geräte allgemein und beenden LANconfig. Gerät hinzufügen Über Datei >...
  • Seite 183 Referenzhandbuch 3 LANCOM Management System (LCMS) speichert und verwendet die dabei aufgelöste IP-Adresse. Sollte die Überprüfung einmal nicht möglich sein, greift LANconfig auf die letzte erfolgreich aufgelöste IP-Adresse zurück. Timeout: Geben Sie hier an, wieviele Sekunden das Programm auf Antworten von diesem Gerät warten soll.
  • Seite 184 Referenzhandbuch 3 LANCOM Management System (LCMS) Tipps Wenn sich das Gerät noch im Auslieferungszustand befindet, hat es noch keine eigene IP-Adresse. In diesem Fall geben Sie die IP-Adresse Ihres Computers ein und ersetzen Sie den letzten Abschnitt der Ziffernfolge durch '254': Wenn ihr Computer die IP-Adresse '192.168.1.1' hat, dann weisen Sie dem Gerät die IP-Adresse '192.168.1.254' Wenn Sie nicht wissen, welche Adresse ein Gerät hat, können Sie auch danach über Datei >...
  • Seite 185 Referenzhandbuch 3 LANCOM Management System (LCMS) Im lokalen Netz In einem entfernten Netz Wenn Sie ein entferntes Netz durchsuchen wollen, müssen Sie die Adresse des Netzwerkes und die zugehörige Netzmaske angeben. Sie können die Suche bei Bedarf auch auf verwaltete Access Points (APs) ausweiten. Klicken Sie auf Suchen, um die Suche zu starten.
  • Seite 186 Referenzhandbuch 3 LANCOM Management System (LCMS) Weitere Informationen finden Sie im Abschnitt Import aus einer Datenquelle (CSV) auf Seite 165. Neuer Ordner Über diesen Menüpunkt legen Sie in der Verzeichnisstruktur einen neuen Ordner an. Siehe dazu auch Verzeichnisbäume zur Organisation nutzen auf Seite 146.
  • Seite 187 Referenzhandbuch 3 LANCOM Management System (LCMS) Mit einem Klick auf OK öffnet sich der Konfigurationsdialog. Sie können auch eine neue Konfigurationsdatei erstellen, indem Sie mit einem mit einem Rechtsklick auf Ihren Desktop im Kontext-Menü Neu > LANconfig Konfiguration auswählen. Die Informationen zu den einzelnen Konfigurationsparametern finden Sie in der LCOS-Dokumentation. Konfigurations-Datei bearbeiten Über diesen Menüpunkt wählen Sie eine gespeicherte Konfigurationsdatei aus, um sie im Kofigurationsdialog zu bearbeiten.
  • Seite 188 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfigurations-Datei assistieren Über diesen Menüpunkt wählen Sie eine gespeicherte Konfigurationsdatei aus, um sie mit dem Setup-Assistenten zu bearbeiten. Konfigurations-Datei drucken Über diesen Menüpunkt drucken Sie eine gespeicherte Konfigurationsdatei aus. Zusätzlich zum normalen Druckdialog haben Sie im Abschnitt Optionen folgende Einstellungsmöglichkeiten: Passwörter im Klartext drucken Wenn Sie diese Funktion aktivieren werden Ihre Passwörter im Klartext gedruckt.
  • Seite 189 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte in dieser Ansicht markieren Über diesen Menüpunkt markieren Sie alle aktuellen Geräteeinträge in der gewählten Ansicht. Markierung umkehren Über diesen Menüpunkt kehren Sie die Markierung aller aktuellen Geräteeinträge in der gewählten Ansicht um. Dadurch werden alle Einträge, die vorher markiert waren, unmarkiert und alle Einträge, die vorher nicht markiert waren, markiert.
  • Seite 190 Referenzhandbuch 3 LANCOM Management System (LCMS) verloren gehen. Darüber hinaus erfolgt über diesen Menüpunkt auch das Dateimanagement, bei dem Sie besondere Dateien wie Templates oder Zertifikate direkt in das Gerät laden. Folgende konfigurationsspezifische Aktionen stehen Ihnen zur Auswahl: Drucken Lädt die Konfiguration des markierten Geräts über die in den Eigenschaften definierten Anschluss-Einstellungen, sofern eine Verbindung auf diesem Weg möglich ist.
  • Seite 191 Referenzhandbuch 3 LANCOM Management System (LCMS) Weil die vorhandene Firmware eines Gerätes während des Uploads der neuen Firmware überschrieben wird, darf dieser Vorgang auf keinen Fall unterbrochen werden, da das Gerät anschließend möglicherweise nicht mehr lauffähig ist. Im Testmodus laufende Firmware freischalten ([Speicherplatz-Nummer]) Sofern Sie für ein Gerät ein Firmware-Update durchgeführt und die zugehörige Firmware im (zeitlich beschränkten) Testmodus hochgeladen haben, können Sie über diesen Menüpunkt die Firmware dauerhaft aktivieren.
  • Seite 192 Referenzhandbuch 3 LANCOM Management System (LCMS) Unter Extras > Optionen > Extras > Browser zur Darstellung von WEBconfig können Sie auswählen, ob LANconfig zur Anzeige den Standardbrowser des Systems oder den internen Browser verwenden soll. Telnet-Sitzung öffnen Öffnet eine Verbindung zum Gerät mit dem in den Einstellungen konfigurierten Telnet-Client. SSH-Sitzung öffnen Öffnet eine Verbindung zum Gerät mit dem in den Einstellungen konfigurierten SSH-Client.
  • Seite 193 Referenzhandbuch 3 LANCOM Management System (LCMS) Datum/ Uhrzeit setzen Über diesen Menüpunkt setzen Sie das Datum und die Uhrzeit für das Gerät. Diese Aktion ist für einige Funktionen (z. B. Accounting) und Schritte im Setup Assistenten (z. B. Einrichtung eines Public Spots) zwingend erforderlich. Wenn Sie die Option Die Uhr nach der Systemzeit stellen aktivieren, wird die Uhrzeit des Betriebssystems Ihres Computers übernommen.
  • Seite 194 Referenzhandbuch 3 LANCOM Management System (LCMS) SIM-Karte entsperren Wenn Sie dreimal den falschen PIN eingegeben haben, wird Ihre SIM-Karte gesperrt. Unter diesem Menüpunkt können Sie die SIM-Karte durch die Eingabe des PUK bzw. Super-PIN wieder entsperren. Gilt nur für Geräte mit UMTS-Modem/Karte. Eigenschaften Über diesen Menüpunkt öffnen Sie den Eigenschaften-Dialog des markierten Geräts, in dem sich auf verschiedenen Seiten gerätespezifische Einstellungen vornehmen oder einsehen lassen.
  • Seite 195 Referenzhandbuch 3 LANCOM Management System (LCMS) Protokolle Wählen Sie ein Protokoll aus und klicken Sie Bearbeiten, um das ausgewählte Protokoll zur Verwendung in externen Programmen zu erlauben oder zu verbieten und ggf. den Standard-Port zu verändern. Logindaten Hinterlegen Sie in diesem Bereich die Zugangsdaten für die externen Programme. Klicken Sie Neu, um ein oder mehrere Programm(e) auszuwählen und die dafür geltenden Zugangsdaten einzugeben.
  • Seite 196 Referenzhandbuch 3 LANCOM Management System (LCMS) Diese Dialogseite ist nur für Geräte verfügbar, die auch VPN anbieten. Öffentlicher Zugang Geben Sie für die vereinfachte Einrichtung von VPN-Verbindungen eine öffentliche IP bzw. einen Namen und eine Telefonnummer an. Sie können bestimmen, ob die Telefonnummer für den VPN-Verbindungs-Aufbau bevorzugt verwendet werden soll.

  • Seite 197: Neue Gruppen-Konfiguration

    Referenzhandbuch 3 LANCOM Management System (LCMS) Durch einen Klick mit der rechten Maustaste auf die linke Spalte mit den Namen der Einträge, erhalten Sie ein Kontextmenü. Über dieses können Sie die Werte auch in die Zwischenablage übernehmen. Features & Optionen Auf dieser Seite erhalten Sie nähere Informationen zu den vom Gerät unterstützten Features und freigeschalteten Optionen.
  • Seite 198 Referenzhandbuch 3 LANCOM Management System (LCMS) Neuer Ordner mit Gruppen-Konfiguration Unter Gruppe > Neuer Ordner mit Gruppen-Konfiguration erstellen Sie im aktuellen Ordner einen neuen Unterordner mit einer neuen Gruppen-Konfiguration. Gruppen-Konfiguration hinzufügen Unter Gruppe > Gruppen-Konfiguration hinzufügen speichern Sie eine bereits bestehende Gruppen-Konfiguration in den aktiven Ordner.

  • Seite 199: Schaltflächen

    Referenzhandbuch 3 LANCOM Management System (LCMS) Auf der Seite Info finden Sie den Namen, den Status und den Datei-Namen der Gruppen-Konfiguration. Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der LANconfig-Bedienoberfläche an. Symbolleiste Zur benutzerdefinierten Anpassung der Symbolleiste können im LANconfig die folgenden Optionen gewählt werden: Schaltflächen Blendet die Schaltflächen ein oder aus.
  • Seite 200 Referenzhandbuch 3 LANCOM Management System (LCMS) Verzeichnisbaum Die Ordnerstruktur am linken Rand des LANconfig-Fensters kann über diesen Menüpunkt (oder alternativ mit der Verzeichnisbäume zur Organisation Funktionstaste F6) ein- und ausgeblendet werden. Lesen Sie dazu auch das Kapitel nutzen auf Seite 146. Protokollanzeige Über diesen Menüpunkt blenden Sie die Protokollanzeige im unteren Teil des LANconfig-Fensters –...
  • Seite 201 Referenzhandbuch 3 LANCOM Management System (LCMS) Symbole anordnen Für eine bessere und schnellere Übersicht und Orientierung auch in großen Projekten können in LANconfig die Spalten mit gerätebezogenen Informationen einzeln ein- bzw. ausgeblendet werden. Klicken Sie dazu mit der rechten Maustaste auf die Spaltenüberschriften und wählen Sie unter Ansicht >...
  • Seite 202 Referenzhandbuch 3 LANCOM Management System (LCMS) Maustaste auf die Spaltenüberschriften klicken und im sich öffnenden Kontextmenü das Menü unter Ansicht > Details auswählen aufrufen. Gitterlinien anzeigen Über diesen Menüpunkt blenden Sie Gitterlinien in der Geräteansicht ein- oder aus. Kontrollkästchen anzeigen Über diesen Menüpunkt aktivieren Sie die Anzeige von Kontrollkästchen.
  • Seite 203 Referenzhandbuch 3 LANCOM Management System (LCMS) Tastaturkürzeln mehrere Geräte gezielt auszuwählen und dann Aktionen auf diese Geräte anzuwenden (z. B. neue Firmware hochladen). Protokolldatei betrachten Über diesen Menüpunkt können Sie die Protokolldatei von LANconfig ansehen und bearbeiten. Übergeordneter Ordner Über diesen Menüpunkt gelangen Sie in der jeweiligen Ordneransicht zu dem übergeordneten Ordner. Extras Unter diesem Menüpunkt finden Sie weitere Einstellungsmöglichkeiten LANconfig.
  • Seite 204 Referenzhandbuch 3 LANCOM Management System (LCMS) Konfiguration von Geräten Sie können auswählen, ob Sie für die Konfiguration den Setup-Assistenten als Standard verwenden oder ob Sie standardmäßig den Konfigurations-Dialog zur manuellen Bearbeitung starten wollen, wenn Sie einen Doppeklick auf ein Gerät ausführen. In der Standard-Einstellung wird durch Doppelklick auf ein Gerät die Übersicht der Setup-Assistenten geöffnet.
  • Seite 205 Referenzhandbuch 3 LANCOM Management System (LCMS) Start In diesem Dialog legen Sie das Verhalten und die Aktionen von LANconfig beim Programmstart fest. Bei jedem Start nach neuen Geräten suchen: Wenn Sie diese Option aktivieren, sucht das Programm bei jedem Start in vordefinierten Netzen nach neuen Geräten. Bei großen Installationen mit vielen Geräten kann dieser Vorgang vergleichsweise viel Zeit in Anspruch nehmen bzw.
  • Seite 206 Referenzhandbuch 3 LANCOM Management System (LCMS) Netzwerk Wenn Sie häufiger wechselnde Geräte mit gleicher IP-Adresse in Ihrem Netz haben, dann sollten Sie die Option Vor jedem IP-Zugriff den ARP-Cache löschen einschalten, damit Ihr Rechner diese Geräte erreichen kann. Protokolle Zur Übertragung der Daten bei der Konfiguration mit LANconfig stehen wahlweise die Protokolle HTTPS, SSH, HTTP oder TFTP Verfügung.
  • Seite 207 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie die Anzahl nicht begrenzen und genügend Resourcen zur Verfügung stehen, kann die erzeugte System- oder Netzlast beliebig hoch werden! Gleichzeitige IP-Geräte-Verbindungen Die Anzahl der gleichzeitig über IP aufgebauten Verbindungen kann künstlich begrenzt werden. Dies ist insbesondere dann sinnvoll, wenn die Verbindungen über physikalisch begrenzt vorhanden Kanäle laufen oder eine zu hohe System- oder Netzlast vermieden werden soll.
  • Seite 208 Referenzhandbuch 3 LANCOM Management System (LCMS) Adresse: Tragen Sie hier die IP-Adresse ein, über die der HTTP-Proxy-Server erreichbar ist. Port: Tragen Sie hier ein, welchen Port der HTTP-Proxy-Server verwendet. HTTPS-Proxy verwenden Aktiviert die Verwendung eines HTTPS-Proxys. Adresse: Tragen Sie hier die IP-Adresse ein, über die der HTTPS-Proxy-Server erreichbar ist. Port: Tragen Sie hier ein, welchen Port der HTTPS-Proxy verwendet.
  • Seite 209 Referenzhandbuch 3 LANCOM Management System (LCMS) Beim Wechsel auf eine Einstellung, die ein automatisches Starten der Anwendung ermöglicht, wird ein Eintrag in der Registry des Betriebssystems vorgenommen. Firewall-Applikationen auf dem Rechner oder die Betriebssysteme selbst (Windows XP, Windows Vista oder Windows 7) können diesen Eintrag ggf.

  • Seite 210: Gerätekonfiguration

    Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte-Konfiguration Hier können Sie wählen, vor welcher Aktion eine automatische Sicherung der aktuellen Gerätekonfiguration durchgeführt werden soll. Um die automatische Sicherung zu aktivieren, müssen Sie mindestens eine der folgenden Einstellungen wählen: Vor dem Firmware-Hochladen: Vor dem Hochladen einer Firmware wird eine automatische Sicherung der Gerätekonfiguration durchgeführt.
  • Seite 211 Referenzhandbuch 3 LANCOM Management System (LCMS) Adresse Seriennummer Mit den folgenden regulären Ausdrücken können Sie auch Teile der Geräteinformation anzeigen lassen. Zahlen in eckigen Klammern, welche den Variablen folgen, bilden eine Teilinformation, wie etwa %N[5]. Es wird das n-te Zeichen aus dieser Variable expandiert. Mit einem Bindestrich wird eine Zeichenkette definiert, etwa %H[2-5].
  • Seite 212 Referenzhandbuch 3 LANCOM Management System (LCMS) Extras In diesem Dialog nehmen Sie zusätzliche Einstellungen vor. Neue Geräte einrichten Wenn diese Option markiert ist, startet LANconfig bei jedem gefundenen, aber noch nicht konfigurierten Gerät den Setup-Assistenten. Externe Programme Bestimmen Sie hier jeweils die Programmdatei des Telnet-Clients und des SSH-Clients, die LANconfig für Verbindungen zu den Geräten benutzen soll.
  • Seite 213 Referenzhandbuch 3 LANCOM Management System (LCMS) Update In diesem Dialog nehmen Sie die Einstellungen für das Automatische Update vor. Um das Update auf neue Firmwareversionen in den Geräten möglichst komfortabel zu gestalten, werden die Firmware-Dateien für die verschiedenen Modelle und LCOS-Versionen idealerweise in einem zentralen Archiv-Verzeichnis abgelegt.

  • Seite 214: Die Symbole Der Symbolleiste

    Referenzhandbuch 3 LANCOM Management System (LCMS) Weitere Informationen zum Umgang mit dem Assistenten sowie die Konfiguration von CC-Geräten erhalten Sie gesondert im "LANCOM CC Installation Guide". Diesen finden Sie zusammen mit dem "LANCOM CC Start-up Kit" auf www.lancom-systems.de Für Nicht-CC-Geräte ist dieser Assistent ohne Relevanz. Nach Updates suchen Software Update für Startet manuell die automatische Suche nach Online-Updates.

  • Seite 215: Das Kontextmenü In Lanconfig

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.5 Das Kontextmenü in LANconfig Das Kontextmenü in der Geräteansicht enthält die Funktionen, die Sie auch unter Menü Gerät finden. 3.1.6 LANconfig Tastaturbefehle Einfg Gerät hinzufügen Entf Gerät löschen Geräte suchen Alle Geräte prüfen Alt+F4 Beenden Strg+N...

  • Seite 216: Lanconfig Kommandozeilen-Parameter

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.1.7 LANconfig Kommandozeilen-Parameter Sie haben die Möglichkeit, LANconfig über die Windows-Kommandozeile mit bestimmten Optionen und Befehlen zu starten. Die Eingabe erfolgt gemäß der nachfolgend beschriebenen Syntax. Schrägstrich und Bindestrich werden als Parameter-Präfix unterstützt. Bei allen Parametern ist die Groß- und Kleinschreibung nicht relevant. Die Syntax sieht folgendermaßen aus: lanconf.exe [(-|/)<Option>[:<Value>]] [(-|/)<Command>[:<Value>]] In eckigen Klammern stehen die optionalen Parameter.

  • Seite 217: Autoupdate

    Referenzhandbuch 3 LANCOM Management System (LCMS) Close Beendet das Programm nach der Ausführung der noch ausstehenden Befehle. LANconfig startet nach der Ausführung der Befehle normal, es sei denn, eine andere Einstellung wird vorgenommen. Owner Übernimmt das Fenster mit Handle [hwndParent]. Optional wird es bei den Befehlen Print, PrintTo und AutoUpdate genutzt.

  • Seite 218: Unterschiedliche Schreibweisen Für Mac-Adressen

    Referenzhandbuch 3 LANCOM Management System (LCMS) Aktivieren Sie die Option Anzeigen neben dem Feld zur Eingabe des Passworts. Klicken Sie dann auf die Schaltfläche Passwort erzeugen, um einen Passwortvorschlag zu erzeugen. Klicken Sie optional auf den Pfeil neben der Schaltfläche Passwort erzeugen, um den Dialog für die Einstellungen der Passwort-Richtlinien zu öffnen.

  • Seite 219: Lanmonitor - Geräte Im Lan Überwachen

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.2 LANmonitor - Geräte im LAN überwachen Mit dem Überwachungstool LANmonitor lassen sich unter Windows-Betriebssystemen die wichtigsten Informationen über den Status aller Geräte im Netz bequem und strukturiert überwachen: Anzeige von Verbindungen und Schnittstellen Interface-Stati Übertragungsraten, Protokolle und IP-Adressen Fehlerstati...

  • Seite 220: Lanmonitor Starten

    Referenzhandbuch 3 LANCOM Management System (LCMS) das Auslesen von Geräteinformationen das SNMP-Protokoll, das vom Administrator für jedes Gerät individuell konfiguriert und eingeschränkt werden kann. 3.2.1 LANmonitor starten Starten Sie LANmonitor, z. B. mit einem Doppelklick auf das Desktop-Symbol. Sie können im LANmonitor das Startverhalten unter Extras > Optionen einstellen. Lesen Sie hierzu auch Optionen auf Seite 239.

  • Seite 221: Die Menüstruktur Im Lanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) IPv4 IPv6 Firewall-Ereignisanzeigen für sowie Syslog Accounting-Informationen 3.2.4 Die Menüstruktur im LANmonitor LANmonitor unterstützt den Administrator von umfangreichen Anwendungen mit einer Reihe von Funktionen, die das Überwachen von Geräten an verteilten Standorten erleichtern. Über die Menüleiste können Sie dabei Statusinformationen aus den Geräten abrufen, diese zurücksetzen oder weitere Analysen durchführen (z.
  • Seite 222 Referenzhandbuch 3 LANCOM Management System (LCMS) Anschluss IP/Name:: Geben Sie die IP-Adresse des Gerätes an. Sie können auch einen Domain-Namen (DN oder FQDN) oder einen NetBIOS-Namen angeben. Dieser Name wird bei jedem Zugriff überprüft. LANmonitor speichert und verwendet die dabei aufgelöste IP-Adresse. Sollte die Überprüfung einmal nicht möglich sein, greift LANmonitor auf die letzte erfolgreich aufgelöste IP-Adresse zurück.

  • Seite 223: Protokollierung

    Referenzhandbuch 3 LANCOM Management System (LCMS) Die Einstellungsmöglichkeiten sind äquivalent zu denen von LANconfig. Bitte entnehmen Sie die weitere Konfiguration dem Abschnitt Protokolle & Logins auf Seite 194. Ansicht Auf dieser Seite nehmen Sie darstellungsspezifische Einstellungen vor. Wenn Sie die Option Tooltips im Systray für dieses Gerät verbergen aktivieren, zeigt LANmonitor keine Tooltips für dieses Gerät im Systray an.
  • Seite 224 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte suchen Über diesen Menüpunkt starten Sie die automatische Suche nach neuen Geräten, um Sie der Geräteübersicht hinzuzufügen. Wählen Sie aus, wo nach Geräten gesucht werden soll: Im lokalen Netz In einem entfernten Netz Wenn Sie ein entferntes Netz durchsuchen wollen, müssen Sie die Adresse des Netzwerkes und die zugehörige Netzmaske angeben.
  • Seite 225 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräte erweitern Erweitert die Ansicht der Geräte in der Liste, das Gegenteil ist die reduzierte Ansicht . Die erweiterte Ansicht sieht folgendermaßen aus: Geräte reduzieren Reduziert die Ansicht der Geräte in der Liste, das Gegenteil ist die erweiterte Ansicht .
  • Seite 226 Referenzhandbuch 3 LANCOM Management System (LCMS) Name Name der Gegenstelle Status Status der Verbindung (z. B. Verbunden oder Nicht Verbunden) Letzter Fehler Zuletzt aufgetretener Fehler Haltezeit Für diese Verbindung festgelegte Haltezeit. Die Haltezeit gibt an, nach wieviel Sekunden das Gerät die Verbindung zur Gegenstelle trennt, wenn in dieser Zeit keine Daten mehr übertragen worden sind.
  • Seite 227 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräteaktivitäten anzeigen Sie können sich die Geräteaktivitäten von einem bestimmten Gerät anzeigen lassen. Mit dem Aktivitätsprotokoll werden die Aktivitäten auf WAN-, WLAN-, VPN-, LANCAPI- und a/b-Port-Verbindungen sowie der Firewall protokolliert. Dabei werden folgenden Detailinformationen erfasst: Index, Datum, Uhrzeit, Quelle und Meldung. Das Aktivitätsprotokoll wird fortlaufend aktualisiert.
  • Seite 228 Referenzhandbuch 3 LANCOM Management System (LCMS) Auf der Registerkarte Erweitert legen Sie zusätzlich fest, ob LANmonitor die aufgezeichneten Daten in einer Datei speichert. Unter Gerät > Eigenschaften > Protokollierung können Sie die Protokolldatei genauer definieren. Syslog anzeigen Sie können sich den Syslog von einem bestimmten Gerät anzeigen lassen. Dabei werden folgende Detailinformationen erfasst: Zeit Datum Uhrzeit des Syslog-Eintrags...
  • Seite 229 Referenzhandbuch 3 LANCOM Management System (LCMS) Meldung Details der Syslog-Meldung Unter dem Menüpunkt Syslog finden Sie folgende Funktionen: Aktualisieren: Aktualisiert die angezeigten Angaben. Syslog speichern: Speichert die angezeigte Syslog-Ausgabe an einem Ort Ihrer Wahl in einem geeigneten Dateiformat (*.lsl). Syslog laden: Lädt eine gespeicherte Syslog-Datei. Schließen: Schließt dieses Informationsfenster.
  • Seite 230 Referenzhandbuch 3 LANCOM Management System (LCMS) Aktualisieren: Aktualisiert die angezeigten Angaben. Schließen: Schließt dieses Informationsfenster. Unter dem Menüpunkt Ansicht finden Sie folgende Funktionen: Immer im Vordergrund: Das Fenster ist immer im Vordergrund. IPv4-Firewall-Ereignisse anzeigen Sie können sich die Firewall-Ereignisse von einem bestimmten Gerät anzeigen lassen. Mit der Firewall-Ereignisanzeige werden die letzten 100 Aktionen der Firewall protokolliert.

  • Seite 231: Mac-Adresse

    Referenzhandbuch 3 LANCOM Management System (LCMS) Aktualisieren: Aktualisiert die angezeigten Angaben. Schließen: Schließt dieses Informationsfenster. Unter dem Menüpunkt Ansicht finden Sie folgende Funktionen: Immer im Vordergrund: Das Fenster ist immer im Vordergrund. DHCP-Tabelle anzeigen Sie können sich die DHCP-Tabelle von einem bestimmten Gerät anzeigen lassen. Dabei werden folgende Detailinformationen erfasst: IP-Adresse IP-Adresse des lokalen Netzwerkgerätes...
  • Seite 232 Referenzhandbuch 3 LANCOM Management System (LCMS) Unter dem Menüpunkt Accounting finden Sie folgende Funktionen: Aktualisieren: Aktualisiert die angezeigten Angaben. Schließen: Schließt dieses Informationsfenster. Unter dem Menüpunkt Ansicht finden Sie folgende Funktionen: Immer im Vordergrund: Das Fenster ist immer im Vordergrund. Accounting-Informationen anzeigen Sie können sich die Accounting-Informationen von einem bestimmten Gerät anzeigen lassen.
  • Seite 233 Referenzhandbuch 3 LANCOM Management System (LCMS) Volumen-Budget-Archiv anzeigen Zeigt das Volumen-Budget-Archiv aller WAN-Schnittstellen an. Zeit- und Gebührenlimits zurücksetzen Hier können Sie das Zeit- und Gebührenlimit des markierten Geräts auf Null zurücksetzen. Damit beginnt die Zeit-/Gebührenzählung erneut, auch wenn der nächste Zeitrahmen zur Limitierung nicht erreicht ist. Ping Mit dem LANmonitor haben Sie die Möglichkeit, die Qualität der Verbindung zu Gegenstellen in LAN, WAN oder WLAN zu prüfen.
  • Seite 234 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Abstände zwischen zwei Pings können nicht kleiner sein als die Paketlaufzeit, d. h. vor Versenden eines Pings muss der vorherige Ping beantwortet oder der Ping-Timeout abgelaufen sein. Ping-Timeout: Wartezeit für die Antwort auf den Ping in [ms]. Wenn nach Ablauf der Wartezeit keine Antwort empfangen wurde, wird das Paket als verloren gewertet.
  • Seite 235 Referenzhandbuch 3 LANCOM Management System (LCMS) Nur LANCOM Access Points der Serie L-4xx, der Serie L-32x Serie sowie Modelle der 178x-Serie mit WLAN unterstützen die Funktion "Spectral Scan". Punkt-zu-Punkt WLAN-Antennen einrichten Wenn es sich bei dem ausgewählten Gerät um ein WLAN-Gerät handelt, können Sie die Punkt-zu-Punkt WLAN-Antennen einrichten.

  • Seite 236: Konfigurieren

    Referenzhandbuch 3 LANCOM Management System (LCMS) Der P2P-Dialog zeigt nach dem Start der Signalüberwachung jeweils die absoluten Werte für die aktuelle Signalstärke sowie den Maximalwert seit dem Start der Messung. Zusätzlich wird der zeitliche Verlauf mit dem Maximalwert in einem Diagramm angezeigt.
  • Seite 237 Referenzhandbuch 3 LANCOM Management System (LCMS) Kategorien-Informationen laden: Lädt gespeicherte Kategorien-Informationen aus einer Datei. Schließen: Schließt dieses Informationsfenster. Unter dem Menüpunkt Ansicht finden Sie folgende Funktionen: Immer im Vordergrund: Das Fenster ist immer im Vordergrund. Content-Filter-Kategorien (Aktuell): Zeigt den aktuellen Status der Content-Filter-Kategorien. Content-Filter-Kategorien (Last-Snapshot): Zeigt den Status der Content-Filter-Kategorien beim letzten Schnappschuss.
  • Seite 238 Referenzhandbuch 3 LANCOM Management System (LCMS) Unter Verbindungen trennen, wenn das Programm beendet wird stellen Sie ein, ob LANmonitor bestehende Verbindungen des Gerätes zu Gegenstellen beim Beenden trennen soll. Immer: LANmonitor trennt die Verbindungen stets ohne Rückfrage. Nach Rückfrage: LANmonitor trennt Verbindungen nur nach vorangehender Bestätigung durch den Benutzer. Nie: LANmonitor trennt die Verbindungen nicht.
  • Seite 239 Referenzhandbuch 3 LANCOM Management System (LCMS) Geräteprotokoll-Datei anzeigen Öffnet die Sicherung eines Aktivitäten-Protokolls zur Ansicht. Lesen Sie dazu auch Geräteaktivitäten anzeigen auf Seite 227. Accounting-Datei anzeigen Hier können Sie eine Accounting-Datei laden. Lesen Sie dazu auch Accounting-Informationen anzeigen auf Seite 232. Syslog-Datei anzeigen Syslog anzeigen Hier können Sie eine Syslog-Datei laden.

  • Seite 240: Die Symbolleiste Im Lanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.2.5 Die Symbolleiste im LANmonitor Die Symbolleiste im LANmonitor beinhaltet die folgenden Funktionen: Gerät hinzufügen Geräte suchen Gerät entfernen Geräte reduzieren Geräte erweitern Accounting-Informationen anzeigen IPv4-Firewall-Ereignisse anzeigen VPN-Verbindungen anzeigen Geräteaktivitäten anzeigen Ping Trace-Ausgabe erstellen Spectral Scan anzeigen LANmonitor (temporär) starten WLANmonitor starten...

  • Seite 241: Anwendungskonzepte Für Lanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.2.8 Anwendungskonzepte für LANmonitor In diesem Abschnitt finden Sie verschiedene Anwendungskonzepte für LANmonitor. Performance Monitoring im LANmonitor LANmonitor ist dazu in der Lage, verschiedene Kenngrößen eines Gerätes aufzuzeichnen und diese in Form einer Verlaufskurve graphisch darzustellen. Hierzu gehören u. a.: Sende- und Empfangsrate für WAN-Verbindungen Sende- und Empfangsrate für Point-to-Point-Verbindungen Empfangssignalstärke für Point-to-Point-Verbindungen...

  • Seite 242: Internet-Verbindung Kontrollieren

    Referenzhandbuch 3 LANCOM Management System (LCMS) Daraufhin öffnet sich ein weiteres Fenster, welches den zeitlichen Verlauf der Kenngröße dargestellt. Indem Sie mit der linken Maustaste im aktuellen Graph eine Periode markieren, bekommen Sie deren Werte in der Statistik separat angezeigt. Bitte beachten Sie, dass die angezeigte Werte gelöscht werden, sobald der Dialog geschlossen wird.
  • Seite 243 Referenzhandbuch 3 LANCOM Management System (LCMS) Sobald die Verbindung hergestellt ist, zeigt der Kommunikationskanal durch das Pluszeichen vor dem Eintrag an, dass zu diesem Kanal weitere Informationen vorliegen. Durch Klicken auf das Pluszeichen oder Doppelklick auf einen entsprechenden Eintrag öffnen Sie eine baumartige Struktur, in der Sie verschiedene Informationen ablesen können. In diesem Beispiel können Sie aus den Protokoll-Informationen zum PPP ablesen, welche IP-Adresse der Provider Ihrem Router für die Dauer der Verbindung zugewiesen hat und welche Adressen für DNS- und NBNS-Server übermittelt wurden.

  • Seite 244: Aktuelles Protokoll Für Das Adsl-Interface Anzeigen

    Referenzhandbuch 3 LANCOM Management System (LCMS) Aktuelles Protokoll für das ADSL-Interface anzeigen LANmonitor zeigt für Geräte mit integriertem ADSL-Modem den aktuell verwendeten ADSL-Standard in den System-Informationen an. Wechseln Sie dazu in den Zweig Schnittstellen und wählen Sie ADSL-Modem. Anzeige der GPS-Zeit LANmonitor bietet Ihnen ab LCOS-Version 8.80 die Möglichkeit, die aus dem GPS-Netz empfangene Zeit anzuzeigen.

  • Seite 245: Passwortschutz Für Snmp-Lesezugriff

    Referenzhandbuch 3 LANCOM Management System (LCMS) Abfrage der CPU- und Speicherauslastung über SNMP LANmonitor bietet Ihnen die Möglichkeit, die CPU- und Speicherauslastung eines Gerätes über SNMP abzufragen und anzuzeigen. Öffnen Sie dazu den Menübaum eines Gerätes, wechseln Sie in die System-Informationen und öffnen den Zweig Gerät: ….
  • Seite 246 Referenzhandbuch 3 LANCOM Management System (LCMS) Zudem bietet der WLANmonitor die Möglichkeit, Access Points zu Gruppen zusammenzufassen. Solche Gruppen können z. B. Etagen, Abteilungen oder Standorte umfassen. Dies erleichtert gerade bei großen WLAN-Infrastrukturen den Überblick über das gesamte Netzwerk. Die Programmoberfläche von WLANmonitor ist in drei Spalten unterteilt: In der linken Spalte (Gruppen) finden Sie eine Reihe vordefinierter die Gruppen-Ordner, in die WLANmonitor die verschiedenen Gerätetypen automatisch kategorisiert.

  • Seite 247: Wlanmonitor Starten

    Referenzhandbuch 3 LANCOM Management System (LCMS) Signalstärke der Verbindung Name des Access-Points, auf dem der Client eingeloggt ist Bezeichnung des WLAN-Netzes (SSID) Für die Funkverbindung verwendetes Verschlüsselungsverfahren WPA-Version (WPA-1 oder WPA-2) Übertragungsrate beim Senden (TX-Rate) Übertragungsrate beim Empfangen (RX-Rate) Letzter Fehler, der im Zusammenhang mit dem Client aufgetreten ist IP-Adresse des WLAN-Clients Sofern Sie keinen Access Point angewählt haben oder der betreffende Access Point über keinerlei Clients verfügt, zeigt Ihnen LANmonitor in der Client-Übersicht stattdessen sämtliche vorhandenen Clients an.
  • Seite 248 Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue Clients sind Rechner mit WLAN-Adapter in Reichweite des eigenen WLANs, die sich bei einem der Access Points einzubuchen versuchen, um z. B. die Internetverbindung mit zu nutzen oder Zugang zu geschützten Bereichen des Netzwerks zu erhalten. Rogue APs sind Access Points, die z.
  • Seite 249 Referenzhandbuch 3 LANCOM Management System (LCMS) Sie haben die Möglichkeit, die gefundenen WLANs je nach Status in eine entsprechenden Gruppe verschieben. Innerhalb der einzelnen Gruppen legen Sie über das Kontextmenü (rechte Maustaste) eigene Gruppen an, mit Ausnahme der Gruppe Alle APs. Die Gruppe "Rogue Client Detection"...

  • Seite 250: Die Menüstruktur Im Wlanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) Sie können die gefundenen Clients je nach Status in eine entsprechenden Gruppe verschieben. Innerhalb der einzelnen Gruppen können Sie über das Kontextmenü (rechte Maustaste) eigene Gruppen anlegen, mit Ausnahme der Gruppe Alle Clients. 3.3.4 Die Menüstruktur im WLANmonitor Über die Menüleiste verwalten Sie WLAN-Geräte und deren Konfigurationen, und passen sowohl das Aussehen als auch die Funktionsweise von WLANmonitor an.

  • Seite 251: Access-Point

    Referenzhandbuch 3 LANCOM Management System (LCMS) und so eine Struktur aufbauen. Die bei der Suche gefundenen Access-Points befinden sich jeweils in der aktuell ausgewählten Gruppe im Gruppen-Baum. Die bereits erkannten Access Points können Sie per Drag and Drop in die gewünschte Gruppe ziehen. Um die Zuordnung von Access-Points und Clients zu erleichtern, können Sie ein Gerät mit der Maus markieren.

  • Seite 252: Aktualisieren

    Referenzhandbuch 3 LANCOM Management System (LCMS) Access Point suchen Über diesen Menüpunkt starten Sie die automatische Suche nach verfügbaren Access Points im Netz. Wählen Sie aus, wo nach Geräten gesucht werden soll: Im lokalen Netz In einem entfernten Netz Wenn Sie ein entferntes Netz durchsuchen wollen, müssen Sie die Adresse des Netzwerkes und die zugehörige Netzmaske angeben.
  • Seite 253 Referenzhandbuch 3 LANCOM Management System (LCMS) erkannt hat. Die dazugehörigen Einstellungsmöglichkeiten sind mit denen von LANmonitor unter Datei > Gerät hinzufügen > Allgemein identisch (siehe Allgemein auf Seite 182). Wenn Sie Benutzernamen und Passwort dauerhaft speichern, erhält jeder Nutzer Zugang zu dem Gerät, der auch WLANmonitor ausführen darf.
  • Seite 254 Referenzhandbuch 3 LANCOM Management System (LCMS) Wenn Sie Benutzernamen und Passwort dauerhaft speichern, erhält jeder Nutzer Zugang zu dem Gerät, der auch WLANmonitor ausführen darf. Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der WLANmonitor-Bedienoberfläche an. Symbol im Systray anzeigen Zeigt das Symbol im Systray an.

  • Seite 255: Statusleiste

    Referenzhandbuch 3 LANCOM Management System (LCMS) Fenster horizontal ausrichten Richtet das Fenster horizontal aus, d. h. die Listen für Access Points und Clients werden untereinander dargestellt. Zeilen markieren/ filtern Mit dieser Option filtern Sie die Liste der angezeigten Access Points oder Clients. Markieren Sie eine Access Point und rufen Sie die Option Ansicht >...
  • Seite 256 Referenzhandbuch 3 LANCOM Management System (LCMS) Optionen Unter diesem Menüpunkt nehmen Sie die programmbezogenen Einstellungen für WLANmonitor vor. Allgemein In diesem Dialog nehmen Sie die allgemeinen Einstellungen zum Programm vor. Windows-Systemstart WLANmonitor kann beim Start des Betriebssystems automatisch geladen werden. Folgende Windows-Systemstart-Arten stehen Ihnen zur Verfügung: WLANmonitor nie starten Die Anwendung startet nicht automatisch mit dem Betriebssystem, sondern muss manuell gestartet...

  • Seite 257: E-Mail-Benachrichtigung

    Referenzhandbuch 3 LANCOM Management System (LCMS) Diese Einstellung ist nur in Windows-Versionen bis XP vorhanden. Ab Vista übernimmt WLANmonitor die Spracheinstellungen aus LANconfig. E-Mail-Benachrichtigung In diesem Dialog nehmen Sie Einstellungen zur Alarmierungsfunktion im WLANmonitor vor. Der WLANmonitor kann den Administrator automatisch per E-Mail informieren, wenn ein unbekannter oder unkonfigurierter Access Point entdeckt wird.
  • Seite 258 Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue AP Detection In diesem Dialog nehmen Sie Einstellungen zur "Rogue AP Detection" vor. Weitere Informationen zu dieser Funktion Rogue-Detection-Funktion finden Sie im Kapitel auf Seite 247. Der Dialog bietet Ihnen folgende Einstellungsmöglichkeiten: Rogue AP Detection aktiviert: Aktiviert die automatische Suche nach Rogue Access Points. Alte Einträge automatisch entfernen: Wenn aktiviert, entfernt WLANmonitor automatisch Einträge zu Access Points aus den Gruppen, deren Sichtung länger zurückliegt als die unter Timeout angegebenen Tage.

  • Seite 259: Die Symbolleiste Im Wlanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue Client Detection In diesem Dialog nehmen Sie Einstellungen zur "Rogue Client Detection" vor. Weitere Informationen zu dieser Funktion Rogue-Detection-Funktion finden Sie im Kapitel auf Seite 247. Der Dialog bietet Ihnen folgende Einstellungsmöglichkeiten: Rogue Client Detection aktiviert: Aktiviert die automatische Suche nach Rogue Client. Alte Einträge automatisch entfernen: Wenn aktiviert, entfernt WLANmonitor automatisch Einträge zu Access Points aus den Gruppen, deren Sichtung länger zurückliegt als die unter Timeout angegebenen Tage.

  • Seite 260: Das Kontextmenü Im Wlanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) Gerät entfernen Fenster vertikal ausrichten Fenster horizontal ausrichten Zeilen markieren/ filtern LANmonitor starten Fenster in den Systray minimieren QuickFinder Unter Ansicht > Symbolleiste blenden Sie die Symbolleiste ein- oder aus. 3.3.6 Das Kontextmenü im WLANmonitor Wenn Sie mit der rechten Maustaste auf eine Gerät im WLANmonitor klicken, dann öffnet sich das Kontextmenü.

  • Seite 261: Lantracer - Tracen Mit Lanconfig Und Lanmonitor

    Referenzhandbuch 3 LANCOM Management System (LCMS) Rogue-AP-Detection eingesetzt. Ohne die Aktivierung des Background Scans ist z. B. die Rogue Detection im WLANmonitor auf die Erkennung von Rogue Clients beschränkt. Zur Konfiguration des Background Scans definieren Sie eine Zeit, innerhalb der alle verfügbaren WLAN-Kanäle einmal auf die empfangenen Beacons hin gescannt werden.

  • Seite 262: Lantracer Starten

    Referenzhandbuch 3 LANCOM Management System (LCMS) eines Gerätes erzeugt. Auch Trace-Ergebnisse lassen sich komfortabel in einer Datei speichern, um sie an den Techniker zur Auswertung zurückzugeben. 3.4.1 LANtracer starten Die Ausgabe von Traces kann sehr komfortabel über LANconfig oder LANmonitor vorgenommen werden. Um das Trace-Fenster für ein Gerät zu öffnen, klicken Sie mit der rechten Maustaste auf den Eintrag des Gerätes und wählen im Kontext-Menü...

  • Seite 263: Experten-Konfiguration Der Trace-Ausgaben

    Referenzhandbuch 3 LANCOM Management System (LCMS) Zum Starten des Assistenten klicken Sie im linken Fensterteil von LANtracer auf Begleitete Konfiguration > Assistent starten und navigieren weiter zur Problemauswahl. Experten-Konfiguration der Trace-Ausgaben Über die Einstellungen des Assistenten Begleitete Konfiguration hinaus können Sie – mit Hilfe der Experten-Konfiguration –...
  • Seite 264 Referenzhandbuch 3 LANCOM Management System (LCMS) Die Einstellungen der Show-Kommandos werden zusammen mit den eigentlichen Trace-Einstellungen in der Trace-Konfiguration gespeichert. Status Über die Kommandozeile (Telnet) oder über WEBconfig können Sie umfangreiche Statusinformationen und Statistiken über ein Gerät abfragen. Alle verfügbaren Status-Informationen lassen sich aber auch über den Trace-Dialog einsehen. Klicken Sie im linken Bereich des Trace-Dialogs auf den Namen eines Status-Eintrags, um den aktuellen Inhalt der Tabelle bzw.

  • Seite 265: Trace-Ausgabe Filtern

    Referenzhandbuch 3 LANCOM Management System (LCMS) Die Einstellungen der Status-Informationen werden zusammen mit den eigentlichen Trace-Einstellungen in der Trace-Konfiguration gespeichert. Äquivalent dazu wird die Ausgabe der Status-Informationen zusammen mit den eigentlichen Trace-Daten gespeichert. Trace-Einstellungen Im Bereich der Trace-Einstellungen können Sie jene Traces aktivieren, die für das aktuelle Gerät ausgegeben werden sollen.
  • Seite 266 Referenzhandbuch 3 LANCOM Management System (LCMS) Im folgenden Beispiel aktiviert der Administrator einen einfachen IP-Router-Trace auf einem Gerät mit drei Internetanbindungen und verschickt Pings an verschiedene Ziele. Die ungefilterte Trace-Ausgabe zeigt alle Pakete, die der IP-Router des Gerätes verarbeitet: root@MyDevice:/ >...
  • Seite 267 Referenzhandbuch 3 LANCOM Management System (LCMS) [IP-Router] 2010/12/20 17:11:07,430 IP-Router Rx (INTERNET3, RtgTag: 3): DstIP: 192.168.3.100, SrcIP: 4.4.4.1, Len: 84, DSCP/TOS: 0x00 Prot.: ICMP (1), echo reply, id: 0x0015, seq: 0x1cdf Route: LAN-1 Tx (INTRANET3): [IP-Router] 2010/12/20 17:11:07,600 IP-Router Rx (LAN-1, INTRANET2, RtgTag: 2): DstIP: 3.3.3.1, SrcIP: 192.168.2.100, Len: 84, DSCP/TOS: 0x00 Prot.: ICMP (1), echo request, id: 0x0014, seq: 0x1ceb Route: WAN Tx (INTERNET2)
  • Seite 268 Referenzhandbuch 3 LANCOM Management System (LCMS) Leerzeichen: Ein Leerzeichen vor einem Suchbegriff stellt eine logische ODER-Verknüpfung dar. Die Trace-Ausgabe wird nur dann angezeigt, wenn sie eine der so markierten Zeichenketten enthält. +: Ein Pluszeichen vor einem Suchbegriff stellt eine logische UND-Verknüpfung dar. Die Trace-Ausgabe wird nur dann angezeigt, wenn sie alle der so markierten Zeichenketten enthält.

  • Seite 269: Anzeige Der Trace-Ergebnisse

    Referenzhandbuch 3 LANCOM Management System (LCMS) -->ICMP Header Msg : echo reply Checksum : 18796 (OK) Body : 00 00 00 02 00 00 26 54 ..7e c9 6d 8c 00 00 00 00 ~.m..00 01 02 03 04 05 06 07 ..08 09 0a 0b 0c 0d 0e 0f ..
  • Seite 270 Referenzhandbuch 3 LANCOM Management System (LCMS) 2. Laden Sie in den noch leeren Ansichtsbereich die Datei mit den aktuell oder zu einem früheren Zeitpunkt erfassten Trace-Daten. 3. Starten Sie die Synchronisation der beiden Traces anhand des Zeitstempels mit der Schaltfläche .

  • Seite 271: Backup-Einstellungen Für Die Traces

    Referenzhandbuch 3 LANCOM Management System (LCMS) nach verschiedenen Schlüsselbegriffen im jeweils der zuletzt geöffneten Fester, um die Trefferliste immer weiter zu verfeinern. Um eine Suchanfrage wieder zu verallgemeinern bzw. einen Suchschritt zurückzugehen, schließen Sie einfach die jeweils zuletzt geöffnete Ergebnisansicht und kehren so zur vorangehenden Ergebnisansicht zurück. Suchen Mehr zu den Einstellungsmöglichkeiten im Suchen-Dialog finden Sie im Kapitel auf Seite 273.

  • Seite 272: Konfigurationsdatei Für Den Support Ausspielen

    Referenzhandbuch 3 LANCOM Management System (LCMS) Show-Befehle – werden beim Ladevorgang übersprungen. LANtracer gibt Ihnen allerdings eine Warnmeldung aus, welche die vom Zielgerät nicht unterstützten Bestandteile einer Tracekonfiguration auflistet. Konfigurationsdatei für den Support ausspielen LANtracer bietet Ihnen die Möglichkeit, eine spezielle Konfigurationsdatei zu erstellen, um Sie zur Fehlerdiagnose oder weiteren Unterstützung an den Support weiterzugeben.
  • Seite 273 Referenzhandbuch 3 LANCOM Management System (LCMS) Eine Support-Konfigurationsdatei beeinhaltet die aktuelle Konfiguration und zusätzliche Informationen über das Gerät. Da diese Datei für den technischen Support bestimmt ist und somit Ihre Hände verlässt, können Sie in den Einstellungen für die Support-Konfigurationsdatei bei Bedarf sensible Bereiche der Konfiguration ausblenden.
  • Seite 274 Referenzhandbuch 3 LANCOM Management System (LCMS) Ansicht Unter diesem Menüpunkt passen Sie das Verhalten der LANtracer-Bedienoberfläche an. Trace-Ergebnisse Wechselt in den Modus zur Anzeige der Trace-Ergebnisse Trace-Erg. Doppelansicht Wechselt in den Modus zur geteilten Anzeige der Trace-Ergebnisse in zwei parallelen Fenstern (Doppelansicht). Konfiguration Wechselt in den Modus zur Konfiguration der Trace-Ausgabe.

  • Seite 275: Gerätezeit

    Referenzhandbuch 3 LANCOM Management System (LCMS) Tracedaten Beim Starten eines Traces über LANconfig oder LANmonitor wird automatisch eine Backup-Datei mit den aktuellen Trace-Daten gespeichert. Die Einstellungen für das Trace-Backup nehmen Sie im Abschnitt Tracedaten vor. Geben Sie … die maximale Größe einer Trace-Backup-Datei (in Megabyte) an. Wenn diese Größe mit einem aktiven Trace erreicht wird, wird automatisch eine weitere Trace-Backup-Datei angelegt.
  • Seite 276 Referenzhandbuch 3 LANCOM Management System (LCMS) Ausblenden von kritischen VoIP-Einstellungen Dialog oder Tabelle Bezeichner SNMP-ID VoIP-Call-Manager > … > SIP-Benutzer Passwort 2.33.3.1.1.3 VoIP-Call-Manager > … > ISDN-Benutzer Passwort 2.33.3.2.2.6 VoIP-Call-Manager > … > Analog-Benutzer Passwort 2.33.3.3.2.5 VoIP-Call-Manager > … > SIP-Leitungen Passwort 2.33.4.1.1.6 VoIP-Call-Manager >...

  • Seite 277: Die Symbolleiste Im Lantracer

    Referenzhandbuch 3 LANCOM Management System (LCMS) Dialog oder Tabelle Bezeichner SNMP-ID Kommunikation > … > Aktions-Tabelle Aktion 2.2.25.6 Management > … > Weitere Administratoren Passwort 2.11.21.2 Bedenken Sie, dass das Ausblenden von sensiblen Bereichen der Konfiguration die Fehleranalyse durch den Support erschweren kann.

  • Seite 278: Das Kontextmenü In Lantracer

    Referenzhandbuch 3 LANCOM Management System (LCMS) 3.4.5 Das Kontextmenü in LANtracer Das Kontextmenü ist nur in der Ergebnisansicht verfügbar. Darin haben Sie die Möglichkeit, einzelne Trace-Kategorien auszublenden und so die angezeigten Ergebnisse grob zu filtern, oder den Fensterinhalt komplett zu leeren. 3.4.6 LANtracer Tastaturbefehle Alt+L Tracedaten laden...

  • Seite 279: Diagnose

    Referenzhandbuch 4 Diagnose 4 Diagnose 4.1 Trace-Ausgaben – Infos für Profis Zur Kontrolle der internen Abläufe im Router während oder nach der Konfiguration bieten sich die Trace-Ausgaben an. Durch einen solchen Trace werden z. B. die einzelnen Schritte bei der Verhandlung des PPPs angezeigt. Erfahrene Anwender können durch die Interpretation dieser Ausgaben evtl.
  • Seite 280 Referenzhandbuch 4 Diagnose Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: IPX Service Advertising Protocol IPX-Watchdog-Spoofing IPX-Watchdog SPX-Watchdog-Spoofing SPX-Watchdog Least-Cost-Router Script-Verhandlung Script IPX Routing Information Protocol IPX-RIP Zeigt die Aktionen der Firewall Firewall IP Routing Information Protocol Address Resolution Protocol Internet Control Message Protocol ICMP...
  • Seite 281 Referenzhandbuch 4 Diagnose Dieser Parameter ..ruft beim Trace die folgende Anzeige hervor: Status-Meldungen über MAC-Filterregeln. WLAN-ACL Die Anzeige ist abhängig von der Konfiguration des WLAN-Data-Trace. Ist dort eine MAC-Adresse vorgegeben, zeigt der Trace nur die Filterergebnisse an, die diese spezielle MAC-Adresse betreffen. Trace zum Inter Access Point Protocol, zeigt Informationen über das WLAN-Roaming.
  • Seite 282 Referenzhandbuch 4 Diagnose andere Trace-MAC Für den WLAN-Data-Trace lässt sich die Ausgabe von Tracemeldungen auf einen bestimmten Client mit der hier eingetragenen WLAN-MAC-Adresse einstellen. Mögliche Werte: max. 12 hexadezimale Zeichen aus 0123456789abcdef Default: 000000000000 Besondere Werte: 000000000000: Deaktiviert diese Funktion und gibt die Tracemeldungen von allen Clients aus. Dieser Filter wirkt für die Traces WLAN-DATA, WLAN-STRENGTH und WLAN-AGGREGATION, jedoch nicht für WLAN-STATUS.

  • Seite 283: Kombinationsbefehle

    Referenzhandbuch 4 Diagnose Control Daten EAPOL Alle Default: Alle Trace-Stufe Für den WLAN-Data-Trace lässt sich die Ausgabe von Tracemeldungen auf einen bestimmten Inhalt beschränken. Der hier eingetragene Wert schränkt die Pakete im WLAN-DATA-Trace bis zur entsprechenden Stufe ein. Mögliche Werte: 0 bis 255 Besondere Werte: 0: nur die Meldung, dass ein Paket überhaupt empfangen/gesendet wurde...

  • Seite 284: Beispiele Für Die Traces

    Referenzhandbuch 4 Diagnose Operator Beschreibung (Leerzeichen) ODER-Verknüpfung: Der Filter passt dann, wenn einer der Operanden in der Trace-Ausgabe vorkommt UND-Verknüpfung: Der Filter passt dann, wenn der Operand in der Trace-Ausgabe vorkommt Nicht-Verknüpfung: Der Filter passt dann, wenn der Operand nicht in der Trace-Ausgabe vorkommt "...

  • Seite 285: Tracen Mit Dem Lanmonitor

    Referenzhandbuch 4 Diagnose Öffnen Sie bitte HyperTerminal unter Start / Programme / Zubehör / Kommunikation / Hyper Terminal. Als Name geben Sie einen beliebigen Namen ein. Wählen Sie im Fenster 'Verbinden mit' im Pulldown-Menü 'Verbindung herstellen über' den Eintrag 'TCP/IP'. Geben Sie anschließend als 'Hostadresse' die lokale/öffentliche IP-Adresse oder den FQDN des Gerätes ein.

  • Seite 286: Datenpakete Aufzeichnen Und Analysieren

    Referenzhandbuch 4 Diagnose Das neue Feature finden Sie unter Extras > Paket-Capturing. Nach dem Festlegen der Parameter und einem Klick auf Los! erzeugen Sie eine extern zu speichernde Datei, die Sie z. B. mit Wireshark öffnen können. Ab LCOS 9.00 stehen Ihnen für das Paket-Capturing im WLAN verschiedene Formate zur Auswahl, unter denen das Gerät die aufgezeichnete Paketdaten speichern kann.

  • Seite 287: Schnittstellen-Auswahl

    Referenzhandbuch 4 Diagnose Für die Spezifizierung der Ausgabe-Datei stehen Ihnen folgende allgemeine Menüpunkte zur Verfügung: Schnittstellen-Auswahl Mit diesem Auswahlmenü bestimmen Sie die Schnittstelle, deren Datenpakete aufgezeichnet werden. Beacons auf WLAN-* mitschneiden Aktivieren Sie diese Option, um neben den Datenpakete auch die Beacon-Informationen aufzuzeichnen, wenn die ausgewählte Schnittstelle eine WLAN-Schnittstelle ist.
  • Seite 288 Referenzhandbuch 4 Diagnose Interface des Gerätes, dessen Daten LCOSCAP erfasst. Wenn sie den Parameter -i auslassen, gibt LCOSCAP die Interface-Liste des Gerätes aus. Schalter, der die Beacons des Datenverkehrs mit einbezieht (ausschließlich für WLAN). Schalter, der die 802.11-Header mit einbezieht, allerdings ohne Payload (ausschließlich für WLAN). Gibt die maximale Größe der Capture-Datei an.

  • Seite 289: Das Syslog-Modul

    Referenzhandbuch 4 Diagnose 4.5 Das SYSLOG-Modul Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf das Gerät protokollieren zu lassen. Diese Funktion ist insbesondere für Systemadministratoren interessant, da sie die Möglichkeit bietet, eine lückenlose Historie aller Aktivitäten aufzeichnen zu lassen. Um die SYSLOG-Nachrichten empfangen zu können, benötigen Sie einen entsprechenden SYSLOG-Client bzw. -Dämon. Unter UNIX/Linux erfolgt die Protokollierung durch den in der Regel standardmäßig eingerichteten SYSLOG-Dämon.

  • Seite 290: Aufbau Der Syslog-Nachrichten

    Referenzhandbuch 4 Diagnose Die SYSLOG-Meldungen werden nur dann in den geräteinternen Speicher geschrieben, wenn das Gerät als SYSLOG-Client mit der Loopback-Adresse 127.0.0.1 eingetragen wurde. Alternativ können Sie die aktuellen SYSLOG-Meldungen auf der Startseite von WEBconfig auf der Registerkarte Syslog einsehen: 4.5.2 Aufbau der SYSLOG-Nachrichten Die SYSLOG-Nachrichten bestehen aus drei Teilen: Priorität...
  • Seite 291 Referenzhandbuch 4 Diagnose Priorität Bedeutung SYSLOG-Severity Alarm Hierunter werden alle Meldungen zusammengefasst, die der erhöhten PANIC, ALERT, CRIT Aufmerksamkeit des Administrators bedürfen. Fehler Auf diesem Level werden alle Fehlermeldungen übermittelt, die auch im ERROR Normalbetrieb auftreten können, ohne dass ein Eingriff des Administrators notwendig wird (z.

  • Seite 292: Konfiguration Von Syslog Über Lanconfig

    Referenzhandbuch 4 Diagnose 4.5.3 Konfiguration von SYSLOG über LANconfig Die Parameter zur Konfiguration von SYSLOG finden Sie bei LANconfig im Konfigurationsbereich unter Meldungen > Allgemein im Abschnitt SYSLOG. Anlegen von SYSLOG-Clients 1. Klicken Sie in der LANconfig-Konfiguration unter Meldungen > Allgemein im Abschnitt SYSLOG auf SYSLOG-Server und anschließend auf Hinzufügen bzw.
  • Seite 293 Referenzhandbuch 4 Diagnose Die Tabelle der SYSLOG-Clients ist im Auslieferungszustand mit sinnvollen Einstellungen vorbelegt, um wichtige Ereignisse für die Diagnose im internen SYSLOG-Speicher abzulegen. Diese Einstellungen entsprechen den Vorgaben aus der UNIX-Welt, aus der SYSLOG ursprünglich kommt. Der folgende Screenshot zeigt diese vordefinierten SYSLOG-Clients unter LANconfig: Die folgende Tabelle gibt eine Übersicht über die Bedeutung aller Nachrichtenquellen, die Sie im Gerät einstellen können.
  • Seite 294 Referenzhandbuch 4 Diagnose Weitere Informationen über die Bedeutung der vordefinierten SYSLOG-Clients sowie die Updatemöglichkeiten für bestehende Geräte finden Sie im Abschnitt "Tabelle der SYSLOG-Clients" bei der Konfiguration von SYSLOG über Telnet oder WEBconfig. Loopback-Adressen für SYSLOG-Clients Mit dem SYSLOG-Modul besteht die Möglichkeit, Zugriffe auf den Router protokollieren zu lassen. Um die SYSLOG-Nachrichten empfangen zu können, werden die entsprechenden SYSLOG-Clients eingerichtet.

  • Seite 295: Zuordnung Von Geräteinternen Quellen Zu Syslog-Facilities

    Referenzhandbuch 4 Diagnose Information: Auf diesem Level werden alle Nachrichten übermittelt, die rein informellen Charakter haben (z. B. Accounting-Informationen) (allgemeine SYSLOG-Priorität: NOTICE, INFORM). Debug: Übertragung aller Debug-Meldungen. Debug-Meldungen erzeugen ein erhebliches Datenvolumen und beeinträchtigen den ordnungsgemäßen Betrieb des Geräts. Sie sollten daher im Regelbetrieb ausgeschaltet sein und nur zur Fehlersuche verwendet werden (allgemeine SYSLOG-Priorität: DEBUG).

  • Seite 296: Speicherfrist Von Systemereignissen Festlegen

    Referenzhandbuch 4 Diagnose Diese Protokollierung umfasst ausschließlich die an der Kommandozeile ausgeführten Befehle. Konfigurationsänderungen und Aktionen über LANconfig oder Webconfig sind davon nicht erfasst. Speicherfrist von Systemereignissen festlegen Unter Meldungen > Systemereignisse bestimmen Sie im Abschnitt Systemereignisse-Protokollierung, für wie lange das Gerät Systemereignisse speichert.

  • Seite 297: Bedeutung Von Syslog-Meldungen

    Referenzhandbuch 4 Diagnose EVENTLOG: Eventlog-Informationen sichern aktiviert SYSLOG: Erweiterung der Einträge des internen SYSLOG-Servers Ab LCOS-Version 8.82 kann der interne SYSLOG-Server bestimmter Geräte bis zu 23.000 Einträge speichern. Diese Änderung umfasst derzeit die folgenden Gerätetypen und -serien: LANCOM 17xx+-Serie LANCOM 1781-Serie LANCOM 1780EW-4G LANCOM L-460agn dual Wireless LANCOM L-451agn Wireless...
  • Seite 298 Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity WWAN: Lost network registration Das Modem hat die Verbindung zum NOTICE eingebuchten Funknetz verloren. WWAN: Failed to set network Das Modem hat den Befehl zum Setzen des ERROR Netzwerks mit einer Fehlermeldung beantwortet. Dieser Fehler tritt z. B. auf, wenn das Netzwerk unerreichbar ist oder nicht existiert, oder ein Fehler im Gerät vorliegt.

  • Seite 299: Dokumentation Von Ereignissen Auf Den Xdsl-Schnittstellen

    Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity WWAN: Mode ..., Band '...', Anzeige von Netzwerk-Modus, Band sowie INFORM Channel (Rx/Tx): .../..Kanal (Empfangs- und Senderichtung). WWAN: Max. Datarate (Ds/Us): .../..Aktuelle QoS-Datenrate (Down- und INFORM Upstream) WWAN: Network mode is '...'. Aktueller Modus.

  • Seite 300: Übersicht Der Parameter Im Ping-Befehl

    Referenzhandbuch 4 Diagnose Status Bedeutung SYSLOG-Severity xDSL: Line data update. Nach einer Synchronisation nehmen NOTICE DS-Rate: ..., US-Rate: ..., Modem und DSLAM eine Optimierung der DS-Margin: ..., US-Margin: ..., xDSL-Verbindung vor. Dadurch können sich DS-Attn: ..., US-Attn: ..., ggf. die Leitungswerte ändern. Nach einer Mode: ..., Profile: ...
  • Seite 301 Referenzhandbuch 4 Diagnose Parameter Bedeutung Führt ein Ping-Kommando über das mit <Scope> bestimmte Interface auf die -6 <IPv6-Address>%<Scope> Link-Lokale-Adresse aus. Der Parameter-Bereich ist bei IPv6 von zentraler Bedeutung: Da ein IPv6-Gerät sich mit mehreren Schnittstellen (logisch oder physikalisch) pro Schnittstelle eine Link-Lokale-Adresse (fe80::/10) teilt, müssen Sie beim Ping auf eine Link-Lokale-Adresse immer den Bereich (Scope) angeben.

  • Seite 302: Monitor-Modus Am Switch

    Referenzhandbuch 4 Diagnose Parameter Bedeutung Die Eingabe von “stop” oder das Drücken der RETURN-Taste beenden das stop /<RETURN> Ping-Kommando 4.7 Monitor-Modus am Switch Die über den Switch der Geräte übertragenen Daten werden zielgerichtet nur auf den Port aufgelegt, an dem der entsprechende Zielrechner angeschlossen ist.

  • Seite 303: Kabel-Test

    Referenzhandbuch 4 Diagnose 4.8 Kabel-Test Werden auf Ihren LAN- oder WAN-Verbindungen gar keine Daten übertragen, obwohl die Konfiguration der Geräte keine erkennbaren Fehler aufweist, liegt möglicherweise ein Defekt in der Verkabelung vor. Mit dem Kabel-Test können Sie aus dem Gerät heraus die Verkabelung testen. Wechseln Sie dazu unter WEBconfig im LCOS-Menübaum in den Menüpunkt Status >...

  • Seite 304: Versand Von Anhängen Mit Dem Mailto-Kommando

    Referenzhandbuch 4 Diagnose CPU-Last-Intervall Hier können Sie die den Zeitraum zur Mittelung der CPU-Lastanzeige auswählen. Die Anzeige der CPU-Last im LANmonitor, im Status-Bereich, im Display (sofern vorhanden) sowie in evtl. genutzten SNMP-Tools basiert auf dem hier eingestellten Mittelungszeitraum. Im Status-Bereich unter WEBconfig oder CLI werden zusätzlich die CPU-Lastwerte für alle vier möglichen Mittelungszeiträume angezeigt.

  • Seite 305: Erweiterung Der Sysinfo

    Referenzhandbuch 4 Diagnose Als Konsolen-Befehl können beliebige Befehle auf der Konsole genutzt werden, die zu einer sinnvollen Ausgabe von Informationen führen. Der Konsolen-Befehl wird in Backquotes (auch bekannt als Backticks) eingefasst. Dieses Zeichen wird mit Hilfe der Taste für den “Accent Grave” erzeugt. Die Ausgabe des Konsolenbefehls wird in eine Text-Datei geschrieben und an die Mail angehängt.

  • Seite 306: Ausgabe Zusätzlicher Ports Im Sysinfo An Der Konsole

    Referenzhandbuch 4 Diagnose Bei der Auslieferung der Geräte enthält der Zähler für die Konfigurationsänderungen den Wert '0'. Danach erhöht jede Konfigurationsänderung diesen Wert um 1. Der Zähler für die Konfigurationsänderungen erlaubt die Ermittlung der aktuellen Konfigurationsversion auch dann, wenn bei der Konfiguration keine gültige Uhrzeit verfügbar war und der Zeitstempel daher den Wert '00:00:00 0000-00-00' enthält.

  • Seite 307: Ausgabe Des Konfigurations-Hashs

    Referenzhandbuch 4 Diagnose Die Werte werden im UTC-Format angezeigt. 4.11.3 Ausgabe des Konfigurations-Hashs Ab LCOS-Version 9.10 haben Sie die Möglichkeit, über status/config/config-hash den Hash-Wert der Geräte-Konfiguration auszulesen. SNMP-ID: 1.11.21 Bei dem angezeigten Wert handelt es sich um einen SHA1-Hash. 4.11.4 Ausgabe der Konfigurations-Version Ab LCOS-Version 9.10 haben Sie die Möglichkeit, über status/config/config-version die Versionsnummer der Geräte-Konfiguration auszulesen.

  • Seite 308: Sicherheit

    Referenzhandbuch 5 Sicherheit 5 Sicherheit Sie mögen es sicher nicht, wenn Außenstehende die Daten auf Ihren Rechnern einsehen oder verändern können. Darüber hinaus sollten Sie die Konfigurationseinstellungen Ihrer Geräte vor unbefugten Änderungen schützen. Dieses Kapitel widmet sich daher einem sehr wichtigen Thema: der Sicherheit. Die Beschreibung der Sicherheitseinstellungen ist in folgende Abschnitte unterteilt: Schutz für die Konfiguration Passwortschutz...

  • Seite 309: Eingabe Des Passwortes

    Referenzhandbuch 5 Sicherheit Notieren Sie niemals ein Passwort. Beliebt aber völlig ungeeignet sind beispielsweise: Notizbücher, Brieftaschen und Textdateien im Computer. Es klingt trivial, kann aber nicht häufig genug wiederholt werden: verraten Sie Ihr Passwort nicht weiter. Die sichersten Systeme kapitulieren vor der Geschwätzigkeit. Passwörter nur sicher übertragen.

  • Seite 310: Einschränkung Der Zugriffsrechte Auf Die Konfiguration

    Referenzhandbuch 5 Sicherheit Die Login-Sperre greift immer nur für die genutzte Zugangsmöglichkeit. Die anderen Zugangsmöglichkeiten können weiterhin genutzt werden. Zur Konfiguration der Login-Sperre stehen in den Konfigurationstools folgende Einträge zur Verfügung: Sperre aktivieren nach (Anzahl Login-Fehler) Dauer der Sperre (Sperr-Minuten) LANconfig: Management / Admin Wenn Sie im Feld Sperre aktivieren nach den Wert "0"...

  • Seite 311: Den Netzwerk-Konfigurationszugriff Einschränken

    Referenzhandbuch 5 Sicherheit 1. Wechseln Sie im Konfigurationsbereich 'Management' auf die Registerkarte 'Admin'. 2. Geben Sie als Rufnummer im Bereich 'Geräte-Konfiguration' eine Rufnummer Ihres Anschlusses ein, die nicht für andere Zwecke verwendet wird. Geben Sie alternativ unter Telnet den folgenden Befehl ein: set /setup/config/Fernconfig 123456 Der ISDN-Administrationszugang ist als einzige Konfigurationsmethode von den im folgenden beschriebenen Netzwerk-Zugangsbeschränkungen ausgenommen.

  • Seite 312: Einschränkung Des Netzwerk-Konfigurationszugriffs Auf Bestimmte Ip-Adressen

    Referenzhandbuch 5 Sicherheit Die Konfigurationsdialoge im LANconfig mit den Zugriffsrechten vom lokalen oder aus entfernten Netzen werden über die Schaltfläche Zugriffsrechte geöffnet: Wenn Sie den Netzwerkzugriff auf den Router über das WAN ganz sperren wollen, stellen Sie den Konfigurationszugriff von entfernten Netzen für alle Methoden auf 'nicht erlaubt'. LANconfig: Management / Admin / Zugriffsrechte WEBconfig: LCOS-Menübaum / Setup / Config E Zugriffstabelle Einschränkung des Netzwerk-Konfigurationszugriffs auf bestimmte IP-Adressen...

  • Seite 313: Abschalten Von Ethernet-Schnittstellen

    Referenzhandbuch 5 Sicherheit 5.1.4 Abschalten von Ethernet-Schnittstellen Die Ethernet-Schnittstellen von öffentlich zugänglichen Geräten können ggf. von unbefugten Anwendern genutzt werden, um physikalischen Zugang zu einem Netzwerk zu erhalten. Um diesen Versuch zu verhindern, können die Ethernet-Schnittstellen der Geräte ausgeschaltet werden. LANconfig: Schnittstellen / LAN / Interface-Einstellungen WEBconfig: LCOS-Menübaum / Setup / Schnittstellen Interface-Verwendung...

  • Seite 314: Überprüfung Des Benutzernamens Und Des Kennwortes

    Referenzhandbuch 5 Sicherheit LANconfig: Kommunikation / Ruf-Verwaltung WEBconfig: LCOS-Menübaum / Setup / WAN / Schutz Zur Auswahl stehen die folgenden Möglichkeiten: kein Schutz: Anrufe aller Gegenstellen werden angenommen. nach Nummer: Es werden nur Anrufe angenommen, deren Anschlusskennungen (CLIP) in der Nummernliste eingetragen sind.

  • Seite 315: Standort-Verifikation Über Isdn Oder Gps

    Referenzhandbuch 5 Sicherheit Die Rufnummer für den Rückruf kann vom Anrufer frei eingegeben werden. Und ganz nebenbei steuern Sie über die Einstellungen die Verteilung der Kosten für die Verbindung. Ist in der Gegenstellenliste ein Rückruf 'Nach Name' vereinbart, übernimmt der rückrufende Router alle Gebühreneinheiten bis auf die, die für die Namensübermittlung benötigt wird.
  • Seite 316 Referenzhandbuch 5 Sicherheit Auf der Registerkarte 'GPS' können Sie das GPS-Modul unabhängig von der Standort-Verifikation einschalten, um z. B. die aktuellen Standortkoordination mit LANmonitor zu überwachen. Mit der Option 'Standort-Überprüfung einschalten' aktivieren Sie die Standort-Verifikation. Wählen Sie die Methode für die Standort-Überprüfung: 'Selbst-Anruf' für die Überprüfung über ISDN mit einem Rückruf.
  • Seite 317 Referenzhandbuch 5 Sicherheit Alternativ können Sie die Geo-Koordinaten für beliebige Standorte über Tools wie z. B. Google Maps ermitteln. Wenn im LANmonitor die aktuellen Geo-Koordinaten angezeigt werden, können Sie mit einem rechten Mausklick auf den Eintrag 'GPS' den aktuellen Standort in der Satelliten-Ansicht von Google Maps aufrufen. LANconfig: Kommunikation / Gegenstellen / Gegenstellen (ISDN/seriell)
  • Seite 318 Referenzhandbuch 5 Sicherheit WEBconfig: LCOS-Menübaum / Setup / Config / Standortverifikation Statusabfrage der Standort-Verifikation Der Status der Standortverifikation kann über den LANmonitor eingesehen werden: Mit WEBconfig (Expertenkonfiguration / Status / Config / Standortverifikation) oder Telnet (Status/Config/Standortverifikation) können Sie den Status der Standort-Verifikation einsehen: Erst wenn die Standort-Verifikation im Zustand 'Erfolgreich' ist, kann der Router Daten über die WAN-Interfaces übertragen.

  • Seite 319: Die Sicherheits-Checkliste

    Referenzhandbuch 5 Sicherheit Eine Standort-Verifikation über ISDN ist dann erfolgreich, wenn die Nummer 'Erwarte-Ruf-von' mit der Nummer der 'Zuletzt-gesehener-Ruf-von' übereinstimmt. Der Anruf wird dabei nicht vom Router angenommen. Der Status zeigt außerdem an, ob der Router überhaupt einen Ruf erkannt hat. Eine Standort-Verifikation über GPS ist dann erfolgreich, wenn die GPS-Position gültig ist und innerhalb der zulässigen Abweichung mit der Soll-Position übereinstimmt.
  • Seite 320 Referenzhandbuch 5 Sicherheit Haben Sie die Fernkonfiguration zugelassen? Wenn Sie die Fernkonfiguration nicht benötigen, so schalten Sie sie ab. Wenn Sie die Fernkonfiguration benötigen, so vergeben Sie unbedingt einen Kennwortschutz für die Konfiguration (siehe vorhergehender Abschnitt). Das Feld zur Abschaltung der Fernkonfiguration finden Sie ebenfalls in LANconfig im Konfigurationsbereich 'Management' auf der Registerkarte 'Security'.
  • Seite 321 Referenzhandbuch 5 Sicherheit Die Stateful-Inspection Firewall der Geräte sorgt dafür, dass Ihr lokales Netzwerk von außen nicht angegriffen werden kann, wenn Ihr WLAN-Controller als Public Spot eingesetzt wird. Die Firewall können Sie in LANconfig unter Firewall/Qos > Allgemein einschalten. Beachten Sie, dass alle Sicherheitsaspekte der Firewall (inkl. IP-Masquerading, Port-Filter und Zugriffs-Liste) nur für Datenverbindungen aktiv sind, die über den IP-Router geführt werden.
  • Seite 322 Referenzhandbuch 5 Sicherheit WEBconfig, Telnet oder TFTP bezeichnet. Standardmäßig enthält diese Tabelle keine Einträge, damit kann also von Rechnern mit beliebigen IP-Adressen aus über TCP/IP mit Telnet oder TFTP ein Zugriff auf das Gerät gestartet werden. Mit dem ersten Eintrag einer IP-Adresse sowie der zugehörigen Netzmaske wird der Filter aktiviert, und nur noch die in diesem Eintrag enthaltenen IP-Adressen werden berechtigt, die internen Funktionen zu nutzen.
  • Seite 323 Referenzhandbuch 5 Sicherheit Haben Sie den Reset-Taster gegen das unbeabsichtigte Zurücksetzen der Konfiguration gesichert? Manche Geräte können nicht unter Verschluss aufgestellt werden. Hier besteht die Gefahr, dass die Konfiguration versehentlich gelöscht wird, wenn ein Mitarbeiter den Reset-Taster zu lange gedrückt hält. Mit einer entsprechenden Einstellung kann das Verhalten des Reset-Buttons gesteuert werden, der Reset-Taster wird dann entweder ignoriert oder es wird nur ein Neustart ausgelöst, unabhängig von der gedrückten Dauer.

  • Seite 324: Routing Und Wan-Verbindungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6 Routing und WAN-Verbindungen Dieses Kapitel beschreibt die wichtigsten Protokolle und Konfigurationseinträge, die bei WAN-Verbindungen eine Rolle spielen. Es zeigt auch Wege auf, WAN-Verbindungen zu optimieren. 6.1 Allgemeines über WAN-Verbindungen WAN-Verbindungen werden für folgende Anwendungen verwendet. Internet-Zugang LAN-LAN-Kopplung Remote Access...

  • Seite 325: Ip-Routing

    Referenzhandbuch 6 Routing und WAN-Verbindungen 1. Auswahl der richtigen Route Ein Datenpaket aus einem Rechner findet den Weg ins Internet in erster Linie über die IP-Adresse des Empfängers. Mit dieser Adresse schickt der Rechner das Paket los über das LAN zum Router. Der Router ermittelt in seiner IP-Routing-Tabelle die Gegenstelle, über die die Ziel-IP-Adresse erreichbar ist, z.

  • Seite 326: Ip-Routing-Tabellen Für Ipv4/Ipv6

    Referenzhandbuch 6 Routing und WAN-Verbindungen Informationen über die Routen aus und erneuern diese fortlaufend. Bei aktiviertem IP-RIP beachtet der IP-Router die statische und die dynamische Routing-Tabelle. Außerdem sagen Sie dem Router in der IP-Routing-Tabelle, wie weit der Weg über diese Route ist, damit im Zusammenspiel mit IP-RIP bei mehreren Routen zum gleichen Ziel der günstigste ausgewählt werden kann.

  • Seite 327: Konfiguration Der Routing-Tabelle

    Referenzhandbuch 6 Routing und WAN-Verbindungen Präfix Bestimmen Sie den Präfix des Netzbereiches, dessen Daten zur angegeben Gegenstelle geroutet werden sollen. Routing-Tag Geben Sie hier das Routing-Tag für diese Route an. Die so markierte Route ist nur aktiv für Pakete mit dem gleichen Tag.

  • Seite 328: Policy-Based Routing

    Referenzhandbuch 6 Routing und WAN-Verbindungen Der Name der Gegenstellen gibt an, was mit den zur IP-Adresse und Netzmaske passenden Datenpaketen geschehen soll. Routen mit dem Eintrag '0.0.0.0' bezeichnen Ausschluss-Routen. Datenpakete für diese „Null-Routen“ werden verworfen und nicht weitergeleitet. Damit werden z. B. die im Internet verbotenen Routen (private Adressräume, z.

  • Seite 329: Routing-Tags Für Vpn- Und Pptp-Verbindungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Beim Load-Balancing wird der Datenverkehr für bestimmte Protokolle über einen bestimmten DSL-Port mit einem zusätzlichen externen ADSL-Modem geleitet. Ein Server im lokalen Netz, der über eine feste IP-Adresse aus dem WAN erreichbar sein sollte, wird über ein bestimmtes WAN-Interface geroutet.

  • Seite 330: Lokales Routing

    Referenzhandbuch 6 Routing und WAN-Verbindungen In der VPN-Namenliste kann für jede VPN-Verbindung das Routing-Tag angegeben werden, das verwendet werden soll, um die Route zum Remote Gateway zu ermitteln (Default '0'). Zusätzlich kann in der Gateway-Tabelle jedem Gateway ein spezifisches Routing-Tag zugeordnet werden. Das Tag 0 hat in dieser Tabelle eine Sonderfunktion: Wenn bei einem Gateway das Tag 0 gesetzt ist, dann wird das Tag aus der VPN-Namenliste-Tabelle verwendet.

  • Seite 331: Dynamisches Routing Mit Ip-Rip

    Referenzhandbuch 6 Routing und WAN-Verbindungen zum anderen, zuständigen Router zu senden. Außerdem werden dann keine ICMP-Redirects mehr geschickt. Die Einstellung erfolgt unter: LANconfig: IP-Router / Allgemein / ICMP-Redirects senden WEBconfig: LCOS-Menübaum / Setup / IP-Router / ICMP-Redirects senden Lokales Routing kann im Einzelfall sehr hilfreich sein, sollte aber auch nur im Einzelfall verwendet werden. Denn lokales Routing führt zu einer Verdoppelung aller Datenpakete zum gewünschten Zielnetz.

  • Seite 332: Zusammenspiel: Statische Und Dynamische Tabelle

    Referenzhandbuch 6 Routing und WAN-Verbindungen Was bedeuten die Einträge? IP-Adresse und Netzmaske bezeichnen das Ziel-Netz, die Distanz gibt die Anzahl der zwischen Sender und Empfänger liegenden Router an, die letzte Spalte zeigt an, welcher Router diese Route bekannt gemacht hat. Mit der 'Zeit' zeigt die dynamische Tabelle an, wie alt die entsprechende Route ist.

  • Seite 333: Rip Für Netzwerke Getrennt Einstellen

    Referenzhandbuch 6 Routing und WAN-Verbindungen LANconfig: IP-Router / Allgemein / WAN RIP WEBconfig: Setup / IP-Router / RIP / WAN-Tabelle RIP-fähige Router versenden die RIP-Pakete ungefähr alle 30 Sekunden. Der Router ist nur dann auf das Versenden und Empfangen von RIPs eingestellt, wenn er eine eindeutige IP-Adresse hat. In der Grundeinstellung mit der IP-Adresse xxx.xxx.xxx.254 ist das IP-RIP-Modul ausgeschaltet.

  • Seite 334: Timereinstellungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen LANconfig: IP-Router / Allgemein / RIP-Netzwerke WEBconfig: LCOS-Menübaum / Setup / IP-Router / RIP / LAN-Tabelle Timereinstellungen Das Routing Information Protocol (RIP) versendet regelmäßige Update-Nachrichten an die benachbarten Router mit Informationen über die erreichbaren Netzwerke und die zugehörigen Metriken (Hops). RIP verwendet verschiedene Timer, um den Austausch der Routing-Informationen zeitlich zu steuern.

  • Seite 335: Statische Routen, Die Immer Propagiert Werden

    Referenzhandbuch 6 Routing und WAN-Verbindungen Zur Konfiguration der Poisoned Reverse werden LAN- und WAN-RIP-Tabelle erweitert. Statische Routen, die immer propagiert werden Neben den dynamischen Routen propagiert ein Router über RIP auch die statisch konfigurierten Routen. Dabei sind manche der statischen Routen nicht immer erreichbar, z. B. weil eine notwendige Internetverbindung oder ein Wählzugang temporär nicht verfügbar sind.
  • Seite 336 Referenzhandbuch 6 Routing und WAN-Verbindungen untenstehende Diagramm verdeutlicht die Zuordnung von Netzwerken zu Interfaces auf verschiedenen Ebenen. Die dabei verwendeten Konfigurationsmöglichkeiten werden in den folgenden Kapiteln vorgestellt. So verläuft die Zuordnung von IP-Netzwerken zu Interfaces: Je nach Modell haben die Geräte eine unterschiedliche Anzahl von physikalischen Interfaces, also Ethernet-Ports oder WLAN-Module.
  • Seite 337 Referenzhandbuch 6 Routing und WAN-Verbindungen Gerade die zuletzt dargestellte Definition von Schnittstellen-Tags für IP-Netze stellt einen der bedeutenden Vorteile des Advanced Routing and Forwarding dar – mit Hilfe dieser Option werden „virtuelle Router“ realisiert. Ein virtueller Router nutzt anhand des Schnittstellen-Tags für ein IP-Netz nur einen Teil der Routing-Tabelle und steuert so das Routing ganz speziell für dieses eine IP-Netzwerk.

  • Seite 338: Definition Von Netzwerken Und Zuordnung Von Interfaces

    Referenzhandbuch 6 Routing und WAN-Verbindungen In Fällen, die keine eindeutige Zuordnung der IP-Adressen über die Schnittstellen-Tags erlauben, wird das Advanced Routing and Forwarding durch entsprechende Firewall-Regeln unterstützt. Das ist im vorgenannten Beispiel der Fall, wenn in jedem Netzwerk ein öffentlich erreichbarer Web- oder Mailserver steht, die ebenfalls die gleiche IP-Adresse verwenden.

  • Seite 339: Zuweisung Von Logischen Interfaces Zu Bridge-Gruppen

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.3.3 Zuweisung von logischen Interfaces zu Bridge-Gruppen Unter Schnittstellen > LAN definieren Sie in der Port-Tabelle spezielle Eigenschaften der logischen Interfaces. Diesen Port aktivieren Mit dieser Option wird das logische Interface aktiviert oder deaktiviert. Bridge-Gruppe Ordnet das logische Interface einer Bridge-Gruppe zu und ermöglicht so das Bridging von/zu diesem logischen Interface über die LAN-Bridge.

  • Seite 340: Zuweisung Von Schnittstellen-Tags Über Die Tag-Tabelle

    Referenzhandbuch 6 Routing und WAN-Verbindungen Mit der Zuordnung der Tags zu den Gegenstellen kann die Trennung der ARF-Netze auch für WAN-seitig empfangende Pakete komfortabel genutzt werden (die standardmäßig das Tag 0 erhalten). Ohne eine Zuordnung der Tags explizit über die Firewall zu steuern kann der virtuelle Router in Form des Schnittstellen-Tags direkt aus der Gegenstelle bzw. der Quellroute bstimmt werden.

  • Seite 341: Ermittlung Des Routing-Tags Für Lokale Routen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Sowohl die über die Tag-Tabelle, als auch die anhand der Routing-Tabelle ermittelten Schnittstellen-Tags können durch einen passenden Eintrag in der Firewall überschrieben werden. 6.3.5 Ermittlung des Routing-Tags für lokale Routen Mit der Definition von Schnittstellen-Tags können im Rahmen des Advanced Routing and Forwarding (ARF) virtuelle Router genutzt werden, die nur einen Teil der gesamten Routing-Tabelle verwenden.
  • Seite 342 Referenzhandbuch 6 Routing und WAN-Verbindungen Stations-Namen Unter Konfiguration > IPv4 > DNS > Stations-Namen definieren Sie, welche Stations-Namen das Gerät wie und in welchem Tag-Kontext auflöst. DNS-Weiterleitungen Unter Konfiguration > IPv4 > DNS > Weiterleitungen versehen Sie Weiterleitungsregeln mit Routing-Tags, so dass diese nur mit dem korrekten Routing-Tag zur Verfügung stehen.

  • Seite 343: Virtuelle Router

    Referenzhandbuch 6 Routing und WAN-Verbindungen Tag-Kontext-Tabelle Im LANconfig lassen sich unter Konfiguration > IPv4 > DNS > Tag-Kontext-Tabelle Tag-Kontexte definieren, die die globalen Einstellungen des DNS-Servers für bestimmte Schnittstellen- und Routing-Tags (Routing-Kontext) überschreiben: Wenn ein Eintrag für einen Tag-Kontext existiert, dann gelten für diesen Kontext nur die DNS-Einstellungen in dieser Tabelle.

  • Seite 344: Netbios-Proxy

    Referenzhandbuch 6 Routing und WAN-Verbindungen Netzwerkname IP-Adresse Netzmaske VLAN-ID Interface Adressprüfung Rtg-Tag VERTRIEB 10.1.1.1 255.255.255.0 LAN-2 streng Intranet Alternativ kann die Zuweisung der Tags auch über die Kombination von Netzwerkdefinitionen und Firewallregeln erfolgen. Die Netze sind wie folgt definiert: Netzwerkname IP-Adresse Netzmaske VLAN-ID...

  • Seite 345: Die Konfiguration Von Gegenstellen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Die Arbeitsgruppe/Domäne dient dazu, beim Start des Gerätes das Netzwerk nach NetBIOS-Namen abscannen zu können. Diese ist i.A. für jedes Netz verschieden und muss daher überall angegeben werden. In Netzwerken ohne Domäne sollte hier der Name der größten Arbeitsgruppe angegeben werden. 6.4 Die Konfiguration von Gegenstellen Gegenstellen werden in zwei Tabellen konfiguriert: In der Gegenstellenliste (bzw.

  • Seite 346: Layer-Liste

    Referenzhandbuch 6 Routing und WAN-Verbindungen Gegenstellenliste Parameter Bedeutung Virtual Channel Identifier. Die Werte für VCI und VPI werden vom ADSL-Netzbetreiber mitgeteilt. Übliche Werte für die Kombination von VPI und VCI sind: 0/35, 0/38, 1/32, 8/35, 8/48. Einwahl-Gegenstellen Name Wie in der Liste der DSL-Breitband-Gegenstellen. Rufnummer Eine Rufnummer wird nur benötigt, wenn die Gegenstelle angerufen werden soll.

  • Seite 347: Generic Routing Encapsulation (Gre)

    Referenzhandbuch 6 Routing und WAN-Verbindungen Parameter Bedeutung Layer-3 Folgende Optionen stehen für die Vermittlungsschicht (oder Netzwerkschicht) zur Verfügung: 'Transparent' Es wird kein zusätzlicher Header eingefügt. 'PPP' Der Verbindungsaufbau erfolgt nach dem PPP-Protokoll (im synchronen Modus, d. h. bitorientiert). Die Konfigurationsdaten werden der PPP-Tabelle entnommen. 'AsyncPPP' Wie 'PPP', nur wird der asynchrone Modus verwendet.
  • Seite 348 Referenzhandbuch 6 Routing und WAN-Verbindungen Gegenstelle Name der Gegenstelle dieses GRE-Tunnels. Verwenden Sie diesen Namen z. B. in der Routing-Tabelle, um Daten durch diesen GRE-Tunnel zu versenden. Server-Adresse Adresse des GRE-Tunnel-Endpunktes (gültige IPv4- oder IPv6-Adresse oder FQDN). Routing-Tag Routing-Tag für die Verbindung zum GRE-Tunnel-Endpunkt. Anhand des Routing-Tags ordnet das Gerät Datenpakete diesem GRE-Tunnel zu.

  • Seite 349: Ethernet-Over-Gre (Eogre)

    Referenzhandbuch 6 Routing und WAN-Verbindungen Um IPv6 als GRE-Tunnel Transport Protokoll zu verwenden, erstellen Sie unter IPv6 > WAN-Schnittstellen einen neuen Eintrag, z. B. "IPV6GRE". Diese Schnittstelle vergeben Sie anschließend bei der Konfiguration des entsprechenden GRE-Tunnels als Gegenstelle. Falls die Angabe einer IP-Adresse für die Tunnel-Schnittstelle notwendig ist, gehen Sie wie folgt vor: IPv4-Adresse Erstellen Sie unter Kommunikation >...

  • Seite 350: Lokale Schnittstelle Mit Einem Eogre-Tunnel Verbinden

    Referenzhandbuch 6 Routing und WAN-Verbindungen Routing-Tag Routing-Tag für die Verbindung zum EoGRE-Tunnel-Endpunkt. Anhand des Routing-Tags ordnet das Gerät Datenpakete diesem EoGRE-Tunnel zu. Checksumme Bestimmen Sie hier, ob der GRE-Header eine Checksumme enthalten soll. Wenn Sie die Checksummenfunktion aktivieren, berechnet das Gerät für die zu übertragenen Daten eine Checksumme und fügt diese dem GRE-Tunnel-Header an.

  • Seite 351: Ip-Masquerading

    Referenzhandbuch 6 Routing und WAN-Verbindungen Aktivieren Sie den Tunnel und geben Sie unter Server-Adresse die Adresse des entfernten Gerätes an, zu dem der EoGRE-Tunnel bestehen soll (IPv4- oder IPv6-Adresse oder FQDN). 2. Ergänzen Sie unter Schnittstellen > LAN > Port-Tabelle eine Bridge-Gruppe um den aktivierten EoGRE-Tunnel. Aktivieren Sie den Port und wählen Sie die gewünschte Bridge-Gruppe aus.

  • Seite 352: Einfaches Masquerading

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.6.1 Einfaches Masquerading Wie funktioniert IP-Masquerading? Das Masquerading nutzt die Eigenschaft der Datenübertragung über TCP/IP aus, dass neben der Quell- und Ziel-Adresse auch Portnummer für Quelle und Ziel verwendet werden. Bekommt der Router nun ein Datenpaket zur Übertragung, merkt er sich die IP-Adresse und den Port des Absenders in einer internen Tabelle.

  • Seite 353: Inverses Masquerading

    Referenzhandbuch 6 Routing und WAN-Verbindungen Welche Protokolle können mit IP-Masquerading übertragen werden? Das IP-Masquerading funktioniert problemlos für all jene IP-Protokolle, die auf TCP, UDP oder ICMP basieren und dabei ausschließlich über Ports kommunizieren. Zu diesen unproblematischen Protokollen zählt beispielsweise das Basis-Protokoll des World Wide Web: HTTP.
  • Seite 354 Referenzhandbuch 6 Routing und WAN-Verbindungen Der Zugriff von außen auf einen Dienst (Port) im Intranet muss beim inversen Masquerading manuell durch Angabe einer Port-Nummer definiert werden. In der Port-Forwarding-Tabelle wird dazu der Ziel-Port mit der Intranet-Adresse z. B. des FTP-Servers angegeben. Beim Zugriff aus dem LAN auf das Internet hingegen wird der Eintrag in der Tabelle mit Port- und IP-Adress-Informationen automatisch durch den Router selbst vorgenommen.

  • Seite 355: Demilitarisierte Zone (Dmz)

    Referenzhandbuch 6 Routing und WAN-Verbindungen Wird als Map-Port die „0“ eingetragen, werden im LAN die gleichen Ports verwendet wie im WAN. Wird ein Portbereich umgesetzt, gibt der Map-Port den ersten verwendeten Port im LAN an. Beim Umsetzen des Portbereichs '1200' bis '1205' auf den internen Map-Port '1000' werden also die Ports von 1000 bis einschließlich 1005 für den Datenverkehr im LAN verwendet.

  • Seite 356: Zuordnung Der Netzwerkzonen Zur Dmz

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.7.1 Zuordnung der Netzwerkzonen zur DMZ Die Zuordnung der verschiedenen Netzwerk-Zonen (Adresskreise) zur DMZ, zum LAN und zum ARF wird bei den Adresseinstellungen vorgenommen. Dabei können je nach Verfügbarkeit auch WLAN-Interfaces ausgewählt werden. LANconfig: TCP/IP / Allgemein WEBconfig: LCOS-Menübaum / Setup / TCP-IP 6.7.2 Adressprüfung bei DMZ- und Intranet-Interfaces Zur besseren Abschirmung der DMZ (demilitarisierten Zone) und des Intranets gegen unerlaubte Zugriffe kann für die...

  • Seite 357: Unmaskierter Internet-Zugang Für Server In Der Dmz

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.7.3 Unmaskierter Internet-Zugang für Server in der DMZ Das im vorangegangenen Abschnitt beschriebene inverse Maskieren erlaubt zwar, jeweils einen bestimmten Dienst zu exponieren (z. B. je ein Web-, Mail- und FTP-Server), hat aber z.T. weitere Einschränkungen: Der betreffende Dienst des ’exposed host’...

  • Seite 358: Anwendungsbeispiel: Home-Office Mit Privatem Internetzugang

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.8.1 Anwendungsbeispiel: Home-Office mit privatem Internetzugang Eine mögliche Anwendung ist z. B. das Home-Office eines Außendienst-Mitarbeiters, der über eine VPN-Verbindung einen Zugang zum Netzwerk der Zentrale erhalten soll. Das Unternehmen zahlt dabei die Kosten für die VPN-Verbindung, der Mitarbeiter im Home-Office zahlt seinen privaten Internet-Datenverkehr selbst.

  • Seite 359: Load-Balancing

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.9 Load-Balancing Trotz immer weiter steigender Bandbreite auf DSL-Zugängen stellen diese immer noch das Nadelöhr in der Kommunikation dar. In manchen Fällen ist es durchaus sinnvoll, mehrere DSL-Zugänge zu bündeln. Hierzu gibt es mehrere Möglichkeiten, die zum Teil vom Internet-Provider aktiv unterstützt werden müssen: DSL-Kanalbündelung (Multilink-PPPoE –...

  • Seite 360: Dsl-Port-Mapping

    Referenzhandbuch 6 Routing und WAN-Verbindungen Bei der indirekten Bündelung wird auf zwei oder mehr voneinander unabhängigen DSL-Verbindungen je eine PPTP-Verbindung aufgebaut. Diese PPTP-Verbindungen werden dann gebündelt. Damit ist dann zumindest für LAN-LAN-Kopplungen durch das Internet hindurch eine echte Kanalbündelung möglich, auch wenn der Internetprovider selbst keine Kanalbündelung anbietet.
  • Seite 361 Referenzhandbuch 6 Routing und WAN-Verbindungen 1. LAN4 / DSL-2 2. LAN3 / DSL-3 3. LAN2 / DSL-4 4. LAN1 / LAN-1: Dieser Port bleibt für das LAN reserviert 5. WAN / DSL-1: (dedizierter WAN-Port des Geräts) In der Liste der DSL-Breitband-Gegenstellen wird der zu verwendende DSL-Port angegeben, wenn das Gerät über mehr als einen DSL-Port verfügt: Wird kein Port (oder der Port „0“) angegeben, so wählt das Gerät den Port nach dem für die Verbindung gewählten Kommunikations-Layer aus.

  • Seite 362: Zuordnung Der Mac-Adresse Zu Den Dsl-Ports

    Referenzhandbuch 6 Routing und WAN-Verbindungen Bei Multi-PPPoE ( Multi-PPPoE auf Seite 357) teilen sich mehrere PPPoE-Verbindungen eine physikalische DSL-Leitung. Bei Multi-DSL werden mehrere PPPoE-Verbindungen auf die vorhandenen DSL-Interfaces verteilt. Die Anzahl der parallel möglichen Verbindungen ist auf maximal 8 Kanäle begrenzt. Zuordnung der MAC-Adresse zu den DSL-Ports Wenn ein Gerät durch die Verwendung der Switch-Ports über mehrere DSL(WAN)-Interfaces verfügt, müssen auch entsprechend viele MAC-Adressen zur Unterscheidung der DSL-Ports genutzt werden.

  • Seite 363: Verteilung Der Datenlast

    Referenzhandbuch 6 Routing und WAN-Verbindungen werden diese über eine Load-Balancing-Tabelle miteinander gekoppelt. Diese Liste ordnet einer virtuellen Balancing-Verbindung (das ist die Verbindung, die in der Routing-Tabelle eingetragen wird) die weiteren realen DSL-Verbindungen (Bündel-Verbindungen) zu. Einer Balancing-Verbindung können dabei je nach Anzahl der verfügbaren DSL-Ports mehrere Bündel-Verbindungen zugeordnet werden.

  • Seite 364: Load-Balancing Mit Client-Binding

    Referenzhandbuch 6 Routing und WAN-Verbindungen Eine Möglichkeit zur Abhilfe ist, in den Firewall-Regeln den Datenverkehr mit diesem Server auf eine bestimmte Internetverbindung festzulegen (Policy Based Routing). Damit ist jedoch der gesamte Datenverkehr zu diesem Server auf die Bandbreite dieser einen Verbindung beschränkt. Außerdem lassen sich so keine Backup-Verbindung aufbauen, falls die erste Verbindung gestört ist.

  • Seite 365: Statisches Load-Balancing

    Referenzhandbuch 6 Routing und WAN-Verbindungen Name Enthält eine aussagekräftige Bezeichnung dieses Eintrages. Protokoll Enthält die IP-Protokollnummer. Mehr Informationen über IP-Protokollnummern finden Sie in der Online-Datenbank der IANA. Port Enthält den Port des IP-Protokolls. Aktiviert Aktiviert oder deaktiviert diesen Eintrag. Das Client-Binding lässt sich unter Load-Balancing für den jeweiligen Eintrag aktivieren oder deaktivieren. 6.9.4 Statisches Load-Balancing Neben der im vorhergehenden Abschnitt beschriebenen dynamischen Verbindungsauswahl sind Szenarien vorstellbar, in denen für eine bestimmte TCP-Verbindung immer die gleiche DSL-Verbindung benutzt werden soll.

  • Seite 366: Indirekte Bündelung Für Lan-Lan-Kopplungen Über Pptp

    Referenzhandbuch 6 Routing und WAN-Verbindungen Regelbasierte Kanalvorgabe (Policy-based Routing) Um die Kanalauswahl aufgrund des Zielports oder der Quelladresse zu entscheiden, werden geeignete Einträge in der Firewall angelegt. Den Firewall-Einträgen wird dabei ein spezielles „Routing-Tag“ zugefügt, mit dem über die Policy-based Routing-Tabelle die gewünschte Kanalauswahl gesteuert werden kann.

  • Seite 367: Direkte Kanalbündelung Über Pptp

    Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / WAN / Layer Direkte Kanalbündelung über PPTP Zur Konfiguration der direkten Kanalbündelung über PPPoE gehen Sie folgendermaßen vor: 1. Konfigurieren Sie mehrere getrennte PPTP-Verbindungen (z. B. über den Assistenten von LANconfig). , die jeweils einen anderen DSL-Port nutzen.

  • Seite 368: Dynamisches Load-Balancing Mit Mehreren Dsl-Zugängen

    Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Load-Balancer Dynamisches Load-Balancing mit mehreren DSL-Zugängen Für das dynamische Load-Balancing werden zunächst die Internetzugänge z. B. mit den Assistenten von LANconfig eingerichtet, z. B. 'INET1' und 'INET2'. 1. Um den Internet-Traffic auf verschiedene DSL-Interfaces zu verteilen, werden den einzelnen Gegenstellen in LANconfig unter Kommunikation / Gegenstellen / Gegenstellen (DSL) unterschiedliche DSL-Ports zugewiesen.
  • Seite 369 Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Load-Balancer 3. Die virtuelle Gegenstelle wird in der Routing-Tabelle in LANconfig über IP-Router / Routing / IP-Routing-Tabelle als Router für die Default-Route eingetragen. Telnet: /Setup/IP-Router/IP-Routing-Tabelle WEBconfig: Expertenkonfiguration / Setup / IP-Router / IP-Routing-Tabelle Für den Zugang zum Internet wird nun die virtuelle Gegenstelle 'INTERNET' verwendet.

  • Seite 370: N:n-Mapping

    Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: Expertenkonfiguration / Setup / IP-Router / Firewall / Regel-Tabelle 6.10 N:N-Mapping Das Verfahren der Network Address Translation (NAT) kann für mehrere Dinge benutzt werden: um die immer knapper werdenden IPv4-Adressen besser zu nutzen um Netze mit gleichen (privaten) Adressbereichen miteinander zu koppeln um eindeutige Adressen zum Netzwerkmanagement zu erzeugen Für die erste Anwendung kommt das sogenannte N:1-NAT, auch als IP-Masquerading ( IP-Masquerading...

  • Seite 371: Anwendungsbeispiele

    Referenzhandbuch 6 Routing und WAN-Verbindungen bei diesen Protokollen daher mit den Funktionen der Firewall in einer dynamischen Tabelle festgehalten und zusätzlich zu den Einträgen aus der statischen Tabelle für die korrekte Funktion der Adressumsetzung verwendet. Die Adressumsetzung erfolgt “Outbound”, d.h. bei abgehenden Datenpaketen wird die Quelladresse umgesetzt, und bei eingehenden Datenpaketen wird die Zieladresse umgesetzt, sofern die Adressen im definierten Umsetzungsbereich liegen.
  • Seite 372 Referenzhandbuch 6 Routing und WAN-Verbindungen von solchen Management-Szenarien unabhängig machen von den unterschiedlichen Datenübertragungstechnologien oder teuren Standleitungen. In diesem Beispiel überwacht ein Dienstleister von einer Zentrale aus die Netzwerke verschiedener Kunden. Zu diesem Zweck sollen die SNMP-fähigen Geräte die entsprechenden Traps über wichtige Ereignisse automatisch an den SNMP-Trap-Empfänger (z.

  • Seite 373: Konfiguration

    Referenzhandbuch 6 Routing und WAN-Verbindungen Bei der dezentralen Variante werden den zu überwachenden Geräten per 1:1-Mapping jeweils alternative IP-Adressen für die Kommunikation mit dem SNMP-Empfänger zugewiesen. Diese Adresse ist in der Fachsprache auch als “Loopback-Adresse” bekannt, die Methode wird entsprechend als “Loopback-Verfahren” bezeichnet. Die Loopback-Adressen gelten jeweils nur für die Kommunikation mit bestimmten Gegenstellen auf den zugehörigen Verbindungen.
  • Seite 374 Referenzhandbuch 6 Routing und WAN-Verbindungen DNS-Forwarding-Einträge, damit die Anfragen nach bestimmten Geräten in den jeweils anderen Netzen in die gemappten IP-Adressen aufgelöst werden können. Die Regeln der Firewalls in den Gateways müssen so angepasst werden, dass ggf. auch der Verbindungsaufbau von außen von den zulässigen Stationen bzw.

  • Seite 375: Konfiguration Mit Den Verschiedenen Tools

    Referenzhandbuch 6 Routing und WAN-Verbindungen Konfiguration mit den verschiedenen Tools Unter LANconfig stellen Sie die Adressumsetzung im Konfigurationsbereich ’IP-Router’ auf der Registerkarte 'N:N-Mapping' ein: Unter WEBconfig und Telnet finden Sie die NAT-Tabelle zur Konfiguration des N:N-Mappings an folgenden Stellen des Menübaums: Konfigurationstool Aufruf...

  • Seite 376: Verbindungsaufbau Mit Ppp

    Referenzhandbuch 6 Routing und WAN-Verbindungen Sie können das ADSL-Protokoll in der Gerätekonfiguration im Abschnitt 'Schnittstellen' einstellen. Wählen Sie hier unter Interface-Einstellungen den Punkt 'ADSL'. Wählen Sie nun im Dialog 'Interface-Einstellungen - ADSL' das gewünschte Protokoll aus. LANmonitor zeigt das aktuell verwendete ADSL-Protokoll im Bereich der System-Informationen an. 6.12 Verbindungsaufbau mit PPP Geräte von LANCOM unterstützen auch das Point-to-Point Protocol (PPP).

  • Seite 377: Das Protokoll

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.12.1 Das Protokoll Was ist PPP? Das Point-to-Point Protocol (PPP) wurde speziell für Netzwerkverbindungen über serielle Kanäle (auch ISDN, DSL u.ä.) entwickelt und hat sich als Standard für Verbindungen zwischen Routern behauptet. Es realisiert folgende Funktionen: Passwortschutz nach PAP, CHAP oder MS-CHAP Rückruf-Funktionen Aushandlung der über die aufgebaute Verbindung zu benutzenden Netzwerkprotokolle (z.

  • Seite 378: Die Ppp-Verhandlung Im Gerät

    Referenzhandbuch 6 Routing und WAN-Verbindungen Ist die Verhandlung der Parameter für mindestens eines der Netzwerk-Layer erfolgreich verlaufen, können von den Router-Modulen IP- und/oder IPX-Pakete auf der geöffneten (logischen) Leitung übertragen werden. Terminate-Phase In der letzten Phase wird die Leitung geschlossen, wenn die logischen Verbindungen für alle Protokolle abgebaut sind.

  • Seite 379: Beispiele

    Referenzhandbuch 6 Routing und WAN-Verbindungen Beispiele Remote Access Die Zuweisung der Adresse wird durch einen speziellen Eintrag in der IP-Routing-Tabelle ermöglicht. Neben dem Eintrag der IP-Adresse, die der Gegenstelle aus dem Feld 'Router-Name' zugewiesen werden soll, wird als Netzmaske die 255.255.255.255 angegeben. Der Routername ist in diesem Fall der Name, mit dem sich die Gegenstelle beim Gerät anmelden muss.

  • Seite 380: Die Bedeutung Der Default-Gegenstelle

    Referenzhandbuch 6 Routing und WAN-Verbindungen Das Gerät bietet beim Aufbau ausgehender Verbindungen alle aktivierten Protokolle an, lässt aber auch nur eine Auswahl aus genau diesen Protokollen zu. Das Aushandeln eines der nicht aktivierten, evtl. höheren Protokolle ist nicht möglich. Die Einstellung der PPP-Authentifizierungsprotokolle finden Sie in der PPP-Liste. LANconfig: Kommunikation >...

  • Seite 381: Zusätzliche Gateways Für Pptp-Verbindungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen WAN-RADIUS-Tabelle LANconfig: Kommunikation / RADIUS Telnet: Setup / WAN / RADIUS 6.12.7 32 zusätzliche Gateways für PPTP-Verbindungen Einleitung Zur Sicherung der Erreichbarkeit können für jede PPTP-Gegenstelle bis zu 32 zusätzliche Gateways konfiguriert werden, so dass insgesamt pro PPTP-Gegenstelle 33 Gateways genutzt werden können. Konfiguration Die zusätzlichen PPTP-Gateways weden in einer separaten Liste definiert.

  • Seite 382: Dsl-Verbindungsaufbau Mit Pptp

    Referenzhandbuch 6 Routing und WAN-Verbindungen Wählen Sie hier aus, für welche PPTP-Gegenstelle dieser Eintrag gelten soll. Mögliche Werte: Auswahl aus der Liste der definierten PPTP-Gegenstellen. Default: leer. Anfangen mit Wählen Sie hier aus, in welcher Reihenfolge die Einträge versucht werden sollen. Mögliche Werte: Zuletzt benutztem: Wählt den Eintrag, zu dem zuletzt erfolgreich eine Verbindung hergestellt werden konnte.

  • Seite 383: Konfiguration Von Pptp

    Referenzhandbuch 6 Routing und WAN-Verbindungen Künftig ist es durch den Umbau des IPv4-Routers mit bestimmten Windows-Versionen nicht mehr möglich, mittels IPSec via PPTP eine VPN-Verbindung herzustellen. Davon betroffen sind die Systeme Windows 2000 und Windows 6.13.1 Konfiguration von PPTP Im Gerät werden alle notwendigen PPTP-Parameter vom Internet-Zugangs-Assistenten abgefragt, sobald der Internet-Zugang über PPTP ausgewählt wird.

  • Seite 384: Konfiguration Von Datenvolumen-Budgets

    Referenzhandbuch 6 Routing und WAN-Verbindungen Beim Monatswechsel speichert das Gerät die Daten des abgelaufenen Monats in einer Archiv-Tabelle und setzt den Zähler des laufenden Monats auf Null zurück. Das aktuelle Datenvolumen sowie die im Archiv gespeicherten Daten können Sie über LANmonitor oder im Status-Menü von WEBconfig einsehen. Das Archiv beinhaltet immer Daten der letzten 12 Monate.
  • Seite 385 Referenzhandbuch 6 Routing und WAN-Verbindungen Sie können zusätzlich Aktionen definieren, die das Gerät bei Erreichen des Budgets ausführen soll: Syslog-Nachricht versenden: Das Gerät erzeugt eine Syslog-Nachricht (mit dem Flag "Critical"), die Sie im Syslog-Speicher des Gerätes, über LANmonitor oder einen speziellen Syslog-Client auswerten können. E-Mail-Nachricht versenden: Das Gerät verschickt eine Benachrichtigung an die Email-Adresse, die Sie im Dialog weiter oben angegeben haben.

  • Seite 386: Budget-Auswertung

    Referenzhandbuch 6 Routing und WAN-Verbindungen Im Feld Gegenstelle können Sie die Gegenstelle auswählen, für die Sie den Intervall-Beginn festlegen wollen. Mit Wählen können Sie aus den verfügbaren Gegenstellen auswählen bzw. neue Gegenstellen verwalten. Für den Gegenstellennamen können Sie auch Wildcards verwenden. Die Wildcard "*" gilt in diesem Fall für alle Gegenstellen.

  • Seite 387: Rückruf-Funktionen

    Neben dem Rückruf über den D-Kanal wird auch das von Microsoft spezifizierte CBCP (Callback Control Protocol) sowie der Rückruf über PPP nach RFC 1570 (PPP LCP Extensions) angeboten. Zusätzlich besteht die Möglichkeit eines besonders schnellen Rückrufs über ein von LANCOM Systems entwickeltes Verfahren. PCs mit Windows-Betriebssystem können nur über das CBCP zurückgerufen werden.

  • Seite 388: Rückrufnummer Vom Anrufer Bestimmt

    Referenzhandbuch 6 Routing und WAN-Verbindungen Rückrufnummer vom Anrufer bestimmt Für diese Einstellung muss der Rückruf-Eintrag auf 'Die Gegenstelle nach Überprüfung des Namens zurückrufen' stehen (bzw. in WEBconfig oder in der Konsole den Wert 'Name' haben). In der Gegenstellenliste darf keine Rufnummer angegeben sein.

  • Seite 389: Konfiguration Der Rückruf-Funktion Im Überblick

    Referenzhandbuch 6 Routing und WAN-Verbindungen Konfiguration Für den Rückruf nach PPP wählen Sie in LANconfig die Option 'Die Gegenstelle zurückrufen' bzw. 'Auto' bei Konfiguration über WEBconfig, Terminalprogramm oder Telnet. Für den Rückruf nach PPP muss die Nummernliste für die Rufannahme im Gerät gepflegt sein. 6.16.4 Konfiguration der Rückruf-Funktion im Überblick In der Gegenstellenliste stehen unter WEBconfig und Terminalprogramm/Telnet für den Rückruf-Eintrag folgende Optionen zur Verfügung:...

  • Seite 390: Zwei Methoden Der Kanalbündelung

    Referenzhandbuch 6 Routing und WAN-Verbindungen Für die Kanalbündelung wird dabei MLPPP (Multilink PPP) verwendet. Dieses Verfahren steht natürlich nur zur Verfügung, wenn PPP als B-Kanal-Protokoll verwendet wird. MLPPP bietet sich z. B. an für den Internet-Zugang über Provider, die bei Ihren Einwahlknoten ebenfalls MLPPP-fähige Gegenstellen betreiben. Auch für DSL-Kanäle kann eine Bündelung über MLPPPoE eingerichtet werden.

  • Seite 391: Betrieb Eines Modems An Der Seriellen Schnittstelle

    Referenzhandbuch 6 Routing und WAN-Verbindungen Y-Verbindung Ein: Der Router unterbricht die Bündelverbindung, um die zweite Verbindung zur anderen Gegenstelle aufzubauen. Wenn der zweite Kanal wieder frei wird, holt sich die Bündelverbindung diesen Kanal automatisch wieder zurück (bei statischer Bündelung immer, bei dynamischer nur bei Bedarf). Y-Verbindung Aus: Der Router hält die bestehende Bündelverbindung, die zweite Verbindung muss warten.

  • Seite 392: Installation

    Referenzhandbuch 6 Routing und WAN-Verbindungen LANCOM mit serieller Konfigurationsschnittstelle und Unterstützung für das LANCOM Modem Adapter Kit. Für Geräte mit serieller Konfigurationsschnittstelle entnehmen Sie bitte der Tabelle, ob das jeweilige Modell den Modembetrieb an serieller Schnittstelle unterstützt. LANconfig, alternativ Webbrowser oder Telnet zur Konfiguration serielles Konfigurationskabel (im Lieferumfang des Gerätes enthalten) Externes Modem mit Standard AT-Kommandosatz (Hayes-kompatibel) und D-Sub9 oder D-Sub25 Anschluss LANCOM Modem Adapter Kit zum Anschluss des Modems über das serielle Konfigurationskabel...

  • Seite 393: Konfiguration Der Modem-Parameter

    Referenzhandbuch 6 Routing und WAN-Verbindungen Stellen Sie hier die Bitrate ein, die Ihr Modem maximal unterstützt. LANCOM-Geräte unterstützen an der seriellen Schnittstelle von 19.200 Bit/s, 38.400 Bit/s, 57.600 Bit/s bis maximal 115.200 Bit/s. LANconfig: Interfaces / WAN / V.24-Schnittstelle WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / V.24-Schnittstelle Solange das LANCOM auf Modem-Betrieb eingestellt ist, werden bei einer Verbindung mit einem Terminalprogramm über die serielle Schnittstelle die AT-Kommandos angezeit, mit denen das LANCOM ein angeschlossenes Modem erkennen will.
  • Seite 394 Referenzhandbuch 6 Routing und WAN-Verbindungen Escapesequence zum Beenden der Datenphase bzw. zur Rückkehr in die Kommandophase [Default: +++] Wartezeit nach Escapesequence [Default: 1000 in Millisekunden] Verbindung trennen: Zeichenfolge, die das Modem in der Datenphase als Anweisung zum Auflegen interpretiert. [Default: ATH] Die Modem-Parameter sind mit Werten vorbelegt, die für die meisten Modem-Typen passen –...

  • Seite 395: Direkte Eingabe Von At-Befehlen

    Referenzhandbuch 6 Routing und WAN-Verbindungen " Leerzeichen +cgdcont\=1,\”IP\”,\”internet.t-d1.de\” Beispiel: Alternativ kann die gesamte Befehlssequenz in Anführungszeichen eingeschlossen werden. Dabei müssen den inneren Anführungszeichen innerhalb der umgebenden Anführungszeichen auch Backslashes vorangestellt werden. ”+cgdcont=1,\”IP\”,\”internet.t-d1.de\”” Beispiel: 6.18.6 Direkte Eingabe von AT-Befehlen Mit dem Befehl sendserial „AT...“...

  • Seite 396: Konfiguration Von Gegenstellen Für V.24-Wan-Schnittstellen

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.18.9 Konfiguration von Gegenstellen für V.24-WAN-Schnittstellen Um eine Verbindung zu einer Gegenstelle über das an der seriellen Schnittstelle angeschlossene Modem aufzubauen, muss ein entsprechender Eintrag in der Gegenstellenliste (ISDN/seriell) erstellt werden. Die Gegenstellenliste (ISDN/seriell) enthält die folgenden Informationen: Name: Name der Gegenstelle Rufnummer: Rufnummer, über die die Gegenstelle erreicht werden kann.

  • Seite 397: Kontaktbelegung Des Lancom Modem Adapter Kits

    Referenzhandbuch 6 Routing und WAN-Verbindungen Eintrag in der Backup-Tabelle Legen Sie in der Backup-Tabelle einen Eintrag an für die Gegenstelle, die über die Backup-Verbindung abgesichert werden soll. Dieser Gegenstelle ordnen Sie die Gegenstelle zu, die über das Modem an der seriellen Schnittstelle erreicht werden kann.

  • Seite 398: Statistik

    Referenzhandbuch 6 Routing und WAN-Verbindungen Gerätename: Name der Gegenstelle. Es kann eine physikalische oder eine virtuelle (PPTP/VPN) Gegenstelle sein MTU: Auf der Verbindung zu verwendende MTU 6.19.2 Statistik Unter Status / WAN-Statistik finden Sie die MTU-Statistik, in der für alle aktiven Verbindungen die verwendeten MTUs festgehalten werden.
  • Seite 399 Referenzhandbuch 6 Routing und WAN-Verbindungen Die WAN-RIP-Tabelle enthält folgende Werte: Peer Enthält den Namen der Gegenstelle. RIP-Typ Gibt an, mit welcher RIP-Version die lokalen Routen propagiert werden. RIP zu dieser Gegenstelle senden Stellen Sie ein, ob RIP auf dem WAN Routen propagiert. Dazu muss gleichzeitig der RIP-Typ gesetzt sein. RIP von dieser Gegenstelle akzeptieren Stellen Sie ein, ob RIP aus dem WAN akzeptiert wird.
  • Seite 400 Referenzhandbuch 6 Routing und WAN-Verbindungen Bei aktiven Verbindungsaufbauten gibt es zudem bei aktiviertem Anbieten von RIP nach RFC-2091 einen Rückfall auf „normales“ RIP nach RFC 2453: Wenn die Gegenstelle nach 10 Wiederholungen des ersten Pakets nicht geantwortet hat, wird zurückgeschaltet (10 Wiederholungen dauern ca. 30 Sekunden). Als Gateway wird die IP-Adresse des RIP-Partners auf der anderen Seite der WAN-Strecke eingetragen.

  • Seite 401: Das Rapid-Spanning-Tree-Protokoll

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.21 Das Rapid-Spanning-Tree-Protokoll In Netzwerken mit mehreren Switches und Bridges können zwischen zwei angeschlossenen Netzwerkteilnehmern durchaus mehrere physikalische Verbindungen bestehen. Diese redundanten Datenwege sind auch durchaus erwünscht, da sie bei Ausfall einzelner Netzstränge alternative Wege zum Ziel anbieten können. Auf der anderen Seite kann es durch diese Mehrfachverbindungen zu unerwünschten Schleifen (Loops) oder zu mehrfach empfangenen Frames kommen.

  • Seite 402: Konfiguration Des Spanning-Tree-Protokolls

    Referenzhandbuch 6 Routing und WAN-Verbindungen Ein Bridge-Port kann auch als Point-to-Point-Link eingesetzt werden. In diesem Fall ist der Port direkt mit einer weiteren Bridge verbunden. Da zwischen den beiden Bridges keine weiteren Zwischenstationen auftreten können, kann der Wechsel in den Forwarding-Zustand schneller erfolgen. Im Idealfall kann RSTP bekannte alternative Netzwerkpfade sofort nutzen, wenn eine Verbindung ausfällt.
  • Seite 403 Referenzhandbuch 6 Routing und WAN-Verbindungen Legt die Priorität der Bridge im LAN fest. Damit kann man beeinflussen, welche Bridge vom Spanning-Tree-Protokoll bevorzugt zur Root-Bridge gemacht wird. Aus Gründen der Kompatibilität zu RSTP sollte dieser Wert nur in Schritten von 4096 verändert werden, da bei RSTP die unteren 12 Bit dieses 16-Bit-Wertes für andere Zwecke verwendet werden.

  • Seite 404: Statusmeldungen Über Das Spanning-Tree-Protokoll

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.21.4 Statusmeldungen über das Spanning-Tree-Protokoll Die aktuellen Werte des STP können im LAN-Bridge-Status über Telnet oder Browser eingesehen werden. WEBconfig: LCOS-Menübaum / Status / LAN-Bridge / Spanning-Tree Allgemeine Statusinformationen Bridge-ID Dies ist die ID des Gerätes, die vom Spanning-Tree-Algorithmus benutzt wird. Sie setzt sich aus der vom Benutzer festgelegten Priorität (obere 16 Bit) und der Geräte-MAC-Adresse (untere 48 Bit) zusammen.

  • Seite 405: Informationen In Der Rstp-Port-Statistik

    Referenzhandbuch 6 Routing und WAN-Verbindungen Kosten Dieser Wert gibt die 'Kosten' für diesen Port an. Der Wert ergibt sich aus der Technologie (Ethernet, WLAN etc.) des Ports sowie der Bandbreite. Verwendete Werte sind z. B.: Übertragungstechnologie Kosten für Classic Spanning Tree Kosten für Rapid Spanning Tree Ethernet 10 MBit 2000000...

  • Seite 406: Aktionen Für Dynamic Dns

    Referenzhandbuch 6 Routing und WAN-Verbindungen absetzen oder eine DNS-Anfrage versenden. Mit verschiedenen Variablen können Informationen wie die aktuelle IP-Adresse oder der Name des Gerätes oder eine Fehlermeldung mit in die Aktionen eingebaut werden. 6.22.2 Aktionen für Dynamic DNS Damit auch Systeme mit dynamischen IP-Adressen über das WAN – also beispielsweise über das Internet – erreichbar sind, existieren eine Reihe von sog.

  • Seite 407: Dynamic-Dns-Client Im Gerät Über Http

    Referenzhandbuch 6 Routing und WAN-Verbindungen Dynamic-DNS-Client im Gerät über HTTP Alternativ kann das Gerät die aktuelle WAN-IP auch direkt an den DynDNS-Anbieter übertragen: Dazu definieren Sie eine Aktion, die z. B. nach jedem Verbindungsaufbau automatisch eine HTTP-Anfrage an den DynDNS-Server sendet, dabei die benötigten Informationen über das DynDNS-Konto übermittelt und so ein Update der Registrierung auslöst.

  • Seite 408: Dynamic-Dns-Client Im Gerät Über Gnudip

    Referenzhandbuch 6 Routing und WAN-Verbindungen Geben Sie abschließend noch Ihre Zugangsdaten ein. Der Setup-Assistent ergänzt die beschriebene Basis-Aktion um weitere anbieter-spezifischen Parameter, die hier nicht näher beschrieben sein sollen. Außerdem legt der Setup-Assistent weitere Aktionen an, die das Verhalten des Geräts steuern für den Fall, dass der DynDNS-Dienstleister die Aktualisierung nicht im ersten Versuch erfolgreich durchführen konnte.

  • Seite 409: Weitere Beispiele Für Aktionen

    Referenzhandbuch 6 Routing und WAN-Verbindungen addr=<address> – Gibt für eine Aktion mit dem Parameter <0> die IP-Adresse an, die für das Update des DynDNS-Eintrags verwendet werden soll. Fehlt diese Angabe bei einer <0>-Aktion, so wird die Anfrage wie eine <2>-Aktion behandelt. Beim GnuDIP-Protokoll entspricht der Hostname, der registriert werden soll, dem an den Server übermittelten Benutzernamen.

  • Seite 410: Beispiel: Benachrichtigung Bei Zwangstrennung Der Dsl-Verbindung Unterdrücken

    Referenzhandbuch 6 Routing und WAN-Verbindungen Wenn diese Voraussetzungen erfüllt sind, kann die Benachrichtigung eingerichtet werden. Legen Sie dazu in der Aktionstabelle einen neuen Eintrag an, z. B. mit LANconfig unter Kommunikation / Allgemein / Aktionstabelle. In dem Eintrag wählen Sie die Gegenstelle aus, für die ein Verbindungsabbruch gemeldet werden soll. Dazu wählen Sie als Ereignis den 'Abbruch' und geben als Aktion den Versand einer Mail ein: mailto:admin@mycompany.de?subject=VPN-Verbindung abgebrochen um %t?body=VPN-Verbindung zu Filiale 1 wurde unterbrochen.

  • Seite 411: Konfiguration

    Referenzhandbuch 6 Routing und WAN-Verbindungen Mit zwei weiteren Cron-Befehlen set /setup/wan/action-table/1 yes/no wird der entsprechende Eintrag in der Aktionstabelle drei Minuten vor 3.00 Uhr aus- und drei Minuten nach 3:00 Uhr wieder eingeschaltet. Die Ziffer 1 nach dem Pfad zu Aktionstabelle steht dabei als Index für den ersten Eintrag der Tabelle. 6.22.4 Konfiguration In der Aktions-Tabelle können Sie Aktionen definieren, die das Gerät ausführen soll, wenn sich der Zustand einer WAN-Verbindung ändert.
  • Seite 412 Referenzhandbuch 6 Routing und WAN-Verbindungen Abbruch mit Fehler – die Aktion erfolgt, wenn die Verbindung beendet ist, das Gerät selbst aber diesen Abbau nicht ausgelöst oder erwartet hat. Aufbaufehler – die Aktion erfolgt, wenn ein Verbindungsaufbau nicht erfolgreich war. Volumen erreicht – die Aktion erfolgt, wenn das festgelegte Volumen erreicht ist. Volumen zurückgesetzt –...

  • Seite 413: Verwendung Der Seriellen Schnittstelle Im Lan

    Referenzhandbuch 6 Routing und WAN-Verbindungen Die Variable %z steht ausschließlich bei nativen IPv6-WAN-Verbindungen und nicht bei Tunnel-Verbindungen (6to4, 6in4, 6rd) zur Verfügung. Das Ergebnis der Aktionen werten Sie anschließend im Feld Ergebnis-Auswertung aus. Ergebnis-Auswertung: Das Ergebnis der Aktion können Sie hier auswerten, um je nach Ergebnis eine bestimmte Anzahl von Einträge beim Abarbeiten der Aktions-Tabelle zu überspringen.

  • Seite 414: Konfiguration Der Seriellen Schnittstellen

    Referenzhandbuch 6 Routing und WAN-Verbindungen In beiden Fällen wird eine transparente Verbindung zwischen der seriellen Schnittstelle und der TCP-Verbindung hergestellt: Datenpakete, die auf der seriellen Schnittstelle empfangen werden, werden auf der TCP-Verbindung weitergeleitet und umgekehrt. Eine häufige Anwendung im Server-Modus ist die Installation eines virtuellen COM-Port-Treibers auf der Gegenstelle, die sich mit dem COM-Port-Server verbindet.

  • Seite 415: Com-Port-Einstellungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Wenn eine Server-Instanz angelegt oder aktiviert wird, werden die anderen Tabellen der COM-Port-Serverkonfiguration nach Einträgen mit übereinstimmenden Werten für Device-Type und Port-Nummer durchsucht. Falls kein passender Eintrag gefunden wird, verwendet die Server-Instanz sinnvolle Default-Werte. LANconfig: COM-Ports / Server / Geräte Ports WEBconfig: Setup / COM-Ports / COM-Port-Server / Geraete Device-Type Auswahl aus der Liste der im Gerät verfügbaren seriellen Schnittstellen.
  • Seite 416 Referenzhandbuch 6 Routing und WAN-Verbindungen Bitte beachten Sie, dass alle diese Parameter durch die Gegenstelle überschrieben werden können, wenn die RFC2217-Verhandlung aktiviert ist; die aktuellen Einstellungen können im Status-Menü eingesehen werden. LANconfig: COM-Ports / Server / Serielle Schnittstelle WEBconfig: Setup / COM-Ports / COM-Port-Server / COM-Port-Einstellungen Device-Type Auswahl aus der Liste der im Gerät verfügbaren seriellen Schnittstellen.
  • Seite 417 Referenzhandbuch 6 Routing und WAN-Verbindungen aufzubauen bzw. abzubrechen. Die Bereitschaft des Ports kann auf zwei verschiedene Arten ermittelt werden. Im DTR-Modus (Default) wird nur der DTR-Handshake überwacht. Die serielle Schnittstelle wird solange als bereit angesehen, wie die DTR-Leitung aktiv ist. Im Daten-Modus wird die serielle Schnittstelle als bereit betrachtet, sobald sie Daten empfängt.
  • Seite 418 Referenzhandbuch 6 Routing und WAN-Verbindungen die Gegenstelle. Wenn die TCP-Sitzung zur Gegenstelle verfügbar ist, antwortet diese mit ihrem Empfängerstatus. Wenn die TCP-Sitzung zur Gegenstelle nicht verfügbar ist, wird die Anfrage in einem kürzeren Intervall solange wiederholt, bis die Gegenstelle mit ihrem Empfängerstatus antwortet (danach wird wieder ein längeres Intervall verwendet).

  • Seite 419: Netzwerkeinstellungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Maximale Anzahl der Versuche, mit denen der Zustand einer TCP-Verbindung geprüft und das Ergebnis an die Applikation gemeldet wird, welche die entsprechende TCP-Verbindung nutzt. Mögliche Werte: 0 bis 9 Besondere Werte: 0 verwendet den Standardwert nach RFC 1122 (5 Versuche). Default: Die maximale Dauer der TCP-Verbindungsprüfung wird aus dem Produkt von TCP-Wdh.-Timeout und TCP-Wdh.-Zahl gebildet.

  • Seite 420: Konfiguration Der Wan-Geräte

    Referenzhandbuch 6 Routing und WAN-Verbindungen Manche seriellen Geräte wie z. B. die CardBus haben mehr als einen seriellen Port. Tragen Sie hier die Nummer des Ports ein, der auf der seriellen Schnittstelle für den COM-Port-Server genutzt werden soll. TCP-Modus Jede Instanz des COM-Port-Servers überwacht im Server-Modus den definierten Listen-Port auf eingehende TCP-Verbindungen.

  • Seite 421: Status-Informationen Über Die Seriellen Verbindungen

    Referenzhandbuch 6 Routing und WAN-Verbindungen Aktiv Status des angeschlossenen Gerätes: 6.23.6 Status-Informationen über die seriellen Verbindungen Für jede Instanz des COM-Port-Servers werden verschiedene Statistiken und Zustandswerten erfasst. Der serielle Port, den die Instanz verwendet, wird in den beiden ersten Spalten der Tabelle angegeben – hier werden die bei der Konfiguration eingetragenen Werte für Device-Type und Port-Nummer angezeigt.
  • Seite 422 Referenzhandbuch 6 Routing und WAN-Verbindungen Nicht-Vorhanden: Der serielle Port ist derzeit nicht für den COM-Port-Server verfügbar, z. B. weil der USB- oder CardBus-Adapter entfernt wurde oder weil die Schnittstelle von einer anderen Funktion des Geräts verwendet wird. Nicht-Bereit: Der serielle Port ist prinzipiell für den COM-Port-Server verfügbar, derzeit aber nicht bereit für eine Datenübertragung, z.

  • Seite 423: Com-Port-Adapter

    Referenzhandbuch 6 Routing und WAN-Verbindungen Port-Errors In dieser Tabelle werden die Fehler auf dem seriellen Port angezeigt. Diese Fehler können auf ein fehlerhaftes Kabel oder auf Fehler in der Konfiguration hinweisen. Device-Type Liste der im Gerät verfügbaren seriellen Schnittstellen. Port-Nummer Nummer des Ports, der auf der seriellen Schnittstelle für den COM-Port-Server genutzt wird.

  • Seite 424: Datenpakete Aus Dem Lan Via X.25 Weiterleiten (Isdn)

    Referenzhandbuch 6 Routing und WAN-Verbindungen Adapter Geräte CardBus-Seriell-Adapter Alle mit CardBus-Einschub LANCOM Modem-Adapter-Kit Alle mit serieller Konfigurationsschnittstelle Der COM-Port-Adapter muss als beidseitiger Sub-D Stecker mit folgender PIN-Belegung ausgeführt werden: Signal Signal 6.24 Datenpakete aus dem LAN via X.25 weiterleiten (ISDN) Die im LCOS integrierte TCP-X.25-Bridge erlaubt Ihnen, Daten aus einem TCP/IP-Netzwerk via ISDN in ein X.25-Netz (und zurück) weiterzuleiten.

  • Seite 425: Igmp Snooping

    Referenzhandbuch 6 Routing und WAN-Verbindungen X.25-Lokal Die Angabe einer Terminal-IP und Loopback-Adresse ist optional, bei Konfigurationen mit mehreren lokalen Netzen aber dringend empfehlenswert. Für Verbindungen zu einigen Anbietern (z. B. TeleCash) ist darüber hinaus die Angabe der Protokoll-ID und die Userdata erforderlich. Fertig! Damit ist die Basiskonfiguration der TCP-X.25-Bridge abgeschlossen.

  • Seite 426: Ablauf Des Igmp Snooping

    Referenzhandbuch 6 Routing und WAN-Verbindungen IGMP kann als Layer-3-Protokoll nur IP-Subnetze entsprechend der Anmeldungen an Multicast-Gruppen verwalten. Die in den Netzwerkstrukturen vorhandenen Geräte wie Bridges, Switches oder WLAN Access Points leiten die Pakete aber oft nur auf Layer 2 weiter, so dass IGMP zunächst keine Funktionen bietet, um die Pakete zielgerichtet durch diese Netzwerkstrukturen zu leiten.
  • Seite 427 Referenzhandbuch 6 Routing und WAN-Verbindungen Die Bridges müssen also über Router-Ports verfügen, damit sich die Informationen über die Mitgliedschaften in Multicast-Gruppen verbreiten können. Da die Ports der Bridge nur durch IGMP-Anfragen zu Router-Ports werden können, muss einer der Multicast-fähigen Router im Netzwerk die Aufgabe übernehmen, die benötigten IGMP-Anfragen in Netzwerk zu streuen.

  • Seite 428: Konfiguration

    Referenzhandbuch 6 Routing und WAN-Verbindungen Wenn nun PC 1 einen Multicast aussendet für eine der von PC 2 registrierten Multicast-Gruppen, leiten alle Bridges (2, 1 und dann 3) die Pakete jeweils über den Mitglieds-Port weiter bis zu PC 2. 6.25.4 Konfiguration Allgemeine Einstellungen Die Konfiguration des IGMP-Snooping finden Sie im LANconfig unter Schnittstellen >...
  • Seite 429 Referenzhandbuch 6 Routing und WAN-Verbindungen Automatisch Default: Automatisch In der Einstellung Automatisch aktiviert die Bridge das IGMP-Snooping nur, wenn auch Querier im Netz vorhanden sind. Wenn diese Funktion deaktiviert ist, sendet die Bridge alle IP-Multicast-Pakete über alle Ports. Bei einer Änderung des Betriebszustandes setzt die Bridge die IGMP-Snooping-Funktion vollständig zurück, d.

  • Seite 430: Robustheit

    Referenzhandbuch 6 Routing und WAN-Verbindungen Das Anfrage-Intervall muss größer als das Anfrage-Antwort-Intervall sein. Anfrage-Antwort-Intervall Intervall in Sekunden, beeinflusst das Timing zwischen den IGMP-Anfragen und dem Altern der Router-Ports bzw. Mitgliedschaften. Intervall in Sekunden, in dem ein Multicast-fähiger Router (oder ein simulierter Querier) Antworten auf seine IGMP-Anfragen erwartet.
  • Seite 431 Referenzhandbuch 6 Routing und WAN-Verbindungen Ja: Dieser Port verhält sich immer wie ein Router-Port, unabhängig von den IGMP-Anfragen oder Router-Meldungen, die die Bridge auf diesem Port evtl. empfängt. Nein: Dieser Port verhält sich nie wie ein Router-Port, unabhängig von den IGMP-Anfragen oder Router-Meldungen, die die Bridge auf diesem Port evtl.
  • Seite 432 Referenzhandbuch 6 Routing und WAN-Verbindungen Mögliche Werte: aktiviert deaktiviert Default: Aktiviert Statische Mitglieder An diese Ports stellt die Bridge die Pakete mit der entsprechenden IP-Multicast-Adresse immer zu, unabhängig von empfangenen Join-Nachrichten. Mögliche Werte: Kommaseparierte Liste der gewünschten Ports, maximal 215 alphanumerische Zeichen. Default: Leer Simulierte-Anfrager...

  • Seite 433: Igmp Status

    Referenzhandbuch 6 Routing und WAN-Verbindungen Bridge-Gruppe Schränkt die Querier-Instanz auf eine bestimmte Bridge-Gruppe ein. Mögliche Werte: Auswahl aus der Liste der verfügbaren Bridge-Gruppen keine Default: BRG-1 Besondere Werte: Ist "keine" Bridge-Gruppe gewählt, gibt die Bridge die IGMP-Anfragen auf allen Brigde-Gruppen aus. VLAN-ID Schränkt die Querier-Instanz auf ein bestimmtes VLAN ein.

  • Seite 434: Port-Status

    Referenzhandbuch 6 Routing und WAN-Verbindungen Werte-loeschen Diese Aktion löscht alle Statistik-Einträge. Port-Status Diese Tabelle zeigt alle Port-bezogenen Statistiken. WEBconfig: LCOS-Menübaum / Status / LAN-Bridge-Statistiken / IGMP-Snooping / Port-Status Router-Port Zeigt an, ob der Port derzeit als Router-Port genutzt wird oder nicht, unabhängig davon, ob dieser Zustand statisch konfiguriert oder dynamisch gelernt wurde.

  • Seite 435: Konfiguration Des Wwan-Zugriffs

    Referenzhandbuch 6 Routing und WAN-Verbindungen Name Zeigt den Namen der Multicast-Gruppe. Bridge-Gruppe Zeigt die Bridge-Gruppe, für welche dieser Eintrag gültig ist. VLAN-Id Zeigt das VLAN, für welches dieser Eintrag gültig ist. Status Zeigt den Status des Eintrags. Initial: Die Querier-Instanz wurde gerade gestartet und sendet IGMP-Anfragen in kurzen Intervallen (viermal schneller als das definierte Anfrage-Intervall).

  • Seite 436: Automatisch

    Referenzhandbuch 6 Routing und WAN-Verbindungen Der Vollständigkeit wegen beschreibt dieses Tutorial die Anlage eines neuen Profils. 3. Geben Sie unter Name eine eindeutige Bezeichnung für das Mobilfunk-Profil an. 4. Geben Sie unter PIN die 4-stellige PIN der verwendeten Mobilfunk-SIM-Karte ein. Das Gerät benötigt diese Information, um das Mobilfunk-Modem in Betrieb zu nehmen.
  • Seite 437 Referenzhandbuch 6 Routing und WAN-Verbindungen Die manuelle Mobilfunk-Netzwahl eignet sich insbesondere dann, wenn Sie das Gerät stationär betreiben und Sie häufige Einbuchungsvorgänge in ein benachbartes oder funktechnisch stärkeres, mitunter aber unerwünschtes oder teureres Mobilfunk-Netz feststellen. 9. Sofern Sie die manuelle Netz-Auswahl gewählt haben, geben Sie unter Netz-Name die exakte Bezeichnung Ihres Heimnetzes an.
  • Seite 438 Referenzhandbuch 6 Routing und WAN-Verbindungen 16. Wählen Sie unter Mobilfunk-Profil das zuvor für Ihren Mobilfunk-Provider angelegte Profil aus. 17. Klicken Sie OK, um die Einstellungen zu speichern. 18. Klicken Sie in der Ansicht Kommunikation > Gegenstellen auf Gegenst. (Mobilfunk/…) und fügen Sie ein neues Profil hinzu.
  • Seite 439 Referenzhandbuch 6 Routing und WAN-Verbindungen 24. Klicken Sie in der Ansicht Kommunikation > Protokolle auf PPP-Liste und fügen Sie eine neue Gegenstelle hinzu. 25. Wählen Sie unter Gegenstelle das zuvor angelegte Gegenstellenprofil aus, z. B WWAN. 26. Wählen Sie unter Authentifizierung der Gegenstelle (Anfrage) jede Vorauswahl ab. 27.

  • Seite 440: Umschalten Zwischen Mobilfunk-Profilen Oder Sim-Karten

    Referenzhandbuch 6 Routing und WAN-Verbindungen 6.27 Umschalten zwischen Mobilfunk-Profilen oder SIM-Karten Sofern Sie für eine SIM-Karte unterschiedliche Mobilfunk-Profile oder für mehrere SIM-Karten ein Mobilfunk-Profil angelegt haben, lässt sich mit LANmonitor zwischen diesen Profilen umschalten. Die nachfolgenden Schritte zeigen Ihnen, wie Sie im Betrieb ein alternatives Profil oder eine alternative SIM-Karte auswählen. 1.
  • Seite 441 Referenzhandbuch 6 Routing und WAN-Verbindungen WEBconfig: LCOS-Menübaum / Setup / Schnittstellen Übertragungsart Wählen Sie hier aus, welche Übertragungsart Sie für die Verbindung zu Ihrem lokalen Netz verwenden. Mögliche Werte: Automatisch, 10 MBit/s halbduplex, 10 MBit/s vollduplex, 100 MBit/s halbduplex, 100 MBit/s vollduplex, 100 MBit/s automatisch, 1000 MBit/s vollduplex.

  • Seite 442: Ipv6

    Referenzhandbuch 7 IPv6 7 IPv6 7.1 IPv6-Grundlagen IPv4 (Internet Protocol Version 4) ist ein Protokoll zur eindeutigen Adressierung von Teilnehmern in einem Netzwerk und definierte bislang alle weltweit vergebenen IP-Adressen. Da der so gebotene Adressraum Grenzen hat, tritt das IPv6 (Internet Protocol Version 6) in die Fußstapfen des bisherigen Standards.

  • Seite 443: Migrationsstufen

    Referenzhandbuch 7 IPv6 2001:db8::/64 Der übrige Teil der IP-Adresse stellt den Interface Identifier dar. Dieser lautet für das angebene Beispiel: ::54f3:ddb6:1 Gegenüber den IP-Adressen nach dem Standard IPv4 ergeben sich für den Aufbau der neuen IPv6-Adressen einige Änderungen: Während IPv4-Adressen einen Adressraum von 32 Bit abdecken, entsteht durch die neue Länge von 128 Bit ein deutlich größerer Adressbereich von IPv6.

  • Seite 444: 6Rd-Tunnel

    Referenzhandbuch 7 IPv6 eines Subnetzes. Bei einem 48 Bit Präfix stehen sogar 16 Bit des 64 Bit Präfix-Anteils zur Verfügung. Damit lassen sich bis zu 65536 Subnetze realisieren. Der Nachteil der 6in4-Technologie ist der höhere Administrationsaufwand. Eine Anmeldung beim gewählten Tunnelbroker ist notwendig.

  • Seite 445: Dual-Stack Lite (Ds-Lite)

    Referenzhandbuch 7 IPv6 anschließend an ein 6to4-Relay weiter. Das 6to4-Relay entpackt das Paket und leitet es an das gewünschte Ziel weiter. Die folgende Abbildung zeigt das Funktionsprinzip des 6to4-Tunneling: 6to4-Tunnel stellen eine dynamische Verbindung zwischen IPv6- und IPv4-Netzwerken her: die Antwortpakete werden möglicherweise über ein anderes 6to4-Relay zurückgeleitet, als auf dem Hinweg.
  • Seite 446 Referenzhandbuch 7 IPv6 Klicken Sie anschließend auf Hinzufügen und geben Sie die Bezeichnung des Tunnels, die IPv6-Adresse des Gateways und das Routing-Tag ein. Name des Tunnels Dieser Eintrag bestimmt den Namen des IPv4-über-IPv6-Tunnels. Gateway-Adresse Dieser Eintrag definiert die Adresse des DS-Lite-Gateways, den sogenannten Address Family Transition Router (AFTR).

  • Seite 447: Dhcpv6

    Referenzhandbuch 7 IPv6 Über den LANmonitor lassen sich die Status-Tabelle und die Anzahl der aktuellen DS-Lite-Verbindungen darstellen: 7.3 DHCPv6 Im Vergleich zu IPv4 benötigen Clients in einem IPv6-Netzwerk wegen der Autokonfiguration keine automatischen Adresszuweisungen über einen entsprechenden DHCP-Server. Da aber bestimmte Informationen wie DNS-Server-Adressen nicht per Autokonfiguration übertragen werden, ist es in bestimmten Anwendungsszenarien sinnvoll, auch bei IPv6 einen DHCP-Dienst im Netzwerk zur Verfügung zu stellen.

  • Seite 448: Lightweight-Dhcpv6-Relay-Agent (Ldra)

    Referenzhandbuch 7 IPv6 Damit ein Client jedoch auch Informationen z. B. über DNS-Server erhalten kann, müssen Sie das Gerät so konfigurieren, dass es bei Bedarf den DHCPv6-Client aktiviert. Die Einstellungen für den DHCPv6-Client sorgen dafür, dass das Gerät beim Empfang bestimmter Flags im Router-Advertisment den DHCPv6-Client startet, um spezielle Anfragen beim zuständigen DHCPv6-Server zu stellen: M-Flag: Erhält ein entsprechend konfiguriertes Gerät ein Router-Advertisment mit gesetztem 'M-Flag', dann fordert der DHCPv6-Client eine IPv6-Adresse sowie andere Informationen wie DNS-Server, SIP-Server oder NTP-Server beim...

  • Seite 449: Ausrichtung

    Referenzhandbuch 7 IPv6 Nach Auswahl der entsprechenden Schnittstelle können Sie die folgenden Einstellungen festlegen: Ausrichtung Hier aktivieren bzw. deaktivieren Sie das DHCPv6-Snooping. Die folgende Auswahl ist möglich: netz-zugewandt: Über diese Schnittstelle kommuniziert der LDRA mit einem DHCPv6-Server. client-zugewandt: Über diese Schnittstelle kommuniziert der LDRA mit den ans Netz angeschlossenen DHCPv6-Clients.

  • Seite 450: Präfix-Exclude-Option Für Dhcpv6-Präfix-Delegation

    Referenzhandbuch 7 IPv6 7.3.4 Präfix-Exclude-Option für DHCPv6-Präfix-Delegation Der DHCPv6-Client des Gerätes unterstützt bei der Präfix-Delegation den Ausschluss von delegierten IPv6-Präfixen nach RFC 6603 (Prefix Exclude Option for DHCPv6-based Prefix Delegation). Diesen Mechanismus verwenden Provider bei der DHCPv6 Präfix-Delegation, um ein Präfix aus dem delegierten Präfix für die Verwendung auf dem Kunden-LAN auszuschließen.

  • Seite 451: Ipv6-Firewall

    Referenzhandbuch 7 IPv6 2. Markieren Sie Ihr Gerät im Auswahlfenster von LANconfig und wählen Sie die Schaltfläche Setup Assistent oder aus der Menüleiste den Punkt Extras > Setup Assistent. LANconfig liest zunächst die Gerätekonfiguration aus und zeigt das Auswahlfenster der möglichen Anwendungen. 3.

  • Seite 452: Ipv6-Firewall-Log-Tabelle

    Referenzhandbuch 7 IPv6 Default-Einträge für die Inbound-Regeln Diese Übersicht enthält die Regeln, die die Firewall bei Inbound-Verbindungen anwenden soll. Standardmäßig sind bereits die folgenden Regeln für die wichtigsten Anwendungsfälle vorgegeben: ALLOW-ICMP, ACCEPT Erlaube alle Verbindungen über ICMPV6. ALLOW-DHCP-CLIENT, ACCEPT Erlaube die Kommunikation mit dem DHCPv6-Client. ALLOW-DHCP-SERVER, ACCEPT Erlaube die Kommunikation mit dem DHCPv6-Server.

  • Seite 453: Ipv6-Firewall-Log-Tabelle Über Webconfig Auswerten

    Referenzhandbuch 7 IPv6 IPv6-Firewall-Log-Tabelle über WEBconfig auswerten Sie können die IPv6-Log-Tabelle im WEBconfig über LCOS-Menübaum > Status > IPv6 > Firewall > Log-Tabelle öffnen. Die Einträge haben folgende Bedeutung: Idx.: Fortlaufender Index. Darüber lässt sich die Tabelle auch über SNMP abfragen. System-Zeit: System-Zeit in UTC-Kodierung (wird bei der Ausgabe der Tabelle in Klartext umgewandelt).

  • Seite 454: Router-Advertisement-Snooping

    Referenzhandbuch 7 IPv6 0x00000400: Internet-(Defaultrouten-)Filter 0x00000800: Drop 0x00001000: Disconnect 0x00004000: Quell-Adresse sperren 0x00020000: Ziel-Adresse und -Port sperren 0x20000000: Sende SYSLOG-Benachrichtigung 0x40000000: Sende SNMP-Trap 0x80000000: Sende E-Mail Alle Firewall-Aktionen erscheinen ebenfalls im IP-Router-Trace. 7.6 Router-Advertisement-Snooping In einem IPv6-Netz senden Router periodisch oder auf Anfrage Router-Advertisments, um sich angeschlossenen Clients als Gateway zu präsentieren.

  • Seite 455: Ipv6-Präfix-Delegation Vom Wwan Ins Lan

    Referenzhandbuch 7 IPv6 Schnittstellen-Typ Bestimmen Sie hier den bevorzugten Schnittstellen-Typ. Die folgende Auswahl ist möglich: Router: Das Gerät vermittelt alle RAs, die an dieser Schnittstelle ankommen (Default). Client: Das Gerät verwirft alle RAs, die an dieser Schnittstelle ankommen. Router-Adresse Sofern Sie den Schnittstellen-Typ Router gewählt haben, geben Sie hier eine optionale Router-Adresse an. Bei Angabe einer Router-Adresse vermittelt das Gerät nur RAs des entsprechenden Routers.

  • Seite 456: Ipv6-Konfigurationsmenü

    Referenzhandbuch 7 IPv6 7.8 IPv6-Konfigurationsmenü Im Gegensatz zu früheren Versionen von LANconfig, in denen es im Konfigurationsmenü die Konfigurationsmöglichkeit TCP/IP für IPv4 gab, finden Sie nun an dieser Stelle die Optionen IPv4 und IPv6. Klicken Sie auf IPv6, um die Einstellungen für dieses Protokoll vorzunehmen. Die Konfiguration IPv6 ist unterteilt in die Optionen Allgemein, Router-Advertisement, DHCPv6 und Tunnel.
  • Seite 457 Referenzhandbuch 7 IPv6 jeweiligen IPv4-Netzwerks passen. Da ein Gerät beliebig viele IPv6-Adressen haben kann, müssen Sie unter IPv6-Adressen statisch konfigurierte IPv6-Adressen hinzufügen. Die Einträge in der Tabelle LAN-Schnittstellen haben folgende Bedeutung: Schnittstelle aktiv: Aktiviert bzw. deaktiviert diese LAN-Schnittstelle. Interface-Name bzw. Netzwerkname: Benennen Sie das logische IPv6-Interface, für das das physikalische Interface (Schnittstellen-Zuordnung) und die VLAN-ID gelten sollen.
  • Seite 458 Referenzhandbuch 7 IPv6 Interface-Name: Benennen Sie das logische IPv6-Interface analog zur zugehörigen IPv4-Gegenstelle. Schnittstellen-Tag: Tragen Sie hier als Schnittstellen-Tag einen Wert ein, der das Netzwerk eindeutig spezifiziert. Alle Pakete, die das Gerät auf diesem Netzwerk empfängt, erhalten intern eine Markierung mit diesem Tag. Das Schnittstellen-Tag ermöglicht eine Trennung der für dieses Netzwerk gültigen Routen auch ohne explizite Firewall-Regel.
  • Seite 459 Referenzhandbuch 7 IPv6 Die folgenden Werte sind möglich: Eine einzelne Gegenstelle aus den Tabellen unter Setup > WAN > PPTP-Gegenstellen, Setup > WAN > L2TP-Gegenstellen oder Setup > PPPoE-Server > Namenliste. Dem Platzhalter "*", der bewirkt, dass diese Schnittstelle für alle PPTP-, PPPoE- und L2TP-Gegenstellen gilt. Dem Platzhalter "*"...
  • Seite 460 Referenzhandbuch 7 IPv6 Beim Adresstyp EUI-64 entspricht die IPv6-Adresse der IEEE-Norm "EUI-64". Die MAC-Adresse der Schnittstelle stellt damit einen eindeutig identifizierbaren Bestandteil der IPv6-Adresse dar. Ein korrektes Eingabeformat für eine IPv6-Adresse inkl. Präfixlänge nach EUI-64 würde lauten: "2001:db8:1::/64". "EUI-64" ignoriert einen eventuell konfigurierten Interface Identifier der jeweiligen IPv6-Adresse und ersetzt ihn durch einen Interface Identifier nach "EUI-64".

  • Seite 461: Router-Advertisement

    Referenzhandbuch 7 IPv6 Kommentar: Tragen Sie hier einen optionalen Kommentar ein. 7.8.2 Router-Advertisement In der Konfiguration Router-Advertisement bieten sich Ihnen mehrer Schaltflächen mit Optionen zu Einstellungen des Neighbor Discovery Protocol (NDP), falls das Gerät als IPv6-Router arbeiten soll: Schnittstellen-Optionen Hier aktivieren oder deaktivieren Sie die folgenden Funktionen von Schnittstellen: Router-Adv.
  • Seite 462 Referenzhandbuch 7 IPv6 "Automatisch": Solange eine WAN-Verbindung besteht, setzt das Gerät eine positive Router-Lifetime in den Router-Advertisement-Nachrichten. Das führt dazu, dass ein Client diesen Router als Standard-Gateway verwendet. Besteht die WAN-Verbindung nicht mehr, so setzt der Router die Router-Lifetime auf "0". Ein Client verwendet dann diesen Router nicht mehr als Standard-Gateway.
  • Seite 463 Referenzhandbuch 7 IPv6 Präfix-Pools Diese Tabelle enthält Präfix-Pools, aus denen RAS-Benutzer einen Präfix bei der Einwahl über IPv6 erhalten. Möglich sind folgende Einstellungen: Interface-Name Bestimmt den Namen der RAS-Schnittstelle, für die dieser Präfix-Pool gelten soll. Erster Präfix Definiert das erste Präfix des Pools, das der Einwahl-Benutzer durch Router-Advertisement zugeteilt bekommt, z.
  • Seite 464 Referenzhandbuch 7 IPv6 Zweiter DNS IPv6-Adresse des zweiten IPv6-DNS-Servers für dieses Interface. DNS-Suchliste vom internen DNS-Server importieren Gibt an, ob die DNS-Suchliste (DNS Search List) bzw. die eigene Domäne für dieses logische Netzwerk vom internen DNS-Server eingefügt werden soll, z. B. "intern". Die eigene Domäne ist unter IPv4 > DNS > Allgemeine Einstellungen konfigurierbar.

  • Seite 465: Dhcpv6

    Referenzhandbuch 7 IPv6 7.8.3 DHCPv6 Hier konfigurieren Sie DHCPv6-Server, den DHCPv6-Client und den DHCPv6-Relay-Agent. DHCPv6-Netzwerke In dieser Tabelle konfigurieren Sie die Grundeinstellungen des DHCPv6-Servers und definieren, für welche Interfaces diese gelten sollen. Interface-Name-or-Relay Name des Interfaces, auf dem der DHCPv6-Server arbeitet, z. B. "INTRANET". Alternativ hinterlegen Sie hier die IPv6-Adresse des entfernten DHCPv6 Relay-Agenten.
  • Seite 466 Referenzhandbuch 7 IPv6 DHCPv6-Server aktiviert Aktiviert bzw. deaktiviert den Eintrag. Rapid-Commit Bei aktiviertem Rapid-Commit antwortet der DHCPv6-Server direkt auf eine Solicit-Anfrage mit einer Reply-Nachricht. Der Client muss explizit die Rapid-Commit-Option in seiner Anfrage setzen. Erster DNS IPv6-Adresse des ersten DNS-Servers. Zweiter DNS IPv6-Adresse des zweiten DNS-Servers.
  • Seite 467 Referenzhandbuch 7 IPv6 Unterstützt wird das Reconfigure Key Authentication Protocol nach RFC 3315 für die Optionen Renew und Information-Request , sowie Rebind nach RFC 6644. Das Auslösen der Rekonfiguration erfolgt auf der Konsole des Gerätes durch einen do-Befehl im Status-Baum: do /Status/IPv6/DHCPv6/Server/Reconfigure Die Reconfigure-Funktion erwartet im Anschluss folgende Parameter: renew: (optional, Default) Fordert den Client auf, ein Renew für seine Adresse und/oder sein Präfix...
  • Seite 468 Referenzhandbuch 7 IPv6 Erste Adresse Erste Adresse des Pools, z. B. "2001:db8::1" Letzte Adresse Letzte Adresse des Pools, z. B. "2001:db8::9" Bevorzugte Gültigkeit Bestimmen Sie hier die Zeit in Sekunden, die der Client diese Adresse als 'bevorzugt' verwenden soll. Nach Ablauf dieser Zeit führt ein Client diese Adresse als 'deprecated'.

  • Seite 469: Interface-Name-Oder Relay

    Referenzhandbuch 7 IPv6 Erstes Präfix Erstes zu delegierendes Präfix im PD-Pool, z. B. "2001:db8:1100::" Letztes Präfix Letztes zu delegierendes Präfix im PD-Pool, z. B. "2001:db8:FF00::" Präfix-Länge Länge der Präfixe im PD-Pool, z. B. "56" oder "60" Bevorzugte Gültigkeit Bestimmen Sie hier die Zeit in Sekunden, die der Client dieses Präfix als 'bevorzugt' verwenden soll. Nach Ablauf dieser Zeit führt ein Client diese Adresse als 'deprecated'.
  • Seite 470 Referenzhandbuch 7 IPv6 Arbeitet das Gerät als DHCPv6-Server, finden sich die Client-IDs der Clients mit aktuellem Bezug von IPv6-Adressen unter Status > IPv6 > DHCPv6 > Server > Adress-Zuteilungen, bzw. mit aktuellem Bezug von IPv6-Präfixen unter Status > IPv6 > DHCPv6 > Server > PD-Zuteilungen. Der LANmonitor zeigt die Client-IDs der Clients unter DHCPv6-Server an.
  • Seite 471 Referenzhandbuch 7 IPv6 Rapid-Comment Bei aktiviertem Rapid-Commit versucht der Client, mit nur zwei Nachrichten vom DHCPv6-Server eine IPv6-Adresse zu erhalten. Ist der DHCPv6-Server entsprechend konfiguriert, antwortet er auf diese Solicit-Anfrage sofort mit einer Reply-Nachricht. Reconfigure-Accept Wenn der Client mit dem Server beim ersten Kontakt erfolgreich ein Re-Konfiguration (Reconfigure) ausgehandelt hat, dann kann der Server den Client jederzeit auffordern, seine Adresse oder andere Informationen zu aktualisieren.
  • Seite 472 Referenzhandbuch 7 IPv6 Relay-Agent-Interfaces Ein DHCPv6-Relay-Agent leitet DHCP-Nachrichten zwischen DHCPv6-Clients und DHCPv6-Servern weiter, die sich in unterschiedlichen Netzwerken befinden. Definieren Sie in dieser Tabelle das Verhalten des DHCPv6-Relay-Agents. Interface-Name Name des Interfaces, auf dem der Relay-Agent Anfragen von DHCPv6-Clients entgegennimmt, z. B. "INTRANET". Relay-Agent aktiviert Bestimmt, wie und ob das Gerät den Relay-Agent aktiviert.

  • Seite 473: Tunnel

    Referenzhandbuch 7 IPv6 7.8.4 Tunnel In der Konfiguration Tunnel legen Sie über 3 Schaltflächen IPv6-Tunnel an, die über IPv4-Netzwerke verwendet werden. Dies benötigen Sie, um den Zugang zum IPv6-Internet über eine IPv4-Verbindung herzustellen. 6to4-Tunnel: Diese Schaltfläche öffnet die Einstellung von 6to4-Tunneln. Verbindungen über einen 6to4-Tunnel nutzen Relays, die der Backbone des IPv4-Internet-Providers auswählt.

  • Seite 474: Tutorials

    Referenzhandbuch 7 IPv6 7.9 Tutorials 7.9.1 Konfiguration der IPv6-Firewall-Regeln Mit LANconfig können Sie die Firewall-Regeln unter Firewall/QoS > IPv6-Regeln festlegen. Standardmäßig sind bereits einige Objekte und Listen für die wichtigsten Anwendungsfälle vorgegeben. Sie können Listen oder Objekte nicht löschen, wenn die Firewall diese in einer Forwarding- oder Inbound-Regel verwendet.

  • Seite 475: Ipv6-Forwarding-Regeln

    Referenzhandbuch 7 IPv6 Diese Regel ist für die Firewall aktiv Aktiviert die Regel. Priorität Bestimmt die Priorität der Regel: Je höher der Wert, desto höher die Priorität. Aktionen Bestimmt die Aktion, die die Firewall bei gültiger Regel ausführen soll. Über Wählen können Sie aus einer Liste eine Aktion oder eine Aktions-Liste auswählen.
  • Seite 476 Referenzhandbuch 7 IPv6 Klicken Sie auf Hinzufügen..., um eine neue Regel festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen der Regel. Diese Regel ist für die Firewall aktiv Aktiviert die Regel. Weitere Regeln beachten, nachdem diese Regel zutrifft Wenn Sie diese Option aktivieren, führt die Firewall zusätzlich die nachfolgenden Regeln der Liste aus.
  • Seite 477 Referenzhandbuch 7 IPv6 Aktionen Bestimmt die Aktion, die die Firewall bei gültiger Regel ausführen soll. Über Wählen können Sie aus einer Liste eine Aktion oder eine Aktions-Liste auswählen. Wenn Sie hier einen neuen Eintrag eingeben, taucht dieser zunächst unter Unbekannte Quelle auf. Markieren Sie anschließend den Eintrag einer Quelle, der Sie den neuen Eintrag zuordnen möchten und klicken anschließend auf Quelle verwalten.
  • Seite 478 Referenzhandbuch 7 IPv6 Name Bestimmt den Namen der Liste. Aktions-Objekte Bestimmt die Objekte, die sie in dieser Liste zusammenfassen möchten. Über Wählen können Sie aus einer Liste ein oder mehrere Objekte auswählen. Wenn Sie hier einen neuen Eintrag eingeben, taucht dieser zunächst unter Unbekannte Quelle auf. Markieren Sie anschließend den Eintrag einer Quelle, der Sie den neuen Eintrag zuordnen möchten und klicken anschließend auf Quelle verwalten.
  • Seite 479 Referenzhandbuch 7 IPv6 Name Bestimmt den Namen des Objektes. Anzahl Bestimmt das Limit, bei dessen Überschreiten die Firewall die Aktion ausführt. Einheit Bestimmt die Einheit des Limits. Wählen Sie im Drop-Down-Menü den entsprechenden Wert aus. Zeit Bestimmt, für welchen Messzeitraum die Firewall das Limit ansetzt. Wählen Sie im Drop-Down-Menü den entsprechenden Wert aus.
  • Seite 480 Referenzhandbuch 7 IPv6 Bedingungen Bestimmt, welche Bedingung zusätzlich zur Ausführung der Aktion erfüllt sein müssen. Die Bedingungen können Sie unter Bedingungen definieren. Weitere Maßnahmen Bestimmt, welche Trigger-Aktionen die Firewall zusätzlich zur Filterung der Datenpakete starten soll. Die Trigger-Aktionen können Sie unter Weitere Maßnahmen definieren. Bedingungen Über die Schaltfläche Bedingungen definieren Sie Bedingungen, die zum Anwenden der Forwarding- und Inbound-Regeln erfüllt sein müssen.

  • Seite 481: Weitere Maßnahmen

    Referenzhandbuch 7 IPv6 Transport-Richtung Bestimmt, ob die Transportrichtung sich auf den logischen Verbindungsaufbau oder die physikalische Datenübertragung über das jeweilige Interface bezieht. Aktion nur - bei DiffServ-CP Bestimmt, welche Priorität die Datenpakete (Differentiated Services, DiffServ) besitzen müssen, damit die Bedingung erfüllt ist. Weitere Informationen zu den DiffServ-CodePoints finden Sie im Referenzhandbuch im Kapitel “QoS”.
  • Seite 482 Referenzhandbuch 7 IPv6 E-Mail-Nachricht senden Aktivieren Sie diese Option, wenn die Firewall eine E-Mail-Nachricht versenden soll. Wenn Sie eine Benachrichtigung per E-Mail erhalten möchten, müssen Sie unter Firewall/QoS > Allgemein > Administrator E-Mail eine entsprechende E-Mail-Adresse angeben. Verbindung trennen Aktivieren Sie diese Option, wenn die Firewall die Verbindung trennen soll. Absender-Adresse sperren Aktivieren Sie diese Option, wenn die Firewall die Absender-Adresse sperren soll.
  • Seite 483 Referenzhandbuch 7 IPv6 TCP/UDP-Dienst-Objekte Über die Schaltfläche TCP/UDP-Dienst-Objekte definieren Sie TCP/UDP-Dienste, die die IPv6-Firewall für Filterregeln verwenden kann. Klicken Sie auf Hinzufügen..., um einen neuen Dienst festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen des Objektes. IP-Protokoll Bestimmt das Protokoll des Dienstes Ports...
  • Seite 484 Referenzhandbuch 7 IPv6 ICMP Code Bestimmt den Code des ICMP-Dienstes. IP-Protokoll-Objekte Über die Schaltfläche IP-Protokoll-Objekte definieren Sie Internet-Protokoll-Objekte, die die IPv6-Firewall für Filterregeln verwenden kann. Listen mit den offiziellen Protokoll- und Portnummern finden Sie im Internet unter www.iana.org Klicken Sie auf Hinzufügen..., um ein neues Objekt festzulegen. Sie können die folgenden Eigenschaften der Regel bestimmen: Name Bestimmt den Namen des Objektes.

  • Seite 485: Einrichtung Eines Ipv6-Internetzugangs

    Referenzhandbuch 7 IPv6 Stations-Objekte Über die Schaltfläche Stations-Objekte definieren Sie Stationen, die die IPv6-Firewall für Filterregeln verwenden kann. Klicken Sie auf Hinzufügen..., um ein neues Objekt anzulegen. Sie können die folgenden Eigenschaften der Objekte festlegen: Name Bestimmt den Namen des Objektes. Bestimmt den Stationstyp.
  • Seite 486 Referenzhandbuch 7 IPv6 Setup-Assistent - IPv6 bei einem neuen Gerät einrichten Wenn Sie ein neues Gerät angeschlossen, aber noch nicht konfiguriert haben, haben Sie die Möglichkeit per Setup-Assistent IPv4- und IPv6-Verbindungen herzustellen. Um Ihre Eingaben zu übernehmen und zum nächsten Dialog zu gelangen, klicken Sie jeweils auf Weiter. 1.
  • Seite 487 Referenzhandbuch 7 IPv6 Nachfolgend führen wir Sie durch die Einrichtung einer Dual-Stack-Verbindung. Aktivieren Sie die entsprechende Auswahl. 4. Bestimmen Sie die Schnittstelle, über die Sie die Verbindung herstellen wollen. 5. Wählen Sie aus der Liste Ihr Land aus.
  • Seite 488 Referenzhandbuch 7 IPv6 6. Wählen Sie Ihren Internet-Provider aus. Sie haben folgende Einträge zur Auswahl: Eine Auswahl relevanter Internet-Provider Internet-Zugang über PPP over ATM Internet-Zugang über PPP over Ethernet Internet-Zugang über Plain IP Internet-Zugang über PPTP Internet-Zugang über Plain Ethernet 7.
  • Seite 489 Referenzhandbuch 7 IPv6 8. Tragen Sie die Zugangsdaten ein, die Ihnen Ihr Provider bei der Errichtung Ihres Internetzugangs mitgeteilt hat. Je nach Provider können sich Art und Anzahl der Felder unterscheiden. 9. Legen Sie fest, wie sich das Gerät bei einem Verbindungsabbruch verhalten soll. Außerdem können Sie angeben, ob und wann das Gerät die Internetverbindung zwangsweise trennen soll.
  • Seite 490 Referenzhandbuch 7 IPv6 10. Definieren Sie die Art der Backup-Verbindung im Fall einer Verbindungsstörung. Sie haben folgende Optionen zur Auswahl: Keine Backup-Verbindung verwenden: Sie überspringen die Konfiguration einer Backup-Verbindung. Die bereits konfigurierte Verbindung im Backup-Fall verwenden: Wählen Sie im Folgedialog aus einer Liste ein bereits konfigurierte Verbindung aus.
  • Seite 491 Referenzhandbuch 7 IPv6 12. Wählen Sie die Art des IPv6-Internet-Zugangs. Sie haben folgende Optionen zur Auswahl: Zusätzlich natives IPv6: Konfigurieren Sie eine direkte Verbindung ohne Tunnel. 6to4-Tunnel: Starten Sie den Assistenten zur Konfiguration eines 6to4-Tunnels. 6in4-Tunnel: Bestimmen Sie in der Eingabemaske die Parameter für den 6in4-Tunnel. 6rd-Tunnel: Bestimmen Sie in der Eingabemaske die Parameter für den 6rd-Tunnel.
  • Seite 492 Referenzhandbuch 7 IPv6 1. Starten Sie den Setup-Assistenten in LANconfig. Markieren Sie dazu das zu konfigurierende Gerät. Den Setup-Assistenten starten Sie entweder per Rechtsklick im sich öffnenden Menü oder per Zauberstab-Icon in der Symbolleiste 2. Wählen Sie im Setup-Assistenten die Option Internet-Zugang einrichten. Klicken Sie anschließend auf Weiter.
  • Seite 493 Referenzhandbuch 7 IPv6 3. Da ihr Gerät bereits für IPv4 beherrscht, bietet der Setup-Assistent Ihnen die Möglichkeit, diese existierende Einstellung um IPv6 zu erweitern. Wählen Sie diese Option und klicken Sie anschließend auf Weiter. 4. Wählen Sie die Art des IPv6-Internet-Zugangs. Sie haben folgende Optionen zur Auswahl: Zusätzlich natives IPv6: Konfigurieren Sie eine direkte Verbindung ohne Tunnel.

  • Seite 494: Einrichtung Eines 6To4-Tunnels

    Referenzhandbuch 7 IPv6 5. Übernehmen Sie die Default-Einstellung IPv6-Parameter automatisch aus Router-Advertisements beziehen. 6. Sie haben die Einrichtung des nativen IPv6-Internetzugangs abgeschlossen. Klicken Sie abschließend auf Fertig stellen, damit der Assistent Ihre Eingaben im Gerät speichern kann. 7.9.3 Einrichtung eines 6to4-Tunnels Die Verwendung eines 6to4-Tunnels bietet sich an, wenn Ihr Gerät IPv6-fähig ist und Sie auf IPv6-Dienste zugreifen möchten, Ihr Provider jedoch kein natives IPv6-Netz unterstützt und...
  • Seite 495 Referenzhandbuch 7 IPv6 3. Wechseln Sie im Konfigurationsdialog in die Ansicht IPv6 > Tunnel und klicken Sie auf 6to4-Tunnel. 4. Klicken Sie auf Hinzufügen, um einen neuen 6to4-Tunnel anzulegen. 5. Vergeben Sie den Namen des 6to4-Tunnels. 6. Tragen Sie als Schnittstellen-Tag einen Wert ein, der das Netzwerk eindeutig spezifiziert. Alle Pakete, welche dieses Gerät auf diesem Netzwerk empfängt, erhalten intern eine Markierung mit diesem Tag.
  • Seite 496 Referenzhandbuch 7 IPv6 12. Öffnen Sie die Präfix-Liste und klicken Sie auf Hinzufügen. 13. Vergeben Sie einen Namen für das Interface, das den 6to4-Tunnel verwenden wird, z. B. "INTRANET". 14. Bestimmen Sie als Präfix den Wert "::/64", um das vom Provider vergebene Präfix automatisch und in voller Länge zu übernehmen.

  • Seite 497: Verwendung Von Webconfig

    Referenzhandbuch 7 IPv6 24. Öffnen Sie die IPv6-Routing-Tabelle und klicken auf Hinzufügen. 25. Vergeben Sie als Präfix den Wert "::/0". 26. Übernehmen Sie für Routing-Tag den Default-Wert "0". 27. Im Feld Router wählen Sie aus der Liste den Namen des Tunnels aus, den Sie definiert haben, im Beispiel oben "TUNNEL-6TO4".
  • Seite 498 Referenzhandbuch 7 IPv6 Diese Adresse ist der Grund dafür, dass ein 6to4-Tunnel instabil und unsicher ist. Weder ist sichergestellt, dass überhaupt ein 6to4-Relay verfügbar ist, noch können Sie jedem verfügbaren 6to4-Relay vertrauen. Es gibt keine Garantie dafür, dass das verbundene Relay keine Aufzeichnung Ihres Datenverkehrs vornimmt. 6.
  • Seite 499 Referenzhandbuch 7 IPv6 18. Wechseln Sie in das Verzeichnis LCOS-Menübaum > Setup > IPv6, öffnen Sie die Tabelle Routing-Tabelle und klicken Sie auf Hinzufügen. 19. Vergeben Sie als Praefix den Wert "::/0". 20. Übernehmen Sie für Rtg-Tag den Default-Wert "0". 21.

  • Seite 500: Firewall

    Referenzhandbuch 8 Firewall 8 Firewall Für die meisten Firmen und viele Privatanwender ist eine Arbeit ohne das Internet nicht mehr denkbar. E-Mail und Web sind für die Kommunikation und Informationsrecherche unverzichtbar. Jede Verbindung der Rechner aus dem eigenen, lokalen Netzwerk mit dem Internet stellt aber eine potentielle Gefahr dar: Unbefugte können über diese Internet-Verbindung versuchen, Ihre Daten einzusehen, zu verändern oder Ihre Rechner zu manipulieren.

  • Seite 501: Die Methoden

    Referenzhandbuch 8 Firewall Über Funknetzwerke, die als Ergänzung zum drahtgebundenen Netzwerk eingesetzt werden In diesem Kapitel betrachten wir ausschließlich die Wege über die zentrale Internetverbindung, über den Router. Hinweise zum Schutz der Funknetzwerke entnehmen Sie bitte den entsprechenden Kapiteln dieses Referenz-Handbuchs bzw.

  • Seite 502: Was Ist Eine Firewall

    Referenzhandbuch 8 Firewall Seite ist es bei einem schutzlos im Internet aufgestellten Rechner wahrscheinlich nur eine Frage der Zeit, bis er evtl. sogar zufällig einmal das Opfer von Angriffen wird. 8.2 Was ist eine Firewall? Der Begriff der “Firewall” wird sehr unterschiedlich interpretiert. Wir möchten an dieser Stelle erläutern, was im Rahmen dieses Referenz-Handbuchs mit der “Firewall”...

  • Seite 503: Unterschiedliche Typen Von Firewalls

    Referenzhandbuch 8 Firewall Die Protokollierung alleine kommt aber manchmal zu spät. Oft kann durch ein sofortiges Eingreifen des Admins ein größerer Schaden verhindert werden. Aus diesem Grund verfügen Firewalls meistens über eine Alarmierungsfunktion, bei der die Meldungen der Firewall z. B. per E-Mail an den Administrator gemeldet werden. 8.2.2 Unterschiedliche Typen von Firewalls Im Laufe der letzten Jahre hat sich die Arbeitsweise von Firewalls immer weiter entwickelt.

  • Seite 504: Stateful-Packet-Inspection

    Referenzhandbuch 8 Firewall Wenn man die Firewall weiterhin mit einem Pförtner vergleicht, prüft dieser Türsteher nur, ob er den Boten mit dem Paket an der Tür kennt oder nicht. Wenn der Kurier bekannt ist und schon einmal in das Gebäude hinein durfte, darf er auch bei allen folgenden Aufträgen ungehindert und unkontrolliert in das Gebäude bis zum Arbeitsplatz des Empfängers.
  • Seite 505 Referenzhandbuch 8 Firewall Versucht hingegen ein anderer Rechner im Internet, den gerade offenen Port 4322 im LAN zu nutzen, um selbst Daten von seinem Port 20 auf dem geschützten Client abzulegen, wird dieser Versuch von der Firewall unterbunden, denn die IP-Adresse des Angreifers passt nicht zur erlaubten Verbindung! Nach der erfolgreichen Datenübertragung verschwinden die Einträge automatisch wieder aus der dynamischen Tabelle, die Ports werden also wieder geschlossen.

  • Seite 506: Die Firewall Im Gerät

    Referenzhandbuch 8 Firewall Das Application Gateway steht damit als eine Art Vertreter (Proxy) für jedes der beiden Netzwerke da. Eine andere Bezeichnung für diese Konstellationen ist die des “dualhomed Gateway”, weil dieser Rechner sozusagen in zwei Netzwerken zu Hause ist. Für jede Anwendung, die über dieses Gateway erlaubt werden soll, wird auf dem Gateway ein eigener Dienst eingerichtet, z.

  • Seite 507: So Prüft Die Firewall Im Gerät Die Datenpakete

    Referenzhandbuch 8 Firewall Bei Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die für die Voice-Verbindungen benötigen Ports automatisch freigeschaltet! 8.3.1 So prüft die Firewall im Gerät die Datenpakete Die Firewall filtert aus dem gesamten Datenstrom, der über den IP-Router des Geräts läuft, diejenigen Datenpakete heraus, für die eine bestimmte Behandlung vorgesehen ist.
  • Seite 508 Referenzhandbuch 8 Firewall Filterliste Und so setzt die Firewall die Listen ein, wenn ein Datenpaket über den IP-Router geleitet werden soll: 1. Zuerst wird nachgeschaut, ob das Paket von einem Rechner kommt, der in der Hostsperrliste vermerkt ist. Ist der Absender gesperrt, wird das Paket verworfen.

  • Seite 509: Besondere Protokolle

    Referenzhandbuch 8 Firewall über welches Protokoll und welchen Port eine Verbindung aktuell erlaubt ist. Darüber hinaus wird in dieser Liste festgehalten, wie lange der Eintrag noch in der Liste stehen bleibt und welche Firewall-Regel den Eintrag erzeugt hat. Diese Liste ist sehr dynamisch und permanent “in Bewegung”. Die Filterliste wird aus den Regeln der Firewall erzeugt.

  • Seite 510: Allgemeine Einstellungen Der Firewall

    Referenzhandbuch 8 Firewall TCP-Verbindungen TCP-Verbindungen können nicht einfach nur durch die Prüfung der Ports nachgehalten werden. Bei einigen Protokollen wie z. B. FTP, PPTP oder H.323 sind Prüfungen der Nutzdaten nötig, um alle später ausgehandelten Verbindungen zu öffnen, und nur die wirklich zu den Verbindungen gehörenden Pakete zu akzeptieren. Dies entspricht einer vereinfachten Version dessen, was auch beim IP-Masquerading gemacht wird, nur ohne Adress- und Port-Mapping.

  • Seite 511: Sitzungswiederherstellung

    Referenzhandbuch 8 Firewall Fragmente Manche Angriffe aus dem Internet versuchen, die Firewall durch fragmentierte Pakete (also in mehrere kleine Einheiten aufgeteilte Pakete) zu überlisten. Zu den Haupteigenschaften einer Stateful Inspection gehört auch die Fähigkeit, fragmentierte Pakete zu Re-assemblieren (wieder zusammenzusetzen), um anschließend das gesamte IP-Paket prüfen zu können.
  • Seite 512 Referenzhandbuch 8 Firewall Ping-Blocking Eine - nicht unumstrittene - Methode die Sicherheit zu erhöhen, ist das Verstecken des Routers; frei nach der Methode: “Wer mich nicht sieht, wird auch nicht versuchen mich anzugreifen...”. Viele Angriffe beginnen mit der Suche nach Rechnern und/oder offenen Ports über eigentlich recht harmlose Anfragen, z.

  • Seite 513: Die Parameter Der Firewall-Regeln

    Referenzhandbuch 8 Firewall Das Aktivieren der Option “Authentifizierungs-Port tarnen“ kann zu erheblichen Verzögerungen beim Versand und Empfang z. B. von E-Mails oder News führen! Ein Mail- oder News-Server, der mit Hilfe dieses Dienstes etwaige zusätzliche Informationen vom User anfordert, läuft dann zunächst in einen störenden Timeout, bevor er beginnt, die Mails auszuliefern.

  • Seite 514: Anwendung Der Firewall-Regel

    Referenzhandbuch 8 Firewall einzelne Regeln z. B. nicht gleichzeitig die gemeinsame Obergrenze abbilden. Soll jeder von z. B. drei Abteilungen eine Bandbreite von maximal 512 kBit/s zugestanden werden, die gesamte Datenrate der drei Abteilungen aber ein Limit von 1024 kBit/s nicht überschreiten, so muss eine mehrstufige Prüfung der Datenpakete eingerichtet werden: In der ersten Stufe wird geprüft, ob die aktuelle Datenrate der einzelnen Abteilung die Grenze von 512 kBit/s nicht übersteigt.

  • Seite 515: Verbindung

    Referenzhandbuch 8 Firewall Paket-Aktion: Was soll mit den Datenpaketen passieren, wenn die Bedingung erfüllt und das Limit erreicht sind? Paket-Aktion auf Seite 516 Sonstige Sonstige Maßnahmen: Sollen neben der Paket-Aktion noch weitere Maßnamen eingeleitet werden? Maßnahmen auf Seite 517 Quality of Service (QoS): Werden Datenpakete bestimmter Anwendungen oder mit entsprechenden Markierungen Quality of Service (QoS) durch die Zusicherung von speziellen Dienstgütern besonders bevorzugt? auf Seite 517...

  • Seite 516: Bedingung

    Referenzhandbuch 8 Firewall Bestimmte Stationen im LAN (bezeichnet durch den Hostnamen) Bestimmte MAC-Adressen MAC steht für Media Access Control und ist Dreh- und Angelpunkt für die Kommunikation innerhalb eines LAN. In jedem Netzwerkadapter ist eine MAC-Adresse fest eingespeichert. MAC-Adressen sind weltweit eindeutig und unverwechselbar, ähnlich zu Seriennummern von Geräten.

  • Seite 517: Die Alarmierungsfunktionen Der Firewall

    Referenzhandbuch 8 Firewall Verwerfen: Das Paket wird stillschweigend verworfen. Zurückweisen: Das Paket wird zurückgewiesen, der Empfänger erhält eine entsprechenden Nachricht über ICMP. Sonstige Maßnahmen Die Firewall dient nicht nur dazu, die gefilterten Datenpakete zu verwerfen oder durchzulassen, sie kann auch zusätzliche Maßnahmen ergreifen, wenn ein Datenpaket durch den Filter erfasst wurde.

  • Seite 518: Benachrichtigung Per E-Mail

    Referenzhandbuch 8 Firewall Die Ports werden dabei nur bei portbehafteten Protokollen ausgegeben. Zusätzlich werden Rechnernamen dann ausgegeben, wenn das Gerät diese direkt (d.h. ohne weitere DNS-Anfrage) auflösen kann. Werden für einen Filter die Syslog-Meldungen aktiviert (%s-Aktion), so wird diese Meldung ausführlicher. Dann werden Name des Filters, überschrittenes Limit, sowie ausgeführte Aktionen zusätzlich mit ausgegeben.

  • Seite 519: Benachrichtigung Per Snmp-Trap

    Referenzhandbuch 8 Firewall Außerdem muss ein Mail-Postfach eingerichtet sein, über das die E-Mail verschickt werden kann. LANconfig: Meldungen / SMTP-Konto WEBconfig: LCOS-Menübaum / Setup / SMTP / Firewall Benachrichtigung per SNMP-Trap Wenn als Benachrichtigungsmethode das Versenden von SNMP-Traps aktiviert wurde, so wird die erste Zeile der Logging-Tabelle als Enterprise-Specific Trap 26 verschickt.

  • Seite 520: Strategien Für Die Einstellung Der Firewall

    Referenzhandbuch 8 Firewall Ziel-Adresse: SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.4.1 4. SNMP: IP Address = 192.168.200.10 Protokoll (6 = TCP): SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.5.1 5. SNMP: Integer Value = 6 (0x6) TCP Quell-Port: SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.6.1 6. SNMP: Integer Value = 4353 (0x1101) Ziel-Port (80 = HTTP): SNMP: OID = 1.3.6.1.4.1.2356.400.1.6021.1.10.26.1.7.1 7.
  • Seite 521 Referenzhandbuch 8 Firewall Die Firewall schützt dabei zunächst die DMZ gegen Angriffe aus dem Internet. Zusätzlich schützt die Firewall aber auch das LAN gegen die DMZ. Die Firewall wird dazu so konfiguriert, dass nur folgende Zugriffe möglich sind: Stationen aus dem Internet können auf die Server in der DMZ zugreifen, der Zugriff aus dem Internet auf das LAN ist jedoch nicht möglich.

  • Seite 522: Tipps Zur Einstellung Der Firewall

    Referenzhandbuch 8 Firewall Das Abschirmen der DMZ gegenüber dem Internet auf der einen und dem LAN auf der anderen Seite wird in vielen Netzstrukturen mit zwei separaten Firewalls gelöst. Beim Einsatz eines Geräts mit DMZ-Port benötigt man für diesen Aufbau nur ein Gerät, was u.a. den Vorteil einer deutlich vereinfachten Konfiguration mit sich bringt. 8.3.7 Tipps zur Einstellung der Firewall Mit der Geräte-Firewall steht ein extrem flexibles und leistungsfähiges Werkzeug zur Verfügung.
  • Seite 523 Referenzhandbuch 8 Firewall welche Verbindungsaufbauten von der Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall und “Allow-Regeln” erweitert. Einige typische Anwendungsfälle sind im Folgenden aufgezeigt. Alle hier beschriebenen Filter können sehr komfortabel mit dem Firewall-Assistenten eingerichtet werden, um danach bei Bedarf mit z.

  • Seite 524: Konfiguration Der Firewall Mit Lanconfig

    Referenzhandbuch 8 Firewall Diese Regeln können jetzt beliebig verfeinert werden - z. B. durch die Angabe von Mindest- und Maximalbandbreiten für den Serverzugriff, oder aber durch die feinere Einschränkung auf bestimmte Dienste, Stationen oder Gegenstellen. Das Gerät nimmt beim Aufbau der Filterliste eine automatische Sortierung der Firewall-Regeln vor. Dies geschieht dadurch, dass die Regeln anhand ihres Detaillierungsgrades sortiert in die Filterliste eingetragen werden.
  • Seite 525 Referenzhandbuch 8 Firewall Aktions-Objekte Hier legen Sie die Firewall-Aktion fest, bestehend aus Bedingung, Limit, Paket-Aktion und sonstigen Maßnahmen, die durch die Firewall-Regeln verwendet werden sollen. QoS-Objekte Hier können Sie die Mindestbandbreiten für die Datenpakete zur Verfügung stellen, die durch die Firewall-Regeln verwendet werden sollen.

  • Seite 526: Definition Der Firewall-Regeln

    Referenzhandbuch 8 Firewall Stations-Objekte Hier werden die Stationen festgelegt, die als Absender oder Adressat der Pakete durch die Firewall-Regeln verwendet werden sollen. Die Stations-Objekte sind dabei nicht auf Quelle oder Ziel festgelegt, sondern können in den Firewall-Regeln je nach Bedarf verwendet werden. Im Zusammenhang mit ARF ist es z. B. möglich, eine bestimtmes IP-Netzwerk als Stations-Objekt zu definieren.

  • Seite 527: Neue Firewall-Regel Hinzufügen

    Referenzhandbuch 8 Firewall Ziel Quell- und Ziel-Dienst Aktion/QoS Kommentar Neue Firewall-Regel hinzufügen Beim Anlegen einer neuen Firewall-Regel werden zunächst die allgemeinen Daten erfasst. Auf den folgenden Registerkarten für Aktionen, QoS, Stationen oder Dienste werden die schon definierten Objekte zur direkten Verwendung angeboten. Alternativ können von dieser Stelle aus neue Objekte angelegt werden, die auch in anderen Regeln verwendet werden können oder benutzerdefinierte Einträge, die nur in der aktiven Firewall-Regel zum Einsatz kommen.

  • Seite 528: Getrennte Ansicht Für Ipv4- Und Ipv6-Firewall

    Referenzhandbuch 8 Firewall Firewall-Regel bearbeiten Beim Bearbeiten einer bestehenden Firewall-Regel wird angezeigt, ob Aktionen, QoS, Stationen oder Dienste als vordefiniertes Objekt eingefügt wurden. Wenn ein referenziertes Objekt bearbeitet werden soll, das schon in anderen Firewall-Regeln verwendet wird, wird ein entsprechender Hinweis ausgegeben. 8.4.3 Getrennte Ansicht für IPv4- und IPv6-Firewall Ab Firmware-Version 8.80 können Sie die Regeln für die IPv4- und IPv6-Firewalls mit LANconfig jeweils in getrennten Ansichten konfigurieren.

  • Seite 529: Objekttabelle

    Referenzhandbuch 8 Firewall Wie in LANconfig kann auch in WEBconfig die Konfiguration der Firewall mit Hilfe von Objekten vorgenommen werden. Die im folgenden beschriebene %-Schreibweise ist nur bei der Definition von Objekten oder Aktionen erforderlich. Existierende Firewalls in der %-Schreibweise werden nicht automatisch auf die objektorientierte Form umgestellt. Allerdings stehen in der LANCOM KnowledgeBase vorgefertigte Firewalleinstellungen bereit, die die neuen Objekte verwenden.

  • Seite 530: Aktionstabelle

    Referenzhandbuch 8 Firewall 20 und 21), HTTP (= TCP + Port 80) und DNS (= TCP, UDP + Port 53) anlegen. Diese können dann wiederum zu einem Objekt zusammengefasst werden, das alle Definitionen der Einzelobjekte enthält. 8.5.3 Aktionstabelle WEBconfig: Setup / IP-Router / Firewall / Aktions-Tabelle Eine Firewall-Aktion besteht aus einer Bedingung, einem Limit, einer Paket-Aktion und sonstigen Maßnahmen.
  • Seite 531 Referenzhandbuch 8 Firewall Wird die Logging-Tabelle über den LANmonitor aufgerufen, präsentiert sie sich in folgender Darstellung: Wird die Logging-Tabelle über WEBconfig aufgerufen, präsentiert sie sich in folgender Darstellung: Diese Tabelle enthält die folgenden Werte: Element Bedeutung Idx. laufender Index (damit die Tabelle auch über SNMP abgefragt werden kann) System-Zeit System-Zeit in UTC Kodierung (wird bei der Ausgabe der Tabelle in Klartext umgewandelt) Quell-Adresse...

  • Seite 532: Die Filterliste

    Referenzhandbuch 8 Firewall Element Bedeutung Aktion Bitfeld, das alle ausgeführten Aktionen aufführt. Folgende Werte sind zur Zeit definiert: 0x00000001 Accept 0x00000100 Reject 0x00000200 Aufbaufilter 0x00000400 Internet- (Defaultrouten-) Filter 0x00000800 Drop 0x00001000 Disconnect 0x00004000 Quell-Adresse sperren 0x00020000 Zieladresse und -port sperren 0x20000000 Sende Syslog-Benachrichtigung 0x40000000 Sende SNMP-Trap 0x80000000 Sende E-Mail...

  • Seite 533: Die Verbindungsliste

    Referenzhandbuch 8 Firewall Unter WEBconfig hat die Filterliste den folgenden Aufbau: Die einzelnen Felder in der Filterliste haben folgende Bedeutung: Eintrag Beschreibung Idx. laufender Index Prot zu filterndes Protokoll, also z. B. 6 für TCP oder 17 für UDP Quell-MAC Ethernet-Quell-Adresse des zu filternden Pakets oder 000000000000, wenn der Filter für alle Pakete gelten soll Quell-Adresse...
  • Seite 534 Referenzhandbuch 8 Firewall Unter WEBconfig hat die Filterliste den folgenden Aufbau: Die Tabelle enthält die folgenden Elemente: Element Bedeutung Quell-Adresse Quell-Adresse der Verbindung Ziel-Adresse Ziel-Adresse der Verbindung Prot. verwendetes Protokoll (TCP/UDP etc.) Das Protokoll wird dezimal angegeben Quell-Port Quell-Port der Verbindung. Der Port wird nur bei portbehafteten Protokollen (TCP/UDP) oder Protokollen, die ein vergleichbares Feld besitzen (ICMP/GRE) angegeben Ziel-Port Ziel-Port der Verbindung (bei UDP-Verbindungen wird dieser erst mit der ersten Antwort besetzt)

  • Seite 535: Grenzen Der Firewall

    Referenzhandbuch 8 Firewall Flag Bedeutung 00000400 H.323: zugehörige T.120-Verbindung 00000800 Verbindung über Loopback-Interface 00001000 prüfe verkettete Regeln 00002000 Regel ist verkettet 00010000 Ziel ist auf "lokaler Route" 00020000 Ziel ist auf Default-Route 00040000 Ziel ist auf VPN-Route 00080000 physikalische Verbindung ist nicht aufgebaut 00100000 Quelle ist auf Default-Route 00200000...

  • Seite 536: Abwehr Von Einbruchsversuchen: Intrusion Detection

    Referenzhandbuch 8 Firewall in das lokale Netzwerk gelangen. Die Auswirkungen einiger Viren und Würmer werden zwar unterbunden, weil die Kommunikation über die benötigten Ports gesperrt ist, aber einen echten Schutz vor Viren bietet die Firewall allein nicht. Auch das Abhören von sensiblen Daten im Internet wird durch die Firewall nicht verhindert. Sind die Daten erst einmal über die Firewall hinaus in das unsichere Netz gelangt, stehen sie dort weiterhin den bekannten Gefahren gegenüber.

  • Seite 537: Konfiguration Des Ids

    Referenzhandbuch 8 Firewall 8.8.2 Konfiguration des IDS Hier finden Sie die Einstellungen des IDS. LANconfig: Firewall/QoS / IDS WEBconfig: LCOS-Menübaum / Setup / IP-Router / Firewall Neben der Maximalzahl der Portanfragen, der Paket-Aktion und den möglichen Meldemechanismen gibt es hier noch weitergehende Reaktionsmöglichkeiten: Die Verbindung wird getrennt Die Adresse des Absenders wird für eine einstellbare Zeit gesperrt...

  • Seite 538: Beispiele Für Denial-Of-Service-Angriffe

    Referenzhandbuch 8 Firewall Überschreitet die Anzahl der halboffenen Verbindungen einen Schwellwert, geht das Gerät von einem DoS-Angriff aus. Die dann resultierenden Aktionen und Maßnahmen können wie bei Firewall-Regeln definiert werden. Für Zentralgeräte befinden sich aufgrund der zumeist höheren Anzahl der angeschlossenen Benutzer auch ohne DoS-Angriff eine große Zahl von Verbindungen im halboffenen Zustand.
  • Seite 539 Referenzhandbuch 8 Firewall SYN Flooding Beim SYN-Flooding schickt der Angreifer in kurzen zeitlichen Abständen TCP-Pakete, mit gesetztem SYN-Flag und sich ständig ändernden Quell-Ports auf offene Ports seines Opfers. Der angegriffene Rechner richtet darauf hin eine TCP-Verbindung ein, sendet dem Angreifer ein Paket mit gesetzten SYN- und ACK-Flags und wartet nun vergeblich auf die Bestätigung des Verbindungsaufbaus.

  • Seite 540: Konfiguration Der Dos-Abwehr

    Referenzhandbuch 8 Firewall Teardrop Der Teardrop-Angriff arbeitet mit überlappenden Fragmenten. Dabei wird nach dem ersten Fragment ein weiteres geschickt, das komplett innerhalb des ersten liegt, d.h. das Ende des zweiten Fragments liegt vor dem Ende des ersten. Wird nun aus Bequemlichkeit des Programmierers des IP-Stack bei der Ermittlung der Länge der zur Reassemblierung zu kopierenden Bytes einfach “neues Ende”...

  • Seite 541: Konfiguration Von Ping-Blocking Und Stealth-Modus

    Referenzhandbuch 8 Firewall 8.9.4 Konfiguration von ping-Blocking und Stealth-Modus LANconfig: Firewall/QoS / Allgemein WEBconfig: LCOS-Menübaum / Setup / IP-Router / Firewall...

  • Seite 542: Quality-Of-Service

    Referenzhandbuch 9 Quality-of-Service 9 Quality-of-Service Dieses Kapitel widmet sich dem Thema Quality-of-Service (kurz: QoS). Unter diesem Oberbegriff sind die Funktionen des LCOS zusammengefasst, die sich mit der Sicherstellung von bestimmten Dienstgüten befassen. 9.1 Wozu QoS? Generell möchte man mit dem Quality-of-Service erreichen, dass bestimmte Datenpakete entweder besonders sicher oder möglichst sofort übertragen werden.

  • Seite 543: Was Ist Diffserv

    Referenzhandbuch 9 Quality-of-Service Die IP-Header-Bits des ToS- bzw. DiffServ-Feldes werden im Falle einer VPN-Strecke auch in den umgebenden IP-Header des IPSec-VPN-Paketes kopiert. Somit steht QoS auch für VPN-Strecken über das Internet zur Verfügung, sofern der Provider entsprechende Pakete auch im WAN bevorzugt behandelt. Wenn die Applikation selbst nicht die Möglichkeit hat, die Datenpakete entsprechend zu kennzeichnen, kann das Gerät für die richtige Behandlung sorgen.

  • Seite 544: Dynamisches Bandbreitenmanagement Auch Beim Empfang

    Referenzhandbuch 9 Quality-of-Service Bei Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die QoS-Einstellungen für SIP-Gespräche automatisch vorgenommen! Volldynamisches Bandbreitenmanagement beim Senden Das Bandbreitenmanagement erfolgt in Senderichtung dynamisch. Dies bedeutet, dass z. B. eine garantierte Mindestbandbreite nur solange zur Verfügung gestellt wird, wie auch tatsächlich entsprechender Datentransfer anliegt. Ein Beispiel: Zur Übertragung von VoIP-Daten eines entsprechenden VoIP-Gateways soll immer eine Bandbreite von 256 kBit/s garantiert werden.

  • Seite 545: Das Warteschlangenkonzept

    Referenzhandbuch 9 Quality-of-Service 9.3 Das Warteschlangenkonzept 9.3.1 Sendeseitige Warteschlangen Die Anforderungen an die Dienstgüte werden im LCOS durch den Einsatz mehrerer Warteschlangen (Queues) für die Datenpakete realisiert. Auf der Sendeseite kommen folgende Queues zum Einsatz: Urgent-Queue I Diese Queue wird immer vor allen anderen abgearbeitet. Hier landen folgende Datenpakete: Pakete mit ToS “Low Delay“...

  • Seite 546: Empfangsseitige Warteschlangen

    Referenzhandbuch 9 Quality-of-Service ist. Das integrierte ADSL-Modem meldet selbständig an das Gerät zurück, wie viele Datenpakete es noch aufnehmen kann und bremst so den Datenfluss schon im Router. Dabei werden dann automatisch die Warteschlangen gefüllt. Anders sieht das aus, wenn ein Ethernet-Interface die Verbindung ins WAN darstellt. Aus Sicht des Geräts sieht die Verbindung ins Internet über das ein externes DSL-Modem wie ein Ethernet-Abschnitt aus.

  • Seite 547: Reduzierung Der Paketlänge

    Referenzhandbuch 9 Quality-of-Service Das Reduzieren der Empfangsbandbreite macht es nun möglich, die empfangenen Datenpakete angemessen zu behandeln. Die bevorzugten Datenpakete werden bis zur garantierten Mindestbandbreite direkt in das LAN weitergegeben, die restlichen Datenpakete laufen in einen Stau. Dieser Stau führt in der Regel zu einer verzögerten Bestätigung der Pakete. Bei einer TCP-Verbindung wird der sendende Server auf diese Verzögerungen reagieren, seine Sendefrequenz herabsetzen und sich so der verfügbaren Bandbreite anpassen.

  • Seite 548: Qos-Parameter Für Voice-Over-Ip-Anwendungen

    Referenzhandbuch 9 Quality-of-Service Dieses störende Verhalten kann ausgeglichen werden, wenn alle Datenpakete, die nicht zu der über QoS bevorzugten Verbindung gehören, eine bestimmte Länge nicht überschreiten. Auf der FTP-Verbindung werden dann z. B. nur so kleine Pakete verschickt, dass die zeitkritische VoIP-Verbindung die Pakete in der benötigten Taktung ohne zeitliche Verzögerung zustellen kann.
  • Seite 549 Referenzhandbuch 9 Quality-of-Service Bei einer Verzögerung von nicht mehr als 100 ms und einem Paketverlust von weniger als 5% wird die Qualität wie bei einer “normalen” Telefonverbindung empfunden, bei nicht mehr als 150 ms Verzögerung und weniger als 10% Paketverlust empfindet der Telefonteilnehmer immer noch eine sehr gute Qualität.
  • Seite 550 Referenzhandbuch 9 Quality-of-Service Konfiguration der Jitter-Buffer so klein gewählt werden sollte, dass die Qualität noch als ausreichend betrachtet werden kann. Die Verzögerung wird im Detail vor allem durch den verwendeten Codec, die daraus resultierende Paketgröße und die verfügbare Bandbreite bestimmt: Die Zeit für die Verarbeitung wird durch den verwendeten Codec festgelegt.
  • Seite 551 Referenzhandbuch 9 Quality-of-Service ohne IPSEC Payload IP-Payload Ethernet/PPPoE ATMNetto Bit/s ATMBrutto Bit/s Code 30ms 30ms 30ms 30ms 30ms G711-64 89600,0 98933,3 G722-64 89600,0 98933,3 G726-40 64000,0 70666,7 G726-32 64000,0 70666,7 G726-24 51200,0 56533,3 G726-16 38400,0 42400,0 G729-8 38400,0 42400,0 G723-6,3 38400,0 42400,0 mit IPSEC...

  • Seite 552: Qos In Sende- Oder Empfangsrichtung

    Referenzhandbuch 9 Quality-of-Service Der Jitter-Buffer kann an vielen IP-Telefonen direkt eingestellt werden, z. B. als feste Anzahl von Paketen, die für die Zwischenspeicherung verwendet werden sollen. Die Telefone laden dann bis zu 50% der eingestellten Pakete und beginnen dann mit der Wiedergabe. Der Jitter-Buffer entspricht damit der Hälfte der eingestellten Paketanzahl multipliziert mit der Samplingzeit des Codecs.

  • Seite 553: Qos-Konfiguration

    Referenzhandbuch 9 Quality-of-Service 9.7 QoS-Konfiguration 9.7.1 ToS- und DiffServ-Felder auswerten ToS- oder DiffServ? Wählen Sie bei der Konfiguration mit LANconfig den Konfigurationsbereich 'IP-Router'. Auf der Registerkarte 'Allgemein' wird eingestellt, ob das 'Type-of-Service-Feld' oder alternativ das 'DiffServ-Feld' bei der Priorisierung der Datenpakete berücksichtigt wird.

  • Seite 554: Diffserv In Den Firewall-Regeln

    Referenzhandbuch 9 Quality-of-Service DiffServ in den Firewall-Regeln In den Firewallregeln können die Code Points aus dem DiffServ-Feld ausgewertet werden, um weitere QoS-Parameter wie Mindestbandbreiten oder PMTU-Reduzierung zu steuern. Die Parameter für die Auswertung der DiffServ-Felder werden im LANconfig beim Definieren der QoS-Regel festgelegt: Je nach Auswahl des DSCP-Typs (BE, CS, AF, EF) können in zusätzlichen Drop-Down-Listen die gültigen Werte eingestellt werden.

  • Seite 555: Minimal- Und Maximalbandbreiten Definieren

    Referenzhandbuch 9 Quality-of-Service 9.7.2 Minimal- und Maximalbandbreiten definieren Eine Mindestbandbreite für eine bestimmte Anwendung wird im LANconfig über eine Firewallregel nach den folgenden Randbedingungen definiert: Die Regel benötigt keine Aktion, da für die QoS-Regeln immer implizit das “Übertragen” als Aktion vorausgesetzt wird.

  • Seite 556: Übertragungsraten Für Interfaces Festlegen

    Referenzhandbuch 9 Quality-of-Service Eine geforderte Mindestbandbreite wird in den Regeln mit dem Bezeichner “%Q” eingeleitet. Dabei wird implizit angenommen, dass es sich bei der entsprechenden Regel um eine “Accept”-Aktion handelt, die Pakete also übertragen werden. Für eine Maximalbandbreite wird eine einfache Limit-Regel definiert, die mit einer “Drop”-Aktion alle Pakete verwirft, die über die eingestellte Bandbreite hinausgehen.

  • Seite 557: Sende- Und Empfangsrichtung

    Referenzhandbuch 9 Quality-of-Service 9.7.4 Sende- und Empfangsrichtung Die Bedeutung der Datenübertragungsrichtung wird im LANconfig beim Definieren der QoS-Regel festgelegt: Bei der Konfiguration mit WEBconfig oder Telnet wird die Bedeutung der Datenübertragungsrichtung über die Parameter “R” für receive (Empfangen), “T” für transmit (Senden) und “W” für den Bezug zum WAN-Interface an folgenden Stellen in eine neue Regel der Firewall eingetragen: Konfigurationstool Aufruf...

  • Seite 558: Qos Für Wlans Nach Ieee 802.11E (Wmm/Wme)

    Referenzhandbuch 9 Quality-of-Service Die Längenreduzierung der Datenpakete wird im LANconfig beim Definieren der QoS-Regel festgelegt: Bei der Konfiguration mit WEBconfig oder Telnet wird die Reduzierung über die Parameter “P” für die Reduzierung der PMTU (Path MTU, MTU = Maximum Transmission Unit) und “F” für die Größe der Fragmente an folgenden Stellen in eine neue Firewallregel eingetragen: Konfigurationstool Aufruf...
  • Seite 559 Referenzhandbuch 9 Quality-of-Service Erweiterung stellt damit eine wichtige Basis für die Nutzung von Voice-Anwendungen im WLAN dar (Voice over WLAN – VoWLAN). Die Wi-Fi-Alliance zertifiziert Produkte, die Quality of Service nach 802.11e unterstützen, unter dem Namen WMM (Wi-Fi Multimedia, früher WME für Wireless Multimedia Extension). WMM definiert vier Kategorien (Sprache, Video, Best Effort und Hintergrund), die in Form separater Warteschlangen zur Prioritätensteuerung genutzt werden.

  • Seite 560: Virtual Private Networks - Vpn

    Referenzhandbuch 10 Virtual Private Networks - VPN 10 Virtual Private Networks - VPN 10.1 Welchen Nutzen bietet VPN? Mit einem VPN (Virtual Private Network) können sichere Datenverkehrsverbindungen über kostengünstige, öffentliche IP-Netze aufgebaut werden, beispielsweise über das Internet. Was sich zunächst unspektakulär anhört, hat in der Praxis enorme Auswirkungen. Zur Verdeutlichung schauen wir uns zunächst ein typisches Unternehmensnetzwerk ohne VPN-Technik an.

  • Seite 561: Vernetzung Über Internet

    Referenzhandbuch 10 Virtual Private Networks - VPN In der Zentrale muss für jeden verwendeten Zugangs- und Verbindungsweg (analoge Wählverbindung, ISDN, Standleitungen) entsprechende Hardware betrieben werden. Neben den Investitionskosten für diese Ausrüstung fallen auch kontinuierliche Administrations- und Wartungskosten an. 10.1.2 Vernetzung über Internet Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgende Struktur: Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden.

  • Seite 562: Private Ip-Adressen Im Internet

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.1.3 Private IP-Adressen im Internet? Der IP-Standard definiert zwei Arten von IP-Adressen: öffentliche und private. Eine öffentliche IP-Adresse hat weltweite Gültigkeit, während eine private IP-Adresse nur in einem abgeschotteten LAN gilt. Öffentliche IP-Adressen müssen weltweit eindeutig und daher einmalig sein. Private IP-Adressen dürfen weltweit beliebig häufig vorkommen, innerhalb eines abgeschotteten Netzwerkes jedoch nur einmal.

  • Seite 563: Das Vpn-Modul Im Überblick

    Referenzhandbuch 10 Virtual Private Networks - VPN Damit ist das Ziel moderner Netzwerkstrukturen erreicht: Sichere Verbindungen über das größte und kostengünstigste aller öffentlichen IP-Netze: das Internet. 10.2 Das VPN-Modul im Überblick 10.2.1 VPN Anwendungsbeispiel VPN-Verbindungen werden in sehr unterschiedlichen Anwendungsgebieten eingesetzt. Meistens kommen dabei verschiedene Übertragungstechniken für Daten und auch Sprache zum Einsatz, die über VPN zu einem integrierten Netzwerk zusammenwachsen.

  • Seite 564: Funktionen Des Vpn-Moduls

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.2.2 Funktionen des VPN-Moduls In diesem Abschnitt sind alle Funktionen und Eigenschaften des LCOS VPN-Moduls aufgelistet. Experten im Bereich VPN bietet er eine stark komprimierte Zusammenfassung über die Leistungsfähigkeit der Funktion. Das Verständnis der verwendeten Fachtermini setzt allerdings solide Kenntnisse über die technischen Grundlagen von VPN voraus.

  • Seite 565: Parallele Internet-Nutzung

    Referenzhandbuch 10 Virtual Private Networks - VPN Auf jeder Seite des Tunnels befindet sich ein VPN-fähiger Router (VPN-Gateway). Die Konfiguration beider VPN-Gateways muss aufeinander abgestimmt sein. Für die Rechner und sonstigen Geräte in den lokalen Netzwerken ist die Verbindung transparent, d. h., sie erscheint ihnen wie eine gewöhnliche direkte Verbindung.

  • Seite 566: Was Ist Lancom Dynamic Vpn

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.4 Was ist LANCOM Dynamic VPN? LANCOM Dynamic VPN ist eine Technik, die den Aufbau von VPN-Tunneln auch zu solchen Gegenstellen ermöglicht, die keine statische, sondern nur eine dynamische IP-Adresse besitzen. Wer benötigt LANCOM Dynamic VPN und wie funktioniert es? Die Antwort erfolgt in zwei Schritten: Zunächst zeigt ein Blick auf die Grundlagen der IP-Adressierung das Problem dynamischer IP-Adressen.

  • Seite 567: Dynamisch - Statisch

    Referenzhandbuch 10 Virtual Private Networks - VPN dynamisch – statisch statisch – dynamisch dynamisch – dynamisch Dynamisch – statisch Möchte ein Benutzer an Rechner B im LAN 2 eine Verbindung zu Rechner A im LAN 1 aufbauen, dann erhält Gateway 2 die Anfrage und versucht, einen VPN-Tunnel zu Gateway 1 aufzubauen.

  • Seite 568: Dynamisch - Dynamisch

    Referenzhandbuch 10 Virtual Private Networks - VPN 1. Gateway 1 wählt Gateway 2 über ISDN an. Es nutzt dabei die ISDN-Möglichkeit, kostenlos seine eigene Rufnummer über den D-Kanal zu übermitteln. Gateway 2 ermittelt anhand der empfangenen Rufnummer aus den konfigurierten VPN-Gegenstellen die IP-Adresse von Gateway 1.

  • Seite 569: Dynamische Ip-Adressen Und Dyndns

    Referenzhandbuch 10 Virtual Private Networks - VPN Als Information im LLC-Element des D-Kanals. Über das D-Kanal-Protokoll von Euro-ISDN (DSS-1) können im sogenannten LLC-Element (Lower Layer Compatibility) beim Anruf zusätzliche Informationen an die Gegenstelle übermittelt werden. Diese Übermittlung findet vor dem Aufbau des B-Kanals statt. Die Gegenstelle lehnt nach erfolgreicher Übertragung der Adresse den Anruf ab.

  • Seite 570: Hinweise Zur Dynamic Vpn Lizensierung

    LANconfig erkennt beim Prüfen der Geräte z. B. direkt nach dem Programmstart automatisch, wenn ein Gerät aufgrund seiner Konfiguration registriert werden muss. Nach der Bestätigung der entsprechenden Meldung überträgt LANconfig automatisch die erforderlichen Daten des Gerätes an den Registrierungsserver von LANCOM Systems. Der Freischaltcode...
  • Seite 571 Referenzhandbuch 10 Virtual Private Networks - VPN wird dann ebenfalls automatisch an das Gerät zurückübertragen und aktiviert. Der Vorgang kann in der Statuszeile von LANconfig beobachtet werden.

  • Seite 572: Konfiguration Von Vpn-Verbindungen

    Beim Anmelden auf dem Gerät mit WEBconfig finden Sie im Menü Extras einen Link, der Sie zum Formular auf dem Registrierungsserver von LANCOM Systems führt. Geben Sie dort die Chargen/Seriennummer des Gerätes und Ihre E-Mailadresse an. Nach dem Absenden der Registrierungsanforderung erhalten Sie den Freischaltcode für das Gerät.

  • Seite 573: Vpn-Tunnel: Verbindungen Zwischen Den Vpn-Gateways

    Referenzhandbuch 10 Virtual Private Networks - VPN Netzwerken. Sonderfälle wie die Einwahl in LANs mit einzelnen Rechnern (RAS) oder die Verbindung von strukturierten Netzwerken werden im weiteren Verlauf dargestellt. 10.5.1 VPN-Tunnel: Verbindungen zwischen den VPN-Gateways In virtuellen privaten Netzwerken (VPNs) werden lokale Netzwerke über das Internet miteinander verbunden. Dabei werden die privaten IP-Adressen aus den LANs über eine Internet-Verbindung zwischen zwei Gateways mit öffentlichen IP-Adressen geroutet.
  • Seite 574 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Markieren Sie Ihr Gerät im Auswahlfenster von LANconfig und wählen Sie die Schaltfläche Setup Assistent oder aus der Menüleiste den Punkt Extras / Setup Assistent. 2. Folgen Sie den Anweisungen des Assistenten und geben Sie die notwendigen Daten ein. Der Assistent meldet, sobald ihm alle notwendigen Angaben vorliegen.

  • Seite 575: 1-Click-Vpn Für Netzwerke (Site-To-Site)

    Referenzhandbuch 10 Virtual Private Networks - VPN nur Teile des Intranets auf die VPN-Verbindung zugreifen können sollen. In diesen Fällen werden die Parameter der Setup-Assistenten nachträglich um weitere Einstellungen ergänzt. Wenn VPN-Verbindungen zu Fremdgeräten konfiguriert werden sollen. 10.5.3 1-Click-VPN für Netzwerke (Site-to-Site) Die Einstellungen für die Kopplung von Netzwerken können sehr komfortabel über den 1-Click-VPN-Assistenten vorgenommen werden.

  • Seite 576: 1-Click-Vpn Für Lancom Advanced Vpn Client

    Referenzhandbuch 10 Virtual Private Networks - VPN 1. Wählen Sie aus, ob der Verbindungsaufbau über den Namen bzw. die IP-Adresse des zentralen Routers oder über eine ISDN-Verbindung erfolgen soll. Geben Sie dazu die Adresse bzw. den Namen des zentralen Routers bzw. seine ISDN-Nummer an.

  • Seite 577: Manuelles Einrichten Der Vpn-Verbindungen

    Referenzhandbuch 10 Virtual Private Networks - VPN Die Informationen über die aktuellen VPN-Regeln im Gerät können Sie über die Telnet-Konsole abrufen. Stellen Sie dazu eine Telnet-Verbindung zu dem VPN-Gateway her und geben Sie an der Konsole den Befehl show vpn ein: In der Ausgabe finden Sie die Informationen über die Netzbeziehungen, die für den Aufbau von VPN-Verbindungen zu anderen Netzwerken in Frage kommen.

  • Seite 578: Ike Config Mode

    Referenzhandbuch 10 Virtual Private Networks - VPN Bei Nutzung von LANCOM Dynamic VPN: Eintrag für die entsprechende Gegenstelle in der PPP-Liste mit einem geeigneten Passwort für die Dynamic VPN Verhandlung. Als Benutzername ist derjenige VPN-Verbindungsname einzutragen, unter dem das Gerät in der VPN-Verbindungsliste der entfernten Gegenstelle angesprochen wird. Aktivieren Sie das „IP Routing“.

  • Seite 579: Vpn-Netzbeziehungen Erstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN Client: In dieser Einstellung fungiert das Gerät als Client für diese VPN-Verbindung und fordert eine IP-Adresse für die Verbindung von der Gegenstelle (Server) an. Das Gerät verhält sich also so ähnlich wie ein VPN-Client. Aus: Ist der IKE-CFG-Modus ausgeschaltet, werden keine IP-Adressen für die Verbindung zugewiesen.
  • Seite 580 Referenzhandbuch 10 Virtual Private Networks - VPN Etwas aufwändiger wird die Beschreibung der Netzbeziehungen dann, wenn die Quell- und Zielnetze nicht nur durch den jeweiligen Intranet-Adressbereich der verbundenen LANs abgebildet werden: Wenn nicht das gesamte lokale Intranet in die Verbindung mit dem entfernten Netz einbezogen werden soll, würde die Automatik einen zu großen IP-Adressbereich für die VPN-Verbindung freigeben.

  • Seite 581: Konfiguration Mit Lanconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Die Firewall-Regeln zur Erzeugung von VPN-Regeln sind auch dann aktiv, wenn die eigentliche Firewall-Funktion im Gerät nicht benötigt wird und ausgeschaltet ist! Als Firewall-Aktion muss auf jeden Fall "Übertragen" gewählt werden. Als Quelle und Ziel für die Verbindung können einzelne Stationen, bestimmte IP-Adressbereiche oder ganze IP-Netzwerke eingetragen werden.
  • Seite 582 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Legen Sie im Konfigurationsbereich VPN auf der Registerkarte „IKE-Auth.“ einen neuen IKE-Schlüssel für die Verbindung 2. Erstellen Sie auf der Registerkarte „Allgemein“ einen neuen Eintrag in der Liste der Verbindungsparameter. Wählen Sie dabei den zuvor erstellten IKE-Schlüssel aus. PFS- und IKE-Gruppe können Sie ebenso wie IKE- und IPSec-Proposals aus den vorbereiteten Möglichkeiten wählen.
  • Seite 583 Referenzhandbuch 10 Virtual Private Networks - VPN VPN-Gateway das lokale Gerät erreichen soll, und geben Sie ein geeignetes, auf beiden Seiten identisches Passwort ein, welches aus Sicherheitsgründen nicht identisch mit dem verwendeteten Pre-Shared Key sein sollte. Aktivieren Sie auf jeden Fall das „IP-Routing“ und je nach Bedarf „NetBIOS über IP“. 5.
  • Seite 584 Referenzhandbuch 10 Virtual Private Networks - VPN IP-Adresse Netzmaske Router IP-Masquerading 10.2.0.0 255.255.0.0 10.1.0.2 Nein 10.3.0.0 255.255.0.0 10.1.0.3 Nein Mit diesen Einträgen ist das VPN-Gateway 1 in der Lage, auch die aus dem entfernten Netz eintreffen Pakete für die angebundenen Netzabschnitte richtig weiterzuleiten. 6.
  • Seite 585 Referenzhandbuch 10 Virtual Private Networks - VPN 7. Auf der Registerkarte „Aktionen“ dieser Firewall-Regel stellen Sie als Paketaktion „Übertragen“ ein. 8. Auf der Registerkarte „Stationen“ dieser Firewall-Regel stellen Sie für die ausgehende Datenübertragung als Quelle die Teilnetze auf der lokalen Seite ein, als Ziel alle Teilnetze auf der entfernten Seite.

  • Seite 586: Konfiguration Mit Webconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN 9. Für die eingehende Datenübertragung erstellen Sie eine Firewall-Regel unter dem Namen „VPN-GATEWAY-1-IN“ mit den gleichen Parametern wie die vorherige Regel. Nur bei den Stationen sind hier die Quell- und Zielnetze vertauscht: 10.5.10 Konfiguration mit WEBconfig 1.
  • Seite 587 Referenzhandbuch 10 Virtual Private Networks - VPN 2. Erstellen Sie unter Konfiguration / VPN / Allgemein / Verbindungsparameter einen neuen „VPN-Layer“ für die Verbindungsparameter. Wählen Sie dabei den zuvor erstellten IKE-Schlüssel aus. 3. Erstellen Sie unter Konfiguration / VPN / Verbindungsliste einen neuen Eintrag mit dem Namen des entfernten Gateways als „Name“.
  • Seite 588 Referenzhandbuch 10 Virtual Private Networks - VPN Wählen Sie als Gegenstelle das entfernte VPN-Gateway aus, tragen Sie als Benutzernamen denjenigen VPN-Verbindungsnamen ein, mit dem das entfernte VPN-Gateway das lokale Gerät erreichen soll, und geben Sie geeignetes, auf beiden Seiten identisches Passwort ein. Aktivieren Sie auf jeden Fall das „IP-Routing“...
  • Seite 589 Referenzhandbuch 10 Virtual Private Networks - VPN IP-Adresse Netzmaske Router IP-Masquerading 10.3.0.0 255.255.0.0 VPN-Gateway-1 Nein Für die an das eigene LAN angebundenen Teilnetze wird als Router die IP-Adresse des jeweiligen LAN-Routers eingetragen: IP-Adresse Netzmaske Router IP-Masquerading 10.5.0.0 255.255.0.0 10.4.0.5 Nein Mit diesen Einträgen ist das VPN-Gateway 2 in der Lage, auch die aus dem entfernten Netz eintreffenden Pakete für die angebundenen Netzabschnitte richtig weiterzuleiten.

  • Seite 590: Gemeinsamer Aufbau Von Security Associations

    Referenzhandbuch 10 Virtual Private Networks - VPN 1. Für die eingehende Datenübertragung erstellen Sie eine Firewall-Regel unter dem Namen „VPN-GW1-IN“ mit den gleichen Parametern wie die vorherige Regel. Nur bei den Stationen sind hier die Quell- und Zielnetze vertauscht: 10.5.11 Gemeinsamer Aufbau von Security Associations Die Basis für den Aufbau eines VPN-Tunnels zwischen zwei Netzwerken stellen die „Security Associations“...

  • Seite 591: Diagnose Der Vpn-Verbindungen

    Referenzhandbuch 10 Virtual Private Networks - VPN passende Netzbeziehung aufgebaut. Zum Aufbau der anderen SAs werden wiederum zu den anderen Netzbeziehungen passende IP-Pakete benötigt. Der Aufbau von SAs aufgrund von Datenpaketen benötigt zum einen Zeit und zum anderen führt es zu Paketverlusten, solange die SAs noch nicht installiert sind.

  • Seite 592: Einrichten

    Referenzhandbuch 10 Virtual Private Networks - VPN Übernimmt die komplexe VPN-Konfiguration des in iOS-Geräten integrierten VPN-Clients und des LANCOM Routers PIN-Verfahren zur Authentisierung beim VPN-Tunnelaufbau Zugriffskontrolle durch einstellbare Firewall-Regeln auf den LANCOM VPN-Gateways LANCOM myVPN-Benutzermanagement und automatische Erkennung myVPN-aktivierter LANCOM Gateways Für iOS-Geräte ab Version 4.1 geeignet Nach der Installation von LANCOM myVPN bezieht die App ein VPN-Profil von Ihrem LANCOM VPN-Gerät und konfiguriert automatisch alle erforderlichen Einstellungen im iOS-Gerät.
  • Seite 593 Referenzhandbuch 10 Virtual Private Networks - VPN 4. Wählen Sie aus der Auswahlliste die Option LANCOM myVPN-Client und klicken Sie auf Weiter. 5. Vergeben Sie einen Namen für diesen Zugang und bestimmen Sie die Adresse, über die der Router für den VPN-Client auf dem iOS-Gerät zu erreichen ist.

  • Seite 594: Vpn-Profil Mit Der Lancom Myvpn App Beziehen

    Referenzhandbuch 10 Virtual Private Networks - VPN Pool anzugeben. Bei der Einwahl weist das VPN-Gerät dem iOS-Gerät dann automatisch eine freie IP-Adresse aus diesem Pool zu. Wenn in dem VPN-Gerät zuvor schon ein Pool für die Zuweisung von IP-Adressen für die einwählenden VPN-Clients konfiguriert wurde, so nutzt das VPN-Gerät automatisch die Adressen aus diesem Adress-Pool, der Assistent überspringt den hier abgebildeten Dialog.
  • Seite 595 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Laden Sie die LANCOM myVPN App aus dem Apple-App-Store. 2. Öffnen Sie die App auf Ihrem iPhone oder iPad. 3. Optional: Aktivieren Sie die Option Gegenstellen suchen, um VPN-Geräte mit aktiviertem LANCOM myVPN Modul zu finden, welche das iOS-Gerät über WLAN erreichen kann.
  • Seite 596 Referenzhandbuch 10 Virtual Private Networks - VPN Das iOS-Gerät listet nun alle über WLAN erreichbaren VPN-Geräte mit aktiviertem LANCOM myVPN Modul auf. Ein Eintrag in dieser Liste bedeutet dabei nicht, dass Ihr iOS-Gerät von diesem VPN-Gerät auch ein LANCOM myVPN-Profil beziehen kann. 4.
  • Seite 597 Referenzhandbuch 10 Virtual Private Networks - VPN 5. Die App zeigt nun alle VPN-Geräte, welche Profile für die LANCOM myVPN App anbieten. 6. Wählen Sie durch Antippen das gewünschte VPN-Gerät aus der Liste aus und geben Sie im folgenden Dialog die PIN für den Bezug des VPN-Profils ein.
  • Seite 598 Referenzhandbuch 10 Virtual Private Networks - VPN für die Dauer der Sperrung keine neuen myVPN-Profile beziehen. Ein Administrator kann die Sperrung im myVPN-Modul wieder aufheben. 7. Bestätigen Sie im nächsten Dialog den Hinweis auf ein evtl. nicht signiertes Zertifikat mit der Schaltfläche Ja. 8.
  • Seite 599 Referenzhandbuch 10 Virtual Private Networks - VPN Bestätigen Sie auch die notwendigen Änderungen der Einstellungen auf Ihrem iOS-Gerät. 9. Die Installations-Routine fordert Sie im nächsten Schritt zur Eingabe des Kennworts für den VPN-Zugang auf. Das VPN-Kennwort entspricht standardmäßig der PIN für das myVPN-Profil. Wenn Sie das Kennwort für den VPN-Zugang hier eingeben, kann das iOS-Gerät anschließend ohne weitere Kennworteingabe eine VPN-Verbindung zu Ihrem Firmennetzwerk aufbauen.

  • Seite 600: Vpn-Verbindung Auf Dem Ios-Gerät Herstellen Und Beenden

    Referenzhandbuch 10 Virtual Private Networks - VPN Wir empfehlen aus Sicherheitsgründen, das Kennwort für den VPN-Zugang nicht auf dem Gerät zu speichern, sondern es bei jedem Verbindungsaufbau einzugeben. 10. Das VPN-Profil ist nun vollständig auf Ihrem iOS-Gerät installiert und bereit für den Aufbau einer VPN-Verbindung in Ihr Firmennetzwerk.

  • Seite 601: Vpn-Profil Auf Dem Ios-Gerät Löschen

    Referenzhandbuch 10 Virtual Private Networks - VPN 2. Im folgenden Dialog ist der Benutzername aus dem myVPN-Profil bereits eingetragen. Geben Sie das Kennwort für die VPN-Verbindung ein und bestätigen Sie mit OK. Standardmäßig entspricht das Kennwort für die VPN-Verbindung der PIN für das myVPN-Profil. Das Kennwort ist bereits eingetragen, wenn Sie das Kennwort für die VPN-Verbindung bei der Installation des myVPN-Profils eingegeben haben.
  • Seite 602 Referenzhandbuch 10 Virtual Private Networks - VPN 2. Wählen Sie das gewünschte Profil aus, klicken Sie auf Entfernen und bestätigen Sie im nächsten Dialog die Aktion noch einmal mit Entfernen.

  • Seite 603: Ergänzungen In Lanconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.6.5 Ergänzungen in LANconfig Konfiguration der LANCOM myVPN App Unter VPN > myVPN können Sie die Einstellungen für die LANCOM myVPN App manuell festlegen. Markieren Sie myVPN aktiviert, um der LANCOM myVPN App zu ermöglichen, ein VPN-Profil zu laden. Geben Sie hier den Gerätenamen an, wenn ein vertrauenswürdiges SSL-Zertifikat auf diesem Gerät eingerichtet ist und bei dem Bezug des Profils auf dem iOS-Gerät keine Warnmeldung bezüglich eines nicht vertrauenswürdigen Zertifikats auftauchen soll.

  • Seite 604: Einsatz Von Digitalen Zertifikaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Bestimmen Sie die E-Mail-Adresse, an welche die LANCOM myVPN App Nachrichten versenden soll. Der Versand von E-Mails muss auf dem VPN-Gerät dazu konfiguriert sein. Über myVPN-Zugänge erfolgt die Zuordnung der myVPN-PIN zu den angelegten VPN-Profilen. Bestimmen Sie hier das VPN-Profil, dessen Daten die LANCOM myVPN App beim Profilbezug laden soll.

  • Seite 605: Die Symmetrische Verschlüsselung

    Referenzhandbuch 10 Virtual Private Networks - VPN Die symmetrische Verschlüsselung Die symmetrische Verschlüsselung ist seit Jahrtausenden bekannt und basiert darauf, dass sowohl der Sender als auch der Empfänger einer Nachricht über einen gemeinsamen, geheimen Schlüssel verfügen. Dieser Schlüssel kann sehr unterschiedliche Gestalt haben: Die Römer verwendeten zum Ver- und Entschlüsseln z.

  • Seite 606: Kombination Von Symmetrischer Und Asymmetrischer Verschlüsselung

    Referenzhandbuch 10 Virtual Private Networks - VPN Der große Unterschied gegenüber den symmetrischen Verschlüsselungen: Es wird ein öffentlich bekannter Schlüssel verwendet, daher spricht man hier auch vom „Public-Key-Verfahren“. Ein bekanntes asymmetrisches Verschlüsselungsverfahren ist z. B. RSA. Sehen wir uns wieder das Beispiel von Alice und Bob an: Bob erzeugt für die gesicherte Kommunikation zunächst ein Schlüsselpaar mit einem Private Key und einem Public Key, die genau zueinander passen.
  • Seite 607 Referenzhandbuch 10 Virtual Private Networks - VPN Bob erstellt im ersten Schritt sein Schlüsselpaar und stellt den Public Key öffentlich bereit. Alice verwendet den Public Key, um damit einen geheimen, symmetrischen Schlüssel zu verschlüsseln und schickt ihn an Bob. Dieser geheime Schlüssel wird bei jeder Übertragung durch ein Zufallsverfahren neu bestimmt. Nur Bob kann den geheimen Schlüssel nun wieder mit Hilfe seines Private Keys entschlüsseln.

  • Seite 608: Vorteile Von Zertifikaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Das Zertifikat selbst wird von der CA wiederum signiert, damit auch die Bestätigung nicht angezweifelt werden kann. Da das Zertifikat nur aus einer kleinen Datenmenge besteht, kann dazu ein asymmetrisches Verfahren verwendet werden. Bei der Signatur wird das asymmetrische Verfahren jedoch in umgekehrter Richtung eingesetzt: Auch die CA verfügt über ein Schlüsselpaar aus Private und Public Key.

  • Seite 609: Aufbau Von Zertifikaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Beim VPN-Verbindungsaufbau über Zertifikate müssen sich die beiden Gegenstellen authentifizieren. In den Zertifikaten können dabei weitere Info-Elemente enthalten sein, die zur Prüfung der Gegenstellen herangezogen werden. Die zeitliche Befristung der Zertifikate gibt zusätzlichen Schutz z. B. bei der Vergabe an Anwender, die nur vorübergehend Zugang zu einem Netzwerk erhalten sollen.

  • Seite 610: Dateitypen

    Referenzhandbuch 10 Virtual Private Networks - VPN RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5: d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd: 9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9: 90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6: 1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25: 7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07: 50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62: 8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9: f0:b4:95:f5:f9:34:9f:f8:43 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:xyz@anywhere.com Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption...

  • Seite 611: Zertifikate Beim Vpn-Verbindungsaufbau

    Referenzhandbuch 10 Virtual Private Networks - VPN Verwenden Sie als Kennwörter für Schlüssel oder PKCS#12-Dateien nur ausreichend lange und sichere Passphrasen. 10.7.5 Zertifikate beim VPN-Verbindungsaufbau Neben den grundlegenden Informationen zum Thema Zertifikate betrachten wir in diesem Abschnitt die konkrete Anwendung beim VPN-Verbindungsaufbau. Für einen solchen Verbindungsaufbau mit Zertifikatsunterstützung müssen auf beiden Seiten der Verbindung (z.

  • Seite 612: Zertifikate Von Zertifikatsdiensteanbietern

    Referenzhandbuch 10 Virtual Private Networks - VPN (erstellt mit dem Private Key der CA) mit dem Public Key der CA entschlüsselt werden, dann ist die Signatur gültig und dem Zertifikat kann vertraut werden. Im nächsten Schritt prüft die Zentrale dann die Signatur der verschlüsselten Prüfsumme. Der Public Key der Filiale aus dem entsprechenden Zertifikat wurde im vorigen Schritt für gültig befunden.

  • Seite 613: Anfordern Eines Zertifikates Mit Der Stand-Alone Windows Ca

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.8 Anfordern eines Zertifikates mit der Stand-alone Windows CA Für die Verwendung in einem Router leistet eine Kombination aus PKCS#12-Datei mit Root-Zertifikat, eigenem Geräte Zertifikat und Public Key des Gerätes die besten Dienste. 1.

  • Seite 614: Zertifikat In Eine Pkcs#12-Datei Exportieren

    Referenzhandbuch 10 Virtual Private Networks - VPN 7. Wählen Sie eine geeignete Schlüssellänge (passend zur Zertifikats-Policy), aktivieren Sie die Option für exportierbare Schlüssel. Der Schlüssel wird an dieser Stelle nicht exportiert, daher muss auch kein Dateiname angegeben werden. Beim Exportieren würde eine Datei im Microsoft-spezifischen *.pvk-Format angelegt werden, die für die Weiterverarbeitung unter LCOS ungeeignet ist.

  • Seite 615: Export Über Den Windows-Konsolenstamm

    Referenzhandbuch 10 Virtual Private Networks - VPN Export über den Windows-Konsolenstamm 1. Öffnen Sie dazu die Management-Konsole über den Befehl mmc an der Eingabeaufforderung und wählen Sie den Menüpunkt Datei / Snap-In hinzufügen/entfernen. 2. Klicken Sie auf Hinzufügen... und wählen Sie den Eintrag 'Zertifikate'. Bestätigen Sie mit Hinzufügen, markieren Sie anschließend 'Eigenes Benutzerkonto' und klicken Sie auf Fertig stellen.
  • Seite 616 Referenzhandbuch 10 Virtual Private Networks - VPN 3. Um das gewünschte Zertifikat in eine Datei zu exportieren, klicken Sie anschließend in der Managementkonsole in der Gruppe Zertifikate - Aktueller Benutzer / Eigene Zertifikate / Zertifikate mit der rechten Maustaste und wählen im Kontextmenü...

  • Seite 617: Export Über Die Systemsteuerung

    Referenzhandbuch 10 Virtual Private Networks - VPN 5. Beim Export werden Sie aufgefordert, ein Kennwort zum Schutz des privaten Schlüssels einzugeben. Wählen Sie hier ein sicheres Kennwort ausreichender Länge (Passphrase). Dieses Kennwort werden Sie bei der Installation der Zertifikate im Gerät wieder benötigen. Für das Kennwort werden je nach Umgebung auch die synonymen Begriffe „Passwort“...

  • Seite 618: Zertifikat Für Root-Ca Ausstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN 4. Starten Sie OpenSSL durch einen Doppelklick auf die openssl.exe im Verzeichnis ./bin. Zertifikat für Root-CA ausstellen 1. Erstellen Sie einen Schlüssel für die CA mit dem Befehl: genrsa -des3 -out ca.key 2048 Merken Sie sich das Kennwort, das Sie nach der Aufforderung für den CA-Schlüssel eingeben, es wird später wieder benötigt! Dieser Befehl erstellt die Datei 'ca.key' im aktuellen Verzeichnis.

  • Seite 619: Zertifikate In Das Gerät Laden

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.11 Zertifikate in das Gerät laden Für den zertifikatgesicherten VPN-Verbindungsaufbau müssen in einem Gerät die folgenden Komponenten vorhanden sein: Zertifikat der Root-CA mit dem Public Key der CA Eigenes Geräte-Zertifikat mit dem eigenen Public Key und der Bestätigung der Identität. Die Prüfsumme dieses Zertifikats ist mit dem Private Key der CA signiert.

  • Seite 620: Zertifikate Sichern Und Hochladen Mit Lanconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Die hochgeladenen Dateien können anschließend in einer Liste unter Expertenkonfiguration / Status / Datei-System / Inhalt eingesehen werden. Eine kombinierte PKCS#12-Datei wird beim Upload automatisch in die benötigten Teile zerlegt. 10.7.12 Zertifikate sichern und hochladen mit LANconfig In einem Gerät können unterschiedliche Zertifikate zur Verschlüsselung bestimmter Dienste verwendet werden.

  • Seite 621: Downloadlink Für Den Öffentlichen Teil Des Ca-Zertifikates

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.7.13 Downloadlink für den öffentlichen Teil des CA-Zertifikates Sie können den öffentlichen Teil des CA-Zertifikates ohne Anmeldung über den Link http://<URL>/getcacert/cacert.crt herunterladen. Die Übertragung erfolgt mit dem Mime-Typ application/x/x509-ca-cert, so dass die verwendete Software je nach Fähigkeit die sofortige Installation des Zertifikates anbietet.

  • Seite 622: Einstellbare Trace-Stufe Für Den Scep-Client

    Referenzhandbuch 10 Virtual Private Networks - VPN WEBconfig: Dateimanagement / Zertifikat oder Datei hochladen Die im Gerät vorhandenen Zertifikate können im Statusbereich eingesehen werden: WEBconfig: LCOS-Menübaum / Status / Zertifikate / Geraetezertifikate Die Gerätezertifikate werden im internen Dateisystem der Geräte den Verwendungszwecken “VPN1” bis “VPN9” zugeordnet. Zur Nutzung der Zertifikate kann in den IKE-Schlüsseln mit dem Typ ASN.1-Distinguished Name als “lokale Identität”...

  • Seite 623: Vpn-Verbindungen Auf Zertifikatsunterstützung Einstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN alles: alle Tracemeldungen, auch reine Info- und Debug-Meldungen reduziert: nur Fehler- und Warnmeldungen nur-Fehler: nur Fehlermeldungen Default: alles 10.7.15 VPN-Verbindungen auf Zertifikatsunterstützung einstellen VPN-Verbindungen mit Zertifikatsunterstützung können nur aufgebaut werden, wenn das Gerät über die korrekte Uhrzeit verfügt.
  • Seite 624 Referenzhandbuch 10 Virtual Private Networks - VPN 2. In den Proposal-Listen wird eine neue Liste benötigt mit der exakten Bezeichnung 'IKE_RSA_SIG', in der die beiden neuen Proposals 'RSA-AES-MD5' und 'RSA-AES-SHA' aufgeführt sind. LANconfig: VPN / IKE-Param./ IKE-Proposallisten WEBconfig: LCOS-Menübaum / Setup / VPN / Proposals / IKE-Proposal-Listen 3.
  • Seite 625 Referenzhandbuch 10 Virtual Private Networks - VPN Kurzzeichen. Die in den Zertifikaten von oben nach unten aufgeführten Werte müssen in den IKE-Schlüssel von links nach rechts eingetragen werden. Beachten Sie auch die Groß- und Kleinschreibung! Die Anzeige von Zertifikaten unter Microsoft Windows zeigt für manche Werte ältere Kurzformen an, beispielweise 'S' anstelle von 'ST' für 'stateOrProvinceName' (Bundesland) oder 'G' anstelle von 'GN' für 'givenName' (Vorname).
  • Seite 626 Referenzhandbuch 10 Virtual Private Networks - VPN Die Default-IKE-Proposal-Listen und Default-IKE-Gruppen finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Defaults': Unter WEBconfig oder Telnet finden Sie die Default-IKE-Proposal-Listen und Default-IKE-Gruppen an folgenden Stellen: Konfigurationstool Aufruf WEBconfig LCOSMenübaum / Setup / VPN Terminal/Telnet /Setup/VPN In den VPN-Verbindungs-Parametern müssen zum Schluss die VPN-Verbindungen auf die Verwendung der richtigen...

  • Seite 627: Zertifikatsbasierte Vpn-Verbindungen Mit Dem Setup-Assistenten Erstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN Die VPN-Verbindungs-Parameter finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Allgemein' mit einem Klick auf die Schaltfläche Verbindungs-Parameter: Unter WEBconfig oder Telnet finden Sie die VPN-Verbindungs-Parameter an folgenden Stellen: Konfigurationstool Aufruf WEBconfig LCOS-Menübaum / Setup / VPN / VPN-Layer Terminal/Telnet...
  • Seite 628 Referenzhandbuch 10 Virtual Private Networks - VPN Der Telnetbefehl show vpn cert zeigt die Inhalte des Geräte-Zertifikates in einem Gerät, u.a. dabei die eingetragenen Relative Distinguished Names (RDN) unter „Subject“. 1. Wählen Sie nach Möglichkeit den optimierten Verbindungsaufbau mit IKE- und PFS-Gruppe 2. Wählen Sie nur dann die Gruppe 5 für IKE und PFS, wenn dies von der Gegenstelle verlangt wird.
  • Seite 629 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Wählen Sie den Assistenten zum Bereitstellen von Zugängen über VPN. Wählen Sie dann im entsprechenden Dialog die VPN-Verbindungsauthentifizierung über Zertifikate (RSA-Signature). Als „Exchange Mode“ wird dabei automatisch der Main Mode verwendet. 2. In der Konfiguration sind üblicherweise bereits Standard-IKE-Parameter für ankommende Main-Mode-Verbindungen in der Standard-IKE-Proposal-Liste 'IKE_RSA_SIG' definiert.
  • Seite 630 Referenzhandbuch 10 Virtual Private Networks - VPN Verschlüsselungsverfahren und Authentifizierungsverfahren der Client während der IKE-Verhandlung verwenden kann. 4. Tragen Sie die Identitäten aus dem lokalen und entfernten Geräte-Zertifikat ein. Übernehmen Sie dabei die vollständigen Angaben aus den jeweiligen Zertifikaten in der richtigen Reihenfolge: die in den Zertifikaten unter Windows von oben nach unten aufgeführten ASN.1-Distinguished Names werden in LANconfig von links nach rechts eingetragen.

  • Seite 631: Lancom Advanced Vpn Client Auf Zertifikatsverbindungen Einstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN Der Telnetbefehl show vpn cert zeigt die Inhalte des Geräte-Zertifikates in einem Gerät, u.a. dabei die eingetragenen Relative Distinguished Names (RDN) unter „Subject“. 5. Wählen Sie nach Möglichkeit den optimierten Verbindungsaufbau mit PFS-Gruppe 2. Wählen Sie nur dann die Gruppe 5 als PFS-Gruppe, wenn dies vom Client verlangt wird.
  • Seite 632 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Stellen Sie in den IPSec-Einstellungen des Profils die IKE-Richtlinie auf 'RSA-Signatur' um. 2. Stellen Sie die Identität auf 'ASN1 Distinguished Names' um. Die 'Identität' kann frei bleiben, da diese Information aus dem Zertifikat ausgelesen wird. 3.
  • Seite 633 Referenzhandbuch 10 Virtual Private Networks - VPN 4. Bei der Zertifikatsüberprüfung können Sie optional die Zertifikate einschränken, die der LANCOM Advanced VPN Client akzeptiert. Dazu geben Sie den Benutzer und/oder den Aussteller des eingehenden Zertifikats und ggf. den zugehörigen „Fingerprint“ an. 5.

  • Seite 634: Vereinfachte Einwahl Mit Zertifikaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Bei aktivierter Softzertifikatsauswahl können Sie beim Verbindungsaufbau im Hauptfenster des LANCOM Advanced VPN Client jeweils das gewünschte Zertifikat aus der Liste auswählen, passend zum gewählten Profil. 10.7.18 Vereinfachte Einwahl mit Zertifikaten Bei der Einwahl von Rechnern mit wechselnden IP-Adressen ist zu Beginn der IKE-Verhandlung (Phase 1) die Identität der Gegenstelle noch nicht bekannt, zur Kommunikation werden Defaultwerte für IKE-Proposal-Listen und IKE-Proposal-Gruppen verwendet.

  • Seite 635: Vereinfachte Netzwerkanbindung Mit Zertifikaten - Proadaptives Vpn

    Referenzhandbuch 10 Virtual Private Networks - VPN Zur Konfiguration der vereinfachten Einwahl wird diese Funktion aktiviert. Die Default-Parameter können bei Bedarf verändert werden. Konfigurationstool Aufruf LANconfig VPN / Allgemein und VPN / Allgemein / Defaults WEBconfig, Telnet LCOS-Menübaum > Setup > VPN Durch das Aktivieren der vereinfachten Zertifikate-Einwahl können sich alle Clients mit einem gültigen Zertifikat, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist, in das entsprechende Netzwerk einwählen.

  • Seite 636: Anfrage Von Zertifikaten Mittels Certreq

    Referenzhandbuch 10 Virtual Private Networks - VPN Achten Sie bei der Konfiguration der einwählenden Gegenstellen darauf, dass jede Gegenstelle ein spezielles Netzwerk anfordert, damit es nicht zu Konflikten der Netzwerkadressen kommt. Konfigurationstool Aufruf LANconfig VPN / Allgemein und VPN / Allgemein / Defaults WEBconfig, Telnet LCOS-Menübaum >...

  • Seite 637: Konfiguration Der Crl-Funktion

    Referenzhandbuch 10 Virtual Private Networks - VPN Da sich das Zertifikat selbst beim Mitarbeiter befindet und nicht verändert werden kann, wird eine Zertifikatsperrliste verwendet. In einer solchen Zertifikatsperrliste (Certificate Revocation List – CRL), wie sie z. B. von der Microsoft CA oder von OpenSSL unterstützt werden, sind die ungültigen Zertifikate eingetragen.

  • Seite 638: Anzeige Des Crl-Status Im Lanmonitor

    Referenzhandbuch 10 Virtual Private Networks - VPN Wenn die CRL im ersten Versuch nicht geladen werden kann, werden in kurzen Zeitabständen neue Versuche gestartet. Abruf regelmäßig [Default: 0 Sekunden] Die Länge des Zeitraums, nach dessen Ablauf periodisch versucht wird, eine neue CRL zu erhalten. Hiermit können eventuell außer der Reihe veröffentlichte CRLs frühzeitig heruntergeladen werden.

  • Seite 639: Wildcard Matching Von Zertifikaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Gültige URL, max. 251 Zeichen. Default: Leer 10.7.22 Wildcard Matching von Zertifikaten Einleitung Bei zertifikatsbasierten VPN-Verbindungen werden in der Regel die Subjects (Antragsteller) der verwendeten Zertifikate als lokale und entfernte Identität verwendet. Diese werden in der VPN-Konfiguration in Form von (oftmals komplexen) ASN.1 Distinguished Names (DN) hinterlegt.

  • Seite 640: Ocsp Client Zur Zertifikatsüberprüfung

    Referenzhandbuch 10 Virtual Private Networks - VPN Zeigt den Inhalt des Root-Zertifikats. show vpn cert Zeigt den Inhalt des eigenen Geräte-Zertifikats. Die Relative Distinguished Names werden in dieser Darstellung bis Firmware-Version 6.00 in umgekehrter Reihenfolge, ab Firmware-Version 6.10 in der üblichen Reihenfolge angezeigt! 10.7.24 OCSP Client zur Zertifikatsüberprüfung Einleitung Das Online Certificate Status Protocol (OCSP) bietet eine Möglichkeit, den Status von Zertifikaten z.

  • Seite 641: Einleitung

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.8.1 Einleitung Bei großen oder räumlich verteilten Organisationen werden häufig mehrstufige Zertifikatshierarchien genutzt, bei der Endzertifikate durch eine oder mehrere Zwischen-CAs herausgegeben werden. Die Zwischen-CAs selbst sind dabei durch Root CA zertifiziert. Für die Authentifizierung der Endzertifikate muss die Prüfung der gesamten Zertifikatshierarchie möglich sein. 10.8.2 SSL/TLS mit mehrstufigen Zertifikaten Bei Anwendungen, die auf SSL/TLS basieren, (z.

  • Seite 642: Zertifikatsenrollment Über Scep

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.9 Zertifikatsenrollment über SCEP Zur Sicherung der Kommunikation über öffentlich zugängliche Netzwerke werden immer mehr zertifikatsbasierte VPN-Verbindungen eingesetzt. Dem hohen Sicherheitsanspruch der digitalen Zertifikate steht dabei ein deutlicher Mehraufwand für die Verwaltung und Verteilung der Zertifikate gegenüber. Dieser Aufwand entsteht dabei überwiegend in den Filialen oder Home-Offices einer verteilten Netzwerkstruktur.
  • Seite 643 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Schlüsselpaar im VPN-Router erzeugen. Im VPN-Router wird ein Schlüsselpaar erzeugt. Der öffentliche Teil dieses Schlüsselpaares wird später zusammen mit der Anfrage an den SCEP-Server übermittelt. Der private Teil des Schlüsselpaares verbleibt im SCEP-Client (VPN-Router). Die Tatsache, dass der private Schlüssel das Gerät zu keiner Zeit verlassen muss, stellt einen Sicherheitsgewinn gegenüber der manuellen Zertifikatsverteilung über z.

  • Seite 644: Konfiguration Von Scep

    Referenzhandbuch 10 Virtual Private Networks - VPN 5. Prüfen der Zertifikatsanfrage auf dem SCEP-Server und Ausstellen des Geräte-Zertifikats. Der SCEP-Server kann die erhaltene Anfrage entschlüsseln und daraufhin ein System- bzw. Gerätezertifikat für den Requester ausstellen. SCEP unterscheidet dabei folgende Methoden für die Bearbeitung der Anfragen: Bei der automatischen Bearbeitung muss die Authentizität des Requesters über die Challenge Phrase sichergestellt sein.

  • Seite 645: Konfiguration Der Cas

    Referenzhandbuch 10 Virtual Private Networks - VPN Aktionen Reinit Startet die manuelle Re-Initialisierung der SCEP-Parameter. Dabei werden wie bei der gewöhnlichen SCEP-Initialisierung auch die notwendigen RA- und CA-Zertifikate von der CA abgerufen und so im Dateisystem des VPN-Routers abgelegt, dass sie noch nicht für die Nutzung im VPN-Betrieb bereit stehen. Sofern das vorhandene Systemzertifikat zum abgerufenen CA-Zertifikat passt, können Systemzertifikat, CA-Zertifikat und privater Geräteschlüssel für den VPN-Betrieb genutzt werden.
  • Seite 646 Referenzhandbuch 10 Virtual Private Networks - VPN Distinguished-Name Distinguished Name der CA. Über diesen Parameter erfolgt einerseits die Zuordnung von CAs zu Systemzertifikaten (und umgekehrt). Andererseits spielt dieser Parameter auch eine Rolle bei der Bewertung, ob erhaltene oder vorhandene Zertifikate der Konfiguration entsprechen. Durch die Verwendung eines vorangestellten Backslash ("\") können Sie auch reservierte Zeichen benutzen.

  • Seite 647: Konfiguration Der Systemzertifikate

    Referenzhandbuch 10 Virtual Private Networks - VPN SHA1 SHA256 SHA384 SHA512 Fingerprint Anhand der hier eingetragenen Prüfsumme (Fingerprint) kann die Authentizität des erhaltenen CA-Zertifikates überprüft werden (entsprechend des eingestellten CA-Fingerprintalgorithmus). Verwendungs-Typ Gibt den Verwendungszweck der eingetragenen CA an. Die hier eingetragene CA wird dann nur für den entsprechenden Verwendungszweck abgefragt.
  • Seite 648 Referenzhandbuch 10 Virtual Private Networks - VPN CADN Distinguished Name der CA. Über diesen Parameter erfolgt einerseits die Zuordnung von CAs zu Systemzertifikaten (und umgekehrt). Andererseits spielt dieser Parameter auch eine Rolle bei der Bewertung, ob erhaltene bzw. vorhandene Zertifikate der Konfiguration entsprechen. Durch die Verwendung eines vorangestellten Backslash ("\") können Sie auch reservierte Zeichen benutzen.

  • Seite 649: Challenge-Passwörter Konfigurieren

    Referenzhandbuch 10 Virtual Private Networks - VPN codeSigning emailProtection timeStamping msCodeInd msCodeCom msCTLSign msSGC msEFS nsSGC 1.3.6.1.5.5.7.3.18 für WLAN-Controller 1.3.6.1.5.5.7.3.19 für Access Points im Managed-Modus Systemzertifikate-Schlüssellänge Länge der Schlüssel, die für das Gerät selbst erzeugt werden. Mögliche Werte: 31 oder größer. Verwendung Gibt den Verwendungszweck der eingetragenen Zertifikate an.
  • Seite 650 Referenzhandbuch 10 Virtual Private Networks - VPN Die Challenge-Tabelle verwaltet die eigenen Passwörter der Zertifikat-Nehmer (Client). Distinguished-Name Hier muss der „Distinguished Name“ eingegeben werden. Hierüber erfolgt einerseits die Zuordnung von CAs zu Systemzertifikaten (und umgekehrt). Andererseits spielt dieser Parameter auch eine Rolle bei der Bewertung ob erhaltene oder vorhandene Zertifikate der Konfiguration entsprechen.

  • Seite 651: Verwendung Digitaler Zertifikate (Smart Certificate)

    Referenzhandbuch 10 Virtual Private Networks - VPN Signatur-Algorithmus Wählen Sie hier den Signatur-Algorithmus aus, den die Zertifizierungsstelle (CA) zur Signatur (Unterschrift) der Zertifikate verwenden soll. Sowohl die CA als auch der Zertifikatnehmer (Client) müssen das Verfahren unterstützen, da der Client die Integrität des Zertifikates anhand der Signatur prüft. Es stehen die folgenden kryptographischen Hash-Funktionen zur Auswahl: SHA1 SHA2-256...

  • Seite 652: Vorlagen Für Zertifikats-Profile Erstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN Vorlagen für Zertifikats-Profile erstellen In LANconfig erfolgt die Profil-Erstellung unter Zertifikate > Zertifikatsbehandlung > Vorlagen. Standardmäßig ist bereits eine Vorlage „DEFAULT“ angelegt. Der Adminstrator legt fest, welche der Profileigenschaften erforderlich und welche durch den Anwender zu editieren sind.

  • Seite 653: Erstellen Eines Profils In Lanconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Seriennr. (serialNumber) Postleitzahl (postalCode) Subject alt. name Bei leerer Vorlagen-Tabelle sieht der Anwender nur Eingabefelder für die Profilnamen, die allgemeinen Namen (CN) sowie das Passwort. Die restlichen Profilfelder behalten die vom Geräte-Administrator festgelegten Defaultwerte.
  • Seite 654 Referenzhandbuch 10 Virtual Private Networks - VPN Tabelle 23: Zur Verfügung stehende Schlüssel-Verwendungen Wert Bedeutung critical Ist diese Einschränkung gesetzt, ist es immer erforderlich, die Schlüsselverwendungs-Erweiterung zu beachten. Wird die Erweiterung nicht unterstützt, wird das Zertifikat als nicht gültig abgelehnt. digitalSignature Ist diese Option gesetzt, wird der öffentliche Schlüssel für digitale Signaturen verwendet.

  • Seite 655: Ca-Zertifikat Erstellen

    Referenzhandbuch 10 Virtual Private Networks - VPN Eine kommagetrennte Mehrfachauswahl ist möglich. RSA-Schlüssellänge Gibt die Länge des Schlüssels an. Gültigkeitsdauer Gibt die Zeitdauer in Tagen an, für die der Schlüssel gültig ist. Nach Ablauf dieser Frist verliert der Schlüssel seine Gültigkeit, falls der Anwender ihn nicht vorher erneuert. CA-Zertifikat erstellen Gibt an, ob es sich um ein CA-Zertifikat handelt.

  • Seite 656: Zertifikaterstellung Über Webconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Postleitzahl (postalCode) Geben Sie die Postleitzahl des Ortes ein. Im Subject oder Issuer des Zertifikates erscheint dieser Eintrag unter postalCode=. Subject alt. Name (SAN) Mit dem „Subject-Alternative-Name“ (SAN) verknüpfen Sie weitere Daten mit diesem Zertifikat. Die folgenden Daten sind möglich: E-Mail-Adressen IPv4- oder IPv6-Adressen...

  • Seite 657: Zertifikatverwaltung Über Die Webconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Leere Vorlagen enthalten nur Felder mit der Auswahl „Nein“. Wählt der Anwender ein Profil aus, das auf einer leeren Vorlage basiert, erscheint in der Eingabemaske nur der allgemeine Name (Common-name). Die restlichen Profilfelder behalten die vom Geräte-Administrator festgelegten Defaultwerte. 3.
  • Seite 658 Referenzhandbuch 10 Virtual Private Networks - VPN Um über die Webschnittstelle ein Zertifikat zu verwalten, wechseln Sie in die Ansicht Setup-Wizards > Zertifikate verwalten. Hier erhalten Sie eine Übersicht der erstellten Zertifikate und können diese auch widerrufen. Die Tabellenspalten haben die folgenden Bedeutungen: Seite In dieser Spalte markieren Sie den Eintrag.

  • Seite 659: Zertifikate Verwalten Im Lanmonitor

    Referenzhandbuch 10 Virtual Private Networks - VPN Zertifikate verwalten im LANmonitor Der LANmonitor zeigt die aktiven und widerrufenen Zertifikate sowie die Zertifikatsanfragen der SCEP-Clients an. Um ein Zertifikat zu widerrufen, klicken Sie mit der rechten Maustaste auf das entsprechende Zertifikat und wählen Sie im Kontextdialog den Punkt Zertifikat widerrufen aus.

  • Seite 660: Nat Traversal (Nat-T)

    Referenzhandbuch 10 Virtual Private Networks - VPN n: Gibt die erweiterte Verwendung (extended key usage) an. o: Gibt die Schlüssellänge (key length) an. p: Gibt die Gültigkeitsdauer (validity period) in Tagen an. q: Gibt das Passwort für die PKCS12-Datei an. r: Gibt an, ob es sich um ein CA-Zertifikat handelt.
  • Seite 661 Referenzhandbuch 10 Virtual Private Networks - VPN Ein Aussendienstmitarbeiter wählt sich mit einem LANCOM Advanced VPN-Client über einen Router ohne „VPN-Pass-Through“-Unterstützung (d.h. IPSec Maskierung), aber mit Network Address Translation in den VPN-Router seiner Firma ein. Die beiden Tunnelendpunkte LANCOM Advanced VPN-Client 1 und VPN-Router 3 unterstützen das NAT-T-Verfahren und können so auch über den zwischengeschalteten Router eine VPN-Verbindung aufbauen.
  • Seite 662 Referenzhandbuch 10 Virtual Private Networks - VPN Um dieses Verfahren zu ermöglichen, müssen beide Seiten der VPN-Verbindung NAT-T beherrschen. Der Ablauf der VPN-Verbindungsaufbaus sieht (reduziert auf die NAT-T-relevanten Vorgänge) so aus: 1. In einer frühen Phase der IKE-Verhandlung wird daher überprüft, ob die beiden Seiten der VPN-Verbindung NAT-T-fähig sind.

  • Seite 663: Extended Authentication Protocol (Xauth)

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.11 Extended Authentication Protocol (XAUTH) 10.11.1 Einleitung Bei der Einwahl von Gegenstellen über WAN-Verbindungen (z. B. über PPP) werden oft RADIUS-Server eingesetzt, um die Benutzer zu authentifizieren. Die üblichen WAN-Verbindungen wurden im Laufe der Zeit dann immer mehr von sichereren (verschlüsselten) und kostengünstigeren VPN-Verbindungen verdrängt.
  • Seite 664 Referenzhandbuch 10 Virtual Private Networks - VPN LANconfig: VPN / Allgemein / Verbindungs-Liste WEBconfig: Setup / VPN / VPN-Gegenstellen XAUTH Aktiviert die Verwendung von XAUTH für die gewählte VPN-Gegenstelle. Mögliche Werte: Client: In der Betriebsart als XAUTH-Client startet das Gerät die erste Phase der IKE-Verhandlung (Main Mode oder Aggressive Mode) und wartet dann auf den Authentifizierungs-Request vom XAUTH-Server.

  • Seite 665: Xauth Mit Externem Radius-Server

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.11.4 XAUTH mit externem RADIUS-Server Seit der Firmware-Version 7.60 kann ein Router die Gegenstelle auch über das Extended Authentication Protocol (XAUTH) identifizieren und authentifizieren. Zur Authentifizierung wurden dabei die Benutzerdaten aus der PPP-Liste herangezogen. Ab der Firmware-Version 7.80 kann die XAUTH-Authentifizierung auch an einen (externen) RADIUS-Server weitergereicht werden.

  • Seite 666: Backup Über Alternative Vpn-Verbindung

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.12 Backup über alternative VPN-Verbindung 10.12.1 Einleitung Das Thema der Backup-Verbindungen ist gerade in verteilten Standorten mit mehreren Filialen, die über VPN an die Zentrale angebunden sind, ein zentrales Thema für die Verfügbarkeit von unternehmenskritischen Anwendungen. Bei einer direkten Beziehung von Routern in den Filialen zu redundanten Routern in der Zentrale ist das Backup einfach zu lösen: Ist ein Router in der Zentrale nicht über Internet erreichbar, kann sich die Filiale in einen anderen Router der Zentrale einwählen.

  • Seite 667: Backup-Fähige Netzstruktur

    Referenzhandbuch 10 Virtual Private Networks - VPN zu den Filialen über die Vermittlungsknoten bestehen, denn der Vermittlungsknoten ist ja aus Sicht der Zentrale noch erreichbar. Der Vermittlungsknoten erfährt nichts über eine evtl. vorhandene Direktverbindung der Filiale an die Zentrale, er kann also die Ziele im Netz der Filiale nicht über den Umweg der Zentrale erreichen.
  • Seite 668 Referenzhandbuch 10 Virtual Private Networks - VPN In der Zentrale müssen alle Verbindungen also nur passiv angenommen werden. Die Vermittlungsknoten nehmen ebenfalls die Verbindungen der Filialen passiv an, bauen aber die Verbindungen zur Zentrale aktiv auf. Diese Hierarchie ist Voraussetzung für die spätere Definition der VPN-Regeln. Netzwerkdefinitionen Die Filialen bauen Netzbeziehungen zu den Vermittlungsknoten und zur Zentrale auf, was durch die entsprechenden Regeln abgedeckt sein muss.
  • Seite 669 Referenzhandbuch 10 Virtual Private Networks - VPN Quelle 10.x.0.0/255.255.0.0 Ziel 10.0.0.0/255.0.0.0 Routing-Informationen Die Routen aus der Zentrale zu den einzelnen Filialen laufen im Normalbetrieb über die Vermittlungsknoten. Im Backup-Fall müssen diese Routen angepasst werden. Damit diese Anpassung automatisch vorgenommen werden kann, wird in den VPN-Gateways der Zentrale die “vereinfachten Einwahl mit Zertifikaten“...

  • Seite 670: Aufbau Der Backupverbindung

    Referenzhandbuch 10 Virtual Private Networks - VPN Vermittlungsknoten auch im Backup-Fall gewährleistet werden, müssen auch in den Vermittlungsknoten die Routen zu den Filialen statisch konfiguriert werden. Aufbau der Backupverbindung Um dem Grundsatz der eindeutigen IPSec-Regeln zu entsprechen, werden im Backup-Fall zunächst die VPN-Regeln für die Hauptverbindung gelöscht und dann neue Regeln für die Backup-Verbindung angelegt.
  • Seite 671 Referenzhandbuch 10 Virtual Private Networks - VPN Für die Hauptverbindung muss “Dynamic VPN” über ICMP/UDP konfiguriert werden. Für die Backupverbindung bestehen keine Anforderungen bezüglich “Dynamic VPN”. Das Backup wird wie beim ISDN-Backup in der Backup-Tabelle konfiguriert. In der Filiale muss die Zentrale als Backupgegenstelle konfiguriert sein. Zentrale Die vereinfachte Einwahl mit Zertifikaten muss eingeschaltet sein.

  • Seite 672: Automatischer Konfigurationsabgleich (Config-Sync) Mit Der Lancom Vpn High Availability Clustering

    Referenzhandbuch 10 Virtual Private Networks - VPN Vermittlungsknoten Die VPN-Verbindung zur Zentrale muss vollständig konfiguriert werden. Die vereinfachte Einwahl mit Zertifikaten muss eingeschaltet sein. Die Auswahl der entfernten Netzwerke durch die Gegenstelle muss aktiviert werden. Wenn nicht mit "zusammengefassten Netzen" (d. h. das Filialnetz ist ein Subnetz des Vermittlungsknotens und das Vermittlungsknoten-Netz ist ein Subnetz des Zentralnetzes) gearbeitet wird, dann muss im Vermittlungsknoten die Route zur Filiale auf die Zentrale zeigen, damit die Filiale den Vermittlungsknoten auch im Backupfall erreichen kann.

  • Seite 673: Ipsec Over Https

    Referenzhandbuch 10 Virtual Private Networks - VPN VPN-Benutzerdatenbank und Firewall) werden hierbei synchronisiert, individuelle Parameter (wie z. B. die IP-Adresse) werden nicht untereinander ausgetauscht. Die Voraussetzungen für eine gültige Gruppenmitgliedschaft eines Gerätes sind: Es muss eine LANCOM VPN High Availability Clustering XL Option vorhanden sein (ab LCOS-Version 9.10). Es muss eine IP-Kommunikation zu allen anderen Geräten möglich sein, z.
  • Seite 674 Referenzhandbuch 10 Virtual Private Networks - VPN WEBconfig: LCOS-Menübaum / Setup / VPN / VPN-Gegenstellen SSL-IPsec Mit dieser Option aktivieren Sie die Nutzung der IPSec over HTTPS-Technologie beim aktiven Verbindungsaufbau zu dieser Gegenstelle. Mögliche Werte: Ein, Aus Default: Bitte beachten Sie, dass bei eingeschalteter IPSec over HTTPS-Option die VPN-Verbindung nur aufgebaut werden kann, wenn die Gegenstelle diese Technologie ebenfalls unterstützt und die Annahme von passiven VPN-Verbindungen mit IPSec over HTTPS bei der Gegenstelle aktiviert ist.

  • Seite 675: Statusanzeigen Der Ipsec Over Https-Technologie

    Referenzhandbuch 10 Virtual Private Networks - VPN WEBconfig: LCOS-Menübaum / Setup / VPN SSL-IPsec annehmen Mit dieser Option aktivieren Sie die Annahme von passiven Verbindungsaufbauten, wenn die Gegenstelle die IPSec over HTTPS-Technologie nutzt. Mögliche Werte: Ein, Aus Default: Der LANCOM Advanced VPN Client unterstützt einen automatischen Fallback auf IPSec over HTTPS. In dieser Einstellung versucht der VPN-Client zunächst eine Verbindung ohne die zusätzliche SSL-Kapselung aufzubauen.

  • Seite 676: L2Tpv2 (Layer 2 Tunneling Protocol Version 2)

    Referenzhandbuch 10 Virtual Private Networks - VPN MPPE benutzt zur Verschlüsselung den sogenannten "Stateless Mode", um die Synchronisierung beider Kommunikationspartner sicherzustellen. In diesem Modus ändert sich der Sitzungs-Schlüssel mit jedem übertragenden Datenpaket. Außerdem synchronisieren beide Stationen jedesmal ihre Verschlüsselungs-Tabellen, in denen die Schlüssel zur Datenverschlüsselung gespeichert sind.

  • Seite 677: Konfiguration Der L2Tp-Tunnel

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.16.1 Konfiguration der L2TP-Tunnel Mit LANconfig konfigurieren Sie L2TP unter Kommunikation > Gegenstellen. Die Tunnel-Konfiguration für der Steuerdaten eines L2TP-Tunnels zu einem Tunnelendpunkt erfolgt unter L2TP-Endpunkte. Name Namen des Tunnelendpunktes IP-Adresse IP-Adresse des Tunnelendpunktes (IPv4, IPv6, FQDN). Routing-Tag Routing-Tag der Route zum Tunnelendpunkt.
  • Seite 678 Referenzhandbuch 10 Virtual Private Networks - VPN Gegenseite authentisieren Wenn zwei Tunnelendpunkte (LAC und LNS) sich gegenseitig authentifizieren sollen, um einen Tunnel aufzubauen, ist diese Option aktiv. In diesem Fall sind im Tunnelendpunkt Stations-Name und Passwort dieses Gerätes als Tunnelendpunkt konfiguriert und ebenfalls die Option Gegenseite authentisieren aktiv. Tunnelaushandlung verschleiern Wenn bereits die Aushandlung eines Tunnels zwischen LAC und LNS verschlüsselt erfolgen soll, ist diese Option aktiv.

  • Seite 679: Authentifizierung Über Radius

    Referenzhandbuch 10 Virtual Private Networks - VPN Als zusätzliche Sicherung, um z. B. eine Verschlüsselung der L2TP-Sessions über IPSec zu ermöglichen, kann das Gerät darüber hinaus auch das Routing-Tag der Gegenstelle prüfen, über die es die Daten empfangen hat. Diese Option aktivieren Sie unter L2TP-Quell-Routing-Tag-Prüfung aktiviert.
  • Seite 680 Referenzhandbuch 10 Virtual Private Networks - VPN PPP-Session: Der RADIUS-Server prüft die Benutzerdaten der jeweiligen PPP-Session. Deshalb erfolgt die Konfiguration des RADIUS-Servers für die Authentifizierung des L2TP-Tunnels und der PPP-Benutzerdaten unabhängig voneinander. Bei einer Tunnel-Authentifizierung über RADIUS konfigurieren Sie die Einstellungen im LANconfig unter Kommunikation > RADIUS im Abschnitt Tunnel-Authentifizierung.

  • Seite 681: Betrieb Als L2Tp Access Concentrator (Lac)

    Referenzhandbuch 10 Virtual Private Networks - VPN Tunnel-Typ "L2TP" mit dem Tag "0" sowie der Tunnel-Client-Auth-ID, die dem zuvor vom Gerät übermittelten Stationsnamen entsprechen muss. Das Gerät prüft diese Daten und übernimmt bei positivem Ergebnis das Tunnel-Passwort, um den einwählenden Client zu authentifizieren und ggf. die L2TP-Tunnelaushandlung zu verschleiern. Die Konfiguration des RADIUS-Servers zur Authentifizierung von PPP-Sessions erfolgt, wie es im Abschnitt Weitere Dienste >...

  • Seite 682: Betrieb Als L2Tp Network Server (Lns) Mit Authentifizierung Über Radius

    Referenzhandbuch 10 Virtual Private Networks - VPN 3. Erstellen Sie unter Kommunikation > Protokolle in der Tabelle PPP-Liste einen Eintrag für den L2TP-Tunnel. 4. Legen Sie unter Konfiguration > IP-Router > Routing in der entsprechenden IPv4- oder IPv6-Routing-Tabelle einen Eintrag für diese Gegenstelle an. 10.16.4 Betrieb als L2TP Network Server (LNS) mit Authentifizierung über RADIUS Im folgenden Beispiel arbeitet das Gerät als L2TP Network Server (LNS).
  • Seite 683 Referenzhandbuch 10 Virtual Private Networks - VPN 1. Erstellen Sie unter Kommunikation > Gegenstellen in der Tabelle L2TP-Endpunkte einen Eintrag "DEFAULT". 2. Konfigurieren Sie anschließend unter Kommunikation > Gegenstellen in der Tabelle L2TP-Liste einen Eintrag "DEFAULT". 3. Konfigurieren Sie unter Kommunikation > RADIUS den RADIUS-Server. Den unteren Abschnitt RADIUS-Server-Einstellungen für L2TP konfigurieren Sie nur, wenn eine L2TP-Tunnel-Authentifizierung über den RADIUS-Server erfolgen soll.

  • Seite 684: Betrieb Als L2Tp Network Server (Lns) Für Ras-Clients

    Referenzhandbuch 10 Virtual Private Networks - VPN Möchte sich ein LAC mit dem Stationsnamen "router1" und dem Passwort "abcde" für den L2TP-Tunnel authentifizieren lassen, konfigurieren Sie den entsprechenden Eintrag im RADIUS-Server (z. B. FreeRADIUS) wie folgt: router1 Cleartext-Password := "password" Service-Type = Outbound-User, Tunnel-Type = L2TP,...

  • Seite 685: Konkrete Verbindungsbeispiele

    Referenzhandbuch 10 Virtual Private Networks - VPN 3. Alternativ legen Sie unter Kommunikation > Gegenstellen in der Tabelle L2TP-Endpunkte für den RAS-Client einen separaten Eintrag (z. B. "CLIENT") an. 4. Anschließend konfigurieren Sie unter Kommunikation > Protokolle in der PPP-Liste für den Client einen neuen Eintrag.

  • Seite 686: Statisch/Statisch

    Referenzhandbuch 10 Virtual Private Networks - VPN Zu jeder dieser vier VPN-Verbindungsarten gibt es einen eigenen Abschnitt mit einer Aufführung aller notwendigen Konfigurationsangaben in Form der bereits bekannten Tabelle. 10.17.1 Statisch/statisch Zwischen den beiden Geräten Zentrale und Filiale wird eine VPN-Verbindung aufgebaut. Beide Gateways verfügen über statische IP-Adressen.

  • Seite 687: Dynamisch/Dynamisch (Mit Lancom Dynamic Vpn)

    Referenzhandbuch 10 Virtual Private Networks - VPN Das VPN-Gateway Zentrale baut eine VPN-Verbindung zu Filiale auf. Zentrale verfügt über eine statische IP-Adresse, Filiale über eine dynamische. Die Angaben zur ISDN-Verbindung werden für die Übertragung der IP-Adresse verwendet und nicht für den eigentlichen Verbindungsaufbau ins Internet.

  • Seite 688: Vpn-Verbindungen: Hohe Verfügbarkeit Mit „Lastenausgleich

    Referenzhandbuch 10 Virtual Private Networks - VPN Zwischen den beiden Geräten Zentrale und Filiale wird eine VPN-Verbindung aufgebaut. Beide Seiten haben dynamische IP-Adressen. Beide Seiten können den Verbindungsaufbau initiieren. Die Angaben zur ISDN-Verbindung werden für die Übertragung der IP-Adresse verwendet und nicht für den eigentlichen Verbindungsaufbau ins Internet.
  • Seite 689 Referenzhandbuch 10 Virtual Private Networks - VPN Mit der Möglichkeit, mehrere „Remote-Gateway“-Adressen als „dynamischer VPN-Endpunkt“ für eine VPN-Verbindung zu konfigurieren, bieten VPN-Gateways eine hohe Verfügbarkeit durch den Einsatz redundanter Geräte. Dabei werden in der Zentrale mehrere Gateways mit gleicher VPN-Konfiguration eingesetzt. In den Außenstellen werden alle vorhandenen Gateways als mögliche Gegenstellen für die gewünschte VPN-Verbindung eingetragen.
  • Seite 690 Referenzhandbuch 10 Virtual Private Networks - VPN Bei der Konfiguration mit LANconfig finden Sie die Liste der Gateway-Adressen im Konfigurationsbereich 'VPN' auf die Registerkarte 'Allgemein' unter der Schaltfläche Entferntes Gateway. Unter WEBconfig oder Telnet bzw. Terminalprogramm finden Sie die Einstellungen für die Remote-Gateway-Adressen auf folgenden Pfaden: Konfigurationstool Menü/Tabelle...

  • Seite 691: Wie Funktioniert Vpn

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.18 Wie funktioniert VPN? Ein VPN muss in der Praxis einer Reihe von Ansprüchen gerecht werden: Unbefugte Dritte dürfen die Daten nicht lesen können (Verschlüsselung) Ausschluss von Datenmanipulationen (Datenintegrität) Zweifelsfreie Feststellung des Absenders der Daten (Authentizität) Einfache Handhabung der Schlüssel Kompatibilität mit VPN-Geräten verschiedener Hersteller Diese fünf wichtigen Ziele erreicht VPN durch die Verwendung des weitverbreiteten IPSec-Standards.

  • Seite 692: Sicherheit Auf Verbindungsebene - Pptp, L2F, L2Tp

    Referenzhandbuch 10 Virtual Private Networks - VPN Sicherheit auf Verbindungsebene – PPTP, L2F, L2TP Bereits auf der Verbindungsebene (Level 2 des OSI-Modells) können Tunnel gebildet werden. Microsoft und Ascend entwickelten frühzeitig das Point-to-Point Tunneling Protocol (PPTP). Cisco stellte ein ähnliches Protokoll mit Layer 2Forwarding (L2F) vor.

  • Seite 693: Security Associations - Nummerierte Tunnel

    Referenzhandbuch 10 Virtual Private Networks - VPN Sicherung der Authentizität der Pakete Verschlüsselung der Pakete Übermittlung und Management der Schlüssel 10.19.2 Security Associations – nummerierte Tunnel Eine logische Verbindung (Tunnel) zwischen zwei IPSec-Geräten wird als SA (Security Association) bezeichnet. SAs werden selbstständig vom IPSec-Gerät verwaltet.

  • Seite 694: Die Authentifizierung - Das Ah-Protokoll

    Referenzhandbuch 10 Virtual Private Networks - VPN Verschlüsselungs-Algorithmen IPSec setzt als übergeordnetes Protokoll keine bestimmten Verschlüsselungs-Algorithmen voraus. In der Wahl der angewandten Verfahren sind die Hersteller von IPSec-Produkten daher frei. Üblich sind folgende Standards: AES – Advanced Encryption Standard AES ist der offizielle Verschlüsselungsstandard für die Verwendung in US-amerikanischer Regierungsbehörden und damit die wichtigste Verschlüsselungstechnik weltweit.

  • Seite 695: Der Ablauf Von Ah Im Sender

    Referenzhandbuch 10 Virtual Private Networks - VPN Der Ablauf von AH im Sender Im Sender der Pakete läuft die Erstellung der Authentication Data in 3 Schritten ab. 1. Aus dem Gesamtpaket wird eine Prüfsumme mittels Hash-Algorithmen errechnet. 2. Diese Prüfsumme wird zusammen mit einem dem Sender und Empfänger bekannten Schlüssel erneut durch einen Hash-Algorithmus geschickt.

  • Seite 696: Berechnung Der Authentifizierungsdaten

    Referenzhandbuch 10 Virtual Private Networks - VPN Bildung der Prüfsumme für den Integritäts-Check Um die Integrität, also die Korrektheit der transferierten Pakete zu gewährleisten, versieht AH beim Versand jedes Paket mit einer Prüfsumme. Beim Empfänger prüft AH, ob die Prüfsumme zum Inhalt des Paketes passt. Ist das nicht der Fall, dann wurde es entweder falsch übertragen oder bewusst verändert.

  • Seite 697: Management Der Schlüssel - Ike

    Referenzhandbuch 10 Virtual Private Networks - VPN 10.19.5 Management der Schlüssel – IKE Das Internet Key Exchange Protocol (IKE) ist ein Protokoll, in dem Unterprotokolle zum Aufbau der SAs und für das Schlüsselmanagement eingebunden werden können. Innerhalb von IKE werden zwei Unterprotokolle verwendet: Oakley für die Authentifizierung der Partner und den Schlüsselaustausch sowie ISAKMP für die Verwaltung der SAs.

  • Seite 698: Anwendungskonzepte Für Lanconfig

    Referenzhandbuch 10 Virtual Private Networks - VPN Bitte beachten Sie bei der Konfiguration des Fensters für die Replay-Detection folgende Aspekte: wenn Sie das Fenster zu groß wählen, übersieht die Replay-Detection möglicherweise eine aktuell von einem Angreifer ausgeführte Replay-Attacke wenn Sie das Fenster zu klein wählen, verwirft die Replay-Detection aufgrund einer während der Datenübertragung geänderten Paketreihenfolge möglicherweise rechtmäßige Pakete und erzeugt so Störungen in der VPN-Verbindung Wägen Sie den Einsatz der Replay-Detection in Ihrem speziellen Anwendungsfall ab.
  • Seite 699 Referenzhandbuch 10 Virtual Private Networks - VPN Profil ausdrucken Das Versenden der Profildatei per E-Mail stellt ein Sicherheitsrisiko dar, weil die E-Mail unterwegs ggf. abgehört werden könnte. Zum Versenden der Profildatei per E-Mail muss in der Konfiguration des Geräts ein SMTP-Konto mit den erforderlichen Zugangsdaten eingerichtet sein.

  • Seite 700: Virtuelle Lans (Vlans)

    Referenzhandbuch 11 Virtuelle LANs (VLANs) 11 Virtuelle LANs (VLANs) 11.1 Was ist ein Virtuelles LAN? Die steigende Verfügbarkeit von preiswerten Layer-2-Switches erlaubt den Aufbau sehr viel größerer LANs als in der Vergangenheit. Bisher wurden oft kleinere Abschnitte eines Netzwerks mit Hubs zusammengeschlossen. Diese einzelnen Segmente (Collision Domains) wurden dann über Router zu größeren Einheiten zusammengeschlossen.

  • Seite 701: Frame-Tagging

    Referenzhandbuch 11 Virtuelle LANs (VLANs) Die Stationen aus Marketing und Vertrieb sollen miteinander kommunizieren können. Außerdem sollen Sie auf den Server zugreifen. Die Buchhaltung benötigt ebenfalls Zugriff auf den Server, soll aber ansonsten von den anderen Stationen abgeschirmt werden. 11.2.1 Frame-Tagging Um den Datenverkehr eines virtuellen LANs gegen die anderen Netzteilnehmer abschirmen und ggf.

  • Seite 702: Umsetzung In Den Schnittstellen Des Lans

    Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.2.2 Umsetzung in den Schnittstellen des LANs Mit den virtuellen LANs sollen bestimmte Stationen zu logischen Einheiten zusammengefasst werden. Die Stationen selbst können aber die notwendigen VLAN-Tags in der Regel weder erzeugen noch verarbeiten. Der Datenverkehr zwischen den Netzteilnehmern läuft immer über die verschiedenen Schnittstellen (Interfaces) der Verteiler im LAN.

  • Seite 703: Management- Und User-Traffic Auf Einem Lan

    Referenzhandbuch 11 Virtuelle LANs (VLANs) Management- und User-Traffic auf einem LAN Auf dem Campus einer Universität werden mehrere Hot-Spots aufgestellt. Damit ist den Studenten über Notebooks mit WLAN-Karten der Zugang zum Server der Bibliothek und zum Internet möglich. Die Hot-Spots sind an das LAN der Universität angeschlossen.

  • Seite 704: Konfiguration Von Vlans

    Referenzhandbuch 11 Virtuelle LANs (VLANs) Mit virtuellen LANs lässt sich diese Aufgabe sehr elegant lösen. Auch bei einem späteren Wechsel von Abteilungen oder Firmen im Gebäude kann die Netzstruktur sehr einfach angepasst werden. Alle Netzteilnehmer nutzen in diesem Beispiel das zentrale Ethernet, das mit den angeschlossenen Geräten von einem Dienstleister überwacht wird.

  • Seite 705: Allgemeine Einstellungen

    Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.3.1 Allgemeine Einstellungen In diesem Dialog finden Sie die allgemeinen Einstellunge für das VLAN. LANconfig: Schnittstellen / VLAN WEBconfig: LCOS-Menübaum / Setup / VLAN VLAN-Modul aktivieren Schalten Sie das VLAN-Modul nur ein, wenn Sie mit den Auswirkungen der VLAN-Nutzung vertraut sind. Mit fehlerhaften VLAN-Einstellungen können Sie den Konfigurationszugang zum Gerät verhindern.

  • Seite 706: Die Netzwerktabelle

    Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.3.2 Die Netzwerktabelle In der Netzwerktabelle werden die virtuellen LANs definiert, an denen das Gerät teilnehmen soll. LANconfig: Schnittstellen / VLAN / VLAN-Tabelle WEBconfig: LCOS-Menübaum / Setup / VLAN / Netzwerke VLAN-Name: Der Name des VLANs dient nur der Beschreibung bei der Konfiguration. Dieser Name wird an keiner anderen Stelle verwendet.

  • Seite 707: Konfigurierbare Vlan-Ids

    Referenzhandbuch 11 Virtuelle LANs (VLANs) Ankommend gemischt: Ankommende Pakete können ein VLAN-Tag haben oder nicht, ausgehende Pakete bekommen nie ein VLAN-Tag. Default: Ankommend gemischt Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören Diese Option gibt an, ob getaggte Datenpakete mit beliebigen VLAN-IDs akzeptiert werden sollen, auch wenn der Port nicht Mitglied dieses VLANs ist.

  • Seite 708: Vlan-Ids Für Dsl-Interfaces

    Referenzhandbuch 11 Virtuelle LANs (VLANs) 11.4.2 VLAN-IDs für DSL-Interfaces In manchen DSL-Netzen werden VLAN-Tags verwendet, so wie sie auch in lokalen Netzen zur Unterscheidung von logischen Netzwerken auf gemeinsamen genutzten Übertragungsmedien eingesetzt werden. Um diese VLAN-Tags im Router richtig verarbeiten zu können, kann zu jeder DSL-Gegenstelle eine entsprechende VLAN-ID definiert werden. LANconfig: Kommunikation / Gegenstellen / Gegenstellen (DSL) WEBconfig: LCOS-Menübaum / Setup / WAN / DSL-Breitband-Gegenstellen VLAN-ID...

  • Seite 709: Konfiguration Des Vlan-Taggings Auf Layer 2/3

    Referenzhandbuch 11 Virtuelle LANs (VLANs) Wird ein getaggtes Ethernet-Paket empfangen, so gibt es drei Möglichkeiten das Tag zu verarbeiten: Das VLAN-Tag wird ignoriert. Das VLAN-Tag wird immer in das DiffServ- bzw. TOS-Feld kopiert. Das VLAN-Tag wird nur dann in das DiffServ- bzw. TOS-Feld kopiert, wenn dort noch keine Kennzeichnung vorhanden ist, die Precedence also '000' ist.
  • Seite 710 Referenzhandbuch 11 Virtuelle LANs (VLANs) Das TOS/DiffServ-Feld wird als DiffServ-Feld betrachtet. Nach Auswertung der Precedence werden Pakete mit den Code Points 'AFxx' gesichert und Pakete mit den Code Points 'EF' bevorzugt übertragen. Alle anderen Pakete werden normal übertragen. DiffServ-Tags aus Layer-2 Die Einstellung für das Layer2-Layer3-Tagging regelt das Verhalten beim Empfangen eines Datenpakets: Ignorieren: VLAN-Tags werden ignoriert.

  • Seite 711: Wireless Lan - Wlan

    Vergangenheit an. Funk-LANs sind außerdem einsetzbar für Verbindungen über größere Distanzen. Teure Mietleitungen und die damit verbundenen baulichen Maßnahmen können gespart werden. LANCOM Systems unterscheidet zwei Typen von WLAN-Geräten, die für verschiedene Einsatzbereich vorgesehen sind und dementsprechend spezielle Funktionen und Konfigurationsmöglichkeiten bieten: Access Points (APs) werden üblicherweise verwendet, um ein oder mehrere WLANs mit kabelgebundenen LAN zu...

  • Seite 712: Anwendungsszenarien

    Referenzhandbuch 12 Wireless LAN – WLAN deutlich verbessern. Alle Funktionen von Active Radio Control sind kostenlos enthalten im LANCOM Betriebssystem LCOS und lassen sich einfach über die entsprechenden Management-Tools bedienen. RF Optimization (Funkfeldoptimierung) Automatische Auswahl optimaler WLAN-Kanäle: WLAN-Clients profitieren von einem verbesserten Durchsatz dank reduzierter Kanalüberlappungen.

  • Seite 713: Hotspot Oder Gastzugang

    Referenzhandbuch 12 Wireless LAN – WLAN die Kommunikation der Clients untereinander und den Zugang zu anderen Netzwerken. In größeren WLAN-Anwendungen (z. B. in Unternehmen, deren Geschäftsräume sich über mehrere Gebäude oder Etagen verteilen) können auch mehrere verbundene APs einen gemeinsamen Zugang für WLAN-Clients anbieten. Je nach Bedarf können die Clients zwischen den verschiedenen APs wechseln (Roaming).

  • Seite 714: Managed-Modus

    Referenzhandbuch 12 Wireless LAN – WLAN 12.3.3 Managed-Modus Der weit verbreitete Einsatz von Wireless-Geräten hat zu einem deutlich komfortableren und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt. Mit einem zentralen WLAN-Management wird die Konfiguration der APs im Managed-Modus nicht mehr in den Geräten selbst vorgenommen, sondern in einer zentralen Instanz, dem WLAN-Controller (WLC).

  • Seite 715: Wlan-Bridge Im Relais-Betrieb

    Referenzhandbuch 12 Wireless LAN – WLAN 12.3.5 WLAN-Bridge im Relais-Betrieb In manchen Fällen müssen größere Distanzen zwischen zwei Standorten überbrückt werden als mit einer einfachen Funkstrecke realisiert werden kann. Das ist z. B. dann der Fall, wenn die Distanz zwischen den APs über die tatsächliche Reichweite hinausgeht oder wenn Hindernisse zwischen den APs die direkte Funkübertragung stören oder verhindern.

  • Seite 716: Wireless Distribution System (Point-To-Multipoint)

    Referenzhandbuch 12 Wireless LAN – WLAN 12.3.7 Wireless Distribution System (Point-to-Multipoint) Eine besondere Variante der Funkstrecken ist die Anbindung von mehreren verteilten APs an eine zentrale Station – das Point-to-Multipoint-WLAN (P2MP) wird auch als Wireless Distribution System bezeichnet (WDS). In dieser Betriebsart werden z.

  • Seite 717: Client-Modus Bei Bewegten Objekten Im Industriebereich

    Referenzhandbuch 12 Wireless LAN – WLAN 12.3.9 Client-Modus bei bewegten Objekten im Industriebereich Völlig neue Anwendungen ermöglichen WLAN-Systeme im industriellen Bereich durch die Datenübertragung zu bewegten Objekten. So ist z. B. in der Logistik eine kontinuierliche Anbindung von Gabelstaplern über WLAN an das Firmennetzwerk möglich.

  • Seite 718: Ieee 802.11N

    Referenzhandbuch 12 Wireless LAN – WLAN IEEE 802.11n mit bis zu 300 MBit/s Übertragungsrate im 5 GHz oder 2,4 GHz Frequenzband, mit neuen Mechanismen wie zum Beispiel die Nutzung von MIMO, 40-MHz-Kanälen, Packet Aggregation und Block Acknowledgement. IEEE 802.11a mit bis zu 54 MBit/s Übertragungsrate im 5 GHz Frequenzband, bis zu 108 MBit/s mit Turbo-Modus (Ergänzung zum Standard).

  • Seite 719: Vorteile Von 802.11N

    Referenzhandbuch 12 Wireless LAN – WLAN bereits vor der Verabschiedung des Standards entsprechende WLAN-Geräte auf den Markt bringt. Der aktuelle Stand der Diskussion wird als so genannter „Draft 2.0“ definiert, auf den sich die aktuell im Markt verfügbaren Geräte beziehen. Wenn in diesem Dokument von „802.11n“...

  • Seite 720: Technische Aspekte Von 802.11N

    Referenzhandbuch 12 Wireless LAN – WLAN Modulation der Trägersignale auf ein Funksignal im gewählten Frequenzband, bei WLAN entweder 2,4 oder 5 GHz. Die zweite der beiden Modulationen läuft bei IEEE 802.11n genau so ab wie bei den bisherigen WLAN-Standards und ist daher keine weitere Betrachtung wert.
  • Seite 721 Referenzhandbuch 12 Wireless LAN – WLAN (derzeit werden nur zwei parallele Datenströme realisiert). Das Resultat ist eine Steigerung des Datendurchsatzes und Verbesserung des Funkabdeckung. Die Daten werden also z. B. beim AP in zwei Gruppen aufgeteilt, die jeweils über separate Antennen, aber gleichzeitig zum WLAN-Client gesendet werden.
  • Seite 722 Referenzhandbuch 12 Wireless LAN – WLAN MIMO ermöglicht also die gleichzeitige Übertragung mehrerer Signale auf einem geteilten Medium wie der Luft. Die einzelnen Sender und Empfänger müssen dazu jeweils einen räumlichen Mindestabstand einhalten, der allerdings nur wenige Zentimeter beträgt. Dieser Abstand schlägt sich in unterschiedlichen Reflexionen bzw. Signalwegen nieder, die zur Trennung der Signale verwendet werden können.
  • Seite 723 Referenzhandbuch 12 Wireless LAN – WLAN 40 MHz-Kanäle Bei den Ausführungen zur OFDM-Modulation wurde bereits beschrieben, dass der Datendurchsatz mit zunehmender Anzahl von Trägersignalen steigt, weil so mehrere Signale gleichzeitig übertragen werden können. Wenn in einem Kanal mit einer Bandbreite von 20 MHz nicht mehr als 48 (802.11a/g) bzw. 52 (802.11n) Trägersignale genutzt werden können, liegt es nahe, einen zweiten Kanal mit weiteren Trägersignalen zu verwenden.

  • Seite 724: Optimierung Des Netto-Datendurchsatzes

    Referenzhandbuch 12 Wireless LAN – WLAN Durch die Übertragung der Datenmenge in kürzeren Intervallen steigt der maximale Datendurchsatz damit bei Nutzung der verbesserten OFDM-Modulation, zwei parallelen Datenströmen und Übertragung mit 40 MHz auf maximal 300 Mbit/s. Optimierung des Netto-Datendurchsatzes Die bisher beschriebenen Verfahren haben zum Ziel, den physikalisch möglichen Datendurchsatz zu verbessern. Mit den im Folgenden beschriebenen Verfahren optimieren 802.11n-Netzwerke auch den Durchsatz, der netto zu erzielen ist –...

  • Seite 725: Resultierender Datendurchsatz

    Referenzhandbuch 12 Wireless LAN – WLAN alle zusammengefassten Datenpakete übertragen und Verzögerungen durch die Zugriffsregelung auf das Übertragungsmedium werden erst in größeren Abständen nötig. Der Einsatz dieses als Frame-Aggregation bezeichneten Verfahrens unterliegt aber gewissen Einschränkungen: Damit auch Informationen wie die MAC-Adressen nur einmal für den aggregierten Frame übertragen werden müssen, können nur solche Datenpakete zusammengefasst werden, die an die gleiche Adresse gerichtet sind.

  • Seite 726: Ieee 802.11A: 54 Mbit/S

    Referenzhandbuch 12 Wireless LAN – WLAN Datenströme Modulation Nutzdatenrate Datendurchsatz (GI=0,4 µs, 40 MHz) BPSK QPSK QPSK 16QAM 16QAM 64QAM 64QAM 64QAM 12.4.2 IEEE 802.11a: 54 MBit/s IEEE 802.11a sieht den Betrieb von Funk-LANs im 5 GHz Frequenzband (5,15 GHz bis 5,75 GHz) mit bis zu 54 MBit/s maximaler Übertragungsrate vor.

  • Seite 727: Europäische Harmonisierung

    Referenzhandbuch 12 Wireless LAN – WLAN Europäische Harmonisierung Um die Nutzung des 5GHz-Bandes in Europa zu vereinheitlichen, hat die Europäische Kommission am 11.07.2005 den Standard ETSI 301 893 erlassen. Die Mitgliedsländer der EU waren verpflichtet, diese bis zum 31.10.2005 umzusetzen. Anstelle der in den 802.11a/h-Standards beschriebenen drei Unterbändern (5150 - 5350 MHz, 5470 - 5725 MHz und 5725 - 5875 MHz für UK) regelt die Norm ETSI 301 893 die drei folgenden Bereiche mit unterschiedlichen Vorschriften: 5150 - 5250 MHz (Unterband 1)

  • Seite 728: Zulässige Funkkanäle

    Referenzhandbuch 12 Wireless LAN – WLAN (UNII-2e) von 5470–5725 MHz und das "Upper Band" (UNII-3) von 5725–5825 MHz. Im Lower Band ist eine maximale mittlere EIRP von 50 mW, im Middle Band von 250 mW sowie im Upper Band von 1 W zugelassen. In Japan ist die Nutzung des 5 GHz-Bandes bisher nur sehr eingeschränkt möglich: hier ist nur das untere Band von 5150–5250 MHz für die private Nutzung freigegeben.

  • Seite 729: Verwendung

    Referenzhandbuch 12 Wireless LAN – WLAN Frequenz (GHz) Sendeleistung (mW/dBm) Verwendung 5,15-5,25 30/13 Indoor 5,15-5,25 60/14 Indoor 5,15-5,25 200/23 Indoor 5,25-5,35 200/23 Indoor 5,470-5,725 1000/30 Indoor/Outdoor Beim Einsatz in anderen Ländern können ggf. andere Vorschriften gelten. Bitte informieren Sie sich über die aktuellen Funk-Regelungen des Landes, in dem Sie ein Funk-LAN-Gerät in Betrieb nehmen wollen, und stellen Sie in den WLAN-Einstellungen unbedingt das Land ein, in dem Sie das Gerät betreiben.

  • Seite 730: Wlan-Sicherheit

    Referenzhandbuch 12 Wireless LAN – WLAN 12.5 WLAN-Sicherheit 12.5.1 Grundbegriffe Auch wenn immer wieder in Zusammenhang mit Computernetzen pauschal von 'Sicherheit' gesprochen wird, so ist es doch für die folgenden Ausführungen wichtig, die dabei gestellten Forderungen etwas näher zu differenzieren. Authentifizierung Als ersten Punkt der Sicherheit betrachten wir den Zugangsschutz: Dabei handelt es sich zum einen um einen Schutzmechanismus, der nur autorisierten Nutzern den Zugang zum...

  • Seite 731: Ieee 802.11I / Wpa2

    Referenzhandbuch 12 Wireless LAN – WLAN kann nun ausschließlich mit dem privaten Schlüssel des Senders wieder entschlüsselt werden. Ein potenzieller Mithörer des Schlüsselaustauschs kann diese Information aber nicht entschlüsseln, die Übertragung des symmetrischen Schlüssels ist also gesichert. 12.5.2 IEEE 802.11i / WPA2 Mitte 2004 wurde der Standard 802.11i vom IEEE verabschiedet, der auch als Wi-Fi Protected Access 2 (WPA2) bekannt ist.

  • Seite 732: Wpa Mit Passphrase

    Referenzhandbuch 12 Wireless LAN – WLAN Authentifizierungs-Server weiter. Umgekehrt wandelt der AP darauf vom RADIUS-Server kommende Antworten wieder in EAP-Pakete um und reicht sie an den Client weiter. Der AP dient dabei sozusagen als 'Mittelsmann' zwischen Client und Server: er muss den Inhalt dieser Pakete nicht prüfen, er stellt lediglich sicher, dass kein anderer Datenverkehr von oder zu dem Client erfolgen kann.
  • Seite 733 Referenzhandbuch 12 Wireless LAN – WLAN Unkonfigurierte APs können im Auslieferungszustand nicht über die WLAN-Schnittstelle in Betrieb genommen werden. Die WLAN-Module sind ausgeschaltet, die Geräte suchen selbstständig im LAN einen WLC, von dem sie automatisch eine Konfiguration beziehen können. Unkonfigurierte Wireless Router können auch im Auslieferungszustand über die WLAN-Schnittstelle in Betrieb genommen werden.

  • Seite 734: Prä-Authentifizierung Und Pmk-Caching

    Referenzhandbuch 12 Wireless LAN – WLAN TKIP-Implementierung hingegen verlangt die Verwendung unterschiedlicher Michael-Schlüssel in Sende- und Empfangsrichtung, so dass CCM in seiner Anwendung deutlich unkomplizierter ist als TKIP. Ähnlich wie TKIP verwendet CCM einen 48 Bit langen Initial Vector in jedem Paket – eine IV-Wiederholung ist damit in der Praxis ausgeschlossen.

  • Seite 735: Verhandlung Des Verschlüsselungsverfahrens

    „persönliche“ Passphrase gelöscht werden, alle anderen behalten ihre Gültigkeit und Vertraulichkeit. Mit LEPS (LANCOM Enhanced Passphrase Security) hat LANCOM Systems ein effizientes Verfahren entwickelt, das die einfache Konfigurierbarkeit von IEEE 802.11i mit Passphrase nutzt und dabei die möglichen Unsicherheiten bei der...

  • Seite 736: Background Wlan Scanning

    Referenzhandbuch 12 Wireless LAN – WLAN Bei LEPS wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am AP und die anschließende Verschlüsselung per IEEE 802.11i oder WPA.

  • Seite 737: Schnelles Roaming Im Client-Modus

    Referenzhandbuch 12 Wireless LAN – WLAN Schnelles Roaming im Client-Modus Das Verfahren des Background-Scanning kann aber auch mit anderen Zielen als der Rogue AP Detection verwendet werden. Ein AP im Client-Modus, der sich selbst bei einem anderen AP anmeldet, kann in einer mobilen Installation auch das Roaming-Verfahren nutzen.
  • Seite 738 Referenzhandbuch 12 Wireless LAN – WLAN kann aber die Kommunikation innerhalb einer WLAN-Zelle durch gefälschte Management-Informationen empfindlich stören. Der Standard IEEE 802.11w verschlüsselt die übertragenen Management-Informationen, so dass ein Angreifer, der nicht im Besitz des entsprechenden Schlüssels ist, die Kommunikation nicht mehr stören kann. Um Protected Management Frames für ein logisches WLAN-Interface zu aktivieren, wechseln Sie in LANconfig in die Ansicht Wireless-LAN >...
  • Seite 739 Referenzhandbuch 12 Wireless LAN – WLAN Um die Management-Frames bei P2P-Verbindung zwischen den Basisstationen zu verschlüsseln, wechseln Sie in LANconfig in die Ansicht Wireless-LAN > General, klicken auf Physikalische WLAN-Einst. und wählen in der Auswahlliste Mgmt.-Frames verschlüsseln die entsprechende Option. Um die Verschlüsselung von Management-Frames über einen WLAN-Controller zu verwalten, wechseln Sie in LANconfig in die Ansicht WLAN-Controller >...

  • Seite 740: Konfiguration Der Wlan-Parameter

    Referenzhandbuch 12 Wireless LAN – WLAN Folgende Optionen stehen bei allen Konfigurationen zur Auswahl: Nein Das WLAN-Interface unterstützt kein PMF. Die WLAN-Management-Frames sind nicht verschlüsselt. Erzwingen Das WLAN-Interface unterstützt PMF. Die WLAN-Management-Frames sind immer verschlüsselt. Eine Verbindung zu WLAN-Clients, die PMF nicht unterstützen, ist nicht möglich. Optional Das WLAN-Interface unterstützt PMF.

  • Seite 741: Allgemeine Wlan-Einstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.6.1 Allgemeine WLAN-Einstellungen LANconfig: Wireless-LAN / Allgemein WEBconfig: LCOS-Menübaum / Setup / WLAN Ländereinstellung Der Betrieb von WLAN-Modulen ist international nicht einheitlich geregelt. Die Verwendung von bestimmten Funkkanälen ist z. B. in manchen Ländern nicht erlaubt. Um den Betrieb der APs auf die in dem jeweiligen Land zulässigen Parameter zu begrenzen, wird für alle physikalischen WLAN-Interfaces gemeinsam das Land eingestellt, in dem der AP betrieben wird.

  • Seite 742: Allgemeine Einstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN Allgemeine Einstellungen Hier finden Sie allgemeine Einstellungen zum WLAN. LANconfig: Wireless-LAN / Security Datenverkehr zwischen SSIDs und Stationen Je nach Anwendungsfall ist es gewünscht oder eben auch nicht erwünscht, dass die an einem AP angeschlossenen WLAN-Clients mit anderen Clients kommunizieren.
  • Seite 743 Referenzhandbuch 12 Wireless LAN – WLAN Protokoll-Filter Mit dem Protokoll-Filter können Sie die Behandlung von bestimmten Datenpaketen bei der Übertragung aus dem WLAN ins LAN beeinflussen. Mit Hilfe von entsprechenden Regeln wird dabei festgelegt, welche Datenpakete erfasst werden sollen, für welche Interfaces der Filter gilt und welche Aktion mit den Datenpaketen ausgeführt werden soll. LANconfig: Wireless LAN / Security / Protokolle WEBconfig: LCOS-Menübaum / Setup / LAN-Bridge / Protokoll-Tabelle Ein Protokoll-Filter besteht ähnlich einer Firewall-Regel aus zwei Teilen:...
  • Seite 744 Referenzhandbuch 12 Wireless LAN – WLAN Irrelevant: Die Quell-MAC-Adresse findet keine Beachtung. Wenn das DHCP-Adress-Tracking aktiviert ist, werden die in der Regel evtl. eingetragenen IP-Adressen nicht beachtet. IP-Netzwerk und IP-Netzmaske: Die IP-Adresse des Netzwerks, für das dieser Filter gilt. Nur IP-Pakete, deren Quell- und Ziel-IP-Adressen in diesem Netzwerk liegen, werden von der Regel erfasst.
  • Seite 745 Referenzhandbuch 12 Wireless LAN – WLAN 2. Diese Informationen werden im zweiten Schritt gegen die Angaben aus den Filter-Regeln geprüft. Dabei werden alle Regeln berücksichtigt, bei denen das Quell- oder das Ziel-Interface in der Interface-Liste enthalten sind. Die Prüfung der Regeln verhält sich für die einzelnen Werte wie folgt: Für DHCP-Source-MAC, Protokoll und Unterprotokoll werden die aus den Paketen ausgelesenen Werte mit den Werten der Regel auf Übereinstimmung geprüft.

  • Seite 746: Auswahl Der Im Wlan Zulässigen Stationen

    Referenzhandbuch 12 Wireless LAN – WLAN Alle Anfragen mit diesem Protokoll aus diesem logischen Funknetz werden dann automatisch umgeleitet auf den Zielserver im LAN. Bei der Rückübertragung der Datenpakete werden die entsprechenden Absenderadressen und Ports aufgrund der Einträge in der Verbindungsstatistik wieder eingesetzt, so dass ein störungsfreier Betrieb in beiden Richtungen möglich ist.
  • Seite 747 Referenzhandbuch 12 Wireless LAN – WLAN Bei der zentralen Verwaltung der LANCOM WLAN-Router und LANCOM APs über einen WLC finden Sie die Stationstabelle unter WLAN-Controller > Stationen unter der Schaltfläche Stationen. Kontrollieren Sie unter Wireless-LAN > Stationen, ob die Einstellung Daten von den aufgeführten Stationen übertragen, alle anderen Stationen ausfiltern aktiviert ist.

  • Seite 748: Verschlüsselungs-Einstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN TX Bandbreitenbegrenzung Sende-Bandbreiten-Begrenzung für die sich einbuchenden WLAN-Clients. Ein WLAN-Gerät im Client-Modus übermittelt seine eigene Einstellung bei der Anmeldung an den AP. Dieser bildet daraus zusammen mit dem hier eingestellten Wert das Bandbreiten-Minimum. RX Bandbreitenbegrenzung Empfangs-Bandbreiten-Begrenzung für die sich einbuchenden WLAN-Clients.

  • Seite 749: Wpa- Und Einzel-Wep-Einstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN WPA- und Einzel-WEP-Einstellungen Die Schlüsseleinstellungen konfigurieren Sie unter Wireless-LAN > 802.11i/WEP > WPA- / Einzel-WEP-Einstellungen. Verschlüsselung aktivieren Aktivieren bzw. deaktivieren Sie die Verschlüsselung für diese WLAN-Schnittstelle. Methode/Schlüssel-1-Typ Stellen Sie hier das zu verwendende Verschlüsselungsverfahren ein. Mögliche Werte sind: 802.11i (WPA)-PSK –...
  • Seite 750 Referenzhandbuch 12 Wireless LAN – WLAN Bitte beachten Sie, dass die Sicherheit des Verschlüsselungssystems bei der Verwendung einer Passphrase von der vertraulichen Behandlung dieses Kennworts abhängt. Die Passphrase sollte nicht einem größeren Anwenderkreis bekannt gemacht werden. Der WEP-Schlüssel-1, der nur speziell für das jeweilige logische WLAN-Interface gilt, kann je nach Schlüssellänge unterschiedlich eingetragen werden.
  • Seite 751 Referenzhandbuch 12 Wireless LAN – WLAN Client-EAP-Methode APs in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen AP authentifizieren. Zur Aktivierung der EAP/802.1X-Authentifizierung im Client-Modus wird bei den Verschlüsselungsmethoden für das erste logische WLAN-Netzwerk die Client-EAP-Methode ausgewählt. Beachten Sie, dass die gewählte Client-EAP-Methode zu den Einstellungen des Access Points passen muss, bei dem sich der AP einbuchen will.

  • Seite 752: Regeln Für Die Eingabe Von Wep-Schlüsseln

    Referenzhandbuch 12 Wireless LAN – WLAN Die Regeln für die Eingabe der Schlüssel finden Sie bei der Beschreibung der WEP-Gruppenschlüssel. LANconfig: Wireless LAN / 802.11i/WEP / WEP-Gruppen-Schlüssel WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Gruppen-Schluessel Regeln für die Eingabe von WEP-Schlüsseln Die WEP-Schlüssel können als ASCII-Zeichen oder in Hexadezimaler Darstellung eingetragen werden.

  • Seite 753: Die Physikalischen Wlan-Schnittstellen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.6.5 Die physikalischen WLAN-Schnittstellen Neben den allgemeinen WLAN-Parametern gelten eine Reihe von Einstellungen für jedes WLAN-Modul des APs speziell. Betriebseinstellungen Hier finden Sie die Betriebseinstellungen. LANconfig: Wireless LAN / Allgemein / Physikalische WLAN-Einstellungen / Betrieb WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Betriebs-Einstellungen WLAN-Betriebsart LANCOM APs können grundsätzlich in verschiedenen Betriebsarten arbeiten:...
  • Seite 754 Referenzhandbuch 12 Wireless LAN – WLAN Bei der Einrichtung von Point-to-Point-Verbindungen oder in der Betriebsart als WLAN-Client ist es für eine möglichst gute Positionierung der Antennen wichtig, die Empfangsstärke in verschiedenen Positionen zu erkennen. Die WLAN-Link-LED kann z. B. für die Phase der Einrichtung zur Anzeige der Empfangsqualität genutzt werden. In der entsprechenden Betriebsart blinkt die WLAN-Link-LED umso schneller, je besser die Empfangsqualität in der jeweiligen Antennenposition ist.
  • Seite 755 Referenzhandbuch 12 Wireless LAN – WLAN LAN-Link-Fehler-Erkennung Mit dieser Funktion werden die WLAN-Module des Geräts deaktiviert, wenn das zugeordnete LAN-Interface nicht über einen Link zum LAN verfügt. Mögliche Werte: Nein: Link-Fehler-Erkennung wird nicht genutzt. LAN-1 bis LAN-n (je nach verfügbaren LAN-Interfaces im Gerät): Alle WLAN-Module des Geräts werden deaktiviert, wenn das hier angegebene LAN-Interface keine Verbindung zum kabelgebundenen LAN hat.
  • Seite 756 Referenzhandbuch 12 Wireless LAN – WLAN In einigen Ländern ist das DFS-Verfahren mit automatischer Kanalsuche vorgeschrieben. Mit der Wahl des Unterbands wird damit auch der Bereich der Funkkanäle festgelegt, die für die automatische Kanalauswahl verwendet werden kann. Kanalnummer Hier bestimmen Sie den Kanal für die Datenübertragung im Funktnetz. Im 2,4 GHz-Band müssen zwei getrennte Funknetze mindestens drei Kanäle auseinander liegen, um Störungen zu vermeiden.

  • Seite 757: Antennengruppierung

    Referenzhandbuch 12 Wireless LAN – WLAN APs nach 802.11n sind im 2,4-GHz-Frequenzband prinzipiell abwärtskompatibel zu den vorhergehenden Standards IEEE 802.11b und IEEE 802.11g. Für im 802.11b- oder 802.11g-Modus betriebene 802.11n-Hardware sind lediglich die 802.11n-spezifischen Funktionen nicht verfügbar. Im 5-GHz-Frequenzband hingegen besteht diese Abwärtskompatibilität nicht: Die betreffenden 802.11n-Geräte müssen 802.11a explizit unterstützen.

  • Seite 758: Maximaler Abstand

    Referenzhandbuch 12 Wireless LAN – WLAN Die Diversity-Einstellungen legen fest, welche Antennen zum Senden bzw. zum Empfangen verwendet werden: „Nur auf der primären Antenne senden“ (Rx-Diversity): In dieser Standardeinstellung wird über die am Main-Anschluss des APs angeschlossene Antenne gesendet. Zum Empfangen (RX) wird die Antennen ausgewählt, die den besten Empfang hat (an Main oder AUX).
  • Seite 759 Referenzhandbuch 12 Wireless LAN – WLAN Background-Scan-Intervall Das Background-Scan-Intervall gibt an, in welchen zeitlichen Abständen ein Wireless Router oder AP nach fremden WLAN-Netzen in Reichweite sucht. Mit der Zeiteinheit kann ausgewählt werden, ob der eingetragene Wert für Millisekunden, Sekunden, Minuten, Stunden oder Tage gilt, um einen möglichst anschaulichen Werte für das angestrebte Verhalten darzustellen.
  • Seite 760 Referenzhandbuch 12 Wireless LAN – WLAN wenn keine VLAN-Tags vorhanden sind. Die Verzögerungszeiten (Jitter) bleiben mit weniger als zwei Millisekunden in einem Bereich, der vom menschlichen Gehör nicht wahrgenommen wird. Zur Steuerung des Zugriffs auf das Übertragungsmedium nutzt der 802.11e-Standard die Enhanced Distributed Coordination Function (EDCF). Die Steuerung der Prioritäten ist nur möglich, wenn sowohl der WLAN-Client als auch der AP den 802.11e-Standard bzw.

  • Seite 761: Die Punkt-Zu-Punkt-Partner

    Referenzhandbuch 12 Wireless LAN – WLAN In manchen Installationen ist es jedoch gewünscht, dass die MAC-Adresse eines Rechners und nicht die der Clientstation an den AP übertragen wird. Mit der Option 'Adress-Anpassung' wird das Ersetzen der MAC-Adresse durch die Clientstation unterbunden, die Datenpakete werden mit der originalen MAC-Adresse übertragen – der AP übernimmt im WLAN die MAC-Adresse des Clients.
  • Seite 762 Referenzhandbuch 12 Wireless LAN – WLAN Wenn Sie die Erkennung durch MAC-Addresse verwenden, dann tragen Sie hier die MAC-Addresse des WLAN-Moduls und nicht die des Gerätes selbst ein. Auf dem Reiter Alarm sind Grenzwerte für Signalstärke, Gesamtwiederholungen und Tx-Fehler der Punkt-zu-Punkt-Verbindung definierbar.

  • Seite 763: Die Logischen Wlan-Schnittstellen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.6.7 Die logischen WLAN-Schnittstellen Jede physikalische WLAN-Schnittstelle kann bis zu 816 verschiedene logische Funknetzwerke aufspannen (Multi-SSID). Für jedes dieser Funknetze können bestimmte Parameter speziell definiert werden, ohne dass zusätzliche APs benötigt werden. Netzwerkeinstellungen Die nachfolgenden Einstellungen nehmen Sie in LANconfig unter Wireless-LAN > Allgemein > Logische WLAN-Einstellungen >...

  • Seite 764: Wlan-Netzwerk Aktiviert

    Referenzhandbuch 12 Wireless LAN – WLAN WLAN-Netzwerk aktiviert Mit diesem Schalter aktivieren bzw. deaktivieren Sie das entsprechende logische WLAN. Netzwerk-Name (SSID) Bestimmen Sie für jedes benötigte logische Funknetzwerk eine eindeutige SSID (den Netzwerknamen). Nur solche Netzwerkkarten, die über die gleiche SSID verfügen, können sich in diesem Funknetzwerk anmelden. SSID-Broadcast unterdrücken Sie können Ihr Funk-LAN entweder in einem öffentlichen oder in einem privaten Modus betreiben.

  • Seite 765: Client-Bridge-Unterstützung

    Referenzhandbuch 12 Wireless LAN – WLAN Client-Bridge-Unterstützung Aktivieren Sie diese Option für einen AP, wenn Sie im WLAN-Client-Modus für eine Client-Station die Client-Bridge-Unterstützung aktiviert haben. Sie können den Client-Bridge-Modus ausschließlich zwischen zwei LANCOM-Geräten verwenden. TX Bandbr.-Begrenzung Über diese Einstellung definieren Sie die zur Verfügung stehende Gesamtbandbreite in Senderichtung für die betreffende SSID (Limit in kBit/s).

  • Seite 766: Einstellungen Für Die Übertragung

    Referenzhandbuch 12 Wireless LAN – WLAN Beschränkung auf Unicast-Sendungen filtert er z. B. überflüssige IPv4-Broadcasts wie Bonjour oder NetBIOS aus den Anfragen heraus. Die Unterdrückung von Multi- und Broadcast-Sendungen ist zudem eine Forderung der HotSpot-2.0-Spezifikation. Einstellungen für die Übertragung Die Details für die Datenübertragung auf dem logischen Interface stellen Sie auf der Registerkarte Übertragung ein. Paketgröße Bei kleinen Datenpaketen ist die Gefahr für Übertragungsfehler geringer als bei großen Paketen, allerdings steigt auch der Anteil der Header-Informationen am Datenverkehr, die effektive Nutzlast sinkt also.
  • Seite 767 Referenzhandbuch 12 Wireless LAN – WLAN MCS-Index Datenströme Modulation Coding-Rate Datendurchsatz (GI=0,4 µs, 40 MHz) 16QAM 16QAM 64QAM 64QAM 64QAM BPSK QPSK QPSK 16QAM 16QAM 64QAM 64QAM 64QAM Die Auswahl des MCS gibt also an, welche Modulationsparameter bei einem oder zwei Spatial-Datenströmen minimal bzw.
  • Seite 768 Referenzhandbuch 12 Wireless LAN – WLAN Mit der Einstellung 'Auto' werden alle Spatial-Streams genutzt, die von dem jeweiligen WLAN-Modul unterstützt werden. RTS-Schwellwert Mit dem RTS-Schwellwert wird das Phänomen der „Hidden-Station“ vermieden. Dabei sind drei APs 1, 2, und 3 so positioniert, dass zwischen den beiden äußeren Geräten keine direkte Funkverbindung mehr möglich ist.

  • Seite 769: Ieee 802.1X/Eap

    Referenzhandbuch 12 Wireless LAN – WLAN Frame-Aggregation verwenden (Nur verfügbar für 802.11n) Bei der Frame-Aggregation werden mehrere Datenpakete (Frames) zu einem größeren Paket zusammengefasst und gemeinsam versendet. Durch dieses Verfahren kann der Overhead der Pakete reduziert werden, der Datendurchsatz steigt. Die Frame-Aggregation eignet sich weniger gut bei schnell bewegten Empfängern oder für zeitkritische Datenübertragungen wie Voice over IP.

  • Seite 770: Spezielle Datenrate Für Eapol-Pakete

    Referenzhandbuch 12 Wireless LAN – WLAN LANconfig: Wireless-LAN > Allgemein > 802.1X WEBconfig: LCOS-Menübaum > Setup > IEEE802.1x Anmeldung regelmäßig erneuern Hier aktivieren Sie die regelmäßige Neuanmeldung. Wird eine Neuanmeldung gestartet, so bleibt der Benutzer während der Verhandlung weiterhin angemeldet. Ein typischer Standardwert für das Neuanmelde-Intervall ist 3.600 Sekunden.

  • Seite 771: Apsd - Automatic Power Save Delivery

    Referenzhandbuch 12 Wireless LAN – WLAN Default: 2,4 GHz Kanal Kanal, für den der Rausch-Offset-Wert angegeben wird. Mögliche Werte: Gültige Kanalbezeichnung für das gewählte Frequenzband, maximal 5 Zeichen Default: leer Schnittstelle Physikalische WLAN-Schnittstelle, für die der Rausch-Offset-Wert angegeben wird. Mögliche Werte: Auswahl aus der Liste der möglichen WLAN-Interfaces.
  • Seite 772 Referenzhandbuch 12 Wireless LAN – WLAN Raster – die WLAN-Geräte synchronisieren ihre aktiven Phasen mit diesem Zyklus, so dass sie rechtzeitig vor dem Empfang des nächsten Pakets wieder bereit sind. Der Stromverbrauch wird dadurch deutlich reduziert, die Gesprächszeit der Akkus wird merklich erhöht.

  • Seite 773: Experten-Wlan-Einstellugnen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.6.12 Experten-WLAN-Einstellugnen Die Beaconing-Tabelle Die Einstellungen in der Beaconing-Tabelle beeinflussen, wie die im AP-Modus vom AP ausgestrahlten Beacons (Leuchtfeuer) versendet werden. Teilweise kann damit das Roaming-Verhalten von Clients beeinflusst werden, teilweise dient dies der Optimierung des MultiSSID-Betriebes für ältere WLAN-Clients. LANconfig: Wireless LAN / Allgemein / Experten-WLAN-Einstellugnen / Beaconing WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Beaconing Beacon-Periode...

  • Seite 774: Die Roaming-Tabelle

    Referenzhandbuch 12 Wireless LAN – WLAN einfach-Burst: In diesem Modus verschickt der AP die Beacons für die definierten WLAN-Netze immer in der gleichen Abfolge. Beim ersten Beacon-Versand (0 Kµs) mit WLAN-1, WLAN-2 und WLAN-3, beim zweiten Versand nach dem gleichen Muster und so weiter. Default: zyklisch Ältere WLAN-Clients sind manchmal nicht in der Lage, die schnell aufeinander folgenden Beacons richtig zu verarbeiten, wie sie bei einem einfachen Burst auftreten.

  • Seite 775: Gruppenschlüssel Pro Vlan

    Referenzhandbuch 12 Wireless LAN – WLAN Roaming-Schwellwert Dieser Schwellwert gibt an, um wieviel Prozent die Signalstärke eines anderen APs besser sein muss, damit der Client auf den anderen AP wechselt. In anderem Zusammenhang wird die Signalstärke teilweise in dB angegeben. In diesen Fällen gilt für die Umrechnung: 64dB - 100% 32dB - 50%...
  • Seite 776 Referenzhandbuch 12 Wireless LAN – WLAN Bei mehreren vorhandenen VLANs mit differenziertem Dienstumfang erfolgt die Trennung der Datenkommunikation meistens über die Zuweisung zu unterschiedlichen logischen WLAN-Netzen (SSIDs). Mitarbeiter erhalten z. B. über eine spezielle SSID Zugriff auf das Firmennetzwerk und das Internet. Gäste hingegen erhalten über eine andere SSID eingeschränkten Zugriff auf das Internet.

  • Seite 777: Verwaltung Von Vlan-Gruppenschlüsseln

    Referenzhandbuch 12 Wireless LAN – WLAN Verwaltung von VLAN-Gruppenschlüsseln Wenn Sie vorhaben, verschiedene VLAN-IDs auf einem logischen WLAN-Netzwerk (SSID) zu verwenden, besteht die Möglichkeit den entsprechenden Gruppenschlüssel für Broad- und Multicast-Sendungen zuzuordnen. In LANconfig finden Sie diese Einstellung unter Wireless-LAN > 802.11i/WEP > Erweiterte Einstellungen > VLAN-Gruppenschlüssel-Zuordnung Die automatische Zuordnung der Gruppenschlüssel durchläuft folgende Schritte: 1.

  • Seite 778: Alarm-Grenzwerte Für Wlan Geräte

    Referenzhandbuch 12 Wireless LAN – WLAN 12.6.15 Alarm-Grenzwerte für WLAN Geräte Typische Situationen, welche sich im WLAN-Umfeld meist für Probleme verantwortlich zeigen, sind ein Absinken der Signalstärke unter einen gewissen Grenzwert, der Prozentsatz der Anzahl an verlorenen Paketen einen gewissen Grenzwert überschreitet oder Pakete müssen sehr oft erneut versendet werden, was die effektiv zur Verfügung stehende Bandbreite stark reduziert.

  • Seite 779: Erweiterte Wlan-Parameter

    Referenzhandbuch 12 Wireless LAN – WLAN LANCOM APs unterstützen unter anderem ein Aironet-kompatibles Info-Element, das den vom Administrator vergebenen Namen des Gerätes beinhaltet. Die Übertragung dieser Information ist jedoch optional, wobei viele Anwender sie deaktivieren, weil sie z. B. aus Sicherheitsgründen so wenig Informationen wie möglich über den AP im Netzwerk veröffentlichen möchten.

  • Seite 780: Konfiguration Des Client-Modus

    Referenzhandbuch 12 Wireless LAN – WLAN 12.7 Konfiguration des Client-Modus Zur Anbindung von einzelnen Geräten mit einer Ethernet-Schnittstelle in ein Funk-LAN können LANCOM-Geräte mit WLAN-Modul in den sogenannten Client-Modus versetzt werden, in dem sie sich wie ein herkömmlicher Funk-LAN-Adapter verhalten und nicht wie ein Access Point (AP). Über den Client-Modus ist es also möglich, auch Geräte wie PCs oder Drucker, die ausschließlich über eine Ethernet-Schnittstelle verfügen, in ein Funk-LAN einzubinden.

  • Seite 781: Client-Einstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.7.1 Client-Einstellungen Für LANCOMAPs und LANCOM Wireless Router im Client-Modus können auf der Registerkarte 'Client-Modus' bei den Einstellungen für die physikalischen Interfaces weitere Einstellungen bzgl. des Verhaltens als Client vorgenommen werden. Die Konfiguration der Client-Einstellungen kann auch mit dem WLAN-Assistenten von LANconfig erfolgen. 1.

  • Seite 782: Greenfield-Modus Für Access Points Mit Ieee 802.11N

    Referenzhandbuch 12 Wireless LAN – WLAN Je nach Modell entfällt die Auswahl des Frequenzbandes und der Kanäle, z. B. wenn das Gerät nur ein Frequenzband unterstützt. Greenfield-Modus für Access Points mit IEEE 802.11n Bei APs nach dem Standard IEEE 802.11n haben Sie in den physikalischen WLAN-Einstellungen die Möglichkeit, die Datenübertragung nach den Standards IEEE 802.11a/b/g/n gezielt zu erlauben oder einzuschränken.

  • Seite 783: Verschlüsselungseinstellungen

    Referenzhandbuch 12 Wireless LAN – WLAN 2. Aktivieren Sie auf der Registerkarte Netzwerk das WLAN-Netzwerk und tragen Sie die SSID des Netzwerks ein, bei dem sich die Clientstation einbuchen soll. 12.7.4 Verschlüsselungseinstellungen Für den Zugriff auf ein WLAN müssen in der Clientstation die entsprechenden Verschlüsselungsmethoden und Schlüssel eingestellt werden.

  • Seite 784: Prä-Authentifizierung Im Wlan-Client-Modus

    Referenzhandbuch 12 Wireless LAN – WLAN APs speichern üblicherweise einen ausgehandelten PMK für eine bestimmte Zeit. Auch ein WLAN-Gerät in der Betriebsart als WLAN-Client speichert den PMK. Sobald ein WLAN-Client einen Anmeldevorgang bei einem AP startet, zu dem zuvor schon einer Verbindung bestand, kann der WLAN-Client direkt den vorhandenen PMK zur Prüfung an den AP übermitteln. Die beiden Gegenstellen überspringen so die Phase der PMK-Aushandlung während des Verbindungsaufbaus, WLAN-Client und AP stellen die Verbindung deutlich schneller her.

  • Seite 785: Roaming

    Referenzhandbuch 12 Wireless LAN – WLAN Konfiguration Neben den Netzwerk-, Übertragungs- und Verschlüsselungsparametern kann für jedes WLAN-Modul separat definiert werden, nach welchem Kriterium das zu verwendende Client-Profil ausgewählt werden soll. LANconfig: WLAN / Allgemein / Physikalische WLAN-Einstellungen / Client-Modus WEBconfig: LCOS-Menübaum / Setup / Schnittstellen / WLAN / Client-Einstellungen / WLAN-1 AP Auswahl Präferenz Wählen Sie hier aus, wie diese Schnittstelle verwendet werden soll.

  • Seite 786: Arf-Netzwerk Für Iapp

    Referenzhandbuch 12 Wireless LAN – WLAN 1. Zum Aktivieren des Soft-Roaming wechseln Sie unter WEBconfig oder Telnet in den Bereich Setup > Schnittstellen > WLAN > Roaming und wählen dort das physikalische WLAN-Interface. 2. Schalten Sie das Soft-Roaming ein und stellen Sie ggf. die weiteren Parameter wie die Schwellwerte und Signalpegel ein.

  • Seite 787: Aufbau Von Punkt-Zu-Punkt-Verbindungen

    Referenzhandbuch 12 Wireless LAN – WLAN leer: Wenn kein IAPP-IP-Netzwerk definiert ist, werden die IAPP-Announces in alle definierten ARF-Netze versendet. 12.8 Aufbau von Punkt-zu-Punkt-Verbindungen 12.8.1 Konfiguration der Punkt-zu-Punkt-Verbindungen LANCOM APs können nicht nur als zentrale Station in einem Funknetzwerk arbeiten, sie können im Punkt-zu-Punkt-Betrieb auch Funkstrecken über größere Distanzen bilden.
  • Seite 788 Referenzhandbuch 12 Wireless LAN – WLAN Im LANmonitor kann die Anzeige der Verbindungsqualität über das Kontext-Menü geöffnet werden. Ein Klick mit der rechten Maustaste auf den Eintrag 'Punkt-zu-Punkt' erlaubt den Aufruf 'Punkt-zu-Punkt WLAN-Antennen einrichten ...' Der P2P-Dialog zeigt nach dem Start der Signalüberwachung jeweils die absoluten Werte für die aktuelle Signalstärke sowie den Maximalwert seit dem Start der Messung.

  • Seite 789: Geometrische Auslegung Von Outdoor-Funknetz-Strecken

    Referenzhandbuch 12 Wireless LAN – WLAN signalisiert. Fällt die Link-Signalstärke unter das Maximum, wird der Abstand zum bisher erreichten Maximum durch Tonintervalle angezeigt. Je kürzer die Intervalle, um so näher liegt die Link-Signalstärke am Maximum. 12.8.3 Geometrische Auslegung von Outdoor-Funknetz-Strecken Geometrische Auslegung von Outdoor-Funknetz-Strecken Bei der Auslegung der Funkstrecken sind im Wesentlichen folgende Fragen zu beantworten: Welche Antennen müssen für die gewünschte Anwendung eingesetzt werden?
  • Seite 790 Referenzhandbuch 12 Wireless LAN – WLAN Bitte beachten Sie, dass bei der Verwendung von 5 GHz-Antennen je nach Einsatzland zusätzliche Techniken wie die dynamische Frequenzwahl (Dynamic Frequency Selection – DFS) vorgeschrieben sein können. Der Betreiber der WLAN-Anlage ist für die Einhaltung der jeweils geltenden Vorschriften verantwortlich. Positionierung der Antennen Die Antennen strahlen ihre Leistung nicht linear, sondern in einem modellabhängigen Winkel ab.
  • Seite 791 Referenzhandbuch 12 Wireless LAN – WLAN Um die von der Antenne abgestrahlte Leistung möglichst vollständig auf die empfangende Antenne abzubilden, muss die Fresnel-Zone 1 frei bleiben. Jedes störende Element, das in diese Zone hineinragt, beeinträchtigt die effektiv übertragene Leistung deutlich. Dabei schirmt das Objekt nicht nur einen Teil der Fresnel-Zone ab, sondern führt durch Reflexionen zusätzlich zu einer deutlichen Reduzierung der empfangenen Strahlung.

  • Seite 792: Ausrichten Der Antennen Für Den P2P-Betrieb

    Referenzhandbuch 12 Wireless LAN – WLAN Die Berechnung der effektiven Leistungen führt dabei vom Funkmodul im sendenden AP bis zum Funkmodul im empfangenden AP. Dazwischen liegen dämpfende Elemente wie die Kabel, Steckverbindungen oder einfach die übertragende Luft und verstärkende Elemente wie die externen Antennen. Ausrichten der Antennen für den P2P-Betrieb Der Schutz der verwendeten Komponenten vor den Folgen von Blitzeinschlag oder anderen elektrostatischen Vorgängen ist einer der wichtigsten Aspekte bei der Auslegung und Installation von WLAN-Systemen im...
  • Seite 793 Referenzhandbuch 12 Wireless LAN – WLAN ist die Verbindung (eine Blinkfrequenz von 1 Hz steht für eine Signalqualität von 10 dB, eine Verdoppelung der Frequenz zeigt die jeweils doppelte Signalstärke). Im LANmonitor kann die Anzeige der Verbindungsqualität über das Kontext-Menü geöffnet werden. Ein Klick mit der rechten Maustaste auf den Eintrag 'Punkt-zu-Punkt' erlaubt den Aufruf 'Punkt-zu-Punkt WLAN-Antennen einrichten ...' Der Eintrag 'Punkt-zu-Punkt' ist im LANmonitor nur sichtbar, wenn in dem überwachten Gerät mindestens eine Basisstation als Gegenstelle für eine P2P-Verbindung eingerichtet ist (LANconfig: Wireless LAN / Allgemein /...

  • Seite 794: Vermessung Von Funkstrecken

    Referenzhandbuch 12 Wireless LAN – WLAN Ist die P2P-Strecke auf beiden Seiten konfiguriert (gegenüberliegende Basisstation mit MAC-Adresse oder Stations-Namen definiert)? Ist die Punkt-zu-Punkt-Betriebsart aktiviert? Welcher AP soll überwacht werden? Hier können alle im jeweiligen Gerät als P2P-Gegenstelle eingetragenen Basis-Stationen ausgewählt werden. Sind beide Antennen grob ausgerichtet? Die Verbindung über die P2P-Strecke sollte schon grundsätzlich funktionieren, bevor die Einrichtung mit Hilfe des LANmonitors gestartet wird.

  • Seite 795: Konfiguration Von P2P-Verbindungen

    Referenzhandbuch 12 Wireless LAN – WLAN Es ist daher empfehlenswert, im 5 GHz-Band jeweils einen zentralen AP als 'Master' und alle anderen Punkt-zu-Punkt-Partner als 'Slave' zu konfigurieren. Auch im 2,4 GHz-Band bei aktivierter automatischer Kanalsuche erleichtert diese Einstellung den Aufbau von Punkt-zu-Punkt-Verbindungen. Für die Verschlüsselung von Punkt-zu-Punkt-Verbindungen mit 802.11i/WPA ist die korrekte Konfiguration der Kanalwahlverfahren zwingend erforderlich (ein Master als Authentication Server und ein Slave als Client).
  • Seite 796 Referenzhandbuch 12 Wireless LAN – WLAN 2. Wählen Sie das WLAN-Interface aus, welches Sie ausschließlich für die P2P-Verbindung benutzen wollen, und wechseln Sie auf die Registerkarte Punkt-zu-Punkt. 3. Aktivieren Sie die gewünschte Punkt-zu-Punkt Betriebsart, z. B. An. 4. Setzen Sie das Kanalwahlverfahren auf Master bzw. Slave. 5.

  • Seite 797: Leps Für P2P-Verbindungen

    Referenzhandbuch 12 Wireless LAN – WLAN 7. Schließen Sie den Dialog mit OK und wählen Sie im Konfigurationdialog auf der gleichen Seite unter Punkt-zu-Punkt-Partner eine logische P2P-Verbindung aus, z. B. P2P-1-1. 8. Aktivieren Sie auf der Registerkarte Punkt-zu-Punkt den gewählten P2P-Kanal und geben Sie an, ob Ihr Gerät die Gegenstelle über eine MAC-Adresse oder einen Stations-Namen identifiziert.

  • Seite 798: Access Points Im Relais-Betrieb

    Referenzhandbuch 12 Wireless LAN – WLAN Bei der Konfiguration mit LANconfig geben Sie die Passphrases der im WLAN zugelassenen Stationen (MAC-Adressen) im Konfigurationsbereich 'Wireless-LAN' auf der Registerkarte 'Stationen' unter der Schaltfläche Stationen ein. Access Points im Relais-Betrieb APs mit zwei Funkmodulen können Funkbrücken über mehrere Stationen hinweg aufbauen. Dabei wird jeweils ein WLAN-Modul als 'Master', das zweite als 'Slave' konfiguriert.

  • Seite 799: Zentrales Wlan-Management

    Referenzhandbuch 12 Wireless LAN – WLAN 12.9 Zentrales WLAN-Management Der weit verbreitete Einsatz von APs und Wireless Routern hat zu einem deutlich komfortableren und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt. Bei allen Vorzügen der WLAN-Strukturen bleiben einige offene Aspekte: Alle APs benötigen eine Konfiguration und ein entsprechendes Monitoring zur Erkennung von unerwünschten WLAN-Clients etc.

  • Seite 800: Bandbreitenbegrenzung Im Wlan

    Referenzhandbuch 12 Wireless LAN – WLAN Die Backup-Datei wird damit auf Ihren Datenträger gespeichert. Die Passphrase wird erst beim Einspielen in einen WLC wieder benötigt. 12.10 Bandbreitenbegrenzung im WLAN Zur besseren Verteilung der Bandbreite bei mehreren Teilnehmern im WLAN können die verfügbaren Bandbreiten begrenzt werden.

  • Seite 801: Einstellung Als Client

    Referenzhandbuch 12 Wireless LAN – WLAN 12.10.2 Einstellung als Client Wird das Gerät selbst als WLAN-Client betrieben, kann das Gerät beim Einbuchen beim AP seine maximalen Bandbreiten übermitteln. Der AP bildet dann mit ggf. eigenen Limits für diesen Client die tatsächlichen maximalen Bandbreiten. Die Bedeutung der Werte Rx und Tx ist abhängig von der Betriebsart des Gerätes.

  • Seite 802: Automatische Anpassung Der Übertragungsrate Für Multicast- Und Broadcast-Sendungen

    Referenzhandbuch 12 Wireless LAN – WLAN 12.11 Automatische Anpassung der Übertragungsrate für Multicast- und Broadcast-Sendungen Während bei Unicast-Sendungen AP und Client die optimale Übertragungsgeschwindigkeit miteinander aushandeln können, findet systembedingt bei Multicast- und Broadcast-Sendungen die Kommunikation nur in eine Richtung statt: Vom AP zum Client.
  • Seite 803 Referenzhandbuch 12 Wireless LAN – WLAN Das Zertifikat laden Sie über LANconfig im Dateimanagement mit den einzelnen Dateien des Root-CA-Zertifikats oder als PKCS#12-Container in das Gerät: Da Zertifikate üblicherweise auf DNS-Namen ausgestellt werden, muss der Public Spot anstelle einer internen IP-Adresse den DNS-Namen des Zertifikats als Ziel angeben (einzugeben unter Public-Spot >...

  • Seite 804: Lancom "Wireless Quality Indicators" (Wqi)

    Referenzhandbuch 12 Wireless LAN – WLAN bei Geräte-Hostname). Dieser Name muss im DNS-Server auf die entsprechende IP-Adresse des Public Spots aufgelöst werden. 12.13 LANCOM "Wireless Quality Indicators" (WQI) LANmonitor bietet Ihnen die Möglichkeit, die Signalqualität der einzelnen Schnittstellen anhand von Wireless Quality Indicators anzuzeigen.

  • Seite 805: Bfwa - Mehr Sendeleistung Für Mehr Reichweite

    Referenzhandbuch 12 Wireless LAN – WLAN Der WLANmonitor zeigt Ihnen die Wireless Quality Indicators ebenfalls an. Klicken Sie hierfür auf den Gruppen-Hauptordner. 12.14 BFWA – mehr Sendeleistung für mehr Reichweite BFWA steht für breitbandige, ortsfeste Funkstrecken, mit denen beispielsweise von einem Netzknoten ausgehend Verbindungen mit dem Internet für die angeschlossenen Teilnehmer zur Verfügung gestellt werden können.

  • Seite 806: Band Steering Konfigurieren

    Referenzhandbuch 12 Wireless LAN – WLAN Die gezielte Zuweisung von WLAN-Clients, das sog. "Client Steering", basiert auf dem Prinzip, dass viele Clients die verfügbaren APs durch einen aktiven Scan-Vorgang ermitteln. Aktives Scannen bedeutet hier, dass ein Client Test-Anforderungspakete (Probe Requests) versendet, welche die Netzwerkkennung enthalten, zu der ein Client eine Verbindung aufbauen soll.

  • Seite 807: Dynamic Frequency Selection (Dfs)

    Referenzhandbuch 12 Wireless LAN – WLAN Ablaufzeit für Probe-Requests Der Zeitraum, während dessen der AP den WLAN-Client auf das bevorzugte Frequenzband leitet. Der Standardwert lautet 120 Sekunden. Initiale Block-Zeit Geht ein AP mit einem 5GHz-DFS-Funkmodul und aktiviertem Band Steering erstmalig oder nach einem Neustart in Betrieb, kann er während des DFS-Scans keine Dual-Band-fähigen WLAN-Clients erkennen.

  • Seite 808: Dfs-Konfiguration

    Referenzhandbuch 12 Wireless LAN – WLAN Arbeitsweise Nach dem Einschalten oder Booten wählt das Gerät aus den (z. B. aufgrund der Ländereinstellungen) verfügbaren Kanälen einen zufälligen Kanal aus und prüft, ob es auf diesem Kanal ein Radarsignal findet und ob auf diesem Kanal schon ein anderes WLAN arbeitet.
  • Seite 809 Referenzhandbuch 12 Wireless LAN – WLAN Uhrzeit des DFS-Rescans Dieser Eintrag bestimmt, um welche Uhrzeit (0-24 Uhr) das Gerät die DFS-Datenbank löscht und einen DFS-Rescan durchführt. Ohne Eintrag führt das Gerät erst dann einen DFS-Rescan durch, wenn kein freier Kanal mehr verfügbar ist. Das ist dann der Fall, wenn die beim initialen DFS-Scan ermittelte Kanalzahl die minimale Anzahl der freien Kanäle unterschreitet.

  • Seite 810: Stbc/Ldpc

    Referenzhandbuch 12 Wireless LAN – WLAN 12.17 STBC/LDPC 12.17.1 Low Density Parity Check (LDPC) Bevor der Sender die Datenpakete abschickt, erweitert er den Datenstrom abhängig von der Modulationsrate um Checksummen-Bits, um dem Empfänger damit die Korrektur von Übertragungsfehlern zu ermöglichen. Standardmäßig nutzt der Übertragungsstandard IEEE 802.11n das bereits aus den Standards 802.11a und 802.11g bekannte 'Convolution Coding' (CC) zur Fehlerkorrektur, ermöglicht jedoch auch eine Fehlerkorrektur nach der LDPC-Methode (Low Density Parity Check).

  • Seite 811: Funktionen Des Software-Moduls

    Referenzhandbuch 12 Wireless LAN – WLAN Echtzeit-Übersichten, auf denen man Frequenzen und Störungen erkennen und ggf. ablesen kann. Hierbei ist zu bedenken, dass grafische Auswertungen eines spektralen Bereiches naturgemäß einen Interpretationsspielraum offen lassen und in manchen Fällen keine ganz eindeutigen Resultate ermöglichen. Ein Szenario wie das folgende wäre daher nicht ungewöhnlich: Sie stellen fest, dass Ihre aktuell verwendete Frequenz durch ein Signal gestört wird, das kontinuierlich auftritt und gleichbleibend stark ist.
  • Seite 812 Referenzhandbuch 12 Wireless LAN – WLAN Sie können den Spectral Scan auch aus dem LANmonitor heraus starten. Klicken Sie dazu das entsprechende Gerät in der Liste mit der rechten Maustaste an und wählen Sie im Kontextdialog den Punkt Spectral Scan anzeigen. Wenn das WLAN-Modul deaktiviert ist (Setup >...

  • Seite 813: Analyse-Fenster Spectral Scan

    Referenzhandbuch 12 Wireless LAN – WLAN 12.18.2 Analyse-Fenster Spectral Scan Die Anzeige des Spectral Scans erfolgt in einer Browser-Anwendung. Damit sie ordnungsgemäß funktioniert, muss Ihr Browser Websockets in der aktuellen Version das HTML5-Element <canvas> unterstützen. Der in LANmonitor integrierte Browser erfüllt alle Anforderungen. Im separaten Analyse-Fenster des Spectral Scan haben Sie unterschiedliche Möglichkeiten, die jeweiligen Frequenzen bzw.
  • Seite 814 Referenzhandbuch 12 Wireless LAN – WLAN Nachstehend sehen Sie einige exemplarische Analyse-Ergebnisse, die jeweils andere Einstellungen auf unterschiedliche Weise grafisch aufbereiten: Abbildung 2: Spectral Scan, Frequenz-Anzeige der letzten 10 History-Werte Abbildung 3: Spectral Scan, Kanal-Anzeige Current, Maximum, Average, Störung durch Funk-Kamera...

  • Seite 815: Adaptive Noise Immunity Zur Abschwächung Von Interferenzen Im Wlan

    Referenzhandbuch 12 Wireless LAN – WLAN Abbildung 4: Spectral Scan, Kanal-Anzeige Current, letzte 10 History-Werte und "Time Slider", Störung durch Baby-Phone 12.19 Adaptive Noise Immunity zur Abschwächung von Interferenzen im WLAN Innerhalb eines WLANs kann es aus unterschiedlichen Gründen zu Störungen durch Interferenzen kommen. Einerseits stören Geräte wie Mikrowellenherde oder Funktelefone die Datenübertragung, andererseits können die Netzgeräte selber durch Aussendung von Störfrequenzen die Kommunikation behindern.

  • Seite 816: Opportunistic Key Caching (Okc)

    Referenzhandbuch 12 Wireless LAN – WLAN Die adaptive Rausch-Immunität aktivieren Sie in LANconfig unter Wireless-LAN > Allgemein > Interfaces > Physikalische WLAN-Einstellungen > Radio. Aktivieren Sie die Adaptive Noise Immunity, indem Sie im Auswahlfeld Adaptive-Noise-Immunity den Wert "Ein" auswählen. Adaptive Noise Immunity ist Bestandteil von LANCOM Active Radio Control (ARC) 12.20 Opportunistic Key Caching (OKC) Authentifizierung von WLAN-Clients über EAP und 802.1x ist mittlerweile Standard in Unternehmens-Netzwerken, und...

  • Seite 817: Fast Roaming

    Referenzhandbuch 12 Wireless LAN – WLAN Erwartung, dass der OKC aktiviert hat (deshalb "opportunistisch"). Kann der AP mit der PMKID nichts anfangen, handelt er mit dem Client eine normale 802.1x-Authentifizierung aus. Ein LANCOM-AP kann auch OKC durchführen, falls der WLC vorübergehend nicht erreichbar ist. In diesem Fall speichert er den PMK und sendet ihn an den WLC, sobald er wieder verfügbar ist.

  • Seite 818: Redundante Verbindungen Mittels Prp

    Referenzhandbuch 12 Wireless LAN – WLAN Um vergebliche und damit zeitraubende Anmeldeversuche mit abgelaufenen PMKs zu vermeiden, sieht IEEE 802.11r zusätzliche Informationen über die Gültigkeitsdauer von Schlüsseln vor. So kann der Client noch während einer bestehenden Verbindung mit dem aktuellen AP einen neuen PMK aushandeln. Dieser ist auch auf dem AP gültig, mit dem sich der WLAN-Client im Anschluss verbinden möchte.

  • Seite 819: Vorteile Von Wlan-Prp

    Referenzhandbuch 12 Wireless LAN – WLAN Er liest den RCT. Er leitet das zuerst emfpangene Zwillingspaket ohne RCT weiter. Über die Duplicate Detection erkennt der Empfänger später eingetroffene Zwillingspakete und verwirft diese. 12.22.2 Vorteile von WLAN-PRP PRP bietet Ihnen aufgrund seiner Funktionsweise bei WLAN deutliche Vorteile. In der Praxis verbesserten sich mit PRP die 3 bedeutendsten Qualitätsindikatoren eines Netzwerkes: Laufzeitschwankungen, Latenz und Paketverluste.

  • Seite 820: Unterstützung Von Diagnosemöglichkeiten

    Referenzhandbuch 12 Wireless LAN – WLAN Eine praktische Anwendung ist ein Client, der sich an Access Points vorbeibewegt. Durch den spezifischen Aufbau des Netzwerkes ist im Regelfall 1 WLAN-Modul verbunden und empfängt PRP-Pakete, während das andere WLAN-Modul sich in den nächsten AP einwählen kann. Ein konkretes Anwendungsbeispiel ist die Materialwirtschaft, dort insbesondere das Überwachen von Warenbewegungen in Echtzeit.

  • Seite 821: Tutorial: Einrichtung Einer Prp-Verbindung Über Ein Point-To-Point-Netz (P2P)

    Referenzhandbuch 12 Wireless LAN – WLAN 2. trace # PRP-NODES PRP-DATA enthält Informationen zu gesendeten und empfangenen Paketen. Enthaltene Informationen: Name der Schnittstellen-Gruppe, die das Paket transportiert; Transportrichtung des Paketes (RX|TX); Trailer-Sequenznummer; MAC-Adresse des Partner-Gerätes; Schnittstelle innerhalb der PRP-Gruppe (A|B), die das Paket transportiert; Behandlung des Paketes (accept|discard) PRP-NODES enthält die folgenden Informationen: Neue Adresse in der (Proxy-)Node-Tabelle, Adresse aus der (Proxy-)Node-Tabelle entfernt, Node-Typ einer Adresse hat sich geändert.
  • Seite 822 Referenzhandbuch 12 Wireless LAN – WLAN 3. Aktivieren Sie unter Wireless-LAN > Allgemein > Punkt-zu-Punkt-Partner die Punkt-zu-Punkt-Kanäle "P2P-1-1" und "P2P-2-1" und bestimmen Sie die Schnittstellen-Kennungen der jeweiligen Punkt-zu-Punkt-Partner (MAC-Adresse oder Stations-Name). Geben Sie entweder die MAC-Adresse oder den Stations-Namen der entsprechenden WLAN-Schnittstelle des P2P-Partners an.

  • Seite 823: Tutorial: Roaming Mit Einem Dual-Radio-Client Und Prp

    Referenzhandbuch 12 Wireless LAN – WLAN 5. Aktivieren Sie die PRP-Schnittstellen und bestimmen Sie, welche Schnittstellen der AP zur Bündelung verwendet. Wählen Sie hier die zuvor aktivierten Punkt-zu-Punkt-Schnittstellen "P2P-1-1" und "P2P-2-1" aus. Damit PRP reibungslos funktioniert, müssen beide PRP-Instanzen auf getrennten physikalischen Schnittstellen aktiv sein.
  • Seite 824 Referenzhandbuch 12 Wireless LAN – WLAN Dazu koppelt der Dual-Radio-Client über PRP anfangs z. B. seine physikalische WLAN-Schnittstelle WLAN-1 mit SSID-1 und WLAN-2 mit SSID-2. Verschlechtert sich der Empfang von SSID-1 und ist eine andere Funkzelle mit besserem Empfang in Reichweite, führt der Dual-Radio-Client einen Zellenwechsel durch. Beim Zellenübergang sendet der Dual-Radio-Client über WLAN-2 die Daten noch an SSID-2, während WLAN-1 bereits dieselben Daten an SSID-1 der besseren Funkzelle überträgt.
  • Seite 825 Referenzhandbuch 12 Wireless LAN – WLAN Die Client-Bridge-Unterstützung lässt sich im LANconfig unter Wireless-LAN > Allgemein > Logische WLAN-Einstellungen in der Ansicht Netzwerk aktivieren. Die PRP-Konfiguration des Dual-Radio-Clients erfolgt in den folgenden Schritten: 1. Aktivieren Sie unter Wireless-LAN > Allgemein > Physikalische WLAN-Einst. in der Ansicht Betrieb beide physikalische WLAN-Schnittstellen (WLAN-Interface 1, WLAN-Interface 2) und wechseln Sie die WLAN-Betriebsart jeweils zu Client.
  • Seite 826 Referenzhandbuch 12 Wireless LAN – WLAN Verlust der Redundanz z. B. auch zu Verzögerungen bei der Datenübertragung und einer Reduzierung der Bandbreite. 2. Zum Eintragen der SSID wechseln Sie in die Ansicht Wireless-LAN > Allgemein, klicken Logische WLAN-Einstellungen und wählen jeweils das Netz 1 der entsprechenden WLAN-Schnittstelle aus. 3.

  • Seite 827: Wlan-Management

    Referenzhandbuch 13 WLAN-Management 13 WLAN-Management 13.1 Ausgangslage Der weit verbreitete Einsatz von Wireless Access Points (APs) und Wireless Routern hat zu einem deutlich komfortableren und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt. Bei allen Vorzügen der WLAN-Strukturen bleiben einige offene Aspekte: Alle APs benötigen eine Konfiguration und ein entsprechendes Monitoring zur Erkennung von unerwünschten WLAN-Clients etc.

  • Seite 828: Die Smart-Controller-Technologie

    Referenzhandbuch 13 WLAN-Management Datenkanal, optional ebenfalls verschlüsselt mit DTLS. Über diesen Kanal werden die Nutzdaten aus dem WLAN vom AP über den WLC ins LAN übertragen – gekapselt in das CAPWAP-Protokoll. 13.2.2 Die Smart-Controller-Technologie In einer dezentralen WLAN-Struktur mit autonomen APs (Stand-Alone-Betrieb als so genannte "Rich Access Points") sind alle Funktionen für die Datenübertragung auf dem PHY-Layer, die Kontroll-Funktionen auf dem MAC-Layer sowie die Management-Funktionen in den APs enthalten.

  • Seite 829: Kommunikation Zwischen Access Point Und Wlan-Controller

    Referenzhandbuch 13 WLAN-Management Local-MAC: Die dritte Möglichkeit sieht eine vollständige Verwaltung und Überwachung des WLAN-Datenverkehrs direkt in den APs vor. Zwischen dem AP und dem WLC werden lediglich Nachrichten zur Sicherung einer einheitlichen Konfiguration der APs und zum Management des Netzwerks ausgetauscht. Die Smart-Controller-Technologie von LANCOM setzt das Local-MAC-Verfahren ein.
  • Seite 830 Referenzhandbuch 13 WLAN-Management Bei LANCOM Wireless Routern sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Access-Point' eingestellt. In diesem Modus arbeiten die Wireless Router als autarke Access Points mit einer lokal im Gerät gespeicherten Konfiguration. Um Teilnehmer einer zentral über WLAN-Controller verwalteten WLAN-Struktur zu werden, muss die Betriebsart für die WLAN-Module in den gewünschten Wireless Routern auf 'Managed' umgestellt werden.

  • Seite 831: Zero-Touch-Management

    Referenzhandbuch 13 WLAN-Management In der Folgezeit werden über den CAPWAP-Tunnel die Verwaltungs- und Konfigurationsdaten übertragen. Die Nutzdaten vom WLAN-Client werden im AP direkt in das LAN ausgekoppelt und z. B. an den Server übertragen. 13.2.4 Zero-Touch-Management Mit der Möglichkeit, einem anfragenden AP ein Zertifikat und eine Konfiguration automatisch zuzuweisen, realisieren WLCs ein echtes "Zero-Touch-Management".

  • Seite 832: Grundkonfiguration Der Wlan Controller Funktion

    Referenzhandbuch 13 WLAN-Management Nur über VPN Das Gerät nimmt nur neue APs an, wenn die WAN-Verbindung über VPN erfolgt. Das Gerät nimmt alle neuen APs über die WAN-Verbindung an. 13.3 Grundkonfiguration der WLAN Controller Funktion Für den Start benötigt ein WLC zur weitestgehend automatisierten Konfiguration der APs die beiden folgenden Informationen: Eine aktuelle Zeitinformation (Datum und Uhrzeit), damit die Gültigkeit der benötigten Zertifikate sichergestellt werden kann.
  • Seite 833 Referenzhandbuch 13 WLAN-Management 2. Aktivieren Sie unter WLAN Controller > Allgemein die Optionen für die automatische Annahme neuer APs sowie die Zuweisung einer Default-Konfiguration. Automatische Annahme neuer APs aktiviert (Auto-Accept): Ermöglicht dem WLC, allen neuen APs ohne gültiges Zertifikat ein solches Zertifikat zuzuweisen. Dazu muss entweder für den AP eine Konfiguration in der AP-Tabelle eingetragen sein oder die Automatische Zuweisung der Default-Konfiguration ist aktiviert.
  • Seite 834 Referenzhandbuch 13 WLAN-Management Netzwerkname: Geben Sie dem WLAN einen Namen. Dieser Name wird nur für die Verwaltung im WLC verwendet. SSID: Mit dieser SSID verbinden sich die WLAN-Clients. Verschlüsselung: Wählen Sie die Verschlüsselung passend zu den Möglichkeiten der verwendeten WLAN-Clients und geben Sie ggf.

  • Seite 835: Zuweisung Der Default-Konfiguration Zu Den Neuen Access Points

    Referenzhandbuch 13 WLAN-Management Die MAC-Adresse wird für die Default-Konfiguration auf 'ffffffffffff' gesetzt und ist nicht editierbar. Damit gilt dieser Eintrag als Standard für alle APs, die nicht mit ihrer MAC-Adresse explizit in dieser Tabelle eingetragen sind. 13.3.3 Zuweisung der Default-Konfiguration zu den neuen Access Points Mit diesen Einstellungen haben Sie alle erforderlichen Werte definiert, damit der WLC den APs die erforderlichen WLAN-Parameter zuweisen kann.

  • Seite 836: Konfiguration

    Referenzhandbuch 13 WLAN-Management Bei APs sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Managed' eingestellt. In diesem Modus suchen die APs nach einem zentralen WLC, der ihnen eine Konfiguration zuweisen kann, und bleiben so lange im "Such-Modus", bis sie einen passenden WLC gefunden haben oder die Betriebsart für die WLAN-Module manuell geändert wird.

  • Seite 837: Allgemeine Einstellungen

    Referenzhandbuch 13 WLAN-Management 13.4.1 Allgemeine Einstellungen In diesem Bereich nehmen Sie die Basiseinstellungen für Ihren WLC vor. Automatische Annahme neuer APs (Auto-Accept) Ermöglicht dem WLC, allen neuen APs eine Konfiguration zuzuweisen, auch wenn diese nicht über ein gültiges Zertifikat verfügen. Ermöglicht dem WLC, allen neuen APs ohne gültiges Zertifikat ein solches Zertifikat zuzuweisen.

  • Seite 838: Konfigurations-Verzögerung

    Referenzhandbuch 13 WLAN-Management Für jedes WLAN-Profil können Sie unter WLAN-Controller > Profile > WLAN-Profile die folgenden Parameter definieren: Profil-Name Name des Profils, unter dem die Einstellungen gespeichert werden. Log. WLAN-Netzwerk-Liste Liste der logischen WLAN-Netzwerke, die über dieses Profil zugewiesen werden. Die APs nutzen aus dieser Liste nur die ersten 816 Einträge, die mit der eigenen Hardware kompatibel sind.

  • Seite 839: Allgemeines Lbs-Profil Und Gerätestandort-Profil

    Referenzhandbuch 13 WLAN-Management Geräte-LED-Profil Wählen Sie aus der Liste der Geräte-LED-Profile das Profil aus, das im WLAN-Profil gelten soll. Die Geräte-LED-Profile verwalten Sie unter WLAN-Controller > Profile > Geräte-LED-Profile. LBS-Allgemein-Profil Wählen Sie hier aus der Liste der allgemeinen LBS-Profile das Profil aus, das im WLAN-Profil gelten soll. Die allgemeinen LBS-Profile verwalten Sie unter WLAN-Controller >...
  • Seite 840 Referenzhandbuch 13 WLAN-Management LBS Server-Adresse Geben Sie hier die Adresse des LBS-Servers ein. LBS Server-Port Geben Sie hier den Port des LBS-Servers ein (Default: 9091). Mit der Schaltfläche LBS-AP-Standorte erstellen Sie ein Standort-Profil der LBS-APs. Name Vergeben Sie einen aussagekräftigen Namen für das Profil. Stockwerk (0-basiert) Geben Sie hier die Etage ein, auf der sich das Gerät befindet.

  • Seite 841: Ausschalt-Verzögerung

    Referenzhandbuch 13 WLAN-Management Grad (Längengrad) Dieses Feld gibt den Winkel in Grad des geographischen Koordinatensystems an. Minute (Längengrad) Dieses Feld gibt die Minute des geographischen Koordinatensystems an. Sekunde (Längengrad) Dieses Feld gibt die Sekunde des geographischen Koordinatensystems an. Hemisphäre (Längengrad) Dieses Feld gibt die Orientierung des geographischen Koordinatensystems an.

  • Seite 842: Esl- Und Ibeacon-Profile

    Referenzhandbuch 13 WLAN-Management ESL- und iBeacon-Profile Um die Einstellungen von Wireless-ePaper-Informationen und iBeacon-Informationen der einzelnen APs komfortabel über einen WLC zu verwalten, erstellen Sie über WLAN-Controller > AP-Konfiguration mit der Schaltfläche Erweiterte Einstellungen die entsprechenden Profile für Wireless-ePapaper und iBeacon. Mit der Schaltfläche iBeacon-Profile erstellen Sie iBeacon-Profile für die Zuweisungsgruppen und die AP-Tabelle, die festlegen, welche iBeacon-Informationen die einzelnen APs ausstrahlen.

  • Seite 843: Vererbung Von Parametern

    Referenzhandbuch 13 WLAN-Management Mit der Schaltfläche Wireless-ePaper-Profile erstellen Sie Wireless-ePaper-Profile für die WLAN-Profile-Tabelle, die festlegen, welche Wireless-ePaper-Informationen die einzelnen APs ausstrahlen. Name Name des Profils Eintrag aktiv Aktiviert oder deaktiviert dieses Profil. Port Gibt den Port an. Vererbung von Parametern Mit einem WLC können sehr viele unterschiedliche APs an verschiedenen Standorten verwaltet werden.
  • Seite 844 Referenzhandbuch 13 WLAN-Management 2. Erzeugen Sie danach Einträge für die spezifischeren Werte, z. B. physikalische Einstellungen für ein bestimmtes Land oder ein logisches WLAN-Netzwerk für den öffentlichen Zugang von mobilen Clients. 3. Wählen Sie aus, von welchem Eintrag Werte geerbt werden sollen und markieren Sie die vererbten Werte. Die so übernommenen Parameter werden im Konfigurationsdialog grau dargestellt und können nicht verändert werden.
  • Seite 845 Referenzhandbuch 13 WLAN-Management Logische WLAN-Netzwerke Unter WLAN-Controller > Profile > Logische WLAN-Netzwerke können Sie die Parameter für die logischen WLAN-Netzwerke einstellen, die der WLC den APs zuweisen soll. Für jedes logische WLAN-Netzwerk können Sie die folgenden Parameter definieren: Logisches WLAN-Netzwerk aktiviert Aktivieren Sie das logische WLAN-Netzwerk, indem Sie diese Option anklicken.
  • Seite 846 Referenzhandbuch 13 WLAN-Management "LAN": Der AP lädt die Datenpakete standardmäßig lokal ins LAN weiter (LAN-1). Dazu muss er entsprechend konfiguriert sein. "WLC-Tunnel-x": Die SSID ist mit einem WLC-Bridge-Layer-3-Tunnel verbunden. Der AP liefert alle Datenpakete in diesen Tunnel und damit zum WLC. Dieser Tunnel muss auf dem WLC konfiguriert sein. Beachten Sie, dass Sie bei Weiterleitung aller Datenpakete zum WLC zwar zentrale Routen und Filter definieren können, dieses jedoch eine hohe Last auf dem WLC erzeugt.

  • Seite 847: Mac-Prüfung Aktiviert

    Referenzhandbuch 13 WLAN-Management Der WLC weist dem AP die Konfiguration zu, der sie optional im Flash gespeichert (in einem Bereich, der nicht mit LANconfig oder anderen Tools auszulesen ist). Falls die Verbindung zum WLC abbricht, arbeitet der AP für die hier eingestellte Zeit mit seiner Konfiguration aus dem Flash weiter. Auch nach einem eigenen Stromausfall kann der AP mit der Konfiguration aus dem Flash weiterarbeiten.

  • Seite 848: Basis-Geschwindigkeit

    Referenzhandbuch 13 WLAN-Management RADIUS-Accounting aktiviert Aktivieren Sie diese Option, wenn Sie das RADIUS-Accounting in diesem logischen WLAN-Netzwerkm aktivieren wollen. Datenverkehr zulassen zwischen Stationen dieser SSID Aktivieren Sie diese Option, wenn alle Stationen, die an dieser SSID angemeldet sind, untereinander kommunizieren dürfen. WPA-Version Wählen Sie hier die WPA-Version aus, die der AP den WLAN-Clients zur Verschlüsselung anbieten soll.
  • Seite 849 Referenzhandbuch 13 WLAN-Management Min. Client-Signal-Stärke Mit diesem Eintrag bestimmen Sie den Schwellwert in Prozent für die minimale Signalstärke für Clients beim Einbuchen. Unterschreitet ein Client diesen Wert, sendet der AP keine Probe-Responses mehr an diesen Client und verwirft die entsprechenden Anfragen. Ein Client mit schlechter Signalstärke findet den AP somit nicht und kann sich nicht darauf einbuchen.
  • Seite 850 Referenzhandbuch 13 WLAN-Management Die Funktion 'STBC' variiert den Versand von Datenpaketen zusätzlich über die Zeit, um auch zeitliche Einflüsse auf die Daten zu minimieren. Durch den zeitlichen Versatz der Sendungen besteht für den Empfänger eine noch bessere Chance, fehlerfreie Datenpakete zu erhalten, unabhängig von der Anzahl der Antennen. LDPC (Low Density Parity Check) aktiviert Aktivieren Sie hier den Low Density Parity Check.

  • Seite 851: Access Point Konfiguration

    Referenzhandbuch 13 WLAN-Management Standardmäßig können die APs alle Kanäle nutzen, die aufgrund der Ländereinstellung erlaubt sind. Um die Auswahl auf bestimmte Kanäle zu beschränken, können hier die gewünschten Kanäle als kommaseparierte Liste eingetragen werden. Dabei ist auch die Angabe von Bereichen (z. B. '1,6,11') möglich. Management VLAN-ID Die VLAN-ID, die für das Management-Netz der APs verwendet wird.

  • Seite 852: Vererbung

    Referenzhandbuch 13 WLAN-Management Vererbung Auswahl eines schon definierten IP-Parameter-Profils, von dem die Einstellungen übernommen werden sollen Vererbung von Parametern (siehe auf Seite 843). Domänen-Name Name der Domäne (DNS-Suffix), die dieses Profil nutzen soll. Netzmaske Netzmaske des Profils. Standard-Gateway Standard-Gateway, welches das Profil verwendet. Erster DNS Der DNS (Domain Name System), den das Profil verwenden soll.
  • Seite 853 Referenzhandbuch 13 WLAN-Management zu einem WLC aufbauen zu können. Für jeden AP können Sie unter WLAN-Controller > AP-Konfiguration > Access-Point-Tabelle die folgenden Parameter definieren: Eintrag aktiv Aktiviert bzw. deaktiviert diesen Eintrag. Update-Management aktiv Wenn Sie für diesen AP das Update-Management aktivieren, können er neue Firmware- oder Script-Versionen Zentrales Firmware- und automatisch laden.
  • Seite 854 Referenzhandbuch 13 WLAN-Management AP-Name Name des APs im Managed-Modus. Standort Standort des APs im Managed-Modus. Gruppen Ordnet den AP einer oder mehrerer Gruppen zu WLAN-Profil WLAN-Profil aus der Liste der definierten Profile. Client Steering Profil Client Steering-Profile legen die Bedingungen fest, nach denen der WLC entscheidet, welche APs beim nächsten Anmeldeversuch einen Client annehmen.
  • Seite 855 Referenzhandbuch 13 WLAN-Management Tragen Sie hier die Kanäle ein, auf die sich die automatische Auswahl für das erste WLAN-Modul beschränken soll. Geben Sie hier nur einen Kanal an, so verwendet der AP nur diesen und es findet keine automatische Auswahl statt. Achten Sie deshalb darauf, dass die angegebenen Kanäle wirklich im Frequenzband des eingestellten Landes zur Verfügung stehen.
  • Seite 856 Referenzhandbuch 13 WLAN-Management Minor Legen Sie eine Minor-ID für das iBeacon-Modul fest. 2402 MHz, 2426 MHz, 2480 MHz Definieren Sie hier, welche Sendekanäle das iBeacon-Modul verwenden soll. Sendeleistung Geben Sie an, Mit welcher Leistung das iBeacon-Modul senden soll. Folgende Werte sind möglich: Hoch: Das Modul sendet mit maximaler Leistung (Default).

  • Seite 857: Optionen Für Den Wlan-Controller

    Referenzhandbuch 13 WLAN-Management Die Verwendung von Wildcards ist möglich. SSID Dieser Eintrag begrenzt den Zugriff der WLAN-Clients mit den entsprechenden MAC-Adressen auf diese SSID. Die Verwendung von Wildcards ist möglich, um den Zugriff auf mehrere SSIDs zu erlauben. Name Sie können zu jedem WLAN-Client einen beliebigen Namen und einen Kommentar eingeben. Dies ermöglicht Ihnen eine einfachere Zuordnung der MAC-Adressen zu bestimmten Stationen oder Benutzern.
  • Seite 858 Referenzhandbuch 13 WLAN-Management Benachrichtigungen über Ereignisse Die Benachrichtigungen können über SYSLOG oder E-Mail erfolgen. Dazu können Sie die folgenden Parameter definieren: LANconfig: WLAN-Controller > Optionen WEBconfig: LCOS-Menübaum > Setup > WLAN-Management > Benachrichtigung SYSLOG Aktiviert die Benachrichtigung über SYSLOG. Mögliche Werte: Ein/Aus. E-Mail Aktiviert die Benachrichtigung über E-Mail.
  • Seite 859 Referenzhandbuch 13 WLAN-Management Default-Parameter Für einige Parameter können zentral Default-Werte definiert werden, die an anderen Stellen der Konfiguration als 'Default' referenziert werden können. LANconfig: WLAN-Controller > Profile > Default Land Webconfig: LCOS-Menübaum > Setup > WLAN Management > AP-Konfiguration > Laendereinstellung Default Land Land, in dem die Access Points betrieben werden sollen.

  • Seite 860: Tutorial: Virtualisierung Und Gastzugang Über Wlan Controller

    Referenzhandbuch 13 WLAN-Management WLAN-Interface 2 Frequenzband für das zweite WLAN-Modul. Mit diesem Parameter kann das WLAN-Modul auch deaktiviert werden. Verschlüsselung Verschlüsselung für die Kommunikation über den Kontrollkanal. Ohne Verschlüsselung werden die Kontrolldaten im Klartext ausgetauscht. Eine Authentifizierung mittels Zertifikat findet in beiden Fällen statt. Tutorial: Virtualisierung und Gastzugang über WLAN Controller In vielen Unternehmen ist es erwünscht, den Besuchern für die mitgebrachten Notebooks o.
  • Seite 861 Referenzhandbuch 13 WLAN-Management WLAN-Konfiguration des WLAN Controllers Bei der WLAN-Konfiguration werden die benötigten WLAN-Netzwerke definiert und zusammen mit den physikalischen WLAN-Einstellungen den vom WLC verwalteten APs zugewiesen. 1. Erstellen Sie ein logisches WLAN für die Gäste und eins für die internen Mitarbeiter: Das WLAN mit der SSID 'GAESTE' nutzt die VLAN-ID '100', hier wird keine Verschlüsselung verwendet.
  • Seite 862 Referenzhandbuch 13 WLAN-Management 3. Erstellen Sie ein WLAN-Profil, das den APs zugewiesen werden kann. In diesem WLAN-Profil werden die beiden zuvor erstellten logischen WLAN-Netzwerke und der zuvor erstellte Satz von physikalischen Parametern zusammengefasst. 4. Ordnen Sie das WLAN-Profil den vom WLC verwalteten APs zu. Tragen Sie dazu entweder die einzelnen APs mit der MAC-Adresse ein oder nutzen Sie alternativ das Default-Profil.
  • Seite 863 Referenzhandbuch 13 WLAN-Management 1. Stellen Sie den VLAN-Modus auf 'Tag-based' ein, da die Zuweisung der VLAN-Tags durch die APs erfolgt. 2. Zur Unterscheidung der VLANs im Switch werden zwei Gruppen verwendet. Das interne Netz für die Mitarbeiter wird in der Default-Gruppe abgebildet, für die Gäste wird eine eigene Gruppe eingerichtet. Dabei werden jeweils die VLAN-IDs verwendet, die auch schon bei der Konfiguration der WLANs im WLC eingetragen wurden.
  • Seite 864 Referenzhandbuch 13 WLAN-Management 5. Die Port VLAN ID (PVID) wird für alle Ports auf '1' gestellt, um die Ports dem internen Netz zuzuordnen. Ungetaggt eingehende Pakete werden auf diesen Ports also mit der VLAN-ID '1' weitergeleitet. Konfiguration der IP-Netzwerke im WLAN Controller Für die Trennung der Datenströme auf Layer 3 werden zwei verschiedene IP- Netzwerke verwendet (ARF –...
  • Seite 865 Referenzhandbuch 13 WLAN-Management 2. Für beide IP-Netzwerke wird ein Eintrag bei den DHCP-Netzwerken angelegt, mit dem der DHCP-Server fest eingeschaltet wird.
  • Seite 866 Referenzhandbuch 13 WLAN-Management 3. Mit diesen Einstellungen können die WLAN-Clients der internen Mitarbeiter und der Gäste gezielt den jeweiligen Netzwerken zugeordnet werden. Konfiguration der Public-Spot-Zugänge Mit dem Public Spot bieten Sie einen kontrollierten Zugriffspunkt auf Ihr WLAN. Die Authentifizierung erfolgt über ein Webinterface mittels Benutzerabfrage.
  • Seite 867 Referenzhandbuch 13 WLAN-Management 1. Aktivieren Sie die Authentifizierung für den Netzwerk-Zugriff mit Benutzername und Passwort. 2. Schalten Sie die Benutzeranmeldung für das Interface des WLCs ein, über das er mit dem Switch verbunden ist. 3. Mit dem Eintrag der VLAN-ID '100' für das Gästenetzwerk in der VLAN-Tabelle wird die Public-Spot-Verwendung auf Datenpakete aus diesem virtuellen LAN eingeschränkt.
  • Seite 868 Referenzhandbuch 13 WLAN-Management Ohne die Einschränkung des Interfaces auf die VLAN-ID ist der Controller auf dem angegebenen physikalischen Ethernet-Port nicht mehr erreichbar! 4. Aktivieren Sie im Public-Spot-Modul die Option zum Bereinigen der Benutzer-Liste, damit die nicht mehr benötigten Einträge automatisch gelöscht werden können. Verwendung nur bis LCOS Version 7.7 notwendig oder wenn die Benutzerliste verwendet wird.
  • Seite 869 Referenzhandbuch 13 WLAN-Management RADIUS-Server für Public-Spot-Nutzung konfigurieren In den LCOS-Versionen vor 7.70 wurden Public-Spot-Zugänge über den Assistenten in der Benutzer-Liste des Public-Spot-Moduls eingetragen. Ab der LCOS-Version 7.70 speichert der Assistent die Public-Spot-Zugänge nicht mehr in dieser Liste, sondern in der Benutzerdatenbank des internen RADIUS-Servers. Um diese Public-Spot-Zugänge nutzen zu können, muss der RADIUS-Server konfiguriert und das Public-Spot-Modul auf die Nutzung des RADIUS-Servers eingestellt sein.
  • Seite 870 Referenzhandbuch 13 WLAN-Management Wenn der Public-Spot und der RADIUS-Server vom gleichen Gerät bereitgestellt werden, tragen Sie hier die interne Loopback-Adresse des Geräts (127.0.0.1) und kein Passwort ein. Nach einem LCOS-Update sind die mit der vorherigen LCOS-Version angelegten Benutzerkonten in der Benutzer-Liste des Public-Spot-Moduls weiterhin gültig.
  • Seite 871 Referenzhandbuch 13 WLAN-Management Wenn der Public-Spot und der RADIUS-Server vom gleichen Gerät bereitgestellt werden, tragen Sie hier die interne Loopback-Adresse des Geräts (127.0.0.1) ein. Nach einem LCOS-Update sind die mit der vorherigen LCOS-Version angelegten Benutzerkonten in der Benutzer-Liste des Public-Spot-Moduls weiterhin gültig. WLAN Layer-3 Tunneling Einleitung Der CAPWAP-Standard für das zentrale WLAN-Management bietet zwei verschiedene Übertragungskanäle an:...
  • Seite 872 Referenzhandbuch 13 WLAN-Management Mit der Nutzung des Datenkanals entstehen auf der Basis der vorhandenen, physikalischen Netzwerkstruktur zusätzliche logische Netzwerke, die so genannten Overlay-Netzwerke. Abbildung 6: Overlay-Netzwerk über mehrere IP-Netzwerke hinweg Über den Datenkanal können Sie so sogar über mehrere WLCs hinweg logische Overlay-Netzwerke aufspannen. Mehrere WLCs innerhalb einer Broadcast-Domäne können das gleiche Overlay-Netzwerk unterstützen.
  • Seite 873 Referenzhandbuch 13 WLAN-Management Mit dieser Konfiguration reduzieren Sie das VLAN auf den Kern der Netzstruktur (in der Grafik blau hinterlegt dargestellt). Darüber hinaus erfordern lediglich 3 der genutzten Switch-Ports eine VLAN-Konfiguration. Abbildung 7: Anwendungsbeispiel Overlay-Netz Die Grafik zeigt ein Anwendungsbeispiel mit den folgenden Komponenten: Das Netz besteht aus zwei Segmenten mit jeweils einem eigenen (nicht unbedingt VLAN-fähigen) Switch.
  • Seite 874 Referenzhandbuch 13 WLAN-Management erste logischen Netz und der VLAN-ID '20' für das zweite logischen Netz. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > Logische WLAN-Netzwerke (SSIDs). 2. Erstellen Sie einen Eintrag in der Liste der physikalischen WLAN-Parameter mit den passenden Einstellungen für Ihre APs, z.
  • Seite 875 Referenzhandbuch 13 WLAN-Management 3. Erstellen Sie ein WLAN-Profil mit einem passenden Namen und ordnen Sie diesem WLAN-Profil die zuvor erstellten logischen WLAN-Netzwerke und die physikalischen WLAN-Parameter zu. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > WLAN-Profile. 4.
  • Seite 876 Referenzhandbuch 13 WLAN-Management 5. Ordnen Sie jedem physikalischen Ethernet-Port eine separate logische LAN-Schnittstelle zu, z. B. 'LAN-1'. Stellen Sie sicher, dass die anderen Ethernet-Ports nicht der gleichen LAN-Schnittstelle zugeordnet sind. In LANconfig finden Sie diese Einstellungen unter Konfiguration > Schnittstellen > LAN > Ethernet-Ports. 6.
  • Seite 877 Referenzhandbuch 13 WLAN-Management 7. Aktivieren Sie unter Schnittstellen > VLANdas VLAN-Modul des WLC und ordnen Sie unter VLAN-Tabelle dem gewünschten VLAN den oben gewählten LAN-Port (LAN-1) sowie den passenden WLC-Tunnel zu. 8. Stellen Sie unter Schnittstellen > VLAN > Port-Tabelle den Tagging-Modus der Tunnel-Interfaces sowie des LAN-Interfaces korrekt ein und setzen Sie die passende Port-VLAN-ID.
  • Seite 878 Referenzhandbuch 13 WLAN-Management 9. Ergänzend konfigurieren Sie unter IPv4 > Allgemein > IP-Netzwerke für die auf Layer 2 getrennten Netzwerke die IP-Einstellungen. Damit das Gerät die Netzwerke nicht wieder auf Layer 3 verbindet, ist auch eine Trennung auf Layer 3 erforderlich, z.
  • Seite 879 Referenzhandbuch 13 WLAN-Management In diesem Beispiel haben zwei Benutzergruppen A und B jeweils Zugang zu einem eigenen WLAN (SSID). Die APs in mehreren Etagen des Gebäudes bieten die beiden SSIDs 'GRUPPE_A' und 'GRUPPE_B' an. Abbildung 8: Anwendungsbeispiel Layer-3-Roaming Die Grafik zeigt ein Anwendungsbeispiel mit den folgenden Komponenten: Das Netz besteht aus 3 Segmenten in separaten Etagen eines Gebäudes.
  • Seite 880 Referenzhandbuch 13 WLAN-Management Das Ziel der Konfiguration: Ein WLAN-Client, der sich an einer bestimmten SSID anmeldet, soll beim Wechsel der Etage nahtlos Zugang zu "seinem" WLAN behalten – unabhängig vom verwendeten AP und unabhängig vom Segment, in dem er sich gerade befindet. Da die Segmente in diesem Beispiel unterschiedliche IP-Adresskreise nutzen, gelingt das nur durch die Verwaltung der APs auf Layer 3 direkt über den zentralen WLC über die Grenzen der VLANs hinweg.
  • Seite 881 Referenzhandbuch 13 WLAN-Management für diese SSID außerdem den Datenverkehr der Stationen untereinander (Interstation-Traffic). In LANconfig finden Sie diese Einstellung unter Konfiguration > WLAN-Controller > Profile > Logische WLAN-Netzwerke (SSIDs). 2. Erstellen Sie einen Eintrag in der Liste der physikalischen WLAN-Parameter mit den passenden Einstellungen für Ihre APs, z.
  • Seite 882 Referenzhandbuch 13 WLAN-Management LANconfig finden Sie diese Einstellung unter Konfiguration > WLAN-Controller > Profile > Physikalische WLAN-Parameter. 3. Erstellen Sie ein WLAN-Profil mit einem passenden Namen und ordnen Sie diesem WLAN-Profil die zuvor erstellten logischen WLAN-Netzwerke und die physikalischen WLAN-Parameter zu. In LANconfig finden Sie diese Einstellung unter Konfiguration >...
  • Seite 883 Referenzhandbuch 13 WLAN-Management 5. Ordnen Sie jedem physikalischen Ethernet-Port eine separate logische LAN-Schnittstelle zu, z. B. 'LAN-1'. Stellen Sie den 4. Ethernet-Port auf die logische LAN-Schnittstelle 'DSL-1' ein. Der WLC verwendet diese LAN-Schnittstelle später für den Internetzugang des Gästenetzes. In LANconfig finden Sie diese Einstellung unter Konfiguration > Schnittstellen >...
  • Seite 884 Referenzhandbuch 13 WLAN-Management beiden Netzwerke zu trennen. In LANconfig finden Sie diese Einstellung unter Konfiguration > TCP/IP > Allgemein > IP-Netzwerke. 9. Der WLC kann als DHCP-Server für die APs und die angemeldeten WLAN-Clients fungieren. Aktivieren Sie dazu den DHCP-Server für das 'INTRANET' und den 'GASTZUGANG. In LANconfig finden Sie diese Einstellung unter Konfiguration >...
  • Seite 885 Referenzhandbuch 13 WLAN-Management außerdem die Option 'Intranet und DMZ maskieren (Standard)'. In LANconfig finden Sie diese Einstellung unter Konfiguration > IP-Router > Routing > Routing-Tabelle. 11. Aktivieren Sie die Public Spot-Anmeldung für die logische LAN-Schnittstelle 'WLC-Tunnel 1'. In LANconfig finden Sie diese Einstellung unter Konfiguration >...

  • Seite 886: Ip-Abhängige Autokonfiguration Und Tagging Von Aps

    Referenzhandbuch 13 WLAN-Management 12. Aktivieren Sie im letzten Schritt die Anmeldung über den Public-Spot für den WLC. In LANconfig finden Sie diese Einstellung unter Konfiguration > Public-Spot > Anmeldung. Neben der Konfiguration des WLCs konfigurieren Sie den Public Spot nach Ihren Wünschen entweder für die interne Benutzerliste oder für die Verwendung eines RADIUS-Servers.

  • Seite 887: Einrichten Von Zuweisungs-Gruppen Für Die Ip-Abhängige Autokonfiguration

    Referenzhandbuch 13 WLAN-Management Existieren für einen neuen AP weder ein AP-Profil, noch eine Zuweisungs-Gruppe, gibt der WLC eine Warnung aus, welche den Administrator auf die Fehlkonfiguration hinweist. Nach der erfolgreichen Gruppenzuweisung legt der WLC in der Access-Point-Tabelle automatisch ein AP-Profil für jeden neuen AP an.

  • Seite 888: Einrichten Von Tag-Gruppen Für Die Selektive Auswahl Von Aps

    Referenzhandbuch 13 WLAN-Management 8. Schließen Sie alle Dialogfenster mit OK und schreiben Sie die Konfiguration zurück auf Ihr Gerät. Der WLC weist fortan allen neuen APs die in den Zuweisungs-Gruppen referenzierten Profile zu. Über die LCOS-Konsole haben Sie dann die Möglichkeit, Informationen zur Kategorisierung abzurufen, siehe Übersicht der capwap-Parameter im show-Befehl auf Seite 49.

  • Seite 889: Access Points Akzeptieren Über Webconfig Mit Zuweisung Eines Zertifikats

    Referenzhandbuch 13 WLAN-Management Klicken Sie dazu im LANmonitor mit der rechten Maustaste auf den neuen AP, den Sie in die WLAN-Struktur aufnehmen möchten. Wählen Sie dann im Kontextmenü die Konfiguration, die Sie dem Gerät zuordnen wollen. Mit dem Zuweisen der Konfiguration wird der AP in der AP-Tabelle des WLCs eingetragen. Es dauert jedoch einige Sekunden, bis der WLC dem AP auch ein Zertifikat zugewiesen hat und dieser ein aktives Element der zentralen WLAN-Struktur wird.

  • Seite 890: Neue Aps Über Den Webconfig Setup-Wizard Hinzufügen

    Referenzhandbuch 13 WLAN-Management 1. Öffnen Sie die Konfiguration des WLCs mit WEBconfig. Wählen Sie unter Setup-Wizards den Wizard Neue Access Points zu Profilen zuordnen. 2. Klicken Sie auf den Link, um den Assistenten zu starten. Wählen Sie den gewünschten AP anhand seiner MAC-Adresse aus und geben Sie die WLAN-Konfiguration an, die dem AP zugewiesen werden soll.

  • Seite 891: Access Points Manuell Aus Der Wlan-Struktur Entfernen

    Referenzhandbuch 13 WLAN-Management MAC-Adresse). Beim Einbinden des neuen AP löscht der WLC anschließend die Konfiguration des akzeptierten fehlenden AP. Um einen neuen AP mit den getätigten Einstellungen zu akzeptieren, klicken Sie abschließend auf AP-einbinden. Sofern ein Sie einen AP über Zuweisungs-Gruppen konfigurieren lassen, brauchen Sie für den betreffenden AP keine Einstellungen in diesem Setup-Wizard vornehmen.

  • Seite 892: Access Point Dauerhaft Aus Der Wlan-Struktur Entfernen

    Referenzhandbuch 13 WLAN-Management das Zertifikat auf Gültigkeit prüfen, hat aber keinen (aktiven) Eintrag in der AP-Tabelle – er wird also zum sekundären WLC für diesen AP. Findet der AP einen primären WLC, so wird er sich bei diesem anmelden. Access Point dauerhaft aus der WLAN-Struktur entfernen Damit ein AP auf Dauer nicht mehr Mitglied der zentral verwalteten WLAN-Struktur ist, müssen die Zertifikate im SCEP-Client gelöscht oder widerrufen werden.
  • Seite 893 Referenzhandbuch 13 WLAN-Management Verbindungen aufweisen. Aus Sicht eines hinzukommenden AP sind eingebundene APs "Master-APs". Aus Sicht des Master-AP sind hinzukommende APs "Slave-APs". Abbildung 10: Phase 1 – Hinzukommender AP in Gebäude B sucht nach AutoWDS-Basisnetz und findet Zugangs-AP in Gebäude A Abbildung 11: Phase 2 –...

  • Seite 894: Hinweise Zur Nutzung Von Autowds

    Referenzhandbuch 13 WLAN-Management oder das WLAN bei Ausfall der möglichen Frequenzen – aufgrund mehrerer Radarerkennungen auf verschiedenen Kanälen – für einige Zeit komplett deaktiviert. Der betroffene AP kann somit für Störungen des gesamten AutoWDS-Verbundes verantwortlich sein oder eine Zeit lang gar keine SSIDs aufspannen. Innerhalb von Gebäuden haben Sie die Möglichkeit, evtl.
  • Seite 895 Referenzhandbuch 13 WLAN-Management Verwendung von AutoWDS auf bis zu 3 Hops Bedingt geeignet: Nutzung einer physikalischen WLAN-Schnittstelle gleichzeitig für AutoWDS-Uplink und -Downlink (Repeater-Modus), wobei alle P2P-Strecken den gleichen Funkkanal verwenden. Verwendung für Betrieb ohne DFS (Indoor) Verwendung von AutoWDS auf bis zu 3 Hops Mögliche auftretende Probleme sind z.

  • Seite 896: Funktionsweise

    Referenzhandbuch 13 WLAN-Management Nicht geeignet: Nutzung einer physikalischen WLAN-Schnittstelle gleichzeitig für AutoWDS-Uplink und -Downlink (Repeater-Modus) bei Outdoor-Betrieb mit mehr als 1 Hop im 5-GHz-Band. Im Repeater-Modus nimmt die physikalische WLAN-Schnittstelle eine Doppelrolle ein: In Richtung des WLCs agiert die Schnittstelle als Master, in Richtung eines Nachbar-APs hingegen als Slave. Hierzu arbeiten alle APs notwendigerweise auf dem selben Funkkanal.

  • Seite 897: Unterschiede Der Integrationsmodi

    Referenzhandbuch 13 WLAN-Management aktiviert haben) und Probe-Responses eine zusätzliche, herstellerspezifische Kennung aus. Diese auch als "AutoWDSInfoFlags" bezeichnete Kennung signalisiert hinzukommenden AutoWDS-fähigen APs die generelle Unterstützung der Funktion und teilt ihnen mit, … ob AutoWDS für die erkannte SSID aktiv/inaktiv ist; ob der AP der betreffenden SSID eine aktive/inaktive WLC-Verbindung besitzt;...

  • Seite 898: Gestaltung Der Topologie

    Referenzhandbuch 13 WLAN-Management Achten Sie bei der Express-Integration darauf, dass sich keine anderen AutoWDS-Basisnetze in Reichweite befinden. Andernfalls ist es möglich, dass ein fremder WLC Ihren AP übernimmt und so Ihrem weiteren Fernzugriff entzieht. Ein aktivierter Express-Modus erweitert die Angriffsmöglichkeiten. Deshalb ist es ratsam, den Express-Modus zu deaktivieren, wenn er nicht unbedingt notwendig ist.

  • Seite 899: Update Der Ap-Konfiguration Und Aufbau Der P2P-Strecke

    Referenzhandbuch 13 WLAN-Management Bei der manuellen Topologie-Konfiguration ist es wichtig, dass sich ein konfigurierter P2P-Master-AP innerhalb der Topologie näher am WLC befindet als ein entsprechender P2P-Slave-AP, da bei einer kurzzeitigen Unterbrechung der P2P-Verbindung der Slave-AP nach dem Master-AP scannt. Update der AP-Konfiguration und Aufbau der P2P-Strecke Hat ein hinzukommender AP vom WLC via CAPWAP das WLAN-Profil mit sämtlichen darin enthaltenen Einstellungen empfangen, versucht er, als Slave eine P2P-Strecke zu dem ihm zugewiesenen Master-AP aufzubauen.
  • Seite 900 Referenzhandbuch 13 WLAN-Management Ein AP durchläuft den (Re-)Konfigurationsprozess nicht, wenn er im Client-Modus zwar eine Verbindung zu einem Zugangs-AP, jedoch nicht zum WLC aufbauen kann. Der AP wartet 5 Minuten ab Verbindung zum AutoWDS-Basisnetz, ob der WLC eine Konfiguration des Gerätes durchführt. Erfolgt in dieser Zeit keine Konfiguration (z. B. weil kein Administrator den AP akzeptiert), trennt sich der AP vom AutoWDS-Basisnetz und scannt nach weiteren passenden SSIDs.

  • Seite 901: Beispiel: Ausfall Eines Ap

    Referenzhandbuch 13 WLAN-Management Beispiel: Ausfall eines AP Die CAPWAP-Verbindung eines jeden AP sichert sich in einem festgelegten Intervall durch Echo-Requests zum WLC ab. Fällt ein AP aus oder ist seine Anbindung gestört, läuft ein solcher Request ins Leere. Erhalten die betreffenden APs nach mehrmaliger Wiederholung des Echo-Requests keine Antwort des WLC, gilt die CAPWAP-Verbindung als verloren und Verlust der Konnektivität und Rekonfiguration die betreffenden APs beginnen mit dem unter...

  • Seite 902: Einrichtung Mittels Vorkonfigurierter Integration

    Referenzhandbuch 13 WLAN-Management 10. Die APs setzen die neue P2P-Strecke zu den Ihnen zugewiesenen Master-APs auf und kommunizieren mit dem WLC nicht mehr über den WLC-TUNNEL-AUTOWDS, sondern ins LAN gebridged. 13.6.3 Einrichtung mittels vorkonfigurierter Integration Die nachfolgenden Abschnitte zeigen Ihnen, wie Sie ein AutoWDS-Netz über die vorkonfigurierte Integration einrichten. Die Konfiguration verwendet dabei das automatische Topologie-Management des WLC.

  • Seite 903: Konfiguration Der Aps

    Referenzhandbuch 13 WLAN-Management Die hier festgelegte SSID agiert als Managementnetz für sämtliche ein AutoWDS-Netz suchenden APs und ist – bis auf die Passphrase – nicht weiter konfigurierbar. Der WLC verbindet die angegebene SSID intern automatisch mit einem WLC-Tunnel (WLC-TUNNEL-AUTOWDS). Normale WLAN-Clients sind nicht in der Lage, dieses Managementnetz zu benutzen.

  • Seite 904: Vorkonfigurierte Integration Durch Pairing Beschleunigen

    Referenzhandbuch 13 WLAN-Management 4. Geben Sie unter WPA2-Passphrase den Schlüssel des AutoWDS-Basisnetzes ein, den Sie auf dem WLC konfiguriert haben. 5. Ändern Sie die Timeout-Werte für die Zeit bis Such-Modus 'Vorkonfig' auf 1 und die Zeit bis Such-Modus 'Express' auf 0. 6.

  • Seite 905: Einrichtung Mittels Express-Integration

    Referenzhandbuch 13 WLAN-Management 13.6.5 Einrichtung mittels Express-Integration Die nachfolgenden Abschnitte zeigen Ihnen, wie Sie ein AutoWDS-Netz über die Express-Integration einrichten. Die Konfiguration verwendet dabei das automatische Topologie-Management des WLC. vorkonfigurierten Integration Das Ausgangsszenario gleicht dem der Auf einem zurückgesetzten AP ist AutoWDS standardmäßig deaktiviert, sodass Sie zunächst einen kabelgebundenen Zugriff wählen müssen, um die Funktion zu aktivieren.

  • Seite 906: Umschalten Von Express- Zu Vorkonfigurierter Integration

    Referenzhandbuch 13 WLAN-Management Nach erfolgreichem Konfigurations-Update schaltet der AP seine physikalische(n) WLAN-Schnittstelle(n) in den Client-Modus und sucht nach einem beliebigen AutoWDS-Basisnetz. Weitere Informationen zum Ablauf erhalten Sie unter Aufspannen des AutoWDS-Basisnetzes auf Seite 896. 13.6.6 Umschalten von Express- zu vorkonfigurierter Integration Um nach einem Netz-Rollout mittels Express-Integration auf eine vorkonfigurierte Integration umzuschalten, deaktivieren Sie die Express-Integration auf dem WLC.
  • Seite 907 Referenzhandbuch 13 WLAN-Management Änderungen am Ausgangsszenario Das Ausgangsszenario gleicht dem der vorkonfigurierten Integration. Für die gesamte WLAN-Infrastruktur kommen ausschließlich Dual-Radio-APs zum Einsatz, die entsprechend der untenstehenden Grafik angeordnet sind. Das gemanagte WLAN besteht zu Beginn aus einem einzigen AP, der den hinzukommenden APs als initialer Zugangs-AP dient. Konfiguration des WLC Die nachfolgenden Handlungsanweisungen beschreiben die Deaktivierung des automatischen Topologie-Managements und die Konfiguration manueller P2P-Strecken gemäß...
  • Seite 908 Referenzhandbuch 13 WLAN-Management 1. Öffnen Sie den Konfigurationsdialog in LANconfig und klicken Sie WLAN-Controller > AP-Konfiguration > Access-Point-Tabelle, um zur Liste der verwalteten APs zu gelangen. 2. Geben Sie für jeden hinzukommenden AP die MAC-Adresse und unter AP-Name einen eindeutigen Namen an. Auf diesen Namen referenzieren Sie später in der Topologie-Konfiguration.

  • Seite 909: Redundante Strecken Mittels Rstp

    Referenzhandbuch 13 WLAN-Management 7. Klicken Sie auf den Eintrag DEFAULT, um das AutoWDS-Standardprofil zu bearbeiten. 8. Ändern Sie den Parameter Topology-Management auf Manuell und speichern Sie die Einstellung mit einem Klick auf Setzen. 9. Wechseln Sie in die Tabelle WLAN-Management > AP-Konfiguration > AutoWDS-Topology und klicken Sie Hinzufügen.

  • Seite 910: Zentrales Firmware- Und Skript-Management

    Referenzhandbuch 13 WLAN-Management 1. Erstellen Sie eine Textdatei mit dem Namen WLC_Script_1.lcs. 2. Kopieren die folgenden Codezeilen in die Textdatei und speichern Sie. # Script (9.000.0000 / 15.07.2014) lang English flash No set /Setup/LAN-Bridge/Spanning-Tree/Protocol-Version Rapid set /Setup/LAN-Bridge/Spanning-Tree/Path-Cost-Computation Rapid set /Setup/LAN-Bridge/Spanning-Tree/Operating flash Yes # done exit...

  • Seite 911: Allgemeine Einstellungen Für Das Firmware-Management

    Referenzhandbuch 13 WLAN-Management Mit der Aktion Setup > WLAN-Management > Zentrales-Firmware-Management > Aktualisiere-Firmware-und-Skript-Information können Skript- und Firmwareverzeichnisse aktualisiert werden. Sie finden die Parameter zur Konfiguration auf folgenden Pfaden: LANconfig: WLAN-Controller > AP-Update WEBconfig: Setup > WLAN-Management > Zentrales-Firmware-Management 13.7.1 Allgemeine Einstellungen für das Firmware-Management Firmware-URL Pfad zum Verzeichnis mit den Firmware-Dateien.

  • Seite 912: Allgemeine Einstellungen Für Das Skript-Management

    Referenzhandbuch 13 WLAN-Management Wenn in der Liste der IP-Netzwerke oder in der Liste der Loopback-Adressen ein Eintrag mit dem Namen 'INT' oder 'DMZ' vorhanden ist, wird die IP-Adresse des IP-Netzwerks bzw. der Loopback-Adresse mit dem Namen 'INT' bzw. 'DMZ' verwendet. Firmware-Management-Tabelle In dieser Tabelle wird hinterlegt, welche Geräte (MAC-Adresse) und Gerätetypen mit welcher Firmware betrieben werden sollen.
  • Seite 913 Referenzhandbuch 13 WLAN-Management Beliebige andere IP-Adresse. Default: leer Wenn in der Liste der IP-Netzwerke oder in der Liste der Loopback-Adressen ein Eintrag mit dem Namen 'INT' oder 'DMZ' vorhanden ist, wird die IP-Adresse des IP-Netzwerks bzw. der Loopback-Adresse mit dem Namen 'INT' bzw.

  • Seite 914: Radius

    Referenzhandbuch 13 WLAN-Management Bitte beachten Sie bei der Angabe der Script-Namen die Groß- und Kleinschreibung! 13.8 RADIUS 13.8.1 Prüfung der WLAN-Clients über RADIUS (MAC-Filter) Bei der Nutzung von RADIUS zur Authentifizierung der WLAN-Clients kann neben einem externen RADIUS-Server auch die interne Benutzertabelle der WLC genutzt werden, um nur bestimmten WLAN-Clients anhand ihrer MAC-Adresse den Zugang zum WLAN zu erlauben.

  • Seite 915: Externer Radius-Server

    Referenzhandbuch 13 WLAN-Management Als Benutzername und Passwort wird jeweils die MAC-Adresse in der Schreibweise 'AABBCC-DDEEFF' eingetragen. 13.8.2 Externer RADIUS-Server Standardmäßig übernimmt der WLC die Weiterleitung von Anfragen für die Konto- bzw. Zugangsverwaltung an einen RADIUS-Server. Damit die APs den RADIUS-Server direkt ansprechen können, müssen entsprechenden Server-Informationen hier definiert werden.

  • Seite 916: Dynamische Vlan-Zuweisung

    Referenzhandbuch 13 WLAN-Management Default: leer Port: Port-Nummer, die den AP mitgeteilt wird, um den RADIUS Server zu erreichen. Der Port muss mit dem im RADIUS-Server konfigurierten Wert übereinstimmen. Dieser Wert wird ignoriert, wenn keine IP-Adresse konfiguriert ist, da dann der WLC selbst als RADIUS-Server benutzt wird. Mögliche Werte: Gültige Port-Nummer, im Allgemeinen 1812 für Zugangs- und 1813 für Kontoverwaltung.

  • Seite 917: Radius-Accounting Im Wlan-Controller Für Logische Wlans Aktivieren

    Referenzhandbuch 13 WLAN-Management Alternativ zu einem externen RADIUS-Server kann den WLAN-Clients auch über den internen RADIUS-Server oder die Stationstabelle im WLC eine VLAN-ID zugewiesen werden. 1. Aktivieren Sie das VLAN-Tagging für den WLC. Tragen Sie dazu als Management-VLAN-ID in den physikalischen Parametern des Profils einen Wert größer als '0' ein.
  • Seite 918 Referenzhandbuch 13 WLAN-Management WEBconfig: LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Netzwerkprofile RADIUS-Accounting aktiviert Stellen Sie hier ein, ob das RADIUS-Accounting in diesem logischen WLAN-Netzwerk aktiviert werden soll. Mögliche Werte: ja, nein Default: nein Die APs, die der WLC mit diesem logischen WLAN-Netzwerk konfiguriert, müssen eine LCOS-Version 8.00 oder höher verwenden.

  • Seite 919: Anzeigen Und Aktionen Im Lanmonitor

    Referenzhandbuch 13 WLAN-Management 13.9 Anzeigen und Aktionen im LANmonitor Über den LANmonitor haben Sie einen schnellen Überblick über die WLC im Netzwerk und die APs in der WLAN-Struktur. LANmonitor zeigt dabei u. a. die folgenden Informationen: Aktive WLAN-Netzwerke mit den eingebuchten WLAN-Clients sowie der Bezeichnung des APs, bei dem der WLAN-Client eingebucht ist.

  • Seite 920: Funkfeldoptimierung

    Referenzhandbuch 13 WLAN-Management Trennt die Verbindung zwischen AP und WLC. Der AP sucht dann erneut nach einem zuständigen WLC. Diese Aktion wird z. B. verwendet, um APs nach einem Backup-Fall vom Backup-WLC zu trennen und wieder auf den eigentlichen WLC zu leiten. Aktualisieren Aktualisiert die Anzeige des LANmonitors.

  • Seite 921: Gruppenbezogene Funkfeldoptimierung

    Referenzhandbuch 13 WLAN-Management LANmonitor: Klicken Sie mit der rechten Maustaste auf die Liste der aktiven APs oder auf ein bestimmtes Gerät und wählen Sie danach im Kontextmenü Starte automatische Funkfeldoptimierung. Die Optimierung läuft dann in den folgenden Schritten ab: 1. Der WLC weist allen APs den gleichen Kanal zu. Hierbei verwendet er den Kanal, der von den meisten APs genutzt wird.
  • Seite 922 Referenzhandbuch 13 WLAN-Management Die entsprechende Gruppe lässt sich sowohl über WEBconfig als auch die Konsole mit dem Gruppen-Parameter ansprechen: do /Setup/WLAN-Management/start optimization <Gruppe> Die APs sind über folgende Optionen des Gruppen-Parameters filterbar: -g <Gruppenname> APs, die der Gruppe angehören. Mehrere Gruppennamen sind durch Komma getrennt möglich. -l <Standort>...

  • Seite 923: Client Steering Über Den Wlc

    Referenzhandbuch 13 WLAN-Management Kombinationen sind möglich, um z. B. APs mit einer Firmwareversion zwischen zwei Versionsständen zu adressieren. -n <Intranet-Adresse> APs, die sich im Intranet mit der angegebenen Adresse befinden. -p <Profilname> APs, die sich im angegebenen WLAN-Profil befinden. 13.11 Client Steering über den WLC Das Client Steering ermöglicht den APs, die im Sendebereich befindlichen WLAN-Clients anhand bestimmter Kriterien zu veranlassen, sich immer mit dem für sie idealen AP zu verbinden.

  • Seite 924: Konfiguration

    Referenzhandbuch 13 WLAN-Management 13.11.1 Konfiguration Mit LANconfig konfigurieren Sie das Client Steering wie folgt: 1. Aktivieren Sie zunächst im WLC das Client Steering für einen AP unter WLAN-Controller > Profile > Physikalische WLAN-Parameter über die Auswahlliste Client Steering. Aus: Das Client Steering ist deaktiviert. AP-basiertes Band Steering: Der AP leitet den WLAN-Client eigenständig auf ein bevorzugtes Frequenzband.
  • Seite 925 Referenzhandbuch 13 WLAN-Management Toleranz-Schwelle Um diesen Prozentwert darf der errechnete Wert für einen AP vom maximal errechneten Wert abweichen, so dass der AP die Erlaubnis erhält, den Client beim nächsten Anmeldeversuch anzunehmen. Signal-Gewichtung Gibt an, mit wie viel Prozent der Signalstärke-Wert in den endgültigen Wert eingeht. Anzahl-Clients-Gewichtung Gibt an, mit wie viel Prozent der Wert für die Anzahl angemeldeter Clients bei einem AP in den endgültigen Wert eingeht.

  • Seite 926: Kanallastanzeige Im Wlc-Betrieb

    Referenzhandbuch 13 WLAN-Management 5. Optional: Ordnen Sie ggf. definierten Zuweisungs-Gruppen ein entsprechendes Client Steering-Profil zu. Damit haben Sie die Konfiguration des Client-Steerings abgeschlossen. 13.12 Kanallastanzeige im WLC-Betrieb Für die von einem WLC verwalteten APs wird die Last auf den verwendeten Kanälen in drei Werten als minimale, maximale und durchschnittliche Kanallast angezeigt.

  • Seite 927: Sicherung Der Zertifikate

    Referenzhandbuch 13 WLAN-Management 13.13 Sicherung der Zertifikate Ein WLC erzeugt beim ersten Systemstart die grundlegenden Zertifikate für die Zuweisung der Zertifikate an die APs – darunter die Root-Zertifikate für die CA (Certification Authority) und die RA (Registration Authority). Auf der Grundlage dieser beiden Zertifikate stellt der WLC die Geräte-Zertifikate für die APs aus.

  • Seite 928: Zertifikats-Backup In Das Gerät Einspielen

    Referenzhandbuch 13 WLAN-Management 2. Wählen Sie in der Liste Zertifikattyp den gewünschten PKCS12-Container aus und klicken Sie auf Speichern. 13.13.2 Zertifikats-Backup in das Gerät einspielen 1. Wählen Sie Dateimanagement > Zertifikat oder Datei hochladen. 2. Wählen Sie dann als Dateityp nacheinander die beiden Einträge für die SCEP-CA: PKCS12-Container mit CA-Backup PKCS12-Container mit RA-Backup 3.

  • Seite 929: Sichern Und Wiederherstellen Weiterer Dateien Der Scep-Ca

    Referenzhandbuch 13 WLAN-Management 13.13.3 Sichern und Wiederherstellen weiterer Dateien der SCEP-CA Um die SCEP-CA vollständig wiederherstellen zu können, sind auch die Informationen über die von der SCEP-CA ausgestellten Geräte-Zertifikate für die einzelnen APs wichtig. Wenn nur die Root-Zertifikate gesichert werden, können die ausgestellten Geräte-Zertifikate nicht mehr zurückgerufen werden! Daher müssen Sie neben den Zertifikaten selbst noch folgende Dateien sichern: SCEP-Zertifikatsliste: Liste aller von der SCEP-CA jemals ausgestellten Zertifikate.

  • Seite 930: One Click Backup Der Scep-Ca

    Referenzhandbuch 13 WLAN-Management 13.13.4 One Click Backup der SCEP-CA Um das Backup der im WLC vorliegenden CA zu vereinfachen, bietet Ihnen das Gerät die Möglichkeit, mit einer einzigen Aktion einen kompletten Zertifikats-Datensatz zu erzeugen (One Click Backup). Dieser Datensatz erlaubt Ihnen die vollständige Sicherung und Wiederherstellung der CA und vermeidet das Auftreten von Zertifikats-Konflikten.
  • Seite 931 Referenzhandbuch 13 WLAN-Management 2. Wählen Sie in der Liste Zertifikattyp den gewünschten PKCS12-Container-Typ aus und klicken Sie auf Speichern. Hochladen 1. Markieren Sie den entsprechenden WLC in der Geräteübersicht und wählen Sie im Menü Gerät > Konfigurations-Verwaltung den Punkt Zertifikat oder Datei hochladen. 2.

  • Seite 932: Backuplösungen

    Referenzhandbuch 13 WLAN-Management 13.14 Backuplösungen WLCs verwalten eine große Zahl von APs, bei denen wiederum zahlreiche WLAN-Clients eingebucht sein können. Die WLC haben daher eine zentrale Bedeutung für die Funktionsfähigkeit der gesamten WLAN-Struktur – die Einrichtung einer Backup-Lösung für den vorübergehenden Ausfall eines WLCs ist daher in vielen Fällen unverzichtbar. In einem Backup-Fall soll sich ein gemanagter AP mit einem anderen WLC verbinden.

  • Seite 933: Ermittlung Der Idealen Ap-Verteilung

    Referenzhandbuch 13 WLAN-Management Ein AP arbeitet dabei die einzelnen Kriterien sequentiell ab: Sofern nach der Anwendung eines Kriteriums mehrere WLCs für den idealen WLC in Frage kommen, zieht der AP das nächste Kriterium zur Priorisierung heran. Dieser Prozess endet, wenn im Rahmen der nachfolgend beschriebenen Priorisierung schließlich ein WLC als idealer WLC verbleibt. Kriterien zur Priorisierung Spezifität der AP-Konfiguration: Ein AP wertet aus, ob ein WLC für den AP eine Konfiguration bereithält und ob diese ein spezifisches AP-Profil oder ein Default-Profil umfasst.

  • Seite 934: Einrichten Einer Ca-Hierarchie

    2. Wechseln Sie in das Menü Setup > Zertifikate > SCEP-CA > CA-Zertifikate. Passen Sie hier die Namen für die Certificate Authority (CA) und die Registration Authority (RA) über die Parameter CA-Distinguished-Name und RA-Distinguished-Name an. Beispiel: /CN=WLC-MAIN CA/O=LANCOM SYSTEMS/C=DE 3. Wechsel Sie in das Menü Setup > Zertifikate > SCEP-CA und setzten Sie den Parameter Aktiv auf Ja.
  • Seite 935 Certificate Authority (CA) und die Registration Authority (RA) über die Parameter CA-Distinguished-Name und RA-Distinguished-Name an. Beispiel: /CN=WLC-SUB CA/O=LANCOM SYSTEMS/C=DE 4. Wechseln Sie in das Menü Setup > Zertifikate > SCEP-CA > Sub-CA und tragen Sie für den Parameter CADN den Distinguished Name der Root-CA ein.

  • Seite 936: Backup Mit Redundanten Wlan-Controllern

    4. Geben Sie als URL die IP-Adresse oder den DNS-Namen des Haupt-WLCs ein gefolgt vom Pfad zur CA /cgi-bin/pkiclient.exe, also z. B. 10.1.1.99/cgi-bin/pkiclient.exe. Distinguished-Name: Standardname der CA (/CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE) bzw. der Name der auf dem primären Controller vergeben wurde...
  • Seite 937 Verwendungs-Typ: WLAN-Controller 5. Erstellen Sie dann einen neuen Eintrag in der Zertifikats-Tabelle mit folgenden Angaben: CA-Distinguished-Name: Der Standardname, der bei der CA eingetragen wurde, also z. B. /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE Subject: Angabe der MAC-Adresse des Haupt-WLAN-Controllers in der Form: /CN=00:a0:57:01:23:45/O=LANCOM SYSTEMS/C=DE Challenge: Das allgemeine Challenge-Passwort der CA auf dem primären WLAN-Controller oder ein extra für...

  • Seite 938: Backup Mit Primären Und Sekundären Wlan-Controllern

    Referenzhandbuch 13 WLAN-Management 13.14.3 Backup mit primären und sekundären WLAN-Controllern Mit einer zweiten Form des Backups können Sie für eine größere Anzahl von "primären" WLCs einen gemeinsamen, "sekundären" Backup-WLC bereitstellen. Beim Ausfall eines WLCs bleiben die APs zwar in Betrieb, arbeiten allerdings mit der aktuellen Konfiguration der WLAN-Module weiter.

  • Seite 939: Automatische Suche Nach Alternativen Wlcs

    Referenzhandbuch 13 WLAN-Management Sobald der AP eine Verbindung zu einem sekundären WLC hergestellt hat, wird der Ablauf der Zeit für den autarken Weiterbetrieb unterbrochen. Der AP bleibt also mit seinen WLAN-Netzwerken auch über diese eingestellte Zeit hinaus aktiv, solange er eine Verbindung zu einem WLC hat. 1.

  • Seite 940: Automatischer Konfigurationsabgleich (Config-Sync) Mit Der Lancom Wlc High Availability Clustering Xl Option

    Referenzhandbuch 13 WLAN-Management Zurückspielen der Backup-Datei Um einen Zertifikats-Datensatz zurückzuspielen, laden Sie die gesicherte Zip-Datei unter Angabe der Passphrase direkt in das Gerät. Im WEBconfig z. B. erfolgt dies über die Auswahl Dateimanagement > Zertifikat oder Datei hochladen > SCEP-CA - One Click Backup. Setzen Sie dabei die Option Vorhandene CA Zertifikate ersetzen, damit das Gerät den Zertifikats-Datensatz nach dem Hochladen automatisch zurückspielt.

  • Seite 941: Spezielles Lanconfig-Icon Für Cluster-Geräte Oder Mit Config-Sync

    Referenzhandbuch 13 WLAN-Management Gemeinsame Parameter in einem Cluster (z. B. WLAN-Profile, AP-Tabellen oder Public Spot-Einstellungen) werden hierbei synchronisiert, individuelle Parameter (wie z. B. die IP-Adresse des WLCs) werden nicht untereinander ausgetauscht. Mit der LANCOM WLC High Availability Clustering XL Option profitieren Sie von einer deutlich vereinfachten Administration sowie einer enormen Zeitersparnis, da Sie nur einen WLC des Clusters konfigurieren müssen.
  • Seite 942 Referenzhandbuch 13 WLAN-Management Diese Meldung können Sie bei Bedarf umgehen. Aktivieren Sie hierfür die Option Nicht wieder anzeigen innerhalb des angezeigten Fensters.

  • Seite 943: Spezielles Lanmonitor-Icon Für Cluster-Geräte Oder Mit Config-Sync

    Referenzhandbuch 13 WLAN-Management 13.15.2 Spezielles LANmonitor-Icon für Cluster-Geräte oder mit Config-Sync LANmonitor markiert Geräte, die ihre Konfiguration per Config-Sync teilen, mit einem eigenen Symbol. Zudem wird hinter den Gerätenamen der Name der Konfigurationsgruppe (Cluster name) angegeben. Somit können Sie mit LANmonitor die Geräte mit gleicher Konfiguration leichter zuordnen.

  • Seite 944: Public Spot

    Referenzhandbuch 14 Public Spot 14 Public Spot 14.1 Einführung Dieses Kapitel gibt Antworten auf die beiden folgenden Fragen: Was ist ein "Public Spot"? Welche Funktionen und Eigenschaften zeichnen das Public Spot-Modul aus? 14.1.1 Was ist ein "Public Spot"? Public Spots, auch HotSpots genannt, sind Orte, an denen sich Benutzer mit ihren Endgeräten – z. B. einem Smartphone, Tablet-PC oder Notebook –...

  • Seite 945: Benutzer-Autorisierung Und -Authentifizierung

    Referenzhandbuch 14 Public Spot Es gibt keine Möglichkeit, die Benutzung abzurechnen (fehlendes Accounting). Aus diesem Grund ist der Einsatz von Geräten ohne Public Spot-Funktion nicht praktikabel, da diese Geräte nicht in der Lage sind, zwischen befugten und unbefugten Nutzern öffentlich zugänglicher Netze zu trennen und deren spezifische Netznutzung entsprechend zu protokollieren.

  • Seite 946: Gastzugänge In Sportstadien

    Referenzhandbuch 14 Public Spot anmelden. Bei kostenpflichtigen Internetzugängen können zudem die Nutzungsgebühren direkt auf die Zimmerrechnung verbucht werden. Alternativ sind natürlich auch kostenlose Gastzugänge in Hotels einfach einzurichten – je nach Bedarf. Komfortable Inbetriebnahme und Konfiguration – ein benutzerfreundlicher Einrichtungs- und Konfigurationsassistent garantiert eine einfache Inbetriebnahme des Hotspots.

  • Seite 947: Gastzugänge Auf Campingplätzen

    Referenzhandbuch 14 Public Spot Komfortable Inbetriebnahme und Konfiguration – ein benutzerfreundlicher Einrichtungs- und Konfigurationsassistent garantiert eine einfache Inbetriebnahme des Hotspots. Genaueres erfahren Sie im Kapitel Basis-Installation eines Public Spots für einfache Szenarien auf Seite 956. Gastzugänge auf Campingplätzen Campingplätze befinden sich im Freien und sind meist sehr weitläufig. Trotzdem erwarten Urlauber auf modernen Campingplätzen den Komfort, mit dem eigenen Laptop, Tablet oder Smartphone jederzeit auf das Internet zuzugreifen.

  • Seite 948: Gastzugänge In Schulen Und Universitäten

    Referenzhandbuch 14 Public Spot Zuverlässig auch unter extremen Bedingungen – dank der robusten IP66 Outdoor-Gehäuse und ihres erweiterten Temperaturbereichs sind die LANCOM Outdoor-Geräte zuverlässig und trotzen auch extremen Wetterbedingungen von -33 bis +70 °C. Gastzugänge in Schulen und Universitäten Für Hausarbeiten recherchieren, für Prüfungen lernen, den Unterricht vorbereiten oder interaktiv gestalten. Die Möglichkeit der Internetnutzung ist für Schüler und Studenten sowie Lehrer und Mitarbeiter an modernen Schulen und Universitäten heute unerlässlich –...

  • Seite 949: Gastzugänge In Unternehmen

    Referenzhandbuch 14 Public Spot Kein Missbrauch des Netzwerks – durch den LANCOM Content Filter erfolgt eine professionelle, datenbankgestützte Verifizierung von Webseiten. Unerwünschte Websites oder Webinhalte können so für definierte Benutzergruppen unzugänglich gemacht werden. Komfortable, kabellose Internetzugänge – auch in großen Arealen haben Gäste ohne aufwändige Installation mit ihren mobilen Endgeräten WLAN-Internetzugang.

  • Seite 950: Gastzugänge Für Provider

    Referenzhandbuch 14 Public Spot sicher vor unbefugten Zugriffen. Genaueres erfahren Sie im Kapitel Virtualisierung und Gastzugang über WLAN Controller mit VLAN auf Seite 1053. Komfortable Inbetriebnahme und Konfiguration – über LANCOM WLAN Controller können unterschiedliche Benutzerprofile definiert und die Konfigurationen in die verschiedenen WLAN-Geräte – selbst über entfernte Standorte hinweg –...

  • Seite 951: Gastzugänge In Der Gastronomie

    Referenzhandbuch 14 Public Spot sowie die Abrechnung providerspezifisch umgesetzt werden. Genaueres erfahren Sie im Kapitel Alternative Anmeldeformen auf Seite 999. Multi-Provider-Unterstützung – LANCOM Geräte sind nicht auf das Zurückgreifen auf einen bestimmten Provider festgelegt. Hotspot-Dienstanbieter, die über Kooperationen mit verschiedenen Providern verfügen, können Ihre Software-Lösungen über verschiedene Schnittstellen mit LANCOM Geräten kombinieren.

  • Seite 952: Das Public Spot-Modul Im Überblick

    Open User Authentication (OUA) Die Open User Authentication (OUA) stellt eine web-basierte Authentisierung über ein Formular bereit und eignet sich deshalb optimal für Public Spot-Installationen. Das Verfahren selbst wurde von LANCOM Systems entwickelt. Typischer Ablauf einer Online-Sitzung mit OUA 1. Der Benutzer eines (W)LAN-fähigen Endgerätes befindet sich in Reichweite eines Access Points bzw. einer Netzwerkdose im Public Spot-Betrieb.
  • Seite 953 Points erfolgen (Multi-SSID). VLAN-Technik kann den öffentlichen Zugang vom privaten Netz des Betreibers trennen. Die virtuelle Routing-Technologie ARF (Advanced Routing and Forwarding) von LANCOM Systems versieht eine SSID mit eigenen Sicherheits- und QoS-Einstellungen und routet darüber nur bestimmte Ziele. So kann der Gastzugang über einen Public Spot – sicher und effektiv vom Produktivnetz getrennt – die gemeinsame Infrastruktur mitnutzen.

  • Seite 954: Assistent Zur Einrichtung Eines Public Spots

    Referenzhandbuch 14 Public Spot Sicherheit für den Benutzer Für den Benutzer eines Public Spots steht die Vertraulichkeit der übertragenen Daten im Vordergrund. Zudem wünscht er die Sicherung seiner Benutzerdaten gegen Missbrauch. Ihn schützen folgende Sicherungstechnologien: Intra-Cell Blocking (nur WLAN) Unterbinden Sie in Ihrem Public Spot-Netzwerk die Kommunikation der WLAN-Clients untereinander. Diese Maßnahme erschwert –...

  • Seite 955: Einrichtung Und Betrieb

    Referenzhandbuch 14 Public Spot die IP-Adresse, die gesendeten / empfangenen Datenmengen oder etwaige Beschränkungen, die für das Benutzerkonto gelten. Verwalten mehrere Administratoren die Public Spot-Zugänge, haben Sie die Möglichkeit, die Anzeige der angelegten Accounts auf den jeweiligen Administrator zu beschränken. Als Folge erscheinen in der tabellarischen Übersicht lediglich die angelegten Zugänge des gerade angemeldeten Administrators.

  • Seite 956: Basis-Installation Eines Public Spots Für Einfache Szenarien

    Referenzhandbuch 14 Public Spot Basis-Installation eines Public Spots für einfache Szenarien Installation über den Setup-Assistenten Der folgende Abschnitt beschreibt, wie Sie mit dem Einrichtungs-Assistenten die Basis-Installation eines Public Spots über LANconfig vornehmen. Der Assistent für die Basis-Konfiguration des Public Spots zeigt je nach Gerätetyp und Verlauf verschiedene Dialoge.
  • Seite 957 Referenzhandbuch 14 Public Spot 4. Wählen Sie aus dem Auswahlmenü die logische Schnittstelle aus, über die Sie den Public Spot anbieten wollen (z. B. WLAN-1), und geben Sie dem Funknetzwerk einen aussagekräftigen Namen (SSID). Klicken Sie auf Weiter. 5. Weisen Sie dem Gerät die IP-Adresse und die Netzmaske zu, die Ihr Public Spot-Netzwerk spezifizieren soll, und klicken Sie auf Weiter.
  • Seite 958 Referenzhandbuch 14 Public Spot einen neuen Eintrag an und tragen Sie unter IP-Adresse die Netzadresse Ihres Public Spot-Netzes ein sowie unter Router die Adresse, die der Public Spot in Ihrem lokalen Netz besitzt. 6. Legen Sie fest, mit welchen Zugangsdaten sich Ihre Benutzer am Public Spot anmelden. Außerdem können Sie die Anmeldeseite optional mit einem Login-Text personalisieren.
  • Seite 959 Referenzhandbuch 14 Public Spot Über den Benutzer-Erstellungs-Assistenten Public-Spot-Benutzer einrichten hat ein Administrator die Möglichkeit, zeitliche befristete Benutzerkonten für Public Spot-Benutzer zu erstellen und die dazugehörigen Zugangsdaten auf einem Voucher auszudrucken. Über den Benutzer-Verwaltungs-Assistenten Public-Spot-Benutzer verwalten hat ein Administrator die Möglichkeit, diese Nutzer zu admistrieren.
  • Seite 960 Referenzhandbuch 14 Public Spot MAC-Adresse des Netzwerkadapters erfolgt, welche sich fälschen lässt, stellt dieser Anmeldungsweg ein potentielles Sicherheitsrisiko dar und ist deshalb standardmäßig deaktiviert. 10. Aktivieren Sie bei Bedarf die Protokollierung der An- und Abmeldungen der Pulic-Spot-Benutzer im internen SYSLOG-Speicher des Gerätes. Klicken Sie anschließend auf Weiter. Da die Protokollierung landesspezifischen Regelungen entspricht, ist diese Option standardmäßig deaktiviert.

  • Seite 961: Manuelle Installation

    Referenzhandbuch 14 Public Spot Bevor Sie die Konfiguration auf Ihr Gerät übertragen, haben Sie die Möglichkeit, die Einstellungen lokal auf Ihrem PC zu sichern, sie per E-Mail zu verschicken oder eine Zusammenfassung auszudrucken. 12. Klicken Sie abschließend auf Weiter und Fertig stellen, um die Basis-Installation des Public Spots abzuschließen. Der Setup-Assistent sendet die Einstellungen daraufhin an das Gerät.

  • Seite 962: Authentifizierungsseiten Einschränken

    Referenzhandbuch 14 Public Spot können, auch die logischen LAN-Interfaces (LAN-1 etc.) und die Point-to-Point-Strecken (P2P-1 etc.). Über LAN- und P2P-Interfaces können Sie weitere Access-Points in den Public Spot eines anderen Gerätes einbeziehen. Wählen Sie für einen singulären Access-Point hingegen z. B. das logische WLAN-Interface WLAN-1. LANconfig: Public-Spot >...
  • Seite 963 Referenzhandbuch 14 Public Spot Damit Endgeräte über unterschiedliche Interfaces bzw. Schnittstellen eines Public Spot-Gerätes (z. B. zwischen LAN-1 und WLAN-1) miteinander kommunizieren können, sind diese Schnittstellen in Ihrem Gerät logisch miteinander verknüpft (gebridged). In einem Public Spot-Szenario ist solch ein Bridging aus Sicherheitsgründen aber oft nicht erwünscht.
  • Seite 964 Referenzhandbuch 14 Public Spot Das Public Spot-Modul enthält in Ihrem Netzwerk eine eigene IP-Adresse, die unabhängig von der Adresse ist, die Sie dem Gerät zugewiesen haben. Haben Sie z. B. ein 192.168.0.0/24-Netzwerk aufgespannt und Ihr Gerät besitzt darin die IP 192.168.2.1, können Sie dem Public Spot-Modul z. B. die IP 192.168.3.1 und die Subnetzmaske 255.255.255.0 vergeben, sofern diese IP nicht anderweitig belegt ist.
  • Seite 965 Referenzhandbuch 14 Public Spot LANconfig: IPv4 > DHCPv4 > DHCP-Netzwerke 9. Deaktivieren Sie die Verschlüsselung für das Interface, über das Sie den Public Spot anbieten. Diese Einstellung betrifft nicht: Router, WLAN Controller, Central Site Gateways. Standardmäßig ist für alle logischen WLANs eine Verschlüsselung aktiviert. In Public Spot-Anwendungen werden die Nutzdaten zwischen den WLAN-Clients und dem Access Point üblicherweise unverschlüsselt übertragen.
  • Seite 966 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Anmeldung > Anmeldungs-Modus Beachten Sie, dass – wenn Sie die Einstellungen Keine Anmeldung nötig wählen –, auch Unbefugte ungehinderten Zugriff auf Ihren Public Spot haben können! 11. Definieren Sie den internen RADIUS-Server als den für die Benutzerverwaltung und das Accounting zuständigen Server.
  • Seite 967 Referenzhandbuch 14 Public Spot LANconfig: RADIUS-Server > Allgemein 12. Erstellen Sie für den internen RADIUS-Server in der Anmelde-Server-Liste des Public Spots einen Eintrag. Unter Auth.-Server IP-Adresse und Acc.-Server IP-Adresse tragen Sie die Loopback-Adresse 127.0.0.1 ein; den Auth.-Server Port und den Acc.-Server Port entnehmen Sie dem Authentifizierungs-Port und Accouting-Port aus dem vorangegangenen Einstellungsdialog.
  • Seite 968 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Benutzer > Anmelde-Server 13. Richten Sie zur Absichererung Ihrer lokalen Netzwerke Filterregeln für den Public Spot in der Firewall ein. Erstellen dazu jeweils eine Erlaubnisregel (z. B. ALLOW_PS-WLAN-1) und eine Verbotsregel (z. B. DENY_PS-WLAN-1). Über die Erlaubnisregel gestatten Sie Geräten aus dem Public Spot-Netzwerk explizit, DNS-Anfragen in alle lokalen Netzwerke –...
  • Seite 969 Referenzhandbuch 14 Public Spot LANconfig: Firewall/QoS > IPv4-Regeln > Regeln… Einstellungen für die Erlaubnisregel: a) Tragen Sie unter Allgemein den Namen der Regel ein, z. B. ALLOW_PS-WLAN-1. b) Entfernen Sie alle eventuell voreingestellten Aktions-Objekte aus der Liste und fügen Sie über Aktionen > Hinzufügen…...

  • Seite 970: Standardwerte Für Den Public Spot-Assistenten Setzen

    Referenzhandbuch 14 Public Spot d) Wählen Sie im sich öffnenden Stations-Dialog die Option Alle Stationen im lokalen Netzwerk und wählen Sie unter Netzwerk-Name den Namen Ihres Public Spot-IP-Netzwerks, z. B. PS-WLAN-1. Schließen Sie den Stations-Dialog mit OK. e) Aktivieren Sie unter Stationen > Verbindungs-Ziel die Option Verbindungen an folgende Stationen und wählen Sie Hinzufügen…...
  • Seite 971 Referenzhandbuch 14 Public Spot Der Benutzer-Erstellungs-Assistent verwendet die kürzeste Laufzeit als Standardwert. 4. Definieren Sie unter Max. gleichzeitige Logins die für den jeweiligen Benutzer zutreffende Anzal von Geräten, die maximal gleichzeitig auf das Benutzerkonto zugreifen dürfen. Der Wert 0 steht dabei für 'Unbegrenzt'. Ob die mehrfache Anmeldung mit einem oder mehreren Geräten generell erlaubt ist, gibt der Public Spot-Administrator später beim Anlegen eines neues Benutzers über eine gesonderte Einstellung im Assistenten an.

  • Seite 972: Beschränkten Administrator Zur Public Spot-Verwaltung Einrichten

    Referenzhandbuch 14 Public Spot Fertig! Damit ist die Konfiguration der Standardwerte für den Public Spot-Assistenten abgeschlossen. Beschränkten Administrator zur Public Spot-Verwaltung einrichten Um Mitarbeitern auch ohne Zugriff auf die Gerätekonfiguration die Einrichtung und Verwaltung von Benutzern zu erlauben, haben Sie die Möglichkeit, einen beschränkten Administrator einzurichten, welcher ausschließlich über die Rechte zur Verwendung der Public Spot-Assistenten verfügt.

  • Seite 973: Public-Spot-Benutzer Für Einfache Szenarien Einrichten Und Verwalten

    Referenzhandbuch 14 Public Spot Sofern Sie die Funktions-Rechte für mehrere Assistenten gesetzt haben, kann der beschränkte Administrator in WEBconfig über die Navigationsleiste zwischen den Assistenten navigieren. Sofern Sie ausschließlich das Funktionsrecht Public-Spot-Assistent (Benutzer anlegen) gesetzt haben, kann ein beschränkter Administrator lediglich innerhalb des Benutzer-Erstellungs-Assistenten navigieren; die Navigationsleiste bleibt verborgen.
  • Seite 974 Referenzhandbuch 14 Public Spot 3. Der Benutzer-Erstellungs-Assistent startet mit der Eingabemaske. Die Felder sind mit Standardwerten vorbelegt. Der Assistent vergibt daraufhin automatisch einen Nutzernamen und ein Zugangs-Passwort. Im anschließenden Druck-Dialog können Sie den Voucher-Drucker auswählen und den Voucher ausdrucken. 4. Ändern Sie ggf. vor dem Druck die Standardwerte den Anforderungen entsprechend. Die folgenden Einträge beeinflussen sowohl Aussehen als auch Gültigkeit des Vouchers: Startzeitpunkt des Zugangs: Legt fest, ab wann der Voucher gültig ist.
  • Seite 975 Referenzhandbuch 14 Public Spot Anzahl Voucher: Geben Sie an, wie viele Vouchers Sie gleichzeitig erstellen möchten. Wenn Sie den ersten Login als Startzeitpunkt des Zugangs festgelegt haben, können Sie hierüber mehrere Vouchers "auf Vorrat" ausdrucken. Zeit-Budget (Minuten): Geben Sie an, nach welcher Online-Zeit der Public Spot-Zugang schließt. Je nach gewählter Ablauf-Methode bestimmt entweder dieses Zeit-Budget (inkrementell) oder die eingestellte Voucher-Zugangsdauer (absolut) die Frist für den Zugang.
  • Seite 976 Referenzhandbuch 14 Public Spot 3. Der Public Spot-Assistent startet mit einer Liste der registrierten Public Spot-Benutzer. In der Auswahlliste Zeige ... Einträge pro Seite stellen Sie die Anzahl angezeigter Einträge pro Seite ein. Die entsprechenden Seiten rufen Sie über die Seitennavigation rechts unten auf: Erste Seite: Zeigt die Seite mit den ersten Einträgen an.
  • Seite 977 Referenzhandbuch 14 Public Spot Drucken: Drucken Sie die Vouchers der markierten Benutzer aus. Löschen: Löschen Sie die markierten Benutzer. Speichern: Speichern Sie die Änderungen. Zurück zur Hauptseite: Wechseln Sie zur Hauptseite zurück, wobei alle ungespeicherten Änderungen verloren gehen. Folgenden Angaben eines Benutzers passen Sie an, indem Sie die Inhalte der entsprechenden Felder ändern: Ablauf-Typ Abs.-Ablauf Case-Sensitiv...

  • Seite 978: Sicherheitseinstellungen

    Referenzhandbuch 14 Public Spot LANconfig: RADIUS-Server > Allgemein > Benutzerkonten Sofern die Authentifizierung zusätzlich über die MAC-Adresse erfolgt (Authentifizierungs-Modus Anmeldung mit Name, Passwort und MAC-Adresse), definieren Sie die MAC-Adresse über das Feld Rufende Station in der Form 12:34:56:78:90:AB. 2. Setzten Sie den Dienst-Typ auf Anmeldung. 3.

  • Seite 979: Konfigurationszugriff Einschränken

    Referenzhandbuch 14 Public Spot Unberechtigte Nutzung des Public-Spots: Mit geeigneten Tools könnte ein Benutzer alle Daten in ein DNS-Paket verpacken (also einen DNS-Tunnel aufbauen) und so einen Public Spot ohne Anmeldung nutzen. Denial-of-Service: Der Angreifer könnte erhebliche Datenmengen an das angegriffene Gerät senden und auf diese Weise versuchen, das Gerät bzw.

  • Seite 980: Erweiterte Funktionen Und Einstellungen

    Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Server > WEBconfig-Zugang über Public Spot-Interface auf Authentifizierungsseiten einschränken Bitte beachten Sie, dass Sie über die Zugriffsrechte unter Management > Admin > Konfigurations-Zugriffs-Wege > Zugriffs-Rechte nicht generell den Zugriff über HTTP(S) auf das Gerät einschränken.
  • Seite 981 Referenzhandbuch 14 Public Spot Nutzen Sie die geräteeigenen Funktionen, um abgelaufene Public Spot-Benutzerkonten und nicht ordnungsgemäß abgemeldetete Mobilstationen (nur WLAN) automatisch aus den geräteinternen Datenbanken zu entfernen. Übergabe von WLAN-Sitzungen zwischen Geräten Erfahren Sie mehr über die Roaming-Möglichkeiten von Mobilstationen zwischen einzelnen Access Points, und welche besonderen Konfigurationen notwendig sind, um Ihren Benutzern die unterbrechungsfreie Übergabe von WLAN-Sitzungen zu ermöglichen.
  • Seite 982 Referenzhandbuch 14 Public Spot Wählen Sie hier die für den jeweiligen Benutzer zutreffende Anzal von Geräten aus, die maximal gleichzeitig auf das Benutzerkonto zugreifen dürfen. Beachten Sie, dass für die Aktivierung der Funktion zusätzlich noch die Option Mehrfach-Logins ausgewählt sein muss. Anmeldungsfreie Netze Um den Benutzern den Zugang zu wichtigen Informationen auch ohne Anmeldung zu ermöglichen (z.
  • Seite 983 Referenzhandbuch 14 Public Spot LANconfig: Public-Spot > Server > Verzeichnis Zusätzlich zum frei erreichbaren Web-Server können Sie weitere Netze und Spezial-Seiten definieren, welche von Ihren Kunden ohne Anmeldung genutzt werden dürfen. LANconfig: Public-Spot > Server > Freie Netze bzw. Seiten-Tabelle Freie Netze Tragen Sie die IP-Adresse des zusätzlichen Servers oder Netzwerks inklusive Netzmaske ein, auf welche die Public Spot-Benutzer zugreifen dürfen.

  • Seite 984: Verwaltung Von Public Spot-Nutzern Über Das Web-Api

    Referenzhandbuch 14 Public Spot Tragen Sie die Adressen (URL) der Webseiten ein, die der Public Spot dem Benutzer für die Anmeldung, Fehlermeldungen, Status usw. anzeigen soll. Lesen Sie dazu auch das Kapitel über geräteeigene und individuelle Authentifizierungsseiten DNS-Snooping Webdienste mit hohen Nutzerzahlen verteilen die Datenanfragen zur besseren Auslastung auf mehrere Server. So kommt es, dass zwei DNS-Anfragen für denselben Hostnamen (z.
  • Seite 985 Referenzhandbuch 14 Public Spot Sind für einen Public Spot-Benutzer mehrere Kommentare möglich, geben Sie die Kommentare und die entsprechenden Kommentarfeld-Namen wie folgt an: &comment=<Inhalt1>:<Feldname1>,<Inhalt2>:<Feldname2>,…,<Inhalt5>:<Feldname5>, Existiert ausschließlich ein Kommentarfeld pro Benutzer, genügt die Angabe des Kommentars: &comment=<Kommentar> Deutsche Umlaute werden nicht unterstützt. Die maximale Zeichenanzahl des Kommentar-Parameters beträgt 191 Zeichen.
  • Seite 986 Referenzhandbuch 14 Public Spot Wert1: Einheit der Laufzeit. Mögliche Werte sind: Minute, Stunde, Tag Wert2: Laufzeit timebudget Zeit-Budget Fehlt dieser Parameter, verwendet der Assistent den Default-Wert. volumebudget Volumen-Budget Fehlt dieser Parameter, verwendet der Assistent den Default-Wert. volumebudget Volumen-Budget Die folgenden Angaben sind möglich: k oder K: Angabe in Kilobytes (kB), z.
  • Seite 987 Referenzhandbuch 14 Public Spot für den ersten Eintrag in der Tabelle. Fehlt dieser Parameter oder die Zeilennummer ist ungültig (die Tabelle ist z. B. leer), nimmt der Assistent kein Begrenzung der Bandbreite vor. Sind für fehlende Parameter in der Public Spot-Verwaltung keine Default-Werte angegeben, öffnet Ihnen der Assistent einen entsprechenden Dialog.
  • Seite 988 Referenzhandbuch 14 Public Spot print Automatischer Ausdruck des Vouchers. Fehlt dieser Parameter, zeigt der Assistent anschließend eine entsprechende Schaltfläche. Über diese haben Sie die Möglichkeit den Voucher auszudrucken. bandwidthprof Bandbreitenprofil Mit diesem Parameter weisen Sie einem Public Spot-Nutzer ein existierendes Bandbreitenprofil zu. Als gültigen Wert für diesen Parameter geben Sie die Zeilennummer eines unter Setup >...

  • Seite 989: Benutzertabelle Automatisch Bereinigen

    Referenzhandbuch 14 Public Spot Empfangsbandbreite: Geben Sie hier die maximale Bandbreite (in KBit/s) ein, die einem Public Spot-Benutzer im Downlink zur Verfügung stehen soll. Um die Bandbreite auf z. B. 1 MBit/s zu beschränken, tragen Sie den Wert 1024 ein. Bandbreitenprofile zuweisen Die nachfolgenen Schritte erläutern, wie sie einem Public Spot-Nutzer eingerichtete Bandbreitenprofile zuweisen.

  • Seite 990: Stationsüberwachung

    Referenzhandbuch 14 Public Spot LANCOM-Modell Größe der Benutzertabelle mit Option "Public Spot XL" *) Keine Limitierung der Tabelle, eine Obergrenze von max. 2.500 Benutzern ist jedoch empfehlenswert Stationsüberwachung Bei eingeschalteter Stationsüberwachung überprüft der Public Spot regelmäßig alle angemeldeten Endgeräte daraufhin, ob sie auch tatsächlich erreichbar sind.
  • Seite 991 Referenzhandbuch 14 Public Spot Da über VRRP keine Konfigurationen – wie z. B. die Benutzerdatenbank – abgeglichen werden, bedarf diese Lösung eines externen RADIUS-Servers. Dadurch stehen Ihnen jedoch auch bestimmte Funktionen (wie z. B. die Public Spot-Assistenten in WEBconfig) nicht mehr zur Verfügung. Roaming ist nur dann notwendig, wenn das Public Spot-Modul in den Access Points selbst eingerichtet ist.
  • Seite 992 Referenzhandbuch 14 Public Spot der richtigen Sitzung zuordnen kann, sobald er die Datenpakete zu einer Sitzung von mehreren Geräten bekommt. Wenn ein Access Point diese Informationen in einer Übergabeantwort erhält, markiert er den Client sofort als authentifiziert und startet nach Möglichkeit eine neue RADIUS-Accounting-Session. Beachten Sie, dass der neue Access Point einen entsprechenden Eintrag in seiner Anmelde-Server-Liste benötigt, um die hierfür benötigten Informationen zu erhalten.

  • Seite 993: Abrechnung Ohne Radius-Accounting-Server

    Referenzhandbuch 14 Public Spot verkettet, um eine Abfolge von RADIUS-Servern zu erstellen. Das Gerät arbeitet diese Liste Glied für Glied ab, bis es das Ende erreicht hat (Scheitern der Authentifizierung wegen Nicht-Erreichbarkeit des Servers) oder eine Antwort erhält (entweder Positiv oder Negativ). Sie verketten Backup-Server über das Eingabefeld Backup-Name im Hinzufügen-/Bearbeiten-Dialog unter Public-Spot >...
  • Seite 994 Referenzhandbuch 14 Public Spot Der Meldezyklus wird in Sekunden angegeben. Er bestimmt den Zeitabstand, in dem Ihr Gerät regelmäßig Verbindungsinformationen an den Accounting-Server sendet. Ein Meldezyklus von 0 Sekunden deaktiviert die Funktion. In diesem Fall sendet Ihr Gerät nur zu Beginn und am Ende einer Sitzung Abrechnungsinformationen. Bei Einsatz von Abrechnungsmodellen auf Guthabenbasis (PrePaid) übernimmt der RADIUS-Server die Überwachung der festgelegten Nutzungsbeschränkungen (Kontingente für Verbindungszeit oder Transfervolumen, Ablaufdatum).
  • Seite 995 Referenzhandbuch 14 Public Spot Zertifikate von allgemein anerkannten Trust-Centern sind üblicherweise mehrstufig. Offiziell signierte Zertifikate im Public Spot sind notwendig, um Zertifikatsfehlermeldungen des Browsers bei Public Spot-Authentifizierungen zu vermeiden. Das Zertifikat laden Sie über LANconfig im Dateimanagement mit den einzelnen Dateien des Root-CA-Zertifikats oder als PKCS#12-Container in das Gerät: Da Zertifikate üblicherweise auf DNS-Namen ausgestellt werden, muss der Public Spot anstelle einer internen IP-Adresse den DNS-Namen des Zertifikats als Ziel angeben (einzugeben unter Public-Spot >...

  • Seite 996: Benutzern Individuelle Vlans Zuweisen

    Referenzhandbuch 14 Public Spot bei Geräte-Hostname). Dieser Name muss im DNS-Server auf die entsprechende IP-Adresse des Public Spots aufgelöst werden. Benutzern individuelle VLANs zuweisen Unabhängig von der Zuweisung einer VLAN-ID für das gesamte Public Spot-Modul bietet Ihnen das Gerät die Möglichkeit, individuelle VLAN-IDs für einzelne Public Spot-Benutzer zu vergeben.

  • Seite 997: Fehlerseite Bei Wegfall Der Wan-Verbindung Einrichten

    Referenzhandbuch 14 Public Spot Die Vergabe einer VLAN-ID erfordert technisch bedingt die erneute Adresszuweisung durch den DHCP-Server. Solange ein Client nach der erfolgreichen Authentifizierung noch keine neue Adresse zugewiesen bekommen hat, befindet sich er sich nachwievor in seinem bisherigen (z. B. ungetaggten) Netz. Damit der Client möglichst rasch in das neue Netz überführt wird, ist es notwendig, die Lease-Time des DHCP-Servers unter IPv4 >...
  • Seite 998 Referenzhandbuch 14 Public Spot Der AP nutzt für die Übertragung der Kennung die Circuit-ID (DHCP-Option 82), die er den DHCP-Requests anhängt. Diese DHCP-Pakete durchlaufen den zentralen Public Spot, der die Kennung anhand der Einträge in der RADIUS-User-Tabelle überprüft. Der Public Spot lässt diese Anfrage nur zu, wenn diesem Voucher in der RADIUS-User-Tabelle auch dieser AP zugeordnet ist.

  • Seite 999: Alternative Anmeldeformen

    Referenzhandbuch 14 Public Spot Im WLC konfigurieren Sie diese Kennung in der RADIUS-User-Tabelle unter RADIUS-Server > Allgemein > Benutzerkonten. Als „Gerufene Station“ fügen Sie die Kennung des APs ein, der den entsprechenden Voucher-Zugriff ermöglichen soll. Der Public Spot-Setup-Assistent kann bei der Einrichtung neuer Public Spot-Nutzer automatisch die Kennung des Gerätes übernehmen, wenn diese unter Public-Spot >...

  • Seite 1000: Übersicht Der Anmeldemodi

    Referenzhandbuch 14 Public Spot Übersicht der Anmeldemodi Die Anmeldung am Public Spot kann auf verschiedenen Wegen erfolgen. Diese Einstellungen für die Authentifizierung am Netzwerk legen Sie im Dialog Public-Spot > Anmeldung fest. Folgende Anmeldungsmodi stehen Ihnen zur Auswahl: Keine Anmeldung nötig Nutzer erhalten freien Zugang zum Public Spot, eine Anmeldung ist nicht erforderlich.

Inhaltsverzeichnis