Beruflich Dokumente
Kultur Dokumente
Digitalisierungsbox Standard
Benutzerhandbuch
Rechtlicher Hinweis
Gewhrleistung
nderungen in dieser Verffentlichung sind vorbehalten.
bintec elmeg GmbH gibt keinerlei Gewhrleistung auf die in dieser Bedienungsanleitung enthaltenen Informationen.bintec elmeg GmbH bernimmt keine Haftung fr mittelbare, unmittelbare, Neben-, Folgeoder andere Schden, die mit der Auslieferung, Bereitstellung oder Benutzung dieser Bedienungsanleitung im Zusammenhang stehen.
Copyright bintec elmeg GmbH
Alle Rechte an den hier beinhalteten Daten - insbesondere Vervielfltigung und Weitergabe - sind bintec
elmeg GmbH vorbehalten.
Open Source Software in diesem Produkt
Dieses Produkt enthlt neben anderen Komponenten Open-Source-Software, die von Drittanbietern entwickelt wurde und unter einer Open-Source-Softwarelizenz lizenziert ist. Diese Open-Source-Softwaredateien unterliegen dem Copyright. Eine aktuelle Liste der in diesem Produkt enthaltenen
Open-Source-Softwareprogramme und die Open-Source-Softwarelizenzen finden Sie unter
www.bintec-elmeg.com .
GEMA
Dieses Produkt verwendet interne Wartemusik, fr deren Verwendung eine Genehmigung durch die GEMA (Gesellschaft fr musikalische Auffhrungs- und mechanische Vervielfltigungsrechte) nicht erforderlich ist. Dies hat die GEMA mit Freistellungsbescheinigung besttigt. Die Freistellungsbescheinigung
kann unter folgender Internet-Adresse eingesehen werden: www.bintec-elmeg.com . Wartemelodien
des Systems: elmeg Song, Hold the line.
Digitalisierungsbox Standard
Inhaltsverzeichnis
Inhaltsverzeichnis
Kapitel 1
Inbetriebnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1
Digitalisierungsbox Standard
. . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3
Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4
Support-Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 2
Montage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1
2.2
Reset Taster
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3
Wandmontage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4
Pin-Belegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 3
Grundkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
3.1
Vorbereitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
3.2
12
3.3
Internetverbindung einrichten. . . . . . . . . . . . . . . . . . . . . . . . .
13
3.4
14
Kapitel 4
15
4.1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
4.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Kapitel 5
Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
Kapitel 6
Systemverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
6.1
Status
6.2
Globale Einstellungen
6.3
Schnittstellenmodus / Bridge-Gruppen
. . . . . . . . . . . . . . . . . . . .
31
6.4
Administrativer Zugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
6.5
Remote Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
35
6.6
Konfigurationszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
6.7
Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
Kapitel 7
Physikalische Schnittstellen . . . . . . . . . . . . . . . . . . . . . .
55
Digitalisierungsbox Standard
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
23
25
Inhaltsverzeichnis
ii
7.1
Ethernet-Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
7.2
ISDN-Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
7.3
DSL-Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
Kapitel 8
LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
8.1
IP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
8.2
VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
Kapitel 9
Wireless LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
9.1
WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
9.2
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
9.3
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
Kapitel 10
90
10.1
Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
10.2
Controller-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
10.3
Slave-AP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
10.4
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
10.5
Umgebungs-Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
10.6
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
116
Kapitel 11
Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11.1
Routen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
11.2
Allgemeine IPv6-Prfixe . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
11.3
NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
129
11.4
Lastverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137
11.5
QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
11.6
Zugriffsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
155
Kapitel 12
Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
163
12.1
Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
164
12.2
IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
164
12.3
Weiterleiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
168
Kapitel 13
WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
169
Digitalisierungsbox Standard
Inhaltsverzeichnis
13.1
Internet + Einwhlen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
169
13.2
ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
184
13.3
193
Kapitel 14
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14.1
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 15
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15.1
Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
225
15.2
Schnittstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
15.3
Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
15.4
Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
15.5
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
Kapitel 16
VoIP
16.1
. . . . . . . . . . . . . . . . . . . . . . . . .
241
16.2
Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
16.3
Media Gateway
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259
16.4
RTSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
Kapitel 17
Lokale Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.1
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
17.2
HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
275
17.3
DynDNS-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
276
17.4
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
279
17.5
Scheduling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
288
17.6
berwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
303
17.7
UPnP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
Kapitel 18
Wartung
18.1
Diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
310
18.2
Software &Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
18.3
Neustart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
315
Kapitel 19
Externe Berichterstellung. . . . . . . . . . . . . . . . . . . . . . .
Digitalisierungsbox Standard
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
195
224
241
267
310
317
iii
Inhaltsverzeichnis
19.1
Systemprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
317
19.2
IP-Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
319
19.3
Benachrichtigungsdienst
320
Kapitel 20
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20.1
Internes Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
325
20.2
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
325
20.3
ISDN/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
328
20.4
Schnittstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
329
20.5
WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
331
20.6
Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
336
20.7
QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
. . . . . . . . . . . . . . . . . . . . . . . . . .
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
325
338
Digitalisierungsbox Standard
1 Inbetriebnahme
Kapitel 1 Inbetriebnahme
1.1 Digitalisierungsbox Standard
In diesem Kapitel erfahren Sie, wie Sie Ihr Gert aufstellen, anschlieen und in wenigen Minuten in Betrieb nehmen.
Der Weg zu einer weiterfhrenden Konfiguration wird Ihnen anschlieend Schritt fr Schritt erlutert.
Tiefergehende Kenntnisse ber Telefonanlagen und Router sind dabei nicht erforderlich. Ein detailliertes
Online-Hilfe-System gibt Ihnen zustzlich Hilfestellung.
Achtung
Vor Installation und Inbetriebnahme Ihres Gerts lesen Sie bitte aufmerksam die beiliegenden Sicherheitshinweise.
Achtung
Die Verwendung eines falschen Steckernetzgerts kann zum Defekt Ihres Gerts fhren!
Verwenden Sie ausschlielich das mitgelieferte Steckernetzgert!
Gehen Sie beim Aufstellen und Anschlieen in der folgenden Reihenfolge vor:
(1)
Montage
Um einen strungsfreien Betrieb zu gewhrleisten, sollte die Digitalisierungsbox Standard aufrecht an einer Wand oder gut belftet in einem Netzwerkschrank montiert sein (lesen Sie bitte
aufmerksam das Kapitel Montage auf Seite 7).
(2)
Netzanschluss
Schlieen Sie den Netzanschluss des Gerts mit dem mitgelieferten Steckernetzgert an eine
230 V~ Steckdose an.
(3)
Antennen
Schrauben Sie die mitgelieferten Antennen auf die dafr vorgesehenen Anschlsse.
(4)
DSL
Verbinden Sie den Anschluss DSL ber das graue Kabel an die TAE-Buchse der Telefondose
an.
(5)
ISDN-Telefonanlage
Schlieen Sie eine ISDN-Telefonanlage an den internen ISDN-Anschluss der Digitalisierungs-
Digitalisierungsbox Standard
1 Inbetriebnahme
SIP-Telefone
Schliessen Sie Ihre SIP-Telefone an die 10/100/1000 Base-T Ethernet-Schnittstellen an. Einen
letzten Schritt mssen Sie am PC ausfhren.
(7)
PC
Schlieen Sie einen geeigneten PC ber ein Ethernet-Kabel an eine der Ethernet-Schnittstellen
der Digitalisierungsbox Standard an. Sollten Probleme bei der Verbindung zwischen PC und
der Digitalisierungsbox Standard auftreten, lesen Sie bitte die entsprechenden Kapitel zur
Grundkonfiguration.
(8)
VoIP
Fr einen reinen IP-Anschluss ohne ISDN verwenden Sie die vom Provider bereitgestellte Anleitung.
Hinweis
Mit der "Automatischen Konfiguration" der Telekom wird Ihr Gert automatisch
eingerichtet (siehe Automatische Konfiguration auf Seite 10).
1.1.2 Anschlsse
Abb. 2: Anschlsse
Ethernet-WAN-Schnittstelle (LAN5)
Antennenanschluss
1.1.4 Montagewinkel
Abb. 4: Montagewinkel
Aufgrund der Platzierung der Gerte im Netzwerkschrank, empfiehlt es sich auf abgesetzte Antennen
zurckzugreifen. Montieren Sie die Montagewinkel mit den im Set beiliegenden Schrauben am Gehuse. Die Montagewinkel und die Schrauben sind als Zubehr erhltlich (Artikelnummer MN40285514).
Hinweis
Bei Betrieb im Netzwerkschrank darf die Umgebungstemperatur 40 C nicht bersteigen!
2
Digitalisierungsbox Standard
1 Inbetriebnahme
1.1.5 LEDs
Anhand der LEDs knnen Sie den Status Ihres Gerts ablesen.
Die LEDs der Digitalisierungsbox Standard sind folgendermaen angeordnet:
Abb. 5: LEDs
Farbe
Status
Information
Service
Gelb
an
aus
Mem.
ohne Funktion
WLAN
DSL
TEL
ISDN1 / ISDN 2
Status
aus
Grn
langsam blinkend
Grn
schnell blinkend
Grn
flackernd
Drahtlosnetzwerk ist aktiv, mindestens ein Client ist angemeldet, es besteht Datenverkehr
Grn
an
Verbindung hergestellt
Grn
langsam blinkend
Synchronisation luft
aus
Keine Synchronisation
Grn
flackernd
Datentransfer
Grn
an
aus
an
ISDN-Endgerte angeschlossen
aus
an
Grn
Grn
Power
Grn
langsam blinkend
Grn
an
aus
Keine Stromversorgung
Die LEDs der Ethernet-Buchsen LAN 1-4 (LAN) und LAN 5 (WAN) zeigen folgende Statusinformationen
an:
Ethernet-LEDs
LED
Farbe
Status
Information
Grn
an
Grn
blinkend
Digitalisierungsbox Standard
1 Inbetriebnahme
LED
Farbe
Status
Information
aus
Keine Ethernet-Verbindung
Grn
an
Orange
an
aus
10 Mbit/s bertragungsrate
Grn
an
LAN 5 (Link/Act)
Grn
blinkend
aus
Keine Ethernet-Verbindung
LAN 5 (Link/Act)
LAN 5 (Speedt)
Grn
an
LAN 5 (Speedt)
Orange
an
aus
10 Mbit/s bertragungsrate
LAN 5 (Speedt)
1.1.6 Lieferumfang
Ihr Gert wird zusammen mit folgenden Teilen ausgeliefert:
Produktname
Kabelstze/Sonstiges
Dokumentation
Digitalisierungsbox
Standard
Installationsposter
Sicherheitshinweise
328 x 193 x 44 mm
Gewicht
ca. 900 g
ca. 1800 g
Speicher
128 MB SDRAM
LEDs
Leistungsaufnahme Gert
max. 24 W 12 V DC
Spannungsversorgung
12 V DC 2 A
Umweltanforderungen:
4
Digitalisierungsbox Standard
1 Inbetriebnahme
Eigenschaft
Lagertemperatur
Betriebstemperatur
+5 C bis +40 C
Relative Luftfeuchtigkeit
max. 85 %
Raumklassifizierung
Verfgbare Schnittstellen:
DSL-Schnittstelle
Internes DSL-Modem
ISDN-Schnittstellen
Vorhandene Buchsen:
WLAN Antennen
R-SMA-Buchsen
Ethernet-Schnittstellen 1 - 4 (LAN)
RJ45-Buchse
Ethernet-Schnittstelle 5 (WAN)
RJ45-Buchse
RJ45-Buchse
DSL-Schnittstelle
RJ45-Buchse
Hohlsteckerbuchse fr Stromversorgung
1.2 Reset
Der Reset wird ber den Reset-Knopf an der Anschlussseite des Systems durchgefhrt.
Bei einem kurzen Tastendruck (ca. eine Sekunde) wird das Gert neu gestartet. Dieser Tastendruck
entspricht einer Unterbrechung der Stromversorgung. Die gespeicherten Daten bleiben erhalten, aber
alle Verbindungen werden unterbrochen.
Drcken Sie die Reset-Taste fr ca. 30 bis 40 Sekunden, fhrt das Gert einen Factory Reset durch.
Dies bedeutet, dass das Gert in den Auslieferungszustand zurckversetzt wird. Die Verbindungsdaten
ein und ausgehender Anrufe werden dabei nicht gelscht. Die Konfiguration wird gelscht und alle
Passwrter werden zurckgesetzt. Der Reset ist beendet, wenn nach 30 bis 40 Sekunden die StatusLED gleichmig blinkt.
1.3 Voreinstellungen
Wenn Sie Ihr Gert das erste Mal in Betrieb nehmen, sind einige Einstellungen bereits vorkonfiguriert,
damit Sie in wenigen Schritten nach dem Aufstellen und Anschlieen Ihr Gert in Betrieb nehmen knnen.
Hinweis
Prfen Sie anhand der Bedienungsanleitung Ihrer vorhandenen Endgerte, wie und mit
welchen Einstellungen Leistungsmerkmale genutzt werden knnen.
Die Voreinstellungen knnen Sie entsprechend Ihren persnlichen Erfordernissen und Anschlussbedingungen verndern.
Konfigurationsoberflche
Digitalisierungsbox Standard
1 Inbetriebnahme
Die Konfigurationsoberflche Ihres Gerts ist im Auslieferungszustand ber einen der LAN-Anschlsse
unter folgender Adresse erreichbar:
IP-Adresse:
Netzmaske:
Benutzen Sie im Auslieferungszustand folgende Zugangsdaten zur Konfiguration ber die Konfigurationsoberflche:
Benutzername:
Passwort:
Hinweis
Nach dem ersten Login in das Gert werden Sie aufgefordert, ein sicheres Passwort einzugeben. Beachten Sie hierzu die angezeigten Vorgaben fr ein sicheres Passwort!
Drcken Sie am Ende des Konfigurationsvorgangs die Schaltflche Konfiguration speichern! Ansonsten geht auch das neue sichere Passwort nach einem Neustart verloren.
Software-Update
Ihr Gert ist mit der zum Zeitpunkt der Fertigung verfgbaren Version der Systemsoftware ausgestattet,
von der es aktuell ggf. neuere Versionen gibt.
Dank der "Automatischen Konfiguration" der Telekom wird die Systemsoftware Ihres Gerts auf dem
neuesten Stand gehalten (siehe Automatische Konfiguration auf Seite 10).
Wie Sie den Softwarestand Ihres Gerts prfen und ggf. eine Aktualisierung sellbst durchfhren, wird im
Handbuch-Kapitel Wartung beschrieben.
1.4 Support-Information
Ergnzende Beratung zu Ihrer Digitalisierungsbox erhalten Sie whrend der blichen Geschftszeiten
unter der kostenfreien Rufnummer 0800 330 1300 oder unter 0800 330 2870 (fr Grokunden). Weitere
Hinweise finden Sie auch im Internet unter http://hilfe.telekom.de. Vermuten Sie eine Strung Ihres Anschlusses, wenden Sie sich bitte unter der entsprechenden Nummer an den Technischen Kundendienst
oder informieren Sie sich unter http://hilfe.telekom.de.
Digitalisierungsbox Standard
2 Montage
Kapitel 2 Montage
Warnung
Zur Vermeidung eines Elektroschocks ist Vorsicht beim Anschlieen von Telekommunikationsnetzen (TNV-Stromkreisen) geboten. LAN-Ports verwenden ebenfalls RJSteckverbinder.
Achtung
Um einen strungsfreien Betrieb zu gewhrleisten, sollte die Digitalisierungsbox Standard aufrecht an einer Wand oder gut belftet in einem Netzwerkschrank montiert sein.
Das Gert darf keiner direkten Sonneneinstrahlung oder anderen Wrmequellen ausgesetzt sein. Beachten Sie auch die einzuhaltenden Abstnde (siehe Wandmontage auf Seite 7).
2.3 Wandmontage
In diesem Abschnitt werden die Ablufe der Montage beschrieben. Halten Sie sich bitte an diesen Ablauf.
(1)
Suchen Sie einen Montageort aus, der max. 1,5 Meter von einer 230 V ~ Netzsteckdose und 2,5
Meter vom bergabepunkt des Netzbetreibers entfernt ist.
(2)
Um eine gegenseitige Beeintrchtigung auszuschlieen, montieren Sie das Gert nicht in unmittelbarer Nhe von elektronischen Gerten wie z. B. HiFi-Gerten, Brogerten oder Mikrowellengerten. Vermeiden Sie auch einen Aufstellort in der Nhe von Wrmequellen, z. B. Heizkrpern oder
Digitalisierungsbox Standard
2 Montage
in feuchten Rumen.
(3)
Halten Sie die Abstnde ein, die auf der Rckseite des Gerts eingeprgt sind.
(4)
(5)
berprfen Sie die feste Auflage aller Befestigungspunkte der Digitalisierungsbox Standard an
der Wand. Vergewissern Sie sich, dass im Bereich der markierten Bohrlcher keine Versorgungsleitungen, Kabel o. . verlegt sind.
(6)
Bohren Sie die Befestigungslcher an den markierten Stellen (bei Montage mit den Dbeln verwenden Sie einen 5 mm Steinbohrer). Setzen Sie die Dbel ein.
(7)
Schrauben Sie die beiden Schrauben so ein, dass zwischen Schraubenkopf und Wand noch ein
Abstand von ca. 5 mm verbleibt.
(8)
Hngen Sie die Digitalisierungsbox Standard mit den rckseitigen Halterungen von oben hinter
den Schraubenkpfen ein.
(9)
Installieren Sie, wenn erforderlich, die Anschlussdosen fr die Endgerte. Verbinden Sie die Installation der Anschlussdosen mit der des Gerts. Die Anschlussdosen dienen der festen Installation,
beispielsweise im Flur. Wenn diese installiert sind, werden die Anschlusskabel mit den Anschlssen des Gerts verbunden.
2.4 Pin-Belegungen
2.4.1 Ethernet-Schnittstellen
Die Gerte verfgen ber eine Ethernet-Schnittstelle mit integriertem 4-Port Switch (LAN1 - LAN4) sowie ber eine weitere Ethernet-Schnittstelle zum Anschluss einer WAN-Verbindung oder eines Servers..
Der 4-Port Switch dient zur Anbindung einzelner PCs oder weiterer Switches. Der Anschluss erfolgt
ber RJ45-Buchsen.
Die Pin-Zuordnung fr die Ethernet 10/100/1000 Base-T-Schnittstelle (RJ45-Buchse) ist wie folgt:
RJ45-Buchse fr Ethernet-Anschluss
Pin
Funktion
Pair 0 +
Pair 0 -
Pair 1 +
Pair 2 +
Pair 2 -
Pair 1 -
Pair 3 +
Pair 3 -
Digitalisierungsbox Standard
2 Montage
2.4.2 ISDN-Schnittstelle
Der Anschluss erfolgt ber eine RJ45-Buchse:
Funktion
Nicht genutzt
Nicht genutzt
Senden (+)
Empfangen (+)
Empfangen (-)
Senden (-)
Nicht genutzt
Nicht genutzt
2.4.3 xDSL-Schnittstelle
Die Digitalisierungsbox Standard verfgt ber eine xDSL-Schnittstelle. Die xDSL-Schnittstelle wird
mittels eines RJ45-Steckers vergebunden.
Nur die inneren zwei Pins werden fr die xDSL-Verbindung verwendet.
Funktion
Nicht genutzt
Nicht genutzt
Nicht genutzt
Leitung 1a
Leitung 1b
Nicht genutzt
Nicht genutzt
Nicht genutzt
Digitalisierungsbox Standard
3 Grundkonfiguration
Kapitel 3 Grundkonfiguration
Der Weg zur Basiskonfiguration ohne eine Automatische Konfiguration wird Ihnen im Folgenden Schritt
fr Schritt erlutert. Ein detailliertes Online-Hilfe-System gibt Ihnen zustzlich Hilfestellung.
3.1 Vorbereitungen
Ihr Gert ist werksseitig als DHCP-Server eingerichtet, es bermittelt also PCs in Ihrem LAN, die ber
keine IP-Konfiguration verfgen, alle fr eine Verbindung notwendigen Einstellungen. Wie Sie den PC,
mit dem Sie die Grundkonfiguration durchfhren wollen, fr den automatischen Bezug einer IPKonfiguration einrichten, ist in PC einrichten auf Seite 12 beschrieben.
Hinweis
Sollten Sie in Ihrem LAN bereits einen DHCP-Server betreiben, empfiehlt sich die Konfiguration des Gerts an einem Einzel-PC, der nicht in Ihr LAN integriert ist. Schlieen Sie diesen PC allein an Ihrer Digitalisierungsbox Standard an, so dass zur Konfiguration ein eigenes Netz entsteht.
3.1.2 Systemsoftware
Das Gert wird mit der zum Zeitpunkt der Produktion aktuellen Systemsoftwareversion betrieben. Die
Systemsoftware wird fortwhrend weiterentwickelt, um die Sicherheit und Funktionsvielfalt des Gerts
zu erhhen. Dank der "Automatischen Konfiguration" der Telekom wird die Systemsoftware Ihres
Gertes auf dem neuesten Stand gehalten (siehe Automatische Konfiguration auf Seite 10).
Alternativ knnen Sie einen Software-Aktualisierung im Men Wartung->Software
&Konfiguration->Optionen vornehmen. Eine Beschreibung der Vorgehensweise finden Sie in Softwareaktualisierung Digitalisierungsbox Standard auf Seite 14.
3.1.3 System-Voraussetzungen
Fr die Konfiguration des Gerts mssen auf Ihrem PC folgende Systemvoraussetzungen erfllt sein:
geeignetes Betriebssystem (Windows, Linux, MAC OS)
ein Web-Broweser (internet Explorer, Firefox, Chrome) in der jeweils aktuellen Version
installierte Netzwerkkarte (Ethernet)
installiertes TCP/IP-Protokoll
hohe Farbanzeige fr die korrekte Darstellung der Grafiken
10
Digitalisierungsbox Standard
3 Grundkonfiguration
Grundkonfiguration
Fr eine Grundkonfiguration Ihres Gerts bentigen Sie Informationen, die Ihre Netzwerkumgebung betreffen:
Netzwerkeinstellungen
Zugangsdaten
Beispielwert
Ihre Werte
SIP-Provider
Zugangsdaten
Beispielwert
Beschreibung
Authentifizierungsname/Benutzername
Passwort
Registrar
Rufnummer
z. B.
Ihre Werte
Beispielwert
Provider-Name
Protokoll
Enkapsulierung
Anschlusskennung (12-stellig)
)
)
Mitbenutzerkennung
Passwort
*(+
Digitalisierungsbox Standard
Ihre Werte
11
3 Grundkonfiguration
3.1.5 PC einrichten
Um Ihr Gert ber das Netzwerk erreichen und eine Konfiguration vornehmen zu knnen, mssen auf
dem PC, von dem aus die Konfiguration durchgefhrt wird, einige Voraussetzungen erfllt sein.
Stellen Sie sicher, dass das TCP/IP-Protokoll auf dem PC installiert ist
TCP/IP-Protokoll prfen
Um zu prfen, ob Sie das Protokoll installiert haben, gehen Sie folgendermaen vor:
(1)
(2)
(3)
(4)
Suchen Sie in der Liste der Netzwerkkomponenten den Eintrag Internetprotokoll (TCP/IP).
TCP/IP-Protokoll installieren
Wenn Sie den Eintrag Internetprotokoll (TCP/IP) nicht finden, installieren Sie das TCP/IP-Protokoll wie
folgt:
(1)
Klicken Sie im Statusfenster der LAN-Verbindung zunchst auf Eigenschaften, dann auf Installieren.
(2)
(3)
(4)
(5)
Folgen Sie den Anweisungen am Bildschirm und starten Sie zum Schluss den Rechner neu.
Gehen Sie zunchst vor, wie oben beschrieben, um die Netzwerkeigenschaften anzuzeigen.
(2)
(3)
(4)
(5)
Ihr PC sollte nun alle Voraussetzungen zur Konfiguration Ihres Gerts erfllen.
Hinweis
Zur Konfiguration knnen Sie nun die Konfigurationsoberflche aufrufen, indem Sie in einem untersttzten Browser die vorkonfigurierte IP-Adresse Ihres Gertes eingeben
(192.168.2.1) und sich mit den voreingestellten Anmeldedaten ( User:
, Password:
) anmelden.
Digitalisierungsbox Standard
3 Grundkonfiguration
Hinweis
Drcken Sie am Ende des Konfigurationsvorgangs die Schaltflche Konfiguration speichern! Ansonsten geht auch das neue sichere Passwort nach einem Neustart verloren.
(2)
Legen Sie mit Neu einen neuen Eintrag an und bernehmen Sie den Verbindungstyp ,
-.(#/
.
(3)
Folgen Sie den Schritten, die der Assistent vorgibt. Der Assistent verfgt ber eine eigene Online-Hilfe, die Ihnen ggf. notwendige Informationen vermittelt.
(4)
Nachdem Sie den Assistenten beendet haben, speichern Sie die Konfiguration mit der Schaltflche
Konfiguration speichern oberhalb der Mennavigation.
Digitalisierungsbox Standard
13
3 Grundkonfiguration
Testen Sie die Verbindung von einem beliebigen Gert im lokalen Netzwerk zum Gert. Klicken Sie
im Windows-Startmen auf Ausfhren und geben Sie gefolgt von einem Leerzeichen und
der IP-Adresse Ihres Gerts ein (z. B. ). Es erscheint ein Fenster mit dem Hinweis
.
(2)
Testen Sie den Internetzugang, indem Sie im Internet Browser http://www.telekom.de eingeben.
Hinweis
Durch eine Fehlkonfiguration von Endgerten kann es zu ungewollten Verbindungen und
erhhten Gebhren kommen! Kontrollieren Sie, ob das Gert Verbindungen nur zu gewollten Zeiten aufbaut! Beobachten Sie die Leuchtanzeigen Ihres Gerts.
(2)
Whlen Sie unter Aktion (0,,12 3, und unter Quelle 43
(12 5*
(.
(3)
Das Gert verbindet sich nun mit dem Download-Server und berprft, ob eine aktualisierte Version der
Systemsoftware verfgbar ist. Ist dies der Fall, wird die Aktualisierung Ihres Gerts automatisch vorgenommen. Nach der Installation der neuen Software werden Sie zum Neustart des Gerts aufgefordert.
Achtung
Die Aktualisierung kann nach dem Besttigen mit Start nicht abgebrochen werden. Sollte
es zu einem Fehler bei der Aktualisierung kommen, starten Sie das Gert nicht neu und
wenden Sie sich an den Support.
14
Digitalisierungsbox Standard
4.1.1 HTTP/HTTPS
Mit einem aktuellen Web-Browser knnen Sie die HTML-Oberflche zur Konfiguration Ihres Gerts verwenden. Geben Sie dazu Folgendes in das Adressfeld Ihres Web-Browsers ein
*677
oder
*,677
4.2 Konfiguration
Die Konfiguration wird mit der HTML-Konfigurationsoberflche durchgefhrt.
4.2.1 Konfigurationsoberflche
Die Konfigurationsoberflche ist eine web-basierte grafische Benutzeroberflche, die Sie von jedem PC
aus mit einem aktuellen Web-Browser ber eine HTTP- oder HTTPS-Verbindung bedienen knnen.
Die Einstellungsnderungen, die Sie vornehmen, werden mit der OK- bzw. bernehmen-Schaltflche
des jeweiligen Mens bernommen, ohne dass das Gert neu gestartet werden muss. Wenn Sie die
Konfiguration abschlieen und so speichern mchten, dass sie beim nchsten Neustart des Gerts als
Start-Konfiguration geladen wird, speichern Sie diese, indem Sie auf die Schaltflche Konfiguration
speichern klicken.
Mit der Konfigurationsoberflche knnen Sie ebenfalls die wichtigsten Funktionsparameter Ihres Gerts
berwachen.
Digitalisierungsbox Standard
15
berprfen Sie, ob das Gert angeschlossen und eingeschaltet ist und alle ntigen Kabel richtig
verbunden sind.
(2)
berprfen Sie die Einstellungen des PCs, von dem aus Sie die Konfiguration Ihres Gerts durchfhren mchten.
(3)
(4)
(5)
Geben Sie in das Feld User und in das Feld Password ein und klicken Sie auf LOGIN.
Sie werden zur nderung des Administrator-Passworts aufgefrdert. ndern Sie das Login-Passwort.
Sie befinden sich nun im Statusmen der Konfigurationsoberflche Ihres Gerts.
4.2.1.2 Bedienelemente
Fenster der Konfigurationsoberflche
Das Fenster der Konfigurationsoberflche ist in drei Bereiche geteilt:
Die Kopfleiste
Die Navigationsleiste
Das Hauptkonfigurationsfenster
16
Digitalisierungsbox Standard
Kopfleiste
Konfigurationsoberflche Kopfleiste
Men
Funktion
Sprache: Whlen Sie in dem Dropdown-Men die gewnschte Sprache
aus, in der die Konfigurationsoberflche angezeigt werden soll. Hier knnen Sie die Sprache auswhlen, in der Sie die Konfiguration durchfhren
mchten. Zur Auswahl stehen .3,+ und &, . Der Standardwert ist &, .
Ansicht: Whlen Sie in dem Dropdown-Men die gewnschte Ansicht
aus. Zur Auswahl steht -83&11 , 9* und %38. Auch
den Schnellstart knnen Sie von hier aus erneut aufrufen.
Online-Hilfe: Klicken Sie auf diese Schaltflche, wenn Sie zu dem gerade aktiven Men Hilfe bentigen. Die Beschreibung des Untermens, in
dem Sie sich gerade befinden, wird angezeigt.
Ausloggen: Wenn Sie die Konfiguration beenden mchten, klicken Sie
auf diese Schaltflche, um sich von Ihrem Gert abzumelden. Es wird ein
Fenster geffnet, in dem Ihnen folgende Optionen angeboten werden:
mit der Konfiguration fortfahren,
die Konfiguration speichern und das Fenster schlieen,
die Konfiguration ohne Speichern verlassen.
Digitalisierungsbox Standard
17
Navigationsleiste
ber der Navigationsleiste ist die Schaltflche Konfiguration speichern zu finden. Wenn Sie eine aktuelle Konfiguration speichern, knnen Sie diese als Start-Konfiguration speichern oder Sie knnen zustzlich die vorhergehende Start-Konfiguration als Backup archivieren. Wenn Sie auf die Schaltflche
Konfiguration speichern klicken, erscheint die Frage: "Mchten Sie die aktuelle Konfiguration wirklich
als Boot-Konfiguration speichern?"
Die Navigationsleiste enthlt weiterhin die Hauptkonfigurationsmens und deren Untermens. Klicken
Sie auf das gewnschte Hauptmen. Es ffnet sich das jeweilige Untermen. Wenn Sie auf das gewnschte Untermen klicken, wird der gewhlte Eintrag farbig unterlegt angezeigt. Alle anderen Untermens werden geschlossen. So knnen Sie stets mit einem Blick erkennen, in welchem Untermen Sie
sich befinden.
Hauptkonfigurationsfenster
Die Untermens enthalten im Allgemeinen mehrere Registerkarten. Diese werden ber die im Hauptfenster oben stehenden Reiter aufgerufen. Durch Klicken auf einen Reiter ffnet sich das Fenster mit
den Basis-Parametern, welches durch Klicken auf die Schaltflche Erweiterte Einstellungen erweiterbar ist und dann Zusatzoptionen anzeigt.
Konfigurationselemente
Die verschiedenen Aktionen, die Sie bei der Konfiguration Ihres Gerts in der Konfigurationsoberflche
ausfhren knnen, werden mithilfe folgender Schaltflchen ausgelst:
Schaltflchen
Schaltflche
Funktion
Aktualisiert die Ansicht.
Wenn Sie einen neu konfigurierten Listeneintrag nicht sichern wollen,
machen Sie diesen und die evtl. gettigten Einstellungen durch Abbre-
18
Digitalisierungsbox Standard
Schaltflche
Funktion
chen rckgngig.
Besttigt die Einstellungen eines neuen Eintrags und die Parameternderungen in einer Liste.
Startet die konfigurierte Aktion sofort.
Ruft das Untermen zum Anlegen eines neuen Eintrags auf.
Fgt einen Eintrag zu einer internen Liste hinzu.
Symbole
Symbol
Funktion
Lscht den entsprechenden Listeneintrag.
Zeigt das Men zur nderung der Einstellungen eines Eintrags an.
Zeigt die Details eines Eintrags an.
Verschiebt einen Eintrag. Es ffnet sich eine Combobox, in der Sie auswhlen knnen, vor / hinter welchen Listeneintrag der ausgewhlte Eintrag verschoben werden soll.
Legt einen weiteren Listeneintrag vorher an und ffnet das Konfigurationsmen.
Setzt den Status des Eintrags auf .
Setzt den Status des Eintrags auf 4 .
Kennzeichnet den Status "Ruhend" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Aktiv" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Inaktiv" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Blockiert" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Wird aktiviert" einer Schnittstelle oder einer
Verbindung.
Kennzeichnet, dass der Datenverkehr verschlsselt wird.
Lst einen WLAN-Bandscan aus.
Zeigt die nchste Seite einer Liste an.
Zeigt die vorherige Seite einer Liste an.
Listenoptionen
Men
Funktion
Aktualisierungsintervall
Hier knnen Sie das Intervall einstellen, in dem die Ansicht aktualisiert
werden soll.
Geben Sie dazu einen Zeitraum in Sekunden in das Eingabefeld ein und
besttigen Sie mit
.
Filter
Sie haben die Mglichkeit, die Eintrge einer Liste nach bestimmten Kriterien filtern und entsprechend anzeigen zu lassen.
Sie knnen die Anzahl der pro Seite angezeigten Eintrge bestimmen, indem Sie in Ansicht x pro Seite die gewnschte Zahl eingeben.
Digitalisierungsbox Standard
19
Men
Funktion
Mit den Tasten
und
rck.
Sie knnen nach bestimmten Stichwrtern innerhalb der Konfigurationsparameter filtern, indem Sie bei Filtern in x <Option> y die gewnschte
Filterregel auswhlen und das Suchwort in das Eingabefeld eingeben.
startet den Filtervorgang.
Konfigurationselemente
Funktion
Basis-Konfigurationsmen /
Liste
Bei Auswahl eines Mens der Navigationsleiste wird zunchst das Men
mit den Basisparametern angezeigt. Bei einem Untermen mit mehreren
Seiten wird jeweils das Men mit den Basisparametern der ersten Seite
angezeigt.
Das Men enthlt entweder eine Liste aller konfigurierten Eintrge oder
die Grundeinstellungen fr die jeweilige Funktion.
Untermen
Die Schaltflche Neu ist in jedem Men vorhanden, in dem eine Liste aller konfigurierten Eintrgen angezeigt wird. Klicken Sie diese Schaltflche, um das Konfigurationsmen fr das Anlegen eines neuen Listeneintrags aufzurufen.
Untermen
Men
Funktion
Eingabefelder
z. B. leeres Textfeld
20
z. B.
Digitalisierungsbox Standard
Men
Funktion
Whlen Sie die entsprechende Option aus.
Checkboxen
Dropdown-Mens
z. B.
Klicken Sie auf den Pfeil, um die Liste zu ffnen. Whlen Sie die gewnschte Option mit der Maus.
Interne Listen
z. B.
wird angelegt. Geben Sie die entsprechenden Daten ein. Bleiben die Felder des Listeneintrags leer, wird dieser bei Besttigen mit OK nicht gespeichert. Lschen Sie Eintrge, indem Sie auf das
-Symbol klicken.
Darstellung von Optionen, die nicht zur Verfgung stehen
Optionen, die abhngig von der Wahl anderer Einstelloptionen nicht zur Verfgung stehen, sind grundstzlich ausgeblendet. Falls die Nennung solcher Optionen bei der Konfigurationsentscheidung behilflich
sein knnte, werden sie statt dessen grau dargestellt und sind nicht auswhlbar.
Wichtig
Bitte beachten Sie die eingeblendeten Hinweise in den Untermens! Diese geben Auskunft ber eventuelle Fehlkonfigurationen.
4.2.1.3 Mens
Die Konfigurationsoptionen Ihres Gerts sind in die Untermens gruppiert, die in der Navigationsleiste
im linken Fensterbereich angezeigt werden.
Hinweis
Beachten Sie, dass nicht alle Gerte ber den maximal mglichen Funktionsumfang verfgen. Prfen Sie die Software-Ausstattung Ihres Gerts anhand Ihrer Produktspezifikation.
Digitalisierungsbox Standard
21
5 Assistenten
Kapitel 5 Assistenten
Das Men Assistenten bietet Schritt-fr-Schritt-Anleitungen fr folgende Grundkonfigurationsaufgaben:
Schnellstart
Erste Schritte
Internet
WLAN
VoIP PBX im LAN
Telefonie
VPN
SWYX
Whlen Sie die entsprechende Aufgabe aus der Navigation aus und folgen Sie den Anweisungen und
Erluterungen auf den einzelnen Assistentenseiten.
22
Digitalisierungsbox Standard
6 Systemverwaltung
Kapitel 6 Systemverwaltung
Das Men Systemverwaltung enthlt allgemeine System-Informationen und -Einstellungen.
Sie erhalten eine System-Status-bersicht. Weiterhin werden globale Systemparameter wie z. B. Systemname, Datum / Zeit, Passwrter und Lizenzen verwaltet sowie die Zugangs- und Authentifizierungsmethoden konfiguriert.
6.1 Status
Wenn Sie sich in die Konfigurationsoberflche einloggen, gelangen Sie auf die Status-Seite in der Ansicht Benutzer.
Auf der Status-Seite finden Sie Links zu den Konfigurations-Assistenten, die Ihnen eine einfache Konfiguration der wichtigsten Einstellungen ermglichen.
Auerdem knnen Sie hier eine Systemsoftware-Aktualisierung durchfhren. Klicken Sie auf die
Schaltflche Aktualisierung, um den Vorgang zu starten.
Hinweis
Unterbrechen Sie weder die Internetverbindung noch die Stromversorgung.
Nach der Installation einer neuen Systemsoftware mssen Sie das System neu starten.
Auf der Status-Seite in der Ansicht Vollzugriff und Experte Ihres Gerts, werden die wichtigsten System-Informationen angezeigt.
Sie erhalten einen berblick ber folgende Daten:
System-Status
Aktivitten Ihres Gerts: Ressourcenauslastung, aktive Sessions und Tunnel
Status und die Grundkonfiguration der LAN-, WAN-, ISDN- und ADSL-Schnittstellen
Informationen ber gegebenenfalls gesteckte Zusatzmodule
die letzten zehn Systemmeldungen
Sie knnen das Aktualisierungsintervall der Status-Seite individuell anpassen, indem Sie fr Automatisches Aktualisierungsintervall den gewnschten Zeitraum in Sekunden angeben und auf die bernehmen-Schaltflche klicken.
Achtung
Geben Sie fr Automatisches Aktualisierungsintervall keinen Wert unter
Sekunden
ein, da sich der Bildschirm dann in zu kurzen Intervallen aktualisiert, um weitere nderungen vornehmen zu knnen!
Digitalisierungsbox Standard
23
6 Systemverwaltung
Wert
Uptime
Zeigt die Zeit an, die vergangen ist, seit das Gert neu gestartet wurde.
Systemdatum
Seriennummer
BOSS-Version
Letzte gespeicherte Konfi- Zeigt Tag, Datum und Uhrzeit der letzten Konfigurationsspeicherung an.
guration
Felder im Men Ressourceninformationen
24
Feld
Wert
CPU-Nutzung
Arbeitsspeichernutzung
Zeigt die Auslastung des Arbeitsspeichers in MByte relativ zum verfgbaren Gesamtarbeitsspeicher in MByte an. Die Auslastung wird auerdem
in Klammern in Prozent angezeigt.
Interner Speicher
Zeigt die Anzahl der aktiven B-Kanle und die maximale Anzahl an zur
Verfgung stehenden B-Kanle fr interne Verbindungen.
Zeigt die Summe aller SIF, TDRC und IP-Lastverteilung Sessions an.
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Wert
RTP, etc... )
Aktive IPSec-Tunnel
Zeigt die Anzahl der aktuell aktiven IPSec-Verbindungen relativ zur Anzahl an konfigurierten IPSec-Verbindungen an.
Wert
DSP-Modul
Zeigt den Typ des DSP-Moduls und die aktuell belegten DSP-Kanle
(belegt / vorhanden) an.
Wert
Hier sind alle physikalischen Schnittstellen aufgelistet und deren wichtigste Einstellungen genannt. Auerdem wird angezeigt, ob die jeweilige
Schnittstelle angeschlossen bzw. aktiv ist.
Wert
Hier sind alle WAN-Schnittstellen aufgelistet und deren wichtigste Einstellungen genannt. Auerdem wird angezeigt, ob die jeweilige Schnittstelle aktiv ist.
6.2.1 System
Im Men Systemverwaltung ->Globale Einstellungen->System werden die grundlegenden Systemdaten Ihres Systems eingetragen.
Wert
Systemname
Digitalisierungsbox Standard
25
6 Systemverwaltung
Feld
Wert
Mglich ist eine Zeichenkette mit max. 255 Zeichen.
Als Standardwert ist der Gertetyp voreingestellt.
Standort
Kontakt
Geben Sie die zustndige Kontaktperson an. Hier kann z. B. die EMail-Adresse des Systemadministrators eingetragen werden.
Mglich ist eine Zeichenkette mit max. 255 Zeichen.
Der Standardwert ist .3,+
.
Maximale Anzahl der Sys- Geben Sie die maximale Anzahl an Systemprotokoll-Nachrichten an, die
log-Protokolleintrge
auf dem Gert intern gespeichert werden sollen.
Mgliche Werte sind bis .
Der Standardwert ist
. Sie knnen die gespeicherten Meldungen in
Monitoring->Internes Protokoll anzeigen lassen.
Maximales Nachrichtenlevel von Systemprotokolleintrgen
LED-Modus
Diese Funktion wird nicht untersttzt.
Whlen Sie das Leuchtverhalten der LEDs.
Mgliche Werte:
26
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Wert
(3, (Standardwert): Die LEDs zeigen ihr Standardverhalten.
%
: Nur die Status-LED blinkt einmal in der Sekunde.
43,: Alle LEDs sind deaktiviert.
6.2.2 Passwrter
Auch das Einstellen der Passwrter gehrt zu den grundlegenden Systemeinstellungen.
Hinweis
Alle Gerte werden mit gleichem Benutzernamen und Passwort und den gleichen PINs
ausgeliefert. Sie sind daher nicht gegen einen unautorisierten Zugriff geschtzt, solange
die Passwrter bzw. PINs nicht gendert wurden.
Wenn Sie sich das erste Mal auf Ihrem Gert einloggen, werden Sie aufgefordert, das
Passwort zu ndern. Sie mssen das Systemadministrator-Passwort ndern, um Ihr Gert
konfigurieren zu knnen.
ndern Sie unbedingt alle Passwrter und PINs, um unberechtigten Zugriff auf das Gert
zu verhindern.
Wert
Wert
Geben Sie das Passwort fr den Benutzernamen ein.
Das Standard-Passwort ist
.
Digitalisierungsbox Standard
27
6 Systemverwaltung
Feld
SNMP Write Community
Wert
Geben Sie das Passwort fr den Benutzernamen ein.
Das Standard-Passwort ist
.
Wert
Passwrter und Schlssel Whlen Sie aus, ob die Passwrter im Klartext angezeigt werden sollen.
als Klartext anzeigen
Mit 48& wird die Funktion aktiviert.
Standardmig ist die Funktion nicht aktiv.
Wenn Sie die Funktion aktivieren, werden alle Passwrter und Schlssel
in allen Mens als Klartext angezeigt und knnen in Klartext bearbeitet
werden.
Eine Ausnahme bilden die IPSec-Schlssel. Diese knnen nur im Klartext eingegeben werden. Nach Anklicken von OK oder erneutem Aufruf
des Mens werden sie als Sternchen angezeigt.
Fr die Ermittlung der Systemzeit (lokale Zeit) haben Sie folgende Mglichkeiten:
Manuell
Die Umschaltung der Uhrzeit von Sommer- auf Winterzeit (und zurck) erfolgt automatisch. Die Umschaltung erfolgt unabhngig von der Zeit der Vermittlungsstelle oder von einem ntp-Server. Die Sommerzeit beginnt am letzten Sonntag im Mrz durch die Umschaltung von 2 Uhr auf 3 Uhr. Die in der fehlenden Stunde anstehenden kalender- oder zeitplanbedingten Umschaltungen im Gert werden anschlieend durchgefhrt. Die Winterzeit beginnt am letzten Sonntag im Oktober durch die Umschaltung
28
Digitalisierungsbox Standard
6 Systemverwaltung
von 3 Uhr auf 2 Uhr. Die in der zustzlichen Stunde anstehenden kalender- oder zeitplanbedingten Umschaltungen im Gert werden anschlieend durchgefhrt.
Zeitserver
Sie knnen die Systemzeit auch automatisch ber verschiedene Zeitserver beziehen. Um sicherzustellen, dass das Gert die gewnschte aktuelle Zeit verwendet, sollten Sie einen oder mehrere Zeitserver
konfigurieren.
Hinweis
Wenn auf dem Gert eine Methode zum automatischen Beziehen der Zeit festgelegt ist,
haben die auf diese Weise erhaltenen Werte die hhere Prioritt. Eine evtl. manuell eingegebene Systemzeit wird berschrieben.
Das Men Systemverwaltung ->Globale Einstellungen->Datum und Uhrzeit besteht aus folgenden
Feldern:
Felder im Men Grundeinstellungen
Feld
Beschreibung
Zeitzone
Whlen Sie die Zeitzone aus, in der Ihr Gert installiert ist.
Mglich ist die Auswahl der Universal Time Coordinated (UTC) plus oder
minus der Abweichung davon in Stunden oder ein vordefinierter Ort.
Der Standardwert ist 3*7%.
Aktuelle Ortszeit
Hier werden das aktuelle Datum und die aktuelle Systemzeit angezeigt.
Der Eintrag kann nicht verndert werden.
Beschreibung
Datum einstellen
Zeit einstellen
Beschreibung
Erster Zeitserver
Geben Sie den ersten Zeitserver an, entweder mit Domnennamen oder
IP-Adresse.
Whlen Sie auerdem das Protokoll fr die Abfrage des Zeitservers aus.
Mgliche Werte:
(; (Standardwert): Dieser Server nutzt das Simple Network Time
Protocol ber UDP-Port 123.
Digitalisierungsbox Standard
29
6 Systemverwaltung
Feld
Beschreibung
(+ 7 5. : Dieser Server nutzt den Zeit-Dienst ber
UDP-Port 37.
(+ 7 $ : Dieser Server nutzt den Zeit-Dienst ber
TCP-Port 37.
< : Dieser Zeitserver wird momentan nicht fr die Zeitabfrage
benutzt.
Zweiter Zeitserver
Dritter Zeitserver
Geben Sie den dritten Zeitserver an, entweder mit Domnennamen oder
IP-Adresse.
Whlen Sie auerdem das Protokoll fr die Abfrage des Zeitservers aus.
Mgliche Werte:
(; (Standardwert): Dieser Server nutzt das Simple Network Time
Protocol ber UDP-Port 123.
(+ 7 5. : Dieser Server nutzt den Zeit-Dienst ber
UDP-Port 37.
(+ 7 $ : Dieser Server nutzt den Zeit-Dienst ber
TCP-Port 37.
< : Dieser Zeitserver wird momentan nicht fr die Zeitabfrage
benutzt.
Zeitaktualisierungsintervall
Zeitaktualisierungsrichtlinie
Geben Sie an, in welchen Abstnden nach einer gescheiterten Zeitaktualisierung versucht wird, den Zeitserver erneut zu erreichen.
Mgliche Werte:
; (Standardwert): Es wird nach 1, 2, 4, 8 und 16 Minuten versucht, den Zeitserver zu erreichen.
4&&,,: Zehn Minuten lang wird versucht, den Zeitserver zuerst
nach 1, 2, 4, 8 Sekunden und danach in 10-Sekunden-Abstnden zu
erreichen.
,: Es wird ohne zeitliche Begrenzung versucht, den Zeitserver
nach 1, 2, 4, 8 Sekunden und danach in 10-Sekunden-Abstnden zu
erreichen.
Bei der Verwendung von Zertifikaten fr die Verschlsselung des Datenverkehrs in einem VPN ist es von zentraler Bedeutung, dass auf dem Ge-
30
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Beschreibung
rt die korrekte Zeit eingestellt ist. Um dies sicherzustellen, whlen Sie
fr Zeitaktualisierungsrichtlinie den Wert
,.
6.2.4 Systemlizenzen
In diesem Kapitel werden die im Auslieferungsstand aktivierten Software-Lizenzen angezeigt.
Die Optionen zum Bearbeiten, Neueintragen und Wiederherstellen werden in der Regel nicht bentigt.
Mgliche Werte fr Status
Lizenz
Bedeutung
OK
Nicht OK
Nicht untersttzt
Sie haben eine Lizenz fr ein Subsystem angegeben, das Ihr System
nicht untersttzt.
Wert
Lizenzseriennummer
Geben Sie die Lizenzseriennummer ein, die Sie beim Kauf der Lizenz erhalten haben.
Lizenzschlssel
Geben Sie den Lizenzschlssel ein, den Sie per E-Mail erhalten haben.
Digitalisierungsbox Standard
31
6 Systemverwaltung
32
Digitalisierungsbox Standard
6 Systemverwaltung
6.3.1 Schnittstellen
Sie definieren fr jede Schnittstelle separat, ob diese im Routing- oder im Bridging-Modus arbeiten soll.
Wenn Sie den Bridging-Modus setzen wollen, knnen Sie zwischen bestehenden Bridge-Gruppen und
dem Erstellen einer neuen Bridge-Gruppe whlen.
Beschreibung
Schnittstellenbeschreibung
Modus / Bridge-Gruppe
Konfigurationsschnittstel- Whlen Sie aus, ber welche Schnittstelle die Konfiguration durchgefhrt
le
wird.
Mgliche Werte:
3,2@ (Standardwert): Einstellung im Auslieferungszustand. Die richtige Konfigurationsschnittstelle muss aus den anderen
Optionen ausgewhlt werden.
;+ :+ : Keine Schnittstelle wird als Konfigurationsschnittstelle definiert.
A(+ ,B: Legen Sie die Schnittstelle fest, die zur
Konfiguration benutzt wird. Wenn diese Schnittstelle Mitglied einer
Bridge-Gruppe ist, bernimmt sie deren IP-Adresse, wenn sie aus der
Bridge-Gruppe herausgenommen wird.
6.3.1.1 Hinzufgen
Whlen Sie die Hinzufgen-Schaltflche um den Modus von PPP-Schnittstellen zu bearbeiten.
Digitalisierungsbox Standard
33
6 Systemverwaltung
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, deren Modus Sie verndern wollen.
6.4.1 Zugriff
Im Men Systemverwaltung ->Administrativer Zugriff ->Zugriff wird eine Liste aller IP-fhigen Schnittstellen angezeigt.
Beschreibung
Standardeinstellungen
wiederherstellen
Erst wenn Sie nderungen an der Konfiguration des administrativen Zugangs vornehmen, werden entsprechende Zugangsregeln eingerichtet
und aktiviert. Mithilfe des Symbols
knnen Sie die Standardeinstellungen wiederherstellen.
34
Digitalisierungsbox Standard
6 Systemverwaltung
6.4.1.1 Hinzufgen
Whlen Sie die Hinzufgen-Schaltflche, wenn Sie den administrativen Zugriff fr weitere Schnittstellen
konfigurieren wollen.
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, fr die der administrative Zugriff konfiguriert werden soll.
6.5.1 RADIUS
RADIUS (Remote Authentication Dial In User Service) ist ein Dienst, der es ermglicht, Authentifizierungs- und Konfigurationsinformationen zwischen Ihrem Gert und einem RADIUS-Server auszutauschen. Der RADIUS-Server verwaltet eine Datenbank mit Informationen zur Benutzerauthentifizierung,
zur Konfiguration und fr die statistische Erfassung von Verbindungsdaten.
RADIUS kann angewendet werden fr:
Authentifizierung
Gebhrenerfassung
Austausch von Konfigurationsdaten
Bei einer eingehenden Verbindung sendet Ihr Gert eine Anforderung mit Benutzername und Passwort
an den RADIUS-Server, woraufhin dieser seine Datenbank abfragt. Wenn der Benutzer gefunden wurde
und authentifiziert werden kann, sendet der RADIUS-Server eine entsprechende Besttigung zu Ihrem
Gert. Diese Besttigung enthlt auch Parameter (sog. RADIUS-Attribute), die Ihr Gert als WANVerbindungsparameter verwendet.
Wenn der RADIUS-Server fr Gebhrenerfassung verwendet wird, sendet Ihr Gert eine Accounting-Meldung am Anfang der Verbindung und eine Meldung am Ende der Verbindung. Diese Anfangs- und Endmeldungen enthalten zudem statistische Informationen zur Verbindung (IP-Adresse, Benutzername,
Durchsatz, Kosten).
RADIUS Pakete
Folgende Pakettypen werden zwischen RADIUS-Server und Ihrem Gert (Client) versendet:
Pakettypen
Feld
Wert
ACCESS_REQUEST
Digitalisierungsbox Standard
35
6 Systemverwaltung
Feld
Wert
beim RADIUS-Server angefragt, falls in Ihrem Gert kein entsprechender
Verbindungspartner gefunden wurde.
ACCESS_ACCEPT
ACCESS_REJECT
ACCOUNTING_START
ACCOUNTING_STOP
Im Men Systemverwaltung ->Remote Authentifizierung ->RADIUS wird eine Liste aller eingetragenen RADIUS-Server angezeigt.
36
Digitalisierungsbox Standard
6 Systemverwaltung
Wert
Authentifizierungstyp
Betreibermodus
Server-IP-Adresse
Digitalisierungsbox Standard
37
6 Systemverwaltung
Feld
Wert
RADIUS-Passwort
Geben Sie das fr die Kommunikation zwischen RADIUS-Server und Ihrem Gert gemeinsam genutzte Passwort ein.
Standard-Benutzerpasswort
Prioritt
Einige RADIUS-Server bentigen fr jede RADIUS-Anfrage ein Benutzerpasswort. Geben Sie daher das Passwort hier ein, das Ihr Gert als
Standard-Benutzerpasswort in der Anfrage fr die Dialout-Routen an den
RADIUS-Server mitsendet.
Wenn mehrere RADIUS-Server-Eintrge angelegt wurden, wird der Server mit der obersten Prioritt als erstes verwendet. Wenn dieser Server
nicht antwortet, wird der Server mit der nchstniedrigeren Prioritt verwendet usw.
Mgliche Werte von (hchste Prioritt) bis ) (niedrigste Prioritt).
Der Standardwert ist .
Siehe auch Richtlinie in den erweiterten Einstellungen.
Eintrag aktiv
Gruppenbeschreibung
Wert
Richtlinie
Whlen Sie aus, wie Ihr Gert reagieren soll, wenn eine negative Antwort
auf eine Anfrage eingeht.
Mgliche Werte:
-:
+ (Standardwert): Eine negative Antwort auf eine Anfrage
wird akzeptiert.
;+ :
+ : Eine negative Antwort auf eine Anfrage wird
nicht akzeptiert. Der nchste RADIUS-Server wird angefragt, bis Ihr
Gert eine Antwort von einem als autoritativ konfigurierten Server erhlt.
UDP-Port
38
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Wert
Sie entnehmen, welcher Port zu verwenden ist.
Der Standardwert ist
Server Timeout
Erreichbarkeitsprfung
Wiederholungen
Geben Sie die Anzahl der Wiederholungen fr den Fall ein, dass eine Anfrage nicht beantwortet wird. Falls nach diesen Versuchen dennoch keine
Antwort erhalten wurde, wird der Status auf gesetzt. bei Erreichbarkeitsprfung = 4 versucht Ihr Gert alle 20 Sekunden, den Server zu erreichen. Wenn der Server antwortet, wird Status
wieder auf zurckgesetzt.
Mgliche Werte sind ganze Zahlen zwischen und .
Der Standardwert ist . Um zu verhindern, dass Status auf
gesetzt wird, setzen Sie diesen Wert auf .
RADIUS-Dialout
Digitalisierungsbox Standard
39
6 Systemverwaltung
6.5.2 Optionen
Aufgrund der hier mglichen Einstellung fhrt Ihr Gert bei eingehenden Rufen eine Authentifizierungsverhandlung aus, wenn es die Calling Party Number nicht identifiziert (z. B. weil die Gegenstelle keine
Calling Party Number signalisiert). Wenn die mit Hilfe des ausgefhrten Authentifizierungsprotokolls erhaltenen Daten (Passwort, Partner PPP ID) mit den Daten einer eingetragenen Gegenstelle oder eines
RADIUS-Benutzers bereinstimmen, akzeptiert Ihr Gert den ankommenden Ruf.
Das Men Systemverwaltung ->Remote Authentifizierung ->Optionen besteht aus folgenden Feldern:
Felder im Men Globale RADIUS-Optionen
Feld
Beschreibung
6.6 Konfigurationszugriff
Im Men Konfigurationszugriff knnen Sie Benutzerprofile konfigurieren.
Sie legen dazu Zugriffsprofile und Benutzer an und weisen jedem Benutzer mindestens ein Zugriffsprofil
zu. Ein Zugriffsprofil stellt denjenigen Teil des GUI zur Verfgung, den ein Benutzer fr seine Aufgaben
bentigt. Nicht bentigte Teile des GUI sind gesperrt.
6.6.1 Zugriffsprofile
Im Men Systemverwaltung ->Konfigurationszugriff ->Zugriffsprofile wird eine Liste aller konfigurierten Zugriffsprofile angezeigt. Vorhandene Eintrge knnen Sie mithilfe des Symbols
lschen.
Standardmig sind die Zugriffsprofile C? und 5(? bereits angelegt. Diese knnen Sie mithilfe
des Symbols
ndern sowie ber das Symbol
auf die Standardeinstellungen zurcksetzen.
40
Digitalisierungsbox Standard
6 Systemverwaltung
Digitalisierungsbox Standard
41
6 Systemverwaltung
Beschreibung
Beschreibung
Level Nr.
Das System vergibt automatisch eine laufende Nummer an das Zugriffsprofil. Diese kann nicht editiert werden.
42
Feld
Beschreibung
Konfiguration speichern
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Beschreibung
Hinweis
Beachten Sie, dass die Passwrter in der gespeicherten
Datei im Klartext eingesehen werden knnen.
Beschreibung
Mens
Sie sehen alle Mens aus der Navigationsleiste des GUI. Mens, die
mindestens ein Untermen enthalten, sind mit
bzw.
gekennzeichnet. Das Symbol
kennzeichnet Seiten.
Wenn Sie ein neues Zugriffsprofil anlegen, sind noch keine Elemente zugewiesen, d.h. alle verfgbaren Mens, Untermens und Seiten sind mit
dem Symbol
gekennzeichnet.
Jedes Element in der Navigationsleiste kann drei Werte annehmen. Klicken Sie in der gewnschten Zeile auf das Symbol
, um diese drei
Werte anzeigen zu lassen.
Mgliche Werte:
-2&: Das Men und alle untergeordeneten Mens sind gesperrt.
E3,,: Das Men ist freigegeben. Untergeordenete Mens mssen gegebenenfalls gesondert freigegeben werden.
4 83,,: Das Men und alle untergeordneten Mens sind
freigegeben.
Sie knnen in der entsprechenden Zeile E3,, bzw. 4 83,
, whlen, um dem aktuellen Zugriffsprofil Elemente zuzuweisen.
Elemente, die dem aktuellen Zugriffsprofil zugewiesen sind, sind mit dem
Symbol
gekennzeichnet.
kennzeichnet ein Men, das gesperrt ist, das aber mindestens ber
ein freigegebenes Untermen verfgt.
6.6.2 Benutzer
Im Men Systemverwaltung ->Konfigurationszugriff ->Benutzer wird eine Liste aller konfigurierten
Benutzer angezeigt. Die vorhandenen Eintrge knnen Sie mithilfe des Symbols
lschen.
Es sind keine Benutzer vorkonfiguriert.
Digitalisierungsbox Standard
43
6 Systemverwaltung
sehen, welche Felder und welche Mens dem Benutzer zugewiesen sind.
Das Symbol
bedeutet, dass Nur lesen erlaubt ist. Ist eine Zeile mit dem Symbol
net, so sind die Informationen zum Lesen und Schreiben freigegeben. Das Symbol
44
kennzeichkennzeichnet
Digitalisierungsbox Standard
6 Systemverwaltung
gesperrte Eintrge.
Beschreibung
Benutzer
Passwort
Mit der Option Benutzer muss das Passwort ndern kann der Administrator bestimmen, dass der Benutzer beim ersten Login ein eigenes
Passwort vergeben muss. Dazu muss die Option Konfiguration speichern im Men Zugriffsprofile aktiv sein. Ist diese Option nicht aktiv, so
wird ein Warnhinweis angezeigt.
Aktivieren oder deaktivieren Sie Benutzer muss das Passwort ndern.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Zugangs-Level
6.7 Zertifikate
Ein asymmetrisches Kryptosystem dient dazu, Daten, die in einem Netzwerk transportiert werden sollen,
zu verschlsseln, digitale Signaturen zu erzeugen oder zu prfen und Benutzer zu authentifizieren oder
zu authentisieren. Zur Ver- und Entschlsselung der Daten wird ein Schlsselpaar verwendet, das aus
einem ffentlichen und einem privaten Schlssel besteht.
Fr die Verschlsselung bentigt der Sender den ffentlichen Schlssel des Empfngers. Der Empfnger entschlsselt die Daten mit seinem privaten Schlssel. Um sicherzustellen, dass der ffentliche
Schlssel der echte Schlssel des Empfngers und keine Flschung ist, wird ein Nachweis, ein soge-
Digitalisierungsbox Standard
45
6 Systemverwaltung
6.7.1 Zertifikatsliste
Im Men Systemverwaltung ->Zertifikate->Zertifikatsliste wird eine Liste aller vorhandenen Zertifikate
angezeigt.
6.7.1.1 Bearbeiten
Klicken Sie auf das
-Symbol, um den Inhalt des gewhlten Objekts (Schlssel, Zertifikat oder Anfor-
derung) einzusehen.
46
Digitalisierungsbox Standard
6 Systemverwaltung
Die Zertifikate und Schlssel an sich knnen nicht verndert werden, jedoch knnen - je nach Typ des
gewhlten Eintrags - einige externe Attribute verndert werden.
Das Men Systemverwaltung ->Zertifikate->Zertifikatsliste->
Beschreibung
Beschreibung
Zeigt den Namen des Zertifikats, des Schlssels oder der Anforderung.
Markieren Sie das Zertifikat als Zertifikat einer vertrauenswrdigen Zertifizierungsstelle (CA).
Zertifikate, die von dieser CA ausgestellt wurden, werden bei der Authentifizierung akzeptiert.
Mit = wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
47
6 Systemverwaltung
Feld
Beschreibung
, (Standardwert): berprfung nur dann, wenn ein
CRL-Distribution-Point-Eintrag im Zertifikat enthalten ist, Dies kann im
Inhalt des Zertifikats unter "Details anzeigen" nachgesehen werden.
,3&
, F:&
E1, :3
8: Es werden die Einstellungen des bergeordneten Zertifikates verwendet, falls eines vorhanden ist. Falls nicht, wird genauso verfahren,
wie unter "Nur wenn ein Zertifikatsperrlisten-Verteilungspunkt vorhanden ist" beschrieben.
Vertrauenswrdigkeit des
Zertifikats erzwingen
Legen Sie fest, dass dieses Zertifikat ohne weitere berprfung bei der
Authentifizierung als Benutzerzertifikat akzeptiert werden soll.
Mit = wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Achtung
Es ist von zentraler Wichtigkeit fr die Sicherheit eines VPN, dass die Integritt aller manuell als vertrauenswrdig markierten Zertifikate (Zertifizierungsstellen- und Benutzerzertifikate), sichergestellt ist. Die angezeigten "Fingerprints" knnen zur berprfung dieser Integritt herangezogen werden: Vergleichen Sie die angezeigten Werte mit den Fingerprints, die der Aussteller des Zertifikats (z. B. im Internet) angegeben hat. Dabei reicht die
berprfung eines der beiden Werte aus.
6.7.1.2 Zertifikatsanforderung
Registration-Authority-Zertifikate im SCEP
Bei der Verwendung von SCEP (Simple Certificate Enrollment Protocol) untersttzt Ihr Gert auch separate Registration-Authority-Zertifikate.
Registration-Authority-Zertifikate werden von manchen Certificate Authorities (CAs) verwendet, um bestimmte Aufgaben (Signatur und Verschlsselung) bei der SCEP Kommunikation mit separaten Schlsseln abzuwickeln, und den Vorgang ggf. an separate Registration Authorities zu delegieren.
Beim automatischen Download eines Zertifikats, also wenn CA-Zertifikat = .2
ausgewhlt ist, werden alle fr den Vorgang notwendigen Zertifikate automatisch geladen.
Sind alle notwendigen Zertifikate bereits auf dem System vorhanden, knnen diese auch manuell ausgewhlt werden.
Whlen Sie die Schaltflche Zertifikatsanforderung, um weitere Zertifikate zu beantragen oder zu importieren.
48
Digitalisierungsbox Standard
6 Systemverwaltung
Beschreibung
Whlen Sie aus, auf welche Art Sie das Zertifikat beantragen wollen.
Zur Verfgung stehen:
/3 (Standardwert): Ihr Gert erzeugt fr den Schlssel eine PKCS#10-Datei, die direkt im Browser hochgeladen oder im
-Men
ber das Feld Details anzeigen kopiert werden kann. Diese Datei
muss der CA zugestellt und das erhaltene Zertifikat anschlieend manuell auf Ihr Gert importiert werden.
($: Der Schlssel wird mittels des Simple Certificate Enrollment Protocols bei einer CA beantragt.
Digitalisierungsbox Standard
49
6 Systemverwaltung
Feld
Beschreibung
gestuft werden knnte, whrend ein Schlssel mit 4096 Bit nicht nur viel
Zeit zur Erzeugung erfordert, sondern whrend der IPSec-Verarbeitung
einen wesentlichen Teil der Ressourcen belegt. Ein Wert von 768 oder
mehr wird jedoch empfohlen, als Standardwert ist 1024 Bit vorgegeben.
SCEP-URL
CA-Zertifikat
RA-Signierungszertifikat
50
Digitalisierungsbox Standard
6 Systemverwaltung
Beschreibung
Benutzerdefiniert
Zusammenfassend
Allgemeiner Name
Organisationseinheit
Organisation
Ort
Staat/Provinz
Land
Beschreibung
#1, #2, #3
Definieren Sie zu jedem Eintrag den Typ des Namens und geben Sie zustzliche Subjektnamen ein.
Mgliche Werte:
< (Standardwert): Es wird kein zustzlicher Name eingegeben.
Digitalisierungsbox Standard
51
6 Systemverwaltung
Feld
Beschreibung
: Es wird eine IP-Adresse eingetragen.
.;(: Es wird ein DNS-Name eingetragen.
/: Es wird eine E-Mail-Adresse eingetragen.
5?: Es wird ein Uniform Resource Identifier eingetragen.
.;: Es wird ein Distinguished Name (DN) eingetragen.
?.: Es wird eine Registered Identity (RID) eingetragen.
Beschreibung
Autospeichermodus
6.7.1.3 Importieren
Whlen Sie die Schaltflche Importieren, um Zertifikate zu importieren.
Beschreibung
Externer Dateiname
Geben Sie den Dateipfad und -namen des Zertifikats ein, welches importiert werden soll oder whlen Sie die Datei mit Datei auswhlen ber
den Dateibrowser aus.
Lokale Zertifikatsbeschrei- Geben Sie eine eindeutige Bezeichnung fr das Zertifikat ein.
bung
Dateikodierung
Whlen Sie die Art der Kodierung, so dass Ihr Gert das Zertifikat dekodieren kann.
Mgliche Werte:
43 (Standardwert): Aktiviert die automatische Kodiererkennung.
Falls der Zertifikat-Download im Auto-Modus fehlschlgt, versuchen
52
Digitalisierungsbox Standard
6 Systemverwaltung
Feld
Beschreibung
Sie es mit einer bestimmten Kodierung.
%,
%@
Passwort
6.7.2 CRLs
Im Men Systemverwaltung ->Zertifikate->CRLs wird eine Liste aller CRLs (Certificate Revocation
List) angezeigt.
Wenn ein Schlssel nicht mehr verwendet werden darf, z. B. weil er in falsche Hnde geraten oder verloren gegangen ist, wird das zugehrige Zertifikat fr ungltig erklrt. Die Zertifizierungsstelle widerruft
das Zertifikat, sie gibt Zertifikatsperrlisten, sogenannte CRLs, heraus. Nutzer von Zertifikaten sollten
durch einen Abgleich mit diesen Listen stets prfen, ob das verwendete Zertifikat aktuell gltig ist. Dieser Prfvorgang kann ber einen Browser automatisiert werden.
Das Simple Certificate Enrollment Protocol (SCEP) untersttzt die Ausgabe und den Widerruf von Zertifikaten in Netzwerken.
6.7.2.1 Importieren
Whlen Sie die Schaltflche Importieren, um CRLs zu importieren.
Beschreibung
Externer Dateiname
Geben Sie den Dateipfad und -namen der CRL ein, welche importiert
werden soll oder whlen Sie die Datei mit Datei auswhlen ber den
Dateibrowser aus.
Lokale Zertifikatsbeschrei- Geben Sie eine eindeutige Bezeichnung fr die CRL ein.
bung
Dateikodierung
Whlen Sie die Art der Kodierung, so dass Ihr Gert die CRL decodieren
kann.
Mgliche Werte:
43 (Standardwert): Aktiviert die automatische Kodiererkennung.
Falls der CRL-Download im Auto-Modus fehlschlgt, versuchen Sie es
mit einer bestimmten Kodierung.
Digitalisierungsbox Standard
53
6 Systemverwaltung
Feld
Beschreibung
%,
%@
Passwort
6.7.3 Zertifikatsserver
Im Men Systemverwaltung ->Zertifikate->Zertifikatsserver wird eine Liste aller Zertifikatsserver angezeigt.
Eine Zertifizierungsstelle (Zertifizierungsdiensteanbieter, Certificate Authority, CA) stellt ihre Zertifikate
den Clients, die ein Zertifikat beantragen, ber einen Zertifikatsserver zur Verfgung. Der Zertifikatsserver stellt auch die privaten Schlssel aus und hlt Zertifikatsperrlisten (CRL) bereit, die zur Prfung von
Zertifikaten entweder per LDAP oder HTTP vom Gert abgefragt werden.
6.7.3.1 Neu
Whlen Sie die Schaltflche Neu, um einen Zertifikatsserver einzurichten.
54
Feld
Beschreibung
Beschreibung
LDAP-URL-Pfad
Geben Sie die LDAP-URL oder die HTTP-URL des Servers ein.
Digitalisierungsbox Standard
7 Physikalische Schnittstellen
vorkonfiguriert.
Hinweis
Um die Erreichbarkeit Ihres Systems zu gewhrleisten, achten Sie beim Aufteilen der
Ports darauf, dass die Ethernet-Schnittstelle mit der vorkonfigurierten IP-Adresse
und Netzmaske einem Port zugewiesen wird, der per Ethernet erreichbar ist.
ETH1 - ETH4
Die Schnittstellen knnen separat genutzt werden. Sie werden voneinander logisch getrennt, indem jedem Port im Men Portkonfiguration im Feld Ethernet-Schnittstellenauswahl die gewnschte logische Ethernet-Schnittstelle zugewiesen wird. Fr jede zugewiesene Ethernet-Schnittstelle wird im Men
LAN->IP-Konfiguration eine weitere Schnittstelle in der Liste angezeigt und eine jeweils vollstndig eigenstndige Konfiguration der Schnittstelle ermglicht.
VLANs fr Routing-Schnittstellen
Konfigurieren Sie VLANs, um z. B. einzelne Netzwerksegmente voneinander zu trennen (z. B. einzelne
Abteilungen einer Firma) oder um bei der Verwendung von Managed Switches mit QoS-Funktion eine
Bandbreitenreservierung fr einzelne VLANs vorzunehmen.
7.1.1 Portkonfiguration
Portseparation
Ihr Gert bietet die Mglichkeit, die Switch Ports als eine Schnittstelle zu betreiben oder diese logisch
voneinander zu trennen und als eigenstndige Ethernet-Schnittstellen zu konfigurieren.
Bei der Konfiguration sollten Sie Folgendes beachten: Die Aufteilung der Switch Ports auf mehrere
Ethernet-Schnittstellen trennt diese nur logisch voneinander. Die verfgbare Gesamtbandbreite von
max. 1000 Mbit/s Full Duplex fr alle entstandenen Schnittstellen bleibt unverndert. Wenn Sie also z.
B. alle Switch Ports voneinander trennen, verfgt jede der entstehenden Schnittstellen nur ber einen
Teil der vollen Bandbreite. Wenn Sie mehrere Switch Ports zu einer Schnittstelle zusammenfassen, so
stehen fr alle Ports gemeinsam die volle Bandbreite von max. 1000 Mbit/s Full Duplex zur Verfgung.
Digitalisierungsbox Standard
55
7 Physikalische Schnittstellen
Beschreibung
Switch-Port
EthernetSchnittstellenauswahl
Whlen Sie den Modus aus, in dem die Schnittstelle betrieben werden
soll.
Mgliche Werte:
-,@
& 3,+ 43,
3& (Standardwert)
43 /:7, 0
43 /:7, 0
43 /:7, 0
43 /:7, 7 '3 .3*9
43 /:7, 7 >1 .3*9
43 /:7, 7 '3 .3*9
43 /:7, 7 >1 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 >1 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 >1 .3*9
< : Die Schnittstelle wird angelegt, bleibt aber inaktiv.
Aktuelle Geschwindigkeit / Zeigt den tatschlichen Modus und die tatschliche Geschwindigkeit
Aktueller Modus
deadminr Schnittstelle an.
Mgliche Werte:
/:7, 7 '3 .3*9
/:7, 7 '3 .3*9
/:7, 7 >1 .3*9
56
Digitalisierungsbox Standard
7 Physikalische Schnittstellen
Feld
Beschreibung
/:7, 7 '3 .3*9
/:7, 7 >1 .3*9
Flusskontrolle
Whlen Sie aus, ob auf der entsprechenden Schnittstelle eine Flusskontrolle vorgenommen werden soll.
Mgliche Werte:
. (Standardwert): Es wird keine Flusskontrolle vorgenommen.
4: Es wird eine Flusskontrolle durchgefhrt.
43: Es wird eine automatische Flusskontrolle durchgefhrt.
7.2 ISDN-Ports
In diesem Men konfigurieren Sie die ISDN-Schnittstelle Ihres Gerts. Um die ISDN-BRI-Schnittstelle zu
konfigurieren, mssen Sie zwei Schritte durchfhren:
Einstellungen Ihres ISDN-Anschlusses eintragen: Hier tragen Sie die wichtigsten Parameter Ihres
ISDN-Anschlusses ein.
MSN-Konfiguration: Hier teilen Sie Ihrem Gert mit, wie auf eingehende Rufe aus dem WAN reagiert
werden soll.
7.2.1 ISDN-Konfiguration
Hinweis
Wenn das ISDN-Protokoll nicht erkannt wird, mssen Sie es unter Port-Verwendung und
ISDN-Konfigurationstyp manuell auswhlen. Die automatische D-Kanal-Erkennung ist
dann ausgeschaltet. Bei falsch eingestelltem ISDN-Protokoll kann kein ISDNVerbindungsaufbau erfolgen!
Im Men Physikalische Schnittstellen ->ISDN-Ports->ISDN-Konfiguration wird eine Liste aller ISDNPorts und deren Konfiguration angezeigt.
7.2.1.1 Bearbeiten
Whlen Sie die Schaltflche
7 Physikalische Schnittstellen
den Feldern:
Felder im Men Basisparameter
Feld
Beschreibung
Portname
Port-Verwendung
ISDN-Konfigurationstyp
Beschreibung
Whlen Sie aus, ob Sie X.31 (X.25 im D-Kanal) z. B. fr CAPIApplikationen nutzen wollen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
X.31 TEI-Wert
X.31 TEI-Dienst
(Standardwert)
$4 und $4(
dienen zur Nutzung des X.31-TEI fr CAPIApplikationen. Bei $4 wird der in der CAPI-Applikation eingestellte
TEI-Wert benutzt, bei $4(
wird der Wert der CAPIApplikation ignoriert und immer der hier eingestellte Standardwert benutzt.
58
Digitalisierungsbox Standard
7 Physikalische Schnittstellen
Feld
Beschreibung
+ (2+ stellen Sie ein, wenn Sie den X.31-TEI fr das
X.25-Gert nutzen mchten.
7.3 DSL-Modem
Das DSL-Modem eignet sich fr den High-Speed Internetzugang und den Remote-Access-Einsatz in
kleinen bis mittleren Unternehmen oder Remote-Offices.
7.3.1 DSL-Konfiguration
In diesem Men nehmen Sie grundlegende Einstellungen Ihrer ADSL-Verbindung vor.
Beschreibung
DSL-Chipsatz
Physikalische Verbindung Zeigt den aktuellen DSL-Betriebsmodus an. Der Wert kann nicht verndert werden.
Mgliche Werte:
5:: Der Link ist nicht aktiv.
4.(#: ADSL classic, G.DMT, ITU-T G.992.1
4.(#: G.DMT.Bis, ITU-T G.992.3
4.(# 3,: ADSL2 Plus, ITU-T G.992.5
4.(#H 49 I: ITU-T G.992.5
-.(#: ITU-T G.993.2
Felder im Men Aktuelle Leitungsgeschwindigkeit
Feld
Beschreibung
Downstream
Digitalisierungsbox Standard
59
7 Physikalische Schnittstellen
Feld
Beschreibung
Der Wert kann nicht verndert werden.
Upstream
Beschreibung
DSL-Modus
Transmit Shaping
Maximale UpstreamBandbreite
Beschreibung
ADSL-Leitungsprofil
Whlen Sie den gewnschten Internet-Service-Provider und damit implizit den von diesem Provider verwendeten Modem-Parametersatz aus.
.3,+ ist als Standardwert voreingestellt.
Wenn Sie Ihren Provider in der Liste nicht finden, verwenden Sie die Einstellung (
.
60
Digitalisierungsbox Standard
8 LAN
Kapitel 8 LAN
In diesem Men konfigurieren Sie die Adressen in Ihrem LAN und haben die Mglichkeit ihr lokales
Netzwerk durch VLANs zu strukturieren.
8.1 IP-Konfiguration
In diesem Men kann die IP-Konfiguration der LAN und Ethernet-Schnittstellen Ihres Gerts bearbeitet
werden.
8.1.1 Schnittstellen
In Men LAN->IP-Konfiguration->Schnittstellen werden die vorhandenen IP-Schnittstellen aufgelistet.
Sie haben die Mglichkeit, die IP-Konfiguration der Schnittstellen zu bearbeiten oder virtuelle Schnittstellen fr Spezialanwendungen anzulegen. Hier werden alle im Men Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen konfigurierten Schnittstellen (logische EthernetSchnittstellen und solche in den Subsystemen erstellten) aufgelistet.
ber das Symbol
Ethernet-Schnittstellen im Routing-Modus).
ber die Schaltflche Neu haben Sie die Mglichkeit, virtuelle Schnittstellen anzulegen. Dieses ist jedoch nur in Spezialanwendungen (BRRP u. a.) ntig.
Abhngig von der gewhlten Option, stehen verschiedene Felder und Optionen zur Verfgung. Im Folgenden finden Sie eine Auflistung aller Konfigurationsmglichkeiten.
Durch Klicken auf die
Schnittstelle gendert.
ber die
-Schaltflche knnen Sie die Details einer vorhandenen Schnittstelle anzeigen lassen.
Hinweis
Beachten Sie bei IPv4:
Hat Ihr Gert bei der Erstkonfiguration dynamisch von einem in Ihrem Netzwerk betriebenen DHCP-Server eine IP-Adresse erhalten, so wird die Standard-IP-Adresse automatisch
gelscht und Ihr Gert ist darber nicht mehr erreichbar.
Sollten Sie dagegen bei der Erstkonfiguration eine Verbindung zum Gert ber die Standard-IP-Adresse aufgebaut oder eine IP-Adresse mit dem Dime Manager vergeben haben, ist es nur noch ber diese IP-Adresse erreichbar. Es kann nicht mehr dynamisch ber
DHCP eine IP-Konfguration erhalten.
Beispiel Teilnetze
Falls Ihr Gert an ein LAN angeschlossen ist, das aus zwei Teilnetzen besteht, sollten Sie fr das zweite
Teilnetz eine zweite IP-Adresse / Netzmaske eintragen.
Im ersten Teilnetz gibt es z. B. zwei Hosts mit den IP-Adressen 192.168.42.1 und 192.168.42.2, im
zweiten Teilnetz zwei Hosts mit den IP-Adressen 192.168.46.1 und 192.168.46.2. Um mit dem ersten
Teilnetz Datenpakete austauschen zu knnen, benutzt Ihr Gert z. B. die IP-Adresse 192.168.42.3, fr
das zweite Teilnetz 192.168.46.3. Die Netzmasken fr beide Teilnetze mssen ebenfalls angegeben
werden.
IPv6-Adressen konfigurieren
Digitalisierungsbox Standard
61
8 LAN
Ihr Gert kann auf einer Schnittstelle entweder als Router oder als Host agieren. In der Regel agiert es
auf den LAN-Schnittstellen als Router und auf den WAN- sowie den PPP-Verbindungen als Host.
Wenn Ihr Gert als Router agiert, so knnen seine eigenen IPv6-Adressen folgendermaen gebildet
werden: ein Link-Prfix kann von einem Allgemeinen Prfix abgeleitet werden oder Sie knnen einen
statischen Wert eingeben. Eine Host-Adresse kann ber 43 3 erzeugt werden, fr weitere
Host-Adressen knnen Sie statische Werte eingeben.
Wenn Ihr Gert als Router agiert, so verteilt es den konfigurierten Link-Prfix in der Regel per Router
Advertisements an die Hosts. ber einen DHCP-Server werden Zusatzinformationen, wie z. B. die
Adresse eines Zeitservers, an die Hosts bermittelt. Der Client kann sich seine Host-Adresse entweder
ber Stateless Address Autoconfiguration (SLAAC) erzeugen oder diese Adresse von einem DHCPServer zugeteilt bekommen.
Verwenden Sie fr den oben beschriebenen Router-Modus im Men LAN->IP-Konfiguration->Schnittstellen->Neu die Einstellungen IPv6-Modus = ?3, Router Advertisement bertragen 4
DHCP-Server 4 und IPv6-Adressen Hinzufgen.
Wenn Ihr Gert als Host agiert, wird ihm ein Link-Prfix von einem anderen Router per Router Advertisement zugeteilt. Die Host- Adresse wird dann per SLAAC automatisch erzeugt. Zusatzinformationen,
wie z. B. der Allgemeine Prfix vom Provider oder die Adresse eines Zeitservers knnen per DHCP bezogen werden. Verwenden Sie dazu im Men LAN->IP-Konfiguration->Schnittstellen->Neu die Einstellungen IPv6-Modus = $, Router Advertisement annehmen 4 und DHCP-Client =
4.
62
Digitalisierungsbox Standard
8 LAN
Beschreibung
Schnittstellenmodus
VLAN-ID
MAC-Adresse
Digitalisierungsbox Standard
Geben Sie die mit der Schnittstelle verbundene MAC-Adresse ein. Sie
63
8 LAN
Feld
Beschreibung
knnen fr virtuelle Schnittstellen die MAC-Adresse der physikalischen
Schnittstelle verwenden, unter der die virtuelle Schnittstelle erstellt wurde, wenn Sie Voreingestellte verwenden aktivieren. Die VLAN IDs mssen sich jedoch unterscheiden. Das Zuweisen einer virtuellen MACAdresse ist ebenfalls mglich. Die ersten 6 Zeichen der MAC-Adresse
sind voreingestellt (sie knnen jedoch gendert werden).
Wenn Voreingestellte verwenden aktiv ist, wird die voreingestellte
MAC-Adresse der zugrunde liegenden physikalischen Schnittstelle verwendet.
Standardmig ist Voreingestellte verwenden aktiv.
Beschreibung
Sicherheitsrichtlinie
Adressmodus
Whlen Sie aus, auf welche Weise der Schnittstelle eine IP-Adresse zugewiesen wird.
Mgliche Werte:
(,+ (Standardwert): Der Schnittstelle wird eine statische IPAdresse in IP-Adresse / Netzmaske zugewiesen.
.>$: Die Schnittstelle erhlt dynamisch per DHCP eine IP-Adresse.
IP-Adresse / Netzmaske
Beschreibung
IPv6
Whlen Sie aus, ob die gewhlte Schnittstelle das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Sicherheitsrichtlinie
64
Digitalisierungsbox Standard
8 LAN
Feld
Beschreibung
durchgelassen, auer denen, die explizit verboten sind.
Wir empfehlen Ihnen, diese Einstellung zu verwenden, wenn Sie IPv6
in Ihrem LAN verwenden wollen.
;+ -3,2F
&: Es werden nur diejenigen IP-Pakete
durchgelassen, die einer Verbindung zugeordnet werden knnen, die
aus einer vertrauenwrdigen Zone aufgebaut wurde.
Wir empfehlen Ihnen, diese Einstellung zu verwenden, wenn Sie IPv6
auerhalb Ihres LANs verwenden wollen.
Ausnahmen fr die gewhlte Einstellung knnen Sie im Men Firewall
auf Seite 224 konfigurieren.
IPv6-Modus
Router Advertisement
bertragen
DHCP-Server
IPv6-Adressen
Digitalisierungsbox Standard
65
8 LAN
Feld
Beschreibung
stzliche Adressen eintippen.
Wenn Ihr Gert im Router-Modus arbeitet ( IPv6-Modus = ?3, Router Advertisement bertragen 4 und DHCP-Server 4
), so mssen Sie hier seine IPv6-Adressen konfigurieren.
DHCP-Client
66
Beschreibung
Nur fr IPv6-Modus = ?3
Digitalisierungsbox Standard
8 LAN
Feld
Beschreibung
Hier knnen Sie - bezogen auf den Link-Prfix, der im aktuellen Fenster
definiert wird - festlegen, ob dieser Prfix per Router Advertisement ber
die gewhlte Schnittstelle versendet werden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Beschreibung
Whlen Sie, auf welche Weise der Link-Prfix festgelegt werden soll.
Mgliche Werte:
- 4& @19 (Standardwert): Der Link-Prfix wird von
einem allgemeinen Prfix abgeleitet.
(,+ : Sie knnen den Link-Prfix eingeben.
Allgemeiner Prfix
Automatische Subnetzerstellung
.
Die Subnetz-ID beschreibt das vierte der vier 16-Bit-Felder eines LinkPrfix. Bei der Subnetzerstellung wird der dezimale ID-Wert in einen hexadezimalen Wert umgerechnet.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Wenn die Funktion nicht aktiv ist, so knnen Sie durch Eingabe der Subnetz-ID ein Subnetz definieren.
Subnetz-ID
Nur wenn Automatische Subnetzerstellung nicht aktiv ist.
Geben Sie eine Subnetz-ID ein, um ein Subnetz zu definieren. Die Subnetz-ID beschreibt das vierte der vier 16-Bit-Felder eines Link-Prfix.
Mgliche Werte sind bis
.
Bei der Subnetzerstellung wird der eingegebene dezimale Wert in einen
hexadezimalen Wert umgerechnet.
Link-Prfix
Digitalisierungsbox Standard
67
8 LAN
Feld
Erzeugungsmethode
Beschreibung
Legen Sie fest, ob der Host-Anteil der IPv6-Adresse mittels EUI-64 automatisch aus der MAC-Adresse erzeugt werden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
EUI-64 setzt folgenden Prozess in Gang:
Die hexadezimale 48-Bit MAC Adresse wird in 2 x 24 Bit geteilt.
In die entstandene Lcke wird ''' eingefgt, um 64 Bit zu erhalten.
Die hexadezimale Schreibweise der 64 Bit wird in die duale Schreibweise umgewandelt.
Im ersten 8-Bit-Feld wird Bit 7 auf gesetzt.
Statische Adressen
Sie knnen, unabhngig von der automatischen Erzeugung, die unter Erzeugungsmethode festgelegt ist, mit Hinzufgen den Host-Anteil einer
IPv6-Adresse oder mehrerer IPv6-Adressen manuell eingeben. Seine
Lnge ist mit vorgegeben. Beginnen Sie die Eingabe mit 66 .
Die Felder im Men Erweitert sind Bestandteil der Prfix-Informationen, die im Router Advertisement
gesendet werden, wenn Ankndigen aktiv ist. Das Men Erweitert besteht aus folgenden Feldern:
Felder im Men Erweiterte IPv6-Einstellungen
Feld
On Link Flag
Beschreibung
Whlen Sie, ob das On-Link Flag (L-Flag) gesetzt werden soll.
Dadurch fgt der Host das Prfix der Prfixliste hinzu.
Mit Auswahl von = wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Autonomous Flag
Whlen Sie, ob das Autonomous Address Configuration Flag (A-Flag)
gesetzt werden soll.
Dadurch nutzt ein Host das Prfix und eine Schnittstellen-ID, um daraus
seine Adresse abzuleiten.
Mit Auswahl von = wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Bevorzugte Gltigkeitsdauer
Geben Sie eine Zeitspanne in Sekunden ein. Whrend dieser Zeit werden die Adressen, die mit Hilfe des Prfix per SLAAC erzeugt wurden,
bevorzugt verwendet.
Der Standardwert ist Sekunden.
Gltigkeitsdauer
Geben Sie eine Zeitspanne in Sekunden an, fr die das Prfix gltig ist.
Der Standardwert ist
Sekunden.
Hinweis
Der Wert fr die Gltigkeitsdauer sollte niedriger sein als
derjenige, der unter Erweiterte IPv6-Einstellungen fr die
Option Router-Gltigkeitsdauer konfiguriert ist.
Digitalisierungsbox Standard
8 LAN
Beschreibung
DHCP-MAC-Adresse
DHCP-Hostname
Proxy ARP
Whlen Sie aus, ob Ihr Gert ARP-Requests aus dem eigenen LAN stellvertretend fr definierte Gegenstellen beantworten soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
TCP-MSS-Clamping
Whlen Sie aus, ob Ihr Gert das Verfahren MSS Clamping anwenden
soll. Um die Fragmentierung von IP-Paketen zu verhindern, wird hierbei
vom Gert automatisch die MSS (Maximum Segment Size) auf den hier
einstellbaren Wert verringert.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv. Bei Aktivierung ist im Eingabefeld der Standardwert
eingetragen.
Beschreibung
Router-Gltigkeitsdauer
Nur fr IPv6 = 4, IPv6-Modus = ?3 und Router Advertisement bertragen = 4
Geben Sie eine Zeitspanne in Sekunden an. Fr dieses Intervall verbleibt
der Router in der Default Router List.
Der Standardwert ist Sekunden. Der Maximalwert ist
Sekunden. Ein Wert von besagt, dass der Router kein Standardrouter
Digitalisierungsbox Standard
69
8 LAN
Feld
Beschreibung
ist und nicht in die Default Router List eingetragen werden soll.
Hinweis
Der Wert fr die Router-Gltigkeitsdauer sollte hher sein
als die krzeste Link-Prfix-Gltigkeitsdauer, die im unter
Grundlegende IPv6-Parameter fr die Schnittstelle konfiguriert ist.
Router-Prferenz
Nur fr IPv6 = 4, IPv6-Modus = ?3 und Router Advertisement bertragen = 4
Whlen Sie die Prferenz Ihres Routers fr die Wahl des Standardrouters. Dies ist in Fllen ntzlich, in denen ein Knoten Advertisements von
mehreren Routern erhlt oder in Back-Up-Szenarien.
Mgliche Werte:
>+
/ (Standardwert)
;
&
DHCP-Modus
Nur fr IPv6 = 4, IPv6-Modus = ?3 und Router Advertisement bertragen = 4
Whlen Sie die an den DHCP-Client weitergeleiteten Informationen aus.
Hinweis
Der Router muss nicht als DHCP-Server eingerichtet sein.
Mit Auswahl von 4
.;((J ((
(Standardwert) werden nicht-adressbezogene Informationen, wie z. B.
DNS, VoIP, usw. durchgeleitet.
Aktivieren Sie diese Option, wenn die Hosts im Netzwerk ihre IP-Adresse
ber SLAAC automatisch bilden sollen. Der Router sendet in diesem Fall
ausschlielich nicht-adressbezogene Daten ber DHCP.
Mit Auswahl von -2 4
,,23& werden
sowohl die IPv6-Adressen als auch alle nicht adressbezogenen Daten
vom Host per DHCP bezogen.
DNS-Propagation
70
Digitalisierungsbox Standard
8 LAN
Feld
Beschreibung
(,&: Die statisch konfigurierten und die dynamisch gelernten
DNS-Server-Eintrge werden gem ihrer Prioritt propagiert. Sind keine Eintrge vorhanden, werden keine Adressen propagiert.
8.2 VLAN
Durch die Implementierung der VLAN-Segmentierung nach 802.1Q ist die Konfiguration von VLANs auf
Ihrem Gert mglich. Insbesondere sind Funk-Ports eines Access Points in der Lage, das VLAN-Tag eines Frames, das zu den Clients gesendet wird, zu entfernen und empfangene Frames mit einer vorab
festgelegten VLAN-ID zu taggen. Durch diese Funktionalitt ist ein Access Point nichts anderes als eine
VLAN-fhiger Switch mit der Erweiterung, Clients in VLAN-Gruppen zusammenzufassen. Generell ist
die VLAN-Segmentierung mit allen Schnittstellen konfigurierbar.
Achtung
Fr Schnittstellen, die im Routing-Modus arbeiten, wird der jeweiligen Schnittstelle lediglich eine VLAN-ID zugewiesen. Dies definieren Sie ber die Parameter Schnittstellenmodus = &&
!-#4;" und das Feld VLAN-ID im Men
LAN->IP-Konfiguration->Schnittstellen->Neu.
Digitalisierungsbox Standard
71
8 LAN
8.2.1 VLANs
In diesem Men knnen Sie sich alle bereits konfigurierten VLANs anzeigen lassen, Ihre Einstellungen
bearbeiten und neue VLANs erstellen. Standardmig ist das VLAN /& mit VLAN Identifier
= vorhanden, dem alle Schnittstellen zugeordnet sind.
Beschreibung
VLAN Identifier
-Men kann
Geben Sie einen eindeutigen Namen fr das VLAN ein. Mglich ist eine
Zeichenkette mit bis zu 32 Zeichen.
Der voreingestellt VLAN-Name ist /&.
VLAN-Mitglieder
Whlen Sie die Ports aus, die zu diesem VLAN gehren sollen. ber die
Schaltflche Hinzufgen knnen Sie weitere Mitglieder hinzufgen.
Whlen Sie weiterhin zu jedem Eintrag aus, ob die Frames, die von diesem Port bertragen werden, &&
(also mit VLAN-Information) oder
5&&
(also ohne VLAN-Information) bertragen werden sollen.
8.2.2 Portkonfiguration
In diesem Men knnen Sie Regeln fr den Empfang von Frames an den Ports des VLANs festlegen
und einsehen.
72
Digitalisierungsbox Standard
8 LAN
Beschreibung
Schnittstelle
Zeigt den Port an, fr den Sie die PVID definieren und Verarbeitungsregeln definieren.
PVID
Weisen Sie dem ausgewhlten Port die gewnschte PVID (Port VLAN
Identifier) zu.
Wenn ein Paket ohne VLAN-Tag diesen Port erreicht, wird es mit dieser
PVID versehen.
Wenn die Option aktiviert ist, werden ungetaggte Frames verworfen. Ist
die Option deaktiviert, werden ungetaggte Frames mit der in diesem Men definierten PVID getaggt.
Nicht-Mitglieder verwerfen Wenn die Option aktiviert ist, werden alle getaggten Frames verworfen,
die mit einer VLAN-ID getaggt sind, in der der ausgewhlte Port nicht Mitglied ist.
8.2.3 Verwaltung
In diesem Men nehmen Sie allgemeine Einstellungen fr ein VLAN vor. Die Optionen sind fr jede
Bridge-Gruppe separat zu konfigurieren.
Beschreibung
VLAN aktivieren
Digitalisierungsbox Standard
73
8 LAN
74
Feld
Beschreibung
Verwaltungs-VID
Whlen Sie die VLAN-ID des VLANs aus, in dem Ihr Gert arbeiten soll.
Digitalisierungsbox Standard
9 Wireless LAN
Netzwerkfunktionen
Ein WLAN ermglicht genauso wie ein kabelgebundenes Netzwerk alle wesentlichen Netzwerkfunktionen. Somit steht der Zugriff auf Server, Dateien, Drucker und Mailsystem genauso zuverlssig zur Verfgung wie der firmenweite Internetzugang. Da keine Verkabelung der Gerte ntig ist, hat ein WLAN
den groen Vorteil, dass nicht auf bauliche Einschrnkungen geachtet werden muss (d. h. der Gertestandort ist unabhngig von der Position und der Zahl der Anschlsse).
9.1 WLAN
Im Men Wireless LAN->WLAN knnen Sie alle WLAN-Module Ihres Gerts konfigurieren.
Je nach Modellvariante sind ein oder zwei WLAN-Module, WLAN 1 und ggf. WLAN 2 verfgbar.
Konkrete Hinweise fr die Konfiguration von Wireless LAN finden Sie am Ende des Kapitels unter WLAN
- Konfigurationsbeispiel auf Seite 87.
75
9 Wireless LAN
fr Betriebsmodus 4++,,
Beschreibung
Legen Sie fest, in welchem Modus das Funkmodul Ihres Gerts betrieben werden soll.
Mgliche Werte:
43, (Standardwert): Das Funkmodul ist nicht aktiv.
4++,,: Ihr Gert dient als Access Point in Ihrem Netzwerk.
Frequenzband
Whlen Sie das Frequenzband und ggf. den Einsatzbereich des Funkmoduls aus.
Fr Betriebsmodus = 4++,,
Mgliche Werte:
J >8 7D3
(Standardwert): Ihr Gert wird mit 2.4 GHz
76
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Beschreibung
(Mode 802.11b und Mode 802.11g) innerhalb oder auerhalb von Gebuden betrieben.
>8
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h) innerhalb
von Gebuden betrieben.
>8 D3
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h) auerhalb von Gebuden betrieben.
>8 7D3
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h) innerhalb oder auerhalb von Gebuden betrieben.
Kanal
Die Anzahl der whlbaren Kanle ist von der Lndereinstellung abhngig. Bitte ziehen Sie hier das aktuelle Datenblatt Ihres Gerts zu Rate.
Access-Point-Modus:
Durch das Einstellen des Netzwerknamens (SSID) im AccessPoint-Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich aber physisch immer noch behindern, falls sie auf denselben
bzw. zu nah nebeneinander liegenden Funkkanlen arbeiten. Falls Sie
also zwei oder mehr Funknetze mit geringem Abstand betreiben, ist es
ratsam, den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens 4 Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher,
ob die entsprechenden Clients diese Kanle auch untersttzen.
Mgliche Werte:
Fr Frequenzband = J >8 7D3
Mgliche Werte sind bis und 43 (Standardwert).
Fr Frequenzband =
>8
Mgliche Werte sind , , , und 43 (Standardwert)
Fr Frequenzband =
>8 7D3
und
>8 D3
Hier ist nur die Option 43 mglich.
Ausgewhlter Kanal
Bandbreite
Sendeleistung
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Beschreibung
tatschlich abgestrahlte Antennenleistung kann abhngig von der bertragenen Datenrate auch niedriger liegen als der eingestellte Maximalwert. Der Maximalwert der verfgbaren Sendeleistung ist lnderabhngig.
Mgliche Werte:
/9 (Standardwert): Die maximale Antennenleistung wird verwendet.
%
%
%
%
%
17
%
Beschreibung
Drahtloser Modus
Whlen Sie die Wireless-Technologie aus, die der Access Point anwenden soll.
Fr Betriebsmodus = 4++,, und Frequenzband = J >8
7D3
.
Mgliche Werte:
&: Ihr Gert arbeitet ausschlielich nach 802.11g.
802.11b-Clients knnen nicht zugreifen.
:: Ihr Gert arbeitet ausschlielich nach 802.11b und zwingt
alle Clients dazu, sich anzupassen.
9
!:7&": Ihr Gert passt sich der Technologie der Clients an und arbeitet entweder nach 802.11b oder 802.11g.
9
& !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Nur
die Datenrate von 1 und 2 Mbit/s mssen von allen Clients untersttzt
werden (Basic Rates). Dieser Modus wird auch fr Centrino Clients bentigt, falls Verbindungsprobleme aufgetreten sind.
9
, !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Fr
mixed-short gilt: Die Datenraten 5.5 und 11 Mbit/s mssen von allen
Clients untersttzt werden (Basic Rates).
:7&7: Ihr Gert arbeitet entweder nach 802.11b, 802.11g
oder 802.11n.
&7: Ihr Gert arbeitet entweder nach 802.11g oder 802.11n.
: Ihr Gert arbeitet ausschlielich nach 802.11n.
Fr Betriebsmodus = 4++,, und Frequenzband =
>8
,
>8 D3
,
>8 7D3
.
Mgliche Werte:
: Ihr Gert arbeitet ausschlielich nach 802.11a.
: Ihr Gert arbeitet ausschlielich nach 802.11n.
7: Ihr Gert arbeitet entweder nach 802.11a oder 802.11n.
Airtime Fairness
78
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Beschreibung
sourcen des Access Points intelligent auf die verbundenen Clients verteilt
werden. Dadurch lsst sich verhindern, dass ein leistungsfhiger Client
(z. B. ein 802.11n-Client) nur geringen Durchsatz erzielt, da ein weniger
leistungsfhiger Client (z. B. ein 802.11a-Client) bei der Zuteilung gleich
behandelt wird.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Diese Funktion wirkt sich lediglich auf nicht priorisierte Frames der
WMM-Klasse "Background" aus.
Beschreibung
Kanalplan
Ausgewhlte Kanle
RTS Threshold
Hier whlen Sie aus, wie der RTS/CTS-Mechanismus ein- bzw. ausgeschaltet werden soll.
Whlen Sie %38
1 aus, knnen Sie in das Eingabefeld
den Schwellwert in Bytes (1 - 2346) angeben, ab welcher Datenpaketlnge der RTS/CTS-Mechanismus verwendet werden soll. Dies ist sinnvoll,
wenn an einem Access Point mehrere Clients betrieben werden, die sich
gegenseitig nicht in Funkreichweite befinden. Der Mechanismus kann
auch unabhngig von der Datenpaketlnge ein- bzw. ausgeschaltet werden, indem die Werte bzw.
(Standardwert) ausgewhlt werden.
Fragmentation Threshold
Geben Sie die maximale Gre an, ab der Datenpakete fragmentiert (d.
Digitalisierungsbox Standard
79
9 Wireless LAN
Feld
Beschreibung
h. in kleinere Einheiten aufgeteilt) werden. Niedrige Werte in diesem Feld
sind in Bereichen mit schlechtem Empfang und bei Funkstrungen empfehlenswert.
Mglich Werte sind
bis .
Der Standardwert ist Bytes.
WEP
802.11 definiert den Sicherheitsstandard WEP (Wired Equivalent Privacy = Verschlsselung der Daten
mit 40 Bit (Sicherheitsmodus = = ) bzw. 104 Bit ( Sicherheitsmodus = = ). Das verbreitet
genutzte WEP hat sich jedoch als anfllig herausgestellt. Ein hheres Ma an Sicherheit erreicht man
jedoch nur durch zustzlich zu konfigurierende, auf Hardware basierende Verschlsselung (wie z. B.
3DES oder AES). Hierdurch knnen auch sensible Daten ohne Angst vor Datendiebstahl ber die Funkstrecke bertragen werden.
IEEE 802.11i
80
Digitalisierungsbox Standard
9 Wireless LAN
WPA
WPA (Wi-Fi Protected Access) bietet zustzlichen Schutz durch dynamische Schlssel, die auf dem
Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Nutzern PSK
(Pre-Shared-Keys) oder Extensible Authentication Protocol (EAP) ber 802.1x (z. B. RADIUS) an.
Die Authentifizierung ber EAP wird meist in groen Wireless-LAN-Installationen genutzt, da hierfr eine
Authentifizierungsinstanz in Form eines Servers (z. B. eines RADIUS-Servers) bentigt wird. In kleineren Netzwerken, wie sie im SoHo (Small Office, Home Office) hufig vorkommen, werden meist PSKs
(Pre-Shared-Keys) genutzt. Der entsprechende PSK muss somit allen Teilnehmern des Wireless LAN
bekannt sein, da mit seiner Hilfe der Sitzungsschlssel generiert wird.
WPA 2
Die Erweiterung von WPA ist WPA 2 . In WPA 2 wurde nicht nur der 802.11i-Standard erstmals vollstndig umgesetzt, sondern es nutzt auch einen anderen Verschlsselungsalgorithmus (AES, Advanced Encryption Standard).
Zugangskontrolle
Sie knnen kontrollieren, welche Clients ber Ihr Gert auf Ihr Wireless LAN zugreifen drfen, indem Sie
eine Access Control List anlegen (Zugriffskontrolle oder MAC-Filter). In der Access Control List tragen
Sie die MAC-Adressen der Clients ein, die Zugriff auf Ihr Wireless LAN haben drfen. Alle anderen Clients haben keinen Zugriff.
Sicherheitsmanahmen
Zur Absicherung der ber das WLAN bertragenen Daten sollten Sie im Men Wireless
LAN->WLAN->Drahtlosnetzwerke (VSS)->Neu gegebenenfalls folgende Konfigurationsschritte vornehmen:
ndern Sie die Zugangspasswrter Ihres Gerts.
ndern Sie die Standard-SSID, Netzwerkname (SSID) =
13, Ihres Access Points. Setzen Sie
Sichtbar = 4. Damit werden alle WLAN-Clients ausgeschlossen, die mit dem allgemeinen
Wert fr Netzwerkname (SSID) %:& einen Verbindungsaufbau versuchen und welche die eingestellten SSIDs nicht kennen.
Nutzen Sie die zur Verfgung stehenden Verschlsselungsmethoden. Whlen Sie dazu Sicherheitsmodus = = , = , =4(< oder =4*, und tragen Sie den entsprechenden
Schlssel im Access Point unter WEP-Schlssel 1 - 4 bzw. Preshared Key sowie in den WLAN-Clients ein.
Der WEP-Schlssel sollte regelmig gendert werden. Wechseln Sie dazu den bertragungsschlssel. Whlen Sie den lngeren 104-Bit-WEP-Schlssel.
Fr die bertragung von extrem sicherheitsrelevanten Informationen sollte der Sicherheitsmodus =
=4*, mit WPA-Modus = =4 konfiguriert werden. Diese Methode beinhaltet eine
hardwarebasierte Verschlsselung und RADIUS-Authentifizierung des Clients. In Sonderfllen ist
auch eine Kombination mit IPSec mglich.
Beschrnken Sie den Zugriff im WLAN auf zugelassene Clients. Tragen Sie die MAC-Adressen der
Funknetzwerkkarten dieser Clients in die Erlaubte Adressen-Liste im Men MAC-Filter ein (siehe
Felder im Men MAC-Filter auf Seite 85).
Im Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS) wird eine Liste aller WLAN-Netzwerke angezeigt.
Digitalisierungsbox Standard
81
9 Wireless LAN
->Neu
dern:
Felder im Men Service Set Parameter
Feld
Beschreibung
Netzwerkname (SSID)
Intra-cell Repeating
Whlen Sie aus, ob die Kommunikation zwischen den WLAN-Clients innerhalb einer Funkzelle erlaubt sein soll.
Mit Auswahl von 4 wird die Funktion aktiv.
82
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Beschreibung
Standardmig ist die Funktion aktiv.
WMM
Whlen Sie aus, ob fr das Drahtlosnetzwerk Sprach- oder VideodatenPriorisierung mittels WMM (Wireless Multimedia) aktiviert sein soll, um
stets eine optimale bertragungsqualitt bei zeitkritischen Anwendungen
zu erreichen. Es wird Datenpriorisierung nach DSCP (Differentiated Services Code Point) oder IEEE802.1d untersttzt.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
U-APSD
Beschreibung
Sicherheitsmodus
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes aus.
Mgliche Werte:
(Standardwert): Weder Verschlsselung noch Authentifizierung
= : WEP 40 Bit
= : WEP 104 Bit
=4(<: WPA Preshared Key
=4*,: 802.11i/TKIP
bertragungsschlssel
WEP-Schlssel 1-4
WPA-Modus
Digitalisierungsbox Standard
83
9 Wireless LAN
Feld
Beschreibung
WPA Cipher
WPA2 Cipher
Preshared Key
EAPVorabauthentifizierung
Beschreibung
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Beschreibung
Mgliche Werte sind ganze Zahlen von bis
.
Der Standardwert ist .
Beschreibung
Zugriffskontrolle
Erlaubte Adressen
85
9 Wireless LAN
Feld
Beschreibung
Rx Shaping
Tx Shaping
Beschreibung
Beacon Period
Geben Sie die Zeit in Millisekunden zwischen dem Senden zweier Beacons an.
Dieser Wert wird in Beacon und Probe Response Frames bermittelt.
Mgliche Werte sind bis
.
Der Standardwert ist ms.
DTIM Period
.
Der Standardwert ist .
IGMP Snooping
IGMP Snooping reduziert den Datenverkehr und damit die Netzlast, weil
Multicast Pakete aus dem LAN nicht weitergeleitet werden. Es werden
ausschlielich Multicast-Pakete weitergeleitet, die von den entsprechenden Clients angefordert werden. Wenn Sie IGMP Snooping aktivieren,
gibt IGMP Snooping daher den Rahmen vor, in dem Multicast angewendet wird.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
9.2 Verwaltung
Das Men Wireless LAN->Verwaltung enthlt grundlegende Einstellungen, um Ihr Gateway als Access
Point (AP) zu betreiben.
86
Digitalisierungsbox Standard
9 Wireless LAN
9.2.1 Grundeinstellungen
Beschreibung
Region
Whlen Sie das Land, in welchem der Access Point betrieben werden
soll.
Mgliche Werte sind alle auf dem Wireless-Modul des Gerts vorkonfigurierten Lnder.
Der Bereich der auswhlbaren Kanle (Kanal im Men Wireless
LAN->WLAN->Einstellungen Funkmodul) variiert je nach Lndereinstellung.
Der Standardwert ist 0.
9.3 Konfiguration
9.3.1 WLAN - Konfigurationsbeispiel
Voraussetzungen
Ihr LAN ist ber die erste Ethernet-Schnittstelle (Port 1) Ihres Gerts angeschlossen
Ein Client mit geeignetem Betriebssystem und WLAN
Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz 7 fr Clients aus dem
LAN und WLAN.
Eine z. B. mit dem Assistenten Schnellstart im Abschnitt Internet konfigurierte Verbindung zum
WAN, z. B. =4;K-.(#K.
Beispielszenario
Digitalisierungsbox Standard
87
9 Wireless LAN
Konfigurationsziel
Konfiguration eines zustzlichen WLANs (Gaeste-WLAN)
Konfigurationsschritte im berblick
Gaeste-WLAN einrichten
Feld
Men
Wert
Netzwerkname (SSID)
z. B. ,=#4;
Sichtbar
Aktiviert
Sicherheitsmodus
=4(<
WPA-Modus
=4
Preshared Key
z. B. (3*(+
Feld
Men
Wert
Aktion
Gaeste-WLAN aktivieren
IP-Pool zuordnen
88
Feld
Men
Wert
Adressmodus
(,+
IP-Adresse / Netzmaske
IP-Poolname
z. B. ,
IP-Adressbereich
z. B.
Schnittstelle
,,)
IP-Poolname
z. B. ,
Digitalisierungsbox Standard
9 Wireless LAN
Feld
Men
Wert
Men
Wert
Quelle
=#4;K-(()
Ziel
z. B. =4;K-.(#K#<D/
Dienst
0
Aktion
E3&11
Quelle
=#4;K-(()
Ziel
z. B. =4;
Dienst
0
Aktion
-2&
Digitalisierungsbox Standard
89
10.1 Wizard
Das Men Wizard bietet eine Schritt-fr-Schritt-Anleitung fr das Einrichten einer WLAN-Infrastruktur.
Der Wizard fhrt Sie durch die Konfiguration.
Bei Aufruf des Wizard erhalten Sie Anweisungen und Erluterungen auf den einzelnen Assistentenseiten.
Hinweis
Wir empfehlen Ihnen, den Wizard auf jeden Fall bei der Erstkonfiguration Ihrer WLANInfrastruktur zu verwenden.
10.1.1 Grundeinstellungen
Sie knnen hier alle Einstellungen konfigurieren, die Sie fr den eigentlichen Wireless LAN Controller
bentigen.
Der Wireless LAN Controller verwendet folgende Einstellungen:
Region
Whlen Sie das Land, in welchem der Wireless Controller betrieben werden soll.
Hinweis: Der Bereich der verwendbaren Kanle variiert je nach Lndereinstellung.
Schnittstelle
Whlen Sie die Schnittstelle, die fr den Wireless Controller verwendet werden soll.
DHCP-Server
Whlen Sie aus, ob ein externer DHCP-Server die IP-Adressen an die APs vergeben soll bzw. ob Sie
selbst feste IP-Adressen vergeben wollen. Alternativ knnen Sie Ihr Gert als DHCP-Server verwenden.
Bei diesem internen DHCP-Server ist die CAPWAP Option 138 aktiv, um die Kommunikation zwischen
Master und Slaves zu ermglichen.
Wenn Sie in Ihrem Netzwerk statische IP-Adressen verwenden, mssen Sie diese IP-Adressen auf allen
90
Digitalisierungsbox Standard
APs von Hand eingeben. Die IP-Adresse des Wireless LAN Controllers mssen Sie bei jedem AP im
Men Systemverwaltung ->Globale Einstellungen->System im Feld Manuelle IP-Adresse des
WLAN-Controller eintragen.
Hinweis: Stellen Sie bei Nutzung eines externen DHCP-Servers sicher, dass CAPWAP Option 138 aktiv
ist.
Wenn Sie z. B. eine Digitalisierungsbox als DHCP-Server verwenden wollen, klicken Sie im GUI Men
dieses Gerts unter Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu->Erweiterte Einstellungen im Feld DHCP-Optionen auf die Schaltflche Hinzufgen. Whlen Sie als Option $4=4
$ und tragen Sie im Feld Wert die IP-Adresse des WLAN Controllers ein.
IP-Adressbereich
Wenn die IP-Adressen intern vergeben werden sollen, mssen Sie die Anfangs-und End-IP-Adresse
des gewnschten Bereiches eingeben.
Hinweis: Wenn Sie auf Weiter klicken, erscheint eine Warnung, dass beim Fortfahren die WirelessLAN-Controller-Konfiguration berschrieben wird. Mit Klicken auf OK sind Sie einverstanden und fahren
mit der Konfiguration fort.
10.1.2 Funkmodulprofil
Whlen Sie aus, welches Frequenzband Ihr WLAN Controller verwenden soll.
Mit der Einstellung >8 ?
1 wird das 2.4-GHz-Frequenzband verwendet.
Mit der Einstellung
>8 ?
1 wird das 5-GHz-Frequenzband verwendet.
Wenn das entsprechende Gert zwei Funkmodule enthlt, knnen Sie Zwei unabhngige Funkmodulprofile verwenden. Modul 1 wird dadurch das >8 ?
1 zugeordnet, Modul 2 das
>8 ?
1 .
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
10.1.3 Drahtlosnetzwerk
In der Liste werden alle konfigurierten Drahtlosnetzwerke (VSS) angezeigt. Es ist mindestens ein Drahtlosnetzwerk (VSS) angelegt. Dieser Eintrag kann nicht gelscht werden.
Zum Bearbeiten eines vorhandenen Eintrags klicken Sie auf
Mithilfe von
Mit Hinzufgen knnen Sie neue Eintrge anlegen. Fr ein Funkmodul knnen Sie bis zu acht Drahtlosnetzwerke (VSS) anlegen.
Hinweis
Wenn Sie das standardmig angelegte Drahtlosnetzwerk verwenden wollen, mssen Sie
mindestens den Parameter Preshared Key ndern. Andernfalls erscheint eine Aufforderung.
91
Netzwerkname (SSID)
Geben Sie den Namen des Drahtlosnetzwerks (SSID) ein.
Geben Sie eine ASCII-Zeichenfolge mit max. 32 Zeichen ein.
Whlen Sie auerdem aus, ob der Netzwerkname (SSID) (+ : bertragen werden soll.
Sicherheitsmodus
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes
aus.
Hinweis: =4*, bedeutet 802.11x.
WPA-Modus
Whlen Sie fr Sicherheitsmodus = =4(< oder =4*, aus, ob Sie WPA oder WPA 2
oder beides anwenden wollen.
Preshared Key
Geben Sie fr Sicherheitsmodus = =4(< das WPA-Passwort ein.
Geben Sie eine ASCII Zeichenfolge mit 8 - 63 Zeichen ein.
Wichtig
ndern Sie unbedingt den Standard Preshared Key! Solange der Key nicht gendert wurde, ist ihr Gert nicht gegen einen unautorisierten Zugriff geschtzt!
RADIUS-Server
Sie knnen den Zugang zu einem Drahtlosnetzwerk ber einen RADIUS-Server regeln.
Mit Hinzufgen knnen Sie neue Eintrge anlegen.
Geben Sie die IP-Adresse und das Passwort des gewnschten RADIUS-Servers ein.
EAP-Vorabauthentifizierung
Whlen Sie fr Sicherheitsmodus = =4*, aus, ob EAP-Vorabauthentifizierung 4
werden soll. Mit dieser Funktion gibt ihr Gert bekannt, dass WLAN-Clients, die schon mit einem
anderen Access Point verbunden sind, vorab eine 802.1x-Authentifizierung mit Ihrem Gert durchfhren
knnen, sobald sie in Reichweite sind. Solche WLAN-Clients knnen sich anschlieend auf vereinfachte
Weise ber die bestehende Netzwerkverbindung mit Ihrem Gert verbinden.
VLAN
Whlen Sie aus, ob fr dieses Drahtlosnetzwerk VLAN-Segmentierung verwendet werden soll.
Wenn Sie VLAN-Segmentierung verwenden wollen, geben Sie in das Eingabefeld einen Zahlenwert zwischen und ein, um das VLAN zu identifizieren (VLAN ID ist nicht mglich!).
Hinweis
Bevor Sie fortfahren, stellen Sie sicher, dass alle Access Points, die der WLAN Controller
verwalten soll, korrekt verkabelt und eingeschaltet sind.
Digitalisierungsbox Standard
trag auf
Sie sehen die Einstellungen des gewhlten Access Points. Sie knnen diese Einstellungen ndern.
Folgende Parameter stehen im Men Access-Point-Einstellungen zur Verfgung:
Standort
Zeigt den angegebenen Standort des APs. Sie knnen einen anderen Standort eingeben.
Zugewiesene Drahtlosnetzwerke (VSS)
Zeigt die aktuell zugewiesenen Drahtlosnetzwerke.
Folgende Parameter stehen im Men Funkmodul 1 zur Verfgung:
(Wenn der AP ber zwei Funkmodule verfgt, werden die Abschnitte Funkmodul 1 und Funkmodul 2 angezeigt.)
Betriebsmodus
Whlen Sie den Betriebsmodus des Funkmoduls.
Mgliche Werte:
(Standardwert): Das Funkmodul dient als Access Point in Ihrem Netzwerk.
43,: Das Funkmodul ist nicht aktiv.
Aktives Funkmodulprofil
Zeigt das aktuell gewhlte Funkmodulprofil. Sie knnen ein anderes Funkmodulprofil aus der Liste whlen, wenn mehrere Funkmodulprofile angelegt sind.
Kanal
Zeigt den zugewiesenen Kanal. Sie knnen einen alternativen Kanal whlen.
Die Anzahl der whlbaren Kanle ist von der Lndereinstellung abhngig. Bitte ziehen Sie hier das aktuelle Datenblatt Ihres Gerts zu Rate.
Hinweis
Durch das Einstellen des Netzwerknamens (SSID) im Access-Point-Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich aber physisch immer noch behindern, falls sie auf denselben bzw. zu nah nebeneinander liegenden Funkkanlen arbeiten.
Falls Sie also zwei oder mehr Funknetze mit geringem Abstand betreiben, ist es ratsam,
den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens vier Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher, ob die entsprechenden APs
diese Kanle untersttzen.
Sendeleistung
Zeigt die Sendeleistung in dBm. Sie knnen eine andere Sendeleistung whlen.
Mit OK bernehmen Sie die Einstellungen.
Whlen Sie die Access Points, welche der WLAN Controller verwalten soll. Klicken Sie dazu in der Spalte Manage auf die gewnschten Eintrge oder klicken Sie auf Alle auswhlen, um alle Eintrge auszuwhlen. Klicken Sie auf die Schaltflche Alle deaktivieren, um alle Eintrge zu deaktivieren und danach
bei Bedarf einzelne Eintrge auszuwhlen (z. B. bei groen Listen).
Klicken Sie auf Start, um das WLAN zu installieren und die Frequenzen automatisch zuordnen zu lassen.
Digitalisierungsbox Standard
93
Hinweis
Falls nicht gengend Lizenzen zur Verfgung stehen, erscheint die Meldung "Die maximale Anzahl der verwaltbaren Slave Access Points wird berschritten. Bitte berprfen Sie Ihre Lizenzen!" Wenn diese Meldung angezeigt wird, sollten Sie gegebenenfalls zustzliche
Lizenzen erwerben.
Whrend der Installation des WLANs und der Zuordnung der Frequenzen sehen Sie an den angezeigten Meldungen, wie weit die Installation fortgeschritten ist. Die Anzeige wird laufend aktualisiert.
Sobald fr alle Access Points berlappungsfreie Funkkanle gefunden sind, wird die Konfiguration, die
im Wizard festgelegt ist, an die Access Points bertragen.
Wenn die Installation abgeschlossen ist, sehen Sie eine Liste der Managed Access Points.
Klicken Sie unter Benachrichtigungsdienst fr WLAN-berwachung konfigurieren auf Start, um Ihre Managed APs berwachen zu lassen. Zur Konfiguration werden Sie in das Men Externe Berichterstellung->Benachrichtigungsdienst->Benachrichtigungsempfnger mit der Voreinstellung Ereignis
= -2 4 11 geleitet. Sie knnen festlegen, dass Sie mittels E-Mail informiert werden, wenn das Ereignis -2 4 11 eintritt.
Klicken Sie unter Benachbarte APs neu scannen auf Start, um benachbarte APs erneut zu scannen.
Sie erhalten eine Warnung, dass dazu die Funkmodule der Access Points fr eine bestimmte Zeitspanne deaktiviert werden mssen. Wenn Sie den Vorgang mit OK starten, wird ein Fortschrittsbalken angezeigt. Die Anzeige der gefundenen APs wird alle zehn Sekunden aktualisiert.
10.2 Controller-Konfiguration
In diesem Men nehmen Sie die Grundeinstellungen fr den Wireless LAN Controller vor.
10.2.1 Allgemein
Beschreibung
Region
Whlen Sie das Land, in welchem der Wireless LAN Controller betrieben
werden soll.
Mgliche Werte sind alle auf dem Wirelessmodul des Gerts vorkonfigurierten Lnder.
94
Digitalisierungsbox Standard
Feld
Beschreibung
Der Bereich der verwendbaren Kanle variiert je nach Lndereinstellung.
Der Standardwert ist 0.
Schnittstelle
DHCP-Server
IP-Adressbereich
Slave-AP-Standort
Whlen Sie aus, ob sich die APs, die der Wireless LAN Controller verwalten soll, im LAN oder im WAN befinden.
Mgliche Werte:
# !#4;" (Standardwert)
1 !=4;"
Die Einstellung 1 !=4;" ist ntzlich, wenn zum Beispiel ein
Wireless LAN Controller in der Zentrale installiert ist und seine APs auf
verschiedene Filialen verteilt sind. Wenn die APs ber VPN angebunden
sind, kann es vorkommen, dass eine Verbindung unterbrochen wird. In
diesem Fall behlt der entsprechende AP mit der Einstellung 1
!=4;" seine Konfiguration bis die Verbindung wieder hergestellt ist. Danach bootet er und anschlieend synchronisieren sich Controller und AP
erneut.
Slave-AP-LED-Modus
Digitalisierungsbox Standard
95
Feld
Beschreibung
(3, (Standardwert): Nur die Status-LED blinkt einmal in der Sekunde.
%
: Die LEDs zeigen ihr Standardverhalten.
43,: Alle LEDs sind deaktiviert.
10.3 Slave-AP-Konfiguration
In diesem Men finden Sie alle Einstellungen, die Sie zur Verwaltung der Slave Access Points bentigen.
-Schaltflche in der Spalte Aktion whlen Sie aus, ob der gewhlte Access
96
Status
Bedeutung
Gefunden
Der AP hat sich beim Wireless LAN Controller gemeldet. Der Controller
hat die Systemparameter vom AP abgefragt.
Initialisiere
Der WLAN Controller und die APs "verstndigen sich" ber CAPWAP.
Die Konfiguration wird an die APs bertragen und aktiviert.
Managed
Der AP ist auf den Status Managed gesetzt. Der Controller hat eine Konfiguration zum AP geschickt und diese aktiviert. Der AP wird vom Controller zentral verwaltet und kann nicht ber das GUI konfiguriert werden.
Der WLAN Controller verfgt ber keine freie Lizenz fr diesen AP.
Aus
Der AP ist entweder administrativ deaktiviert oder ausgeschaltet bzw. ohne Stromversorgung o..
Digitalisierungsbox Standard
10.3.1.1 Bearbeiten
Whlen Sie das Symbol
Mithilfe von
-Symbol knnen Sie Eintrge lschen. Wenn Sie APs gelscht haben, werden diese er-
Abb. 54: Wireless LAN Controller ->Slave-AP-Konfiguration ->Slave Access Points ->
werden die
Daten fr Funkmodul 1 und Funkmodul 2 angezeigt, wenn der entsprechende Access Point ber zwei
Funkmodule verfgt. Bei Gerten, die mit einem einzigen Funkmodul bestckt sind, werden die Daten
fr Funkmodul 1 angezeigt.
Das Men besteht aus folgenden Feldern:
Felder im Men Access-Point-Einstellungen
Feld
Beschreibung
Gert
Standort
Zeigt den Standort des APs. Wenn kein Standort angegeben ist, werden
die Standorte nummeriert. Sie knnen einen anderen Standort eingeben.
Name
Zeigt den Namen des APs. Sie knnen den Namen ndern.
Beschreibung
CAPWAP-Verschlsselung
Whlen Sie aus, ob die Kommunikation zwischen Master und Slaves verschlsselt werden soll.
Digitalisierungsbox Standard
97
Feld
Beschreibung
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Sie knnen die Verschlsselung aufheben, um die Kommunikation zu
Debug-Zwecken einzusehen.
Beschreibung
Betriebsmodus
Zeigt, in welchem Modus das Funkmodul betrieben werden soll. Sie knnen den Modus ndern.
Mgliche Werte:
(Standardwert): Das Funkmodul dient als Access Point in Ihrem
Netzwerk.
43,: Das Funkmodul ist nicht aktiv.
Aktives Funkmodulprofil
Kanal
Zeigt den zugewiesenen Kanal. Sie knnen einen anderen Kanal whlen.
Die Anzahl der whlbaren Kanle ist von der Lndereinstellung abhngig. Bitte ziehen Sie hier das aktuelle Datenblatt Ihres Gerts zu Rate.
Access Point Modus
Durch das Einstellen des Netzwerknamens (SSID) im Access Point Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich
aber physisch immer noch behindern, falls sie auf denselben bzw. zu nah
nebeneinander liegenden Funkkanlen arbeiten. Falls Sie also zwei oder
mehr Funknetze mit geringem Abstand betreiben, ist es ratsam, den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens
vier Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher,
ob die entsprechenden APs diese Kanle auch untersttzen.
Mgliche Werte (entsprechend dem gewhlten Funkmodulprofil):
Fr Aktives Funkmodulprofil = J >8 ?
1
Mgliche Werte sind bis und 43 (Standardwert).
Fr Aktives Funkmodulprofil =
>8 ?
1
Mgliche Werte sind , , , und 43 (Standardwert)
Verwendeter Kanal
Sendeleistung
98
Digitalisierungsbox Standard
Feld
Beschreibung
%
%
%
)
%
10.3.2 Funkmodulprofile
Digitalisierungsbox Standard
99
Beschreibung
Geben Sie eine beliebige Beschreibung des Funkmodulprofils ein.
Legen Sie fest, in welchem Modus das Funkmodulpofil betrieben werden
soll.
Mgliche Werte:
43, (Standardwert): Das Funkmodulprofil ist nicht aktiv.
4++,,: Ihr Gert dient als Access Point in Ihrem Netzwerk.
Frequenzband
Whlen Sie das Frequenzband des Funkmodulprofils aus.
Mgliche Werte:
J >8 7D3
(Standardwert): Ihr Gert wird mit 2,4 GHz
(Mode 802.11b, Mode 802.11g und Mode 802.11n) innerhalb oder auerhalb von Gebuden betrieben.
>8
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h und Mode
802.11n) innerhalb von Gebuden betrieben.
>8 D3
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h und Mode
802.11n) auerhalb von Gebuden betrieben.
>8 7D3
: Ihr Gert wird mit 5 GHz (Mode 802.11a/h und
Mode 802.11n) innerhalb oder auerhalb von Gebuden betrieben.
J >8 D3
: Nur fr so genannte Broadband Fixed Wireless
100
Digitalisierungsbox Standard
Feld
Beschreibung
Access (BFWA) Anwendungen. Die Frequenzen im Frequenzbereich
von 5 755 MHz bis 5 875 MHz drfen nur in Verbindung mit gewerblichen Angeboten fr ffentliche Netzzugnge genutzt werden und bedrfen einer Anmeldung bei der Bundesnetzagentur.
Bandbreite
Beschreibung
Whlen Sie die Wireless-Technologie aus, die der Access-Point anwenden soll.
Fr Frequenzband = J >8 7D3
Mgliche Werte:
&: Ihr Gert arbeitet ausschlielich nach 802.11g.
802.11b-Clients knnen nicht zugreifen.
:: Ihr Gert arbeitet ausschlielich nach 802.11b und zwingt
alle Clients dazu, sich anzupassen.
9
!:7&": Ihr Gert passt sich der Technologie der Clients an und arbeitet entweder nach 802.11b oder 802.11g.
9
& !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Nur
die Datenrate von 1 und 2 Mbit/s mssen von allen Clients untersttzt
werden (Basic Rates). Dieser Modus wird auch fr Centrino Clients bentigt, falls Verbindungsprobleme aufgetreten sind.
9
, !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Fr
mixed-short gilt: Die Datenraten 5.5 und 11 Mbit/s mssen von allen
Clients untersttzt werden (Basic Rates).
:7&7: Ihr Gert arbeitet entweder nach 802.11b, 802.11g
oder 802.11n.
&7: Ihr Gert arbeitet entweder nach 802.11g oder 802.11n.
: Ihr Gert arbeitet ausschlielich nach 802.11n.
Fr Frequenzband =
>8
,
>8 D3
,
>8 7
D3
oder
J >8 D3
Mgliche Werte:
Digitalisierungsbox Standard
101
Feld
Beschreibung
: Ihr Gert arbeitet ausschlielich nach 802.11a.
: Ihr Gert arbeitet ausschlielich nach 802.11n.
7: Ihr Gert arbeitet entweder nach 802.11a oder 802.11n.
Max. bertragungsrate
Whlen Sie die bertragungsgeschwindigkeit aus.
Mgliche Werte:
43 (Standardwert): Die bertragungsgeschwindigkeit wird automatisch ermittelt.
A=B: Je nach Einstellung fr Frequenzband, Bandbreite, Anzahl
der Spatial Streams und Drahtloser Modus stehen verschiedene feste Werte in MBit/s zur Auswahl.
Burst-Mode
Aktivieren Sie diese Funktion, um die bertragungsgeschwindigkeit fr
802.11g durch Frame Bursting zu erhhen. Dabei werden mehrere Pakete nacheinander ohne Wartezeiten verschickt. Dies ist besonders effektiv
im 11b/g Mischbetrieb.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Falls Probleme mit lterer WLAN-Hardware auftreten, sollte diese Funktion nicht aktiv sein.
Airtime Fairness
Beschreibung
Whlen Sie den gewnschten Kanalplan aus.
Der Kanalplan trifft bei der Kanalwahl eine Vorauswahl. Dadurch wird sichergestellt, dass sich keine Kanle berlappen, d.h. dass zwischen den
verwendeten Kanlen ein Abstand von vier Kanlen eingehalten wird.
Dies ist ntzlich, wenn mehrere Access Points eingesetzt werden, deren
Funkzellen sich berlappen.
Mgliche Werte:
4: Alle Kanle knnen bei der Kanalwahl gewhlt werden.
43: Abhngig von der Region, vom Frequenzband, vom drahtlosen
Modus und von der Bandbreite werden diejenigen Kanle zur Verfgung gestellt, die vier Kanle Abstand haben.
%38
1: Sie knnen die gewnschten Kanle selbst
auswhlen.
102
Digitalisierungsbox Standard
Feld
Beschreibung
Geben Sie die Zeit in Millisekunden zwischen dem Senden zweier Beacons an.
Dieser Wert wird in Beacon und Probe Response Frames bermittelt.
Mgliche Werte sind bis
.
Der Standardwert ist .
DTIM Period
Geben Sie das Intervall fr die Delivery Traffic Indication Message
(DTIM) an.
Das DTIM Feld ist ein Datenfeld in den ausgesendeten Beacons, das Clients ber das Fenster zur nchsten Broadcast- oder Multicast-bertragung informiert. Wenn Clients im Stromsparmodus arbeiten, wachen
sie zum richtigen Zeitpunkt auf und empfangen die Daten.
Mgliche Werte sind bis
.
Der Standardwert ist .
RTS Threshold
.
Der Standardwert ist ).
Long Retry Limit
Geben Sie die maximale Anzahl von Sendeversuchen eines Datenpakets
ein, dessen Lnge grer ist als der in RTS Threshold definierte Wert.
Nach dieser Anzahl an Fehlversuchen wird dieses Paket verworfen.
Mgliche Werte sind bis
.
Der Standardwert ist .
Fragmentation Threshold
Geben Sie die maximale Gre in Byte an, ab der Datenpakete fragmentiert (d.h. in kleinere Einheiten aufgeteilt) werden. Niedrige Werte in diesem Feld sind in Bereichen mit schlechtem Empfang und bei Funkstrungen empfehlenswert.
Mglich Werte sind
bis .
Der Standardwert ist .
Digitalisierungsbox Standard
103
Feld
Beschreibung
Wiederkehrender Hintergrund-Scan
104
Digitalisierungsbox Standard
Das Men Wireless LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS)->Neu besteht aus folgenden Feldern:
Felder im Men Service Set Parameter
Feld
Beschreibung
Netzwerkname (SSID)
Intra-cell Repeating
Whlen Sie aus, ob die Kommunikation zwischen den WLAN-Clients innerhalb einer Funkzelle erlaubt sein soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
ARP Processing
Whlen Sie aus, ob die Funktion ARP Processing aktiv sein soll. Dabei
wird das ARP-Datenaufkommen im Netzwerk reduziert, indem in ARPUnicasts umgewandelte ARP-Broadcasts an die intern bekannten IPAdressen weitergeleitet werden. Unicasts sind zudem schneller, und Clients mit aktivierter Power-Save-Funktion werden nicht angesprochen.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Digitalisierungsbox Standard
105
Feld
Beschreibung
Beachten Sie, dass ARP Processing nicht zusammen mit der Funktion
MAC-Bridge angewendet werden kann.
WMM
Whlen Sie aus, ob fr das Drahtslosnetzwerk Sprach- oder VideodatenPriorisierung mittels WMM (Wireless Multimedia) aktiviert sein soll, um
stets eine optimale bertragungsqualitt bei zeitkritischen Anwendungen
zu erreichen. Es wird Datenpriorisierung nach DSCP (Differentiated Services Code Point) oder IEEE802.1d untersttzt.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Beschreibung
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes aus.
Mgliche Werte:
(Standardwert): Weder Verschlsselung noch Authentifizierung
= : WEP 40 Bit
= : WEP 104 Bit
=4(<: WPA Preshared Key
=4*,: 802.11x
bertragungsschlssel
WEP-Schlssel 1-4
WPA-Modus
WPA Cipher
106
Digitalisierungsbox Standard
Feld
Beschreibung
Mgliche Werte:
< (Standardwert): TKIP wird angewendet.
4(: AES wird angewendet.
4( 3
<: AES oder TKIP wird angewendet.
WPA2 Cipher
Preshared Key
RADIUS-Server
Sie knnen den Zugang zu einem Drahtlosnetzwerk ber einen RADIUSServer regeln.
Mit Hinzufgen knnen Sie neue Eintrge anlegen. Geben Sie die IPAdresse und das Passwort des RADIUS-Servers ein.
EAPVorabauthentifizierung
Beschreibung
107
Feld
Beschreibung
Der Standardwert ist .
Beschreibung
Whlen Sie aus, ob fr dieses Drahtlosnetzwerk nur bestimmte Clients
zugelassen werden sollen.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Erlaubte Adressen
108
Legen Sie Eintrge mit Hinzufgen an und geben Sie die MACAdressen der Clients (MAC-Adresse) ein, die zugelassen werden sollen.
Mithilfe der Funktion Dynamische Black List ist es mglich, Clients, die
sich mglicherweise unbefgut Zugriff auf das Netzwerk verschaffen wollen, zu erkennen und fr einen bestimmten Zeitraum zu sperren. Ein Client wird dann gesperrt, wenn die Anzahl erfolgloser Anmeldeversuche innerhalb einer definierten Zeit eine bestimmte Anzahl berschreitet. Diese
Digitalisierungsbox Standard
Feld
Beschreibung
Grenzwerte ebenso wie die Dauer der Sperrung knnen konfiguriert werden. Ein gesperrten Client wird auf allen vom Wireless LAN Controller
verwalteten APs fr das betroffene VSS gesperrt, kann sich also auch
nicht in einer anderen Funkzelle an diesem VSS anmelden. Soll ein Client permanent gesperrt bleiben, so kann dies im Men Wireless LAN
Controller->Monitoring->Rogue Clients erfolgen.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiviert.
Geben Sie hier die Anzahl der Fehlversuche ein, die innerhalb einer bestimmten Zeit von einer MAC-Adresse ausgehen mssen, damit ein Eintrag in der dynamischen Black List angelegt wird.
Standardwerte sind Fehlversuche in Sekunden.
Beschreibung
VLAN
VLAN-ID
Beschreibung
Rx Shaping
Tx Shaping
10.4 Monitoring
Dieses Men dient zur berwachung Ihrer WLAN-Infrastruktur.
Digitalisierungsbox Standard
109
Hinweis
Um ein korrektes Timing zwischen dem WLAN Controller und den Slave APs sicher zu
stellen, sollte auf dem WLAN Controller der interne Zeitserver aktiviert werden.
Im Men Wireless LAN Controller->Monitoring->WLAN Controller wird eine bersicht der wichtigsten Parameter des Wireless LAN Controllers angezeigt. Die Anzeige wird alle 30 Sekunden aktualisiert.
Werte in der Liste bersicht
110
Status
Bedeutung
AP gefunden
AP offline
Zeigt die Anzahl der Access Points an, die nicht mit dem Wireless LAN
Controller verbunden sind.
AP verwaltet
CPU-Last [%]
Speicherverbrauch [%]
Verbundene Clients/VSS
Im Men Wireless LAN Controller->Monitoring->Slave Access Points wird eine bersicht aller erkannten Access Points angezeigt. Fr jeden Access Point sehen Sie einen Eintrag mit folgendem Parametersatz: Standort, Name, IP-Adresse, LAN-MAC-Adresse, Kanal, Tx-Bytes und Rx-Bytes. Auerdem sehen Sie, ob die Access Points /&
oder 13
sind.
ber das
-Symbol ffnen Sie eine bersicht mit weiteren Details zu den Slave Access Points.
10.4.2.1 bersicht
Im Men bersicht werden zustzliche Informationen zum gewhlten Access Point angezeigt. Die Anzeige wird alle 30 Sekunden aktualisiert.
Abb. 61: Wireless LAN Controller ->Monitoring ->Slave Access Points ->bersicht
Bedeutung
Durchsatz
Zeigt den empfangenen und den gesendeten Datenverkehr pro Funkmodul zeitabhngig an.
Verbundene Clients
Digitalisierungsbox Standard
111
Status
Bedeutung
gig an.
10.4.2.2 Funkmodul 1
Im Men Funkmodul wird der empfangene und der gesendete Datenverkehr pro Client zeitabhngig
angezeigt. Jeder Graph in der Darstellung ist ber eine Farbe und eine MAC-Adresse eindeutig einem
Client zugeordnet.
Abb. 62: Wireless LAN Controller ->Monitoring ->Slave Access Points ->Funkmodul
Bedeutung
Durchsatz/Client
Im Men Wireless LAN Controller->Monitoring->Aktive Clients werden die aktuellen Werte aller aktiven Clients angezeigt.
Fr jeden Client sehen Sie einen Eintrag mit folgendem Parametersatz: Standort, Name des SlaveAPs, VSS, Client MAC, Client-IP-Adresse, Signal : Noise (dBm) , Tx-Bytes, Rx-Bytes, Tx Discards,
Rx Discards, Status und Uptime.
Mgliche Werte fr Status
112
Status
Bedeutung
Keiner
Angemeldet
Digitalisierungsbox Standard
Status
Bedeutung
Zugeordnet
Authentifizieren
Authentifiziert
ber das
-Symbol ffnen Sie eine bersicht mit weiteren Details zu den Aktive Clients. Die Anzeige
Bedeutung
Durchsatz
Signal
Digitalisierungsbox Standard
113
10.4.5 Client-Verwaltung
10.5 Umgebungs-Monitoring
Dieses Men dient zur berwachung entfernter Acces Points und Clients.
Im Men Wireless LAN Controller+Umgebungs-Monitoring->Benachbarte APs werden die benachbarten APs angezeigt, die whrend des Scannens gefunden wurden. Rogue APs, d.h. APs, die eine
vom WLAN-Controller verwaltete SSID verwenden, aber nicht vom WLAN-Controller administriert werden, sind rot hinterlegt.
Hinweis
berprfen Sie die angezeigten APs sorgfltig, denn ein Angreifer knnte versuchen, ber
einen Rogue AP Daten in Ihrem Netz auszusphen.
Jeder AP wird zwar mehrmals gefunden, aber nur einmal mit der grten Signalstrke angezeigt. Fr jeden AP sehen Sie folgende Parameter SSID, MAC-Adresse, Signal dBm, Kanal, Sicherheit, Zuletzt
gesehen, Strkstes Signal empfangen von , Summe der Erkennungen.
Die Eintrge werden alphabetisch nach SSID sortiert angezeigt. Sicherheit zeigt die Sicherheitseinstel-
114
Digitalisierungsbox Standard
lungen des AP. Unter Strkstes Signal empfangen von sehen Sie die Parameter Standort und Name
desjenigen AP, ber den der angezeigte AP gefunden wurde. Summe der Erkennungen zeigt an, wie
oft der entsprechende AP whrend des Scannens gefunden wurde.
Klicken Sie unter Benachbarte APs neu scannen auf Start, um benachbarte APs erneut zu scannen.
Sie erhalten eine Warnung, dass dazu die Funkmodule der Access Points fr eine bestimmte Zeitspanne deaktiviert werden mssen. Wenn Sie den Vorgang mit OK starten, wird ein Fortschrittsbalken angezeigt. Die Anzeige der gefundenen APs wird alle zehn Sekunden aktualisiert.
Hinweis
berprfen Sie die angezeigten Rogue APs sorgfltig, denn ein Angreifer knnte versuchen, ber einen Rogue AP Daten in Ihrem Netz auszusphen.
Sie knnen einen Rogue AP als vertrauenswrdig einstufen, indem Sie die Checkbox in der Spalte Angenommen aktivieren. Ein eventuell konfigurierter Alarm wird dadurch gelscht und ab sofort nicht
mehr gesendet. Der rote Hintergrund verschwindet.
Klicken Sie unter Benachbarte APs neu scannen auf Start, um benachbarte APs erneut zu scannen.
Sie erhalten eine Warnung, dass dazu die Funkmodule der Access Points fr eine bestimmte Zeitspanne deaktiviert werden mssen. Wenn Sie den Vorgang mit OK starten, wird ein Fortschrittsbalken angezeigt. Die Anzeige der gefundenen APs wird alle zehn Sekunden aktualisiert.
Im Men Wireless LAN Controller+Umgebungs-Monitoring->Rogue Clients werden die Clients anDigitalisierungsbox Standard
115
gezeigt, die versucht haben, unbefugten Zugang zum Netzwerk herzustellen und sich daher auf der
Blacklist befinden. Die Konfiguration der Blacklist erfolgt fr jedes VSS im Men Wireless LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS). Sie knnen ebenfalls Eintrge zur statischen Blacklist hinzufgen.
Mgliche Werte fr Rogue Clients
Status
Bedeutung
Zeigt die MAC-Adresse des Clients an, der sich auf der Blacklist befindet.
SSID
Angegriffener Access
Point
Signal dBm
Hier wird die Art des mglichen Angriffs angezeigt, z. B. eine fehlerhafte
Authentifizierung.
Zuerst gesehen
Zuletzt gesehen
Sie knnen einen Rogue Client als nicht vertrauenswrdig einstufen, indem Sie die Checkbox in der Spalte Statische Black List aktivieren. Die
Sperrung des Clients endet dann nicht automatisch, sondern muss von
Ihnen manuell wieder aufgehoben werden.
Lschen
Mithilfe des
10.5.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Eintrge anzulegen.
Beschreibung
Geben SIe die MAC-Adresse des Clients ein, der der statischen Blacklist
hinzugefgt werden soll.
Netzwerkname (SSID)
Whlen Sie das Drahtlosnetzwerk aus, von dem der Rogue Client ausgeschlossen werden soll.
10.6 Wartung
Dieses Men dient zur Wartung Ihrer managed Access Points.
116
Digitalisierungsbox Standard
10.6.1 Firmware-Wartung
Im Men Wireless LAN Controller->Wartung->Firmware-Wartung wird eine Liste aller Managed Access Points angezeigt.
Fr jeden managed AP sehen Sie einen Eintrag mit folgendem Parametersatz: Firmware aktualisieren ,
Standort, Gert, IP-Adresse, LAN-MAC-Adresse, Firmware-Version , Status.
Klicken Sie auf die Schaltflche Alle auswhlen, um alle Eintrge fr eine Aktualisierung der Firmware
auswhlen. Klicken Sie auf die Schaltflche Alle deaktivieren, um alle Eintrge zu deaktivieren und danach bei Bedarf einzelne Eintrge auszuwhlen (z. B. wenn bei vielen Eintrgen nur die Software einzelner APs aktualisiert werden soll).
Mgliche Werte fr Status
Status
Bedeutung
Das Software Image ist bereits vorhanden, es ist kein Update ntig.
Fehler
Wird ausgefhrt
Fertig
Beschreibung
Whlen Sie die Aktion aus, die Sie ausfhren wollen.
Nach Durchfhrung der jeweiligen Aufgabe erhalten Sie ein Fenster, in
dem Sie auf die weiteren ntigen Schritte hingewiesen werden.
Mgliche Werte:
(0,,12 3,: Sie knnen eine Aktualisierung
der Systemsoftware initiieren.
<1&3 (3,1 ,+ : Sie knnen eine Konfiguration sichern, welche Statusinformationen der APs
enthlt.
Quelle
Whlen Sie die Quelle fr die Aktion aus.
Mgliche Werte:
>( (Standardwert): Die Datei ist bzw. wird auf dem entfernten Server gespeichert, der in der URL angegeben wird.
Digitalisierungsbox Standard
117
Feld
Beschreibung
43 (12 5*
(: Die Datei liegt auf
dem offiziellen Update-Server. (Nur fr Aktion = (0,,12
3,)
'(: Die Datei ist bzw. wird auf dem TFTP-Server gespeichert, der in der URL angegeben wird.
URL
118
Digitalisierungsbox Standard
11 Netzwerk
Kapitel 11 Netzwerk
11.1 Routen
Standard-Route (Default Route)
Bei einer Standard-Route werden automatisch alle Daten auf eine Verbindung geleitet, wenn keine andere passende Route verfgbar ist. Wenn Sie einen Zugang zum Internet einrichten, dann tragen Sie
die Route zu Ihrem Internet-Service-Provider (ISP) als Standard-Route ein. Wenn Sie z. B. eine Firmennetzanbindung durchfhren, dann tragen Sie die Route zur Zentrale bzw. zur Filiale nur dann als Standard-Route ein, wenn Sie keinen Internetzugang ber Ihr Gert einrichten. Wenn Sie z. B. sowohl einen
Zugang zum Internet, als auch eine Firmennetzanbindung einrichten, dann tragen Sie zum ISP eine
Standard-Route und zur Firmenzentrale eine Netzwerk-Route ein. Sie knnen auf Ihrem Gert mehrere
Standard-Routen eintragen, nur eine einzige aber kann jeweils wirksam sein. Achten Sie daher auf unterschiedliche Werte fr die Metrik, wenn Sie mehrere Standard-Routen eintragen.
Abb. 72: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu mit Routenklasse = Standard.
Wird die Option 2 fr die Routenklasse ausgewhlt, ffnet sich ein weiterer Konfigurationsabschnitt.
Digitalisierungsbox Standard
119
11 Netzwerk
Abb. 73: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu mit Routenklasse Erweitert = 4
Das Men Netzwerk->Routen->Konfiguration von IPv4-Routen ->Neu besteht aus folgenden Feldern:
Felder im Men Basisparameter
Feld
Beschreibung
Routentyp
120
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Wenn der DHCP-Server allerdings statische Routen (sog. Classless Static Routes) bermittelt, werden die hier konfigurierten Einstellungen nicht
ins Routing bernommen.
-& 1F (
3 * .>$: Die Information, welches Gateway verwendet werden soll, wird per DHCP empfangen und
in die Route bernommen.
-& 1F >,?3 * .>$: Die per DHCP empfangenen Einstellungen werden um Routing-Informationen zu einem bestimmten Host ergnzt.
-& 1F ;823 * .>$: Die per DHCP empfangenen Einstellungen werden um Routing-Informationen zu einem bestimmten Netzwerk ergnzt.
Hinweis
Durch dem Ablauf des DHCP Leases oder durch einen
Neustart des Gerts werden die Routen, die aus der Kombination von DHCP- und hier vorgenommenen Einstellungen entstehen, zunchst wieder aus dem aktiven Routing
gelscht. Mit einer erneuten DHCP-Konfiguration werden
sie dann neu generiert und wieder aktiviert.
Schnittstelle
Whlen Sie die Schnittstelle aus, welche fr diese Route verwendet werden soll.
Routenklasse
Beschreibung
Lokale IP-Adresse
ZielIP-Adresse/Netzmaske
Digitalisierungsbox Standard
121
11 Netzwerk
Feld
Gateway-IP-Adresse
Beschreibung
Nur fr Routentyp = (
3 F: 20, >,?3
20 oder ;823 20
Geben Sie die IP-Adresse des Gateways ein, an den Ihr Gert die IPPakete weitergeben soll.
Metrik
Beschreibung
Beschreibung
Quellschnittstelle
Whlen Sie die Schnittstelle aus, ber welche die Datenpakete das Gert
erreichen sollen.
Der Standardwert ist <.
QuellIP-Adresse/Netzmaske
Geben Sie die IP-Adresse und Netzmaske des Quell-Hosts bzw. QuellNetzwerks ein.
Layer 4-Protokoll
Quell-Port
Zielport
122
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Whlen Sie zunchst den Portnummernbereich aus.
Mgliche Werte:
%:& (Standardwert): Die Route gilt fr alle Port-Nummern.
8: Ermglicht Eingabe einer Port-Nummer.
%+ : Ermglicht Eingabe eines Bereiches von Port- Nummern.
&: Eingabe von privilegierten Port-Nummern: 0 ... 1023.
(: Eingabe von Server Port-Nummern: 5000 ... 32767.
$, : Eingabe von Client Port-Nummern: 1024 ... 4999.
$, : Eingabe von Client Port-Nummern: 32768 ... 65535.
;+ *&: Eingabe von unprivilegierten Port-Nummern:
1024 ... 65535.
Geben Sie entsprechend der Auswahl des Port-Nummern-Bereichs in
Port (einzelner bzw. Anfangsport) und ggf. in bis Port (Endport) die entsprechenden Werte ein.
DSCP-/TOS-Wert
Whlen Sie die Art des Dienstes aus (TOS, Type of Service).
Mgliche Werte:
;+ :+ (Standardwert): Die Art des Dienstes wird nicht bercksichtigt.
.($%@2: Differentiated Services Code Point nach RFC 3260
wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe
in binrem Format).
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9
82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9
82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
Geben Sie fr .($%@2, .($.82, .($
>9
82, D(%@2, D(.82 und D(
>9
82 den entsprechenden Wert ein.
Modus
Digitalisierungsbox Standard
123
11 Netzwerk
Feld
Beschreibung
; 2@ : Die Route ist benutzbar, wenn die Schnittstelle "aktiv" ist.
2@ : Die Route ist benutzbar, wenn die Schnittstelle "aktiv"
ist. Ist die Schnittstelle "ruhend", dann whlen und warten, bis die
Schnittstelle "aktiv" ist. In diesem Fall wird ber eine alternative Schnittstelle mit schlechterer Metrik geroutet, bis die Schnittstelle "aktiv" ist.
11.1.2 IPv6-Routenkonfiguration
Im Men Netzwerk->Routen->IPv6-Routenkonfiguration wird eine Liste aller konfigurierten
IPv6-Routen angezeigt.
-Symbol verfgen, wurden vom Router automatisch erstellt und knnen nicht
bearbeitet werden.
Beschreibung
Beschreibung
Route aktiv
Routentyp
124
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
bar ist.
>,?3 F: (+ ,: Route zu einem einzelnen
Host ber eine spezifische Schnittstelle.
>,?3 20: Route zu einem einzelnen Host ber ein
spezifisches Gateway.
;823 (+ ,: Route zu einem Netzwerk
ber eine spezifische Schnittstelle.
;823 20 (Standardwert): Route zu einem
Netzwerk ber ein spzifisches Gateway.
Zielschnittstelle
Quelladresse/Lnge
Zieladresse/Lnge
Gateway-Adresse
11.1.3 IPv4-Routing-Tabelle
Im Men Netzwerk->Routen->IPv4-Routing-Tabelle wird eine Liste aller im System aktiven
IPv4-Routen angezeigt.
Im Auslieferungszustand wird ein vordefinierter Eintrag mit den Parametern Ziel-IP-Adresse =
, Netzmaske =
Beschreibung
Zeigt die IP-Adresse des Ziel-Hosts bzw. Zielnetzes an.
125
11 Netzwerk
Feld
Netzmaske
Gateway
Schnittstelle
Metrik
Beschreibung
Zeigt die Netzmaske des Ziel-Hosts bzw. Zielnetzes an.
Zeigt die Gateway IP-Adresse an. Im Falle von per DHCP erhaltenen
Routen wird hier nichts angezeigt.
Zeigt die Schnittstelle an, welche fr diese Route verwendet wird.
Zeigt die Prioritt der Route an.
Je niedriger der Wert, desto hhere Prioritt besitzt die Route.
Routentyp
Erweiterte Route
Protokoll
Lschen
11.1.4 IPv6-Routingtabelle
Im Men Netzwerk->Routen->IPv6-Routingtabelle wird eine Liste aller im System aktiven
IPv6-Routen angezeigt.
Beschreibung
Route
Zeigt die Quell- und die Zieladresse, die fr diese Route verwendet wird
an, sowie die Gateway IP-Adresse. Im Falle von per DHCP erhaltenen
Routen wird hier nichts angezeigt.
Schnittstelle
Metrik
Zeigt an, wie der Eintrag erzeugt wurde, z. B. manuell ( #) oder
ber eins der verfgbaren Protokolle.
11.1.5 Optionen
berprfung der Rckroute
Hinter dem Begriff "berprfung der Rckroute" (engl. "Back Route Verify") versteckt sich eine einfache,
aber sehr leistungsfhige Funktion. Wenn die berprfung bei einer Schnittstelle aktiviert ist, werden
126
Digitalisierungsbox Standard
11 Netzwerk
ber diese eingehende Datenpakete nur akzeptiert, wenn ausgehende Antwortpakete ber die gleiche
Schnittstelle geroutet wrden. Dadurch knnen Sie - auch ohne Filter - die Akzeptanz von Paketen mit
geflschten IP-Adressen verhindern.
Beschreibung
Modus
Whlen Sie hier aus, wie die Schnittstellen spezifiziert werden sollen, fr
die eine berprfung der Rckroute aktiviert wird.
Mgliche Werte:
'F (+ , : berprfung der Rckroute wird fr alle Schnittstellen aktiviert.
'F :, (+ , (Standardwert):
Eine Liste aller Schnittstellen wird angezeigt, in der berprfung der
Rckroute nur fr spezifische Schnittstellen aktiviert wird.
'F (+ ,
: berprfung der
Rckroute wird fr alle Schnittstellen deaktiviert.
Nr.
Schnittstelle
Digitalisierungsbox Standard
127
11 Netzwerk
Abb. 78: Netzwerk ->Allgemeine IPv6-Prfixe ->Konfiguration eines Allgemeinen Prfixes ->Neu
Beschreibung
Aktiver Allgemeiner Prfix Whlen Sie, ob das Prfix aktiv oder inaktiv sein soll.
Mit 4 wird das Prfix auf den Status aktiv gesetzt.
Standardmig ist das Prfix aktiv.
Name
Geben Sie einen Namen fr das Allgemeine Prfix ein.
Ein sprechender Name dient dazu, das Allgemeine Prfix aus einer Prfixliste leichter auswhlen zu knnen.
Typ
Whlen Sie, wie der Adressraum zugewiesen werden soll.
Mgliche Werte:
128
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
.0,+ (Standardwert): Der Allgemeine Prfix wird dynamisch
mittels einer DHCP-bertragung festgesetzt, z. B. von einem Provider.
(,+ : Das Prfix wird fest vorgegeben, z. B. durch einen Provider.
Von Schnittstelle
Benutzter Prfix/Lnge
11.3 NAT
Network Address Translation (NAT) ist eine Funktion Ihres Gerts, um Quell- und Zieladressen von IPPaketen definiert umzusetzen. Mit aktiviertem NAT werden weiterhin IP-Verbindungen standardmig
nur noch in einer Richtung, ausgehend (forward) zugelassen (=Schutzfunktion). Ausnahmeregeln knnen konfiguriert werden (in NAT-Konfiguration auf Seite 130).
Konkrete Hinweise fr die Konfiguration von NAT finden Sie am Ende des Kapitels unter NAT - Konfigurationsbeispiel auf Seite 135.
11.3.1 NAT-Schnittstellen
Im Men Netzwerk->NAT->NAT-Schnittstellen wird eine Liste aller NAT-Schnittstellen angezeigt.
Fr jede NAT-Schnittstelle sind die Optionen ;4 , #*:+ , -21
?F+
3& und ,, 3& auswhlbar.
Auerdem wird in 23& angezeigt, wie viele Portweiterleitungsregeln fr diese
Schnittstelle konfiguriert wurden.
Digitalisierungsbox Standard
129
11 Netzwerk
Beschreibung
NAT aktiv
Loopback aktiv
Whlen Sie aus, ob IP-Pakete stillschweigend durch NAT abgelehnt werden sollen. Ist diese Funktion deaktiviert, wird der Absender der abgelehnten IP-Pakete mit einer entsprechenden ICMP- oder TCPRST-Nachricht informiert.
Standardmig ist die Funktion nicht aktiv.
PPTP-Passthrough
Whlen Sie aus, ob auch bei aktiviertem NAT der Aufbau und Betrieb
mehrerer gleichzeitiger ausgehender PPTP-Verbindungen von Hosts im
Netzwerk erlaubt sein soll.
Standardmig ist die Funktion nicht aktiv.
Wenn PPTP-Passthrough aktiviert ist, darf Ihr Gert selber nicht als
Tunnel-Endpunkt konfiguriert werden.
Portweiterleitungen
11.3.2 NAT-Konfiguration
Im Men Netzwerk->NAT->NAT-Konfiguration knnen Sie neben dem Umsetzen von Adressen und
Ports einfach und komfortabel Daten von NAT ausnehmen. Fr ausgehenden Datenverkehr knnen Sie
verschiedene NAT-Methoden konfigurieren, d. h. Sie knnen festlegen, wie ein externer Host eine Verbindung zu einem internen Host herstellen darf.
11.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um NAT einzurichten.
130
Digitalisierungsbox Standard
11 Netzwerk
Beschreibung
Beschreibung
Schnittstelle
Digitalisierungsbox Standard
131
11 Netzwerk
Feld
Beschreibung
*,+
+ (nur UDP): Wie restricted-cone NAT; es
sind jedoch ausschlielich Daten vom initialen Ziel-Port zugelassen.
,0,+ (Standardwert) Fr beliebige Protokolle: In ausgehender Richtung werden eine extern gltige Quelladresse und ein extern
gltiger Quell-Port administrativ festgelegt. In eingehender Richtung
sind nur Antwortpakete innerhalb der bestehenden Verbindung zugelassen.
Beschreibung
Dienst
Aktion
Protokoll
132
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
/
?
C
(D
<0*
#
D('
5
?.
?(-
(<
$
#(
5.
-??
C;(.
QuellIP-Adresse/Netzmaske
Original ZielIP-Adresse/Netzmaske
Original Ziel-Port/Bereich
Geben Sie die Ziel-IP-Adresse und gegebenenfalls die zugehrige Netzmaske der ursprnglichen Datenpakete ein.
Original QuellPort/Bereich
Nur fr Art des Datenverkehrs = 3,& !G3;4", NATMethode = ,0,+ , Dienst = %38 1 und Protokoll = $, 5., $75.
Geben Sie den Quellport der ursprnglichen Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass der Port nicht nher spezifiziert
ist.
Wenn Sie &: whlen, knnen Sie einen einzelnen Port angeben, mit der Auswahl von :+ &: knnen Sie einen
zusammenhngenden Bereich von Ports definieren, der als Filter fr den
Digitalisierungsbox Standard
133
11 Netzwerk
Feld
Beschreibung
ausgehenden Datenverkehr verwendet wird.
Quell-Port/Bereich
ZielIP-Adresse/Netzmaske
Ziel-Port/Bereich
Nur fr Art des Datenverkehrs = 3,&
!G3;4", NATMethode = ,0,+ , Dienst = %38
1 und Protokoll = $, 5., $75. oder Art des Datenverkehrs = 93,
! ;4", Dienst = %38
1 und Protokoll = $,
5., $75.
Geben Sie den Ziel-Port bzw. den Ziel-Port-Bereich der ursprnglichen
Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass der
Port nicht nher spezifiziert ist.
Im Men NAT-Konfiguration ->Substitutionswerte knnen Sie, abhngig davon, ob es sich um eingehenden oder ausgehenden Datenverkehr handelt, neue Adressen und Ports definieren, auf welche bestimmte Adressen und Ports aus dem Men NAT-Konfiguration ->Ursprnglichen Datenverkehr angeben umgesetzt werden.
Felder im Men Substitutionswerte
Feld
Beschreibung
Neue ZielIP-Adresse/Netzmaske
Neuer Ziel-Port
Belassen Sie den Ziel-Port oder geben Sie denjenigen Ziel-Port ein, auf
den der ursprngliche Ziel-Port umgesetzt werden soll.
Mit Auswahl von D& belassen Sie den ursprnglichen Ziel-Port.
Wenn Sie D& deaktivieren, erscheint ein Eingabefeld und Sie
knnen einen neuen Ziel-Port eingeben.
Standardmig ist D& aktiv.
Neue QuellIP-Adresse/Netzmaske
Neuer Quell-Port
Nur fr Art des Datenverkehrs = 3,&
!G3;4", NATMethode = ,0,+ , Dienst = %38
1, Protokoll
= $, 5., $75. und Original Quell-Port/Bereich= 4 oder
&:
Belassen Sie den Quell-Port oder geben Sie einen neuen Quell-Port ein,
134
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
auf den der ursprngliche Quell-Port umgesetzt werden soll.
Mit Auswahl von D& belassen Sie den ursprnglichen Quell-Port.
Wenn Sie D& deaktivieren, erscheint ein Eingabefeld und Sie
knnen einen neuen Quell-Port eingeben. Standardmig ist D&
aktiv.
Haben Sie fr Original Quell-Port/Bereich :+ &:
gewhlt, stehen folgende Auswahlmglichkeiten zur Verfgung:
D& G37%+ 2
: Der in Original
Quell-Port/Bereich angegebene Bereich wird nicht verndert, die Portnummern bleiben erhalten.
D& 7%+ :& : Es erscheint ein Eingabefeld, in das Sie die Portnummer eingeben knnen, bei der der Portbereich beginnen soll, durch den der ursprngliche Portbereich ersetzt
wird. Die Anzahl der Ports bleibt dabei gleich.
Beispielszenario
Konfigurationsziel
Sie konfigurieren NAT-Freigaben, damit Sie per HTTP auf Ihr Gateway zugreifen knnen.
Sie wollen auf Ihren Terminalserver und auf den Firmen-Webserver ber das Internet zugreifen knnen.
Konfigurationsschritte im berblick
NAT einschalten
Feld
Men
Wert
NAT aktiv
Aktiviert fr #4;K;
Digitalisierungsbox Standard
135
11 Netzwerk
Feld
Men
Wert
Aktiviert fr #4;K;
NAT-Freigaben konfigurieren
Feld
Men
Wert
Beschreibung
Schnittstelle
Dienst
Protokoll
Original ZielIP-Adresse/Netzmaske
Original Ziel-Port/Bereich
Neue ZielIP-Adresse/Netzmaske
Neuer Ziel-Port
Webserver
Feld
Men
Wert
Beschreibung
Schnittstelle
Dienst
Original ZielIP-Adresse/Netzmaske
Neue ZielIP-Adresse/Netzmaske
Neuer Ziel-Port
*
Terminal Server
136
Feld
Men
Wert
Beschreibung
Schnittstelle
Dienst
Protokoll
11 Netzwerk
Feld
Men
Wert
Original ZielIP-Adresse/Netzmaske
Original Ziel-Port/Bereich
Neue ZielIP-Adresse/Netzmaske
Neuer Ziel-Port
11.4 Lastverteilung
Zunehmender Datenverkehr ber das Internet erfordert die Mglichkeit, Daten ber unterschiedliche
Schnittstellen senden zu knnen, um die zur Verfgung stehende Gesamtbandbreite zu erhhen. IPLastverteilung ermglicht die geregelte Verteilung von Datenverkehr innerhalb einer bestimmten Gruppe
von Schnittstellen.
11.4.1 Lastverteilungsgruppen
Wenn Schnittstellen zu Gruppen zusammengefasst sind, wird der Datenverkehr innerhalb einer Gruppe
nach folgenden Prinzipien aufgeteilt:
Im Unterschied zu Multilink-PPP-basierten Lsungen funktioniert die Lastverteilung auch mit Accounts
zu unterschiedlichen Providern.
Session-based Load Balancing wird realisiert.
Zusammenhngende (abhngige) Sessions werden immer ber dieselbe Schnittstelle geroutet.
Eine Distributionsentscheidung fllt nur bei ausgehenden Sessions.
Im Men Netzwerk->Lastverteilung->Lastverteilungsgruppen wird eine Liste aller konfigurierten
Lastverteilungsgruppen angezeigt. Mit einem Klick auf das
-Symbol neben einem Listeneintrag gelangen Sie zu einer bersicht diese Gruppe betreffende Grundparameter.
Hinweis
Beachten Sie, dass die Schnittstellen, die zu einer Lastverteilungsgruppe zusammengefasst werden, Routen mit gleicher Metrik besitzen mssen. Gehen Sie ggf. in das Men
Netzwerk->Routen und berprfen Sie dort die Eintrge.
11.4.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Gruppen einzurichten.
Digitalisierungsbox Standard
137
11 Netzwerk
Beschreibung
Gruppenbeschreibung
Verteilungsrichtlinie
Whlen Sie aus, auf welche Art der Datenverkehr auf die fr die Gruppe
konfigurierten Schnittstellen verteilt werden soll.
Mgliche Werte:
(83&,?3
?: (Standardwert): Eine neu hinzukommende
Session wird je nach prozentualer Belegung der Schnittstellen mit Sessions einer der Gruppen-Schnittstellen zugewiesen. Die Anzahl der
Sessions ist mageblich.
#,: @&& %
:: Eine neu hinzukommende Session
wird je nach Anteil der Schnittstellen an der Gesamtdatenrate einer der
Gruppen-Schnittstellen zugewiesen. Mageblich ist die aktuelle Datenrate, wobei der Datenverkehr sowohl in Sende- als auch in Empfangsrichtung bercksichtigt wird.
Bercksichtigen
Verteilungsmodus
Whlen Sie aus, welchen Zustand die Schnittstellen der Gruppe haben
drfen, damit sie in die Lastverteilung einbezogen werden.
Mgliche Werte:
(Standardwert): Auch Schnittstellen im Zustand ruhend werden
einbezogen.
;3 (+ , 2
: Es werden nur
Schnittstellen im Zustand aktiv bercksichtigt.
Im Bereich Schnittstelle fgen Sie Schnittstellen hinzu, die dem aktuellen Gruppenkontext entsprechen
und konfigurieren diese. Sie knnen auch Schnittstellen lschen.
Legen Sie weitere Eintrge mit Hinzufgen an.
138
Digitalisierungsbox Standard
11 Netzwerk
Verteilungsrichtlinie
Beschreibung
Zeigt die Beschreibung der Schnittstellen-Gruppe an.
Zeigt die gewhlte Art des Datenverkehrs an.
Beschreibung
Schnittstelle
Verteilungsverhltnis
Beschreibung
Routenselektor
Der Parameter Routenselektor ist ein zustzliches Kriterium zur genaueren Definition einer Lastverteilungsgruppen. Der Schnittstelleneintrag innerhalb einer Lastverteilungsgruppen wird hierbei um eine Routinginformation erweitert. Der Routenselektor ist in bestimmten Anwendungsfllen notwendig, um die vom Router verwalteten IP Sessions eindeutig je Loadbalancing -Gruppe bilanzieren zu knnen. Fr die Anwendung des Parameters gelten folgende Regeln:
Ist eine Schnittstelle nur einer Lastverteilungsgruppe zugewiesen, so
ist die Konfiguration des Routenselektors nicht notwendig.
Ist eine Schnittstelle mehreren Lastverteilungsgruppenn zugewiesen,
so ist die Konfiguration des Routenselektors zwingend erforderlich.
Digitalisierungsbox Standard
139
11 Netzwerk
Feld
Beschreibung
Innerhalb einer Lastverteilungsgruppe muss der Routenselektor aller
Schnittstelleneintrge identisch konfiguriert sein.
Whlen Sie die Ziel-IP-Adresse der gewnschten Route aus.
Sie knnen unter allen Routen und allen erweiterten Routen whlen.
140
Digitalisierungsbox Standard
11 Netzwerk
Wenn Sie unter Unvernderliche Parameter fr die beide Parameter Zieladresse und Zielport die
Standardeinstellung belassen, so werden die HTTPS-Pakete mit derselben QuellIP-Adresse wie das erste HTTPS-Paket ber Port 443 zur selben Zieladresse ber dieselbe Schnittstelle wie das erste HTTPS-Paket geroutet.
Beschreibung
Admin-Status
Beschreibung
Dienst
Digitalisierungsbox Standard
141
11 Netzwerk
Feld
Beschreibung
Der Standardwert ist %38
1.
Protokoll
Whlen Sie, falls gewnscht, ein Protokoll aus. Die Option %:&
(Standardwert) passt auf jedes Protokoll.
ZielIP-Adresse/Netzmaske
Ziel-Port/Bereich
Quellschnittstelle
QuellIP-Adresse/Netzmaske
Quell-Port/Bereich
Geben Sie ein, whrend welcher Zeitspanne die spezifizierten Datenpakete ber den festgelegten Weg geroutet werden sollen.
Der Standardwert ist Sekunden.
142
Feld
Beschreibung
Unvernderliche Parameter
Legen Sie fest, ob die beiden Parameter Zieladresse und Zielport bei
spter gesendeten Datenpaketen denselben Wert haben mssen wie
beim ersten Datenpaket, d. h. ob die nachfolgenden Datenpakete ber
denselben Zielport zur selben Zieladresse geroutet werden mssen.
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Standardmig sind die beiden Parameter Zieladresse und Zielport aktiv.
Belassen Sie die Voreinstellung 4 bei einem oder bei beiden
Parametern, so muss der Wert des jeweiligen Parameters bei den spter
gesendeten Datenpaketen derselbe sein wie beim ersten Datenpaket.
Sie knnen, falls gewnscht, einen oder beide Parameter deaktivieren.
Der Parameter Quell-IP-Adresse muss bei spter gesendeten Datenpaketen immer denselben Wert haben wie beim ersten Datenpaket. Er kann
daher nicht deaktiviert werden.
Beispielszenario
Konfigurationsziel
Der Datenverkehr wird auf Basis von IP-Sitzungen jeweils zur Hlfte auf die beiden DSL-Leitungen
verteilt.
Wie Verbindungsabbrche vermieden werden, welche durch die Verteilung auf verschiedene Internetzugnge auftreten knnen, zeigen wir Ihnen am Beispiel von verschlsselten HTTP-Verbindungen
(HTTPS).
Hinweis
Beim Aufbau der DSL-Verbindungen bezieht das Gateway neben der ffentlichen IPAdresse auch die IP-Adressen der DNS-Server zur Namensauflsung von dem konfigurierten Internet-Provider. Vor allem bei der Verwendung von unterschiedlichen InternetProvidern mssen die DNS-Server verbindungsspezifisch verwendet werden. Die Konfiguration der DNS-Server wird beim Anlegen der DSL-Verbindungen automatisch erstellt und
kann im Men Lokale Dienste->DNS->DNS-Server eingesehen werden.
Konfigurationsschritte im berblick
Erste Internetverbindung einrichten
Digitalisierungsbox Standard
143
11 Netzwerk
Feld
Men
Wert
Verbindungstyp
Beschreibung
Typ
Benutzername
Passwort
Hinweis
Der Hinweis beim Anlegen der zweiten DSL-Verbindung kann ignoriert werden. Routingkonflikte aufgrund mehrerer Standardrouten werden durch IP-Lastverteilung verhindert.
Men
Wert
Verbindungstyp
Beschreibung
Physischer EthernetPort
Typ
Benutzername
Passwort
Lastverteilungsgruppe anlegen
Feld
Men
Wert
Gruppenbeschreibung
z. B. 83&&
Verteilungsrichtlinie
(83&,?3 ?:
Verteilungsmodus
Schnittstelle
=4;K.(#
Verteilungsverhltnis
Schnittstelle
=4;K.(#
Verteilungsverhltnis
144
Feld
Men
Wert
Beschreibung
11 Netzwerk
Feld
Men
Wert
* !((#"
Special Handling Timer Netzwerk -> Lastverteilung -> Special Sessi- Sekunden
on Handling -> Neu
11.5 QoS
QoS (Quality of Service) ermglicht es, verfgbare Bandbreiten effektiv und intelligent zu verteilen. Bestimmte Anwendungen knnen bevorzugt behandelt und Bandbreite fr diese reserviert werden. Vor allem fr zeitkritische Anwendungen wie z. B. Voice over IP ist das von Vorteil.
Die QoS-Konfiguration besteht aus drei Teilen:
IP-Filter anlegen
Daten klassifizieren
Daten priorisieren
11.5.1 IPv4/IPv6-Filter
Im Men Netzwerk->QoS->IPv4/IPv6-Filter werden IP-Filter konfiguriert.
Die Liste zeigt ebenfalls alle ggf. konfigurierten Eintrge aus Netzwerk->Zugriffsregeln->Regelketten.
11.5.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IP-Filter zu definieren.
Beschreibung
Beschreibung
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus. Werkseitig ist eine
umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
+0
**N
Digitalisierungsbox Standard
145
11 Netzwerk
Feld
Beschreibung
3
+ &
+,K
0
+*
,+
Der Standardwert ist 0.
Protokoll
Typ
Verbindungsstatus
Bei Protokoll = $ knnen Sie ein Filter definieren, das den Status von
TCP-Verbindungen bercksichtigt.
Mgliche Werte:
>&,: Das Filter passt auf diejenigen TCP-Pakete, die beim
Routing ber das Gateway keine neue TCP-Verbindung ffnen wrden.
%:& (Standardwert): Das Filter passt auf alle TCP-Pakete.
IPv4-Zieladresse/-netzmas Geben Sie die IPv4 Ziel-Adresse der Datenpakete und die zugehrige
ke
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Netzmaske sind nicht
nher spezifiziert.
>,: Geben Sie die Ziel-IP-Adresse des Hosts ein.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die zugehrige
Netzmaske ein.
IPv6-Zieladresse/-lnge
Geben Sie die IPv6 Ziel-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Lnge sind nicht nher
spezifiziert.
>,: Geben Sie die Ziel-IP-Adresse des Hosts ein.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die Prfixlnge
ein.
Ziel-Port/Bereich
146
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
4 (Standardwert): Der Zielport ist nicht nher spezifiziert.
&:: Geben Sie einen Zielport ein.
:+
IPv4-Quelladresse/-netzma Geben Sie die IPv4 Quell-Adresse der Datenpakete und die zugehrige
ske
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Netzmaske sind
nicht nher spezifiziert.
>,: Geben Sie die Quell-IP-Adresse des Hosts ein.
;82: Geben Sie die Quell-Netzwerk-Adresse und die Prfixlnge
ein.
IPv6-Quelladresse/-lnge
Geben Sie die IPv6 Quell-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Lnge ist nicht nher
spezifiziert.
>,: Geben Sie die Quell-IP-Adresse des Hosts ein.
;82: Geben Sie die Quell-Netzwerk-Adresse und die Prfixlnge
ein.
Quell-Port/Bereich
Whlen Sie die Art des Dienstes aus (TOS, Type of Service).
Mgliche Werte:
;+ :+ (Standardwert): Die Art des Dienstes wird nicht bercksichtigt.
.($%@2: Differentiated Services Code Point nach RFC 3260
wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe
in binrem Format, 6 Bit).
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9
82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9
82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
COS-Filter (802.1p/Layer
Digitalisierungsbox Standard
Tragen Sie die Serviceklasse der IP-Pakete ein (Class of Service, CoS).
147
11 Netzwerk
Feld
Beschreibung
2)
11.5.2 QoS-Klassifizierung
Im Men Netzwerk->QoS->QoS-Klassifizierung wird der Datenverkehr klassifiziert, d. h. der Datenverkehr wird mittels Klassen-ID verschiedenen Klassen zugeordnet. Sie erstellen dazu Klassenplne zur
Klassifizierung von IP-Paketen anhand zuvor definierter IP-Filter. Jeder Klassenplan wird ber seinen
ersten Filter mindestens einer Schnittstelle zugeordnet.
11.5.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Datenklassen einzurichten.
Beschreibung
Klassenplan
Whlen Sie den Klassenplan, den Sie anlegen oder bearbeiten wollen.
Mgliche Werte:
;3 (Standardwert): Mit dieser Einstellung legen Sie einen neuen
Klassenplan an.
A;
, <,,*,B: Zeigt einen bereits angelegten Klassenplan, den Sie auswhlen und bearbeiten knnen. Sie knnen neue
Filter hinzufgen.
Beschreibung
Filter
148
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Bei einem bestehenden Klassenplan whlen Sie das Filter, das an den
Klassenplan angehngt werden soll.
Um ein Filter auswhlen zu knnen, muss mindestens ein Filter im Men
Netzwerk->QoS->IPv4/IPv6-Filter konfiguriert sein.
Richtung
Whlen Sie die Richtung der Datenpakete, die klassifiziert werden sollen.
Mgliche Werte:
&
: Eingehende Datenpakete werden der im Folgenden zu
definierenden Klasse (Klassen-ID) zugeordnet.
43,&
(Standardwert): Ausgehende Datenpakete werden der im
Folgenden zu definierenden Klasse (Klassen-ID) zugeordnet.
%
: Eingehende und ausgehende Datenpakete werden der im Folgenden zu definierenden Klasse (Klassen-ID) zugeordnet.
High-Priority-Klasse
Aktivieren oder deaktivieren Sie die High-Priority-Klasse. Wenn die HighPriority-Klasse aktiv ist, werden die Datenpakete der Klasse mit der
hchsten Prioritt zugeordnet, die Prioritt 0 wird automatisch gesetzt.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Klassen-ID
DSCP/Traffic-Class-Filter
setzen (Layer 3)
Hier knnen Sie den DSCP/TOS-Wert der IP-Datenpakete in Abhngigkeit zur definierten Klasse (Klassen-ID) setzen bzw. ndern.
Mgliche Werte:
(Standardwert): Der DSCP/TOS-Wert der IP-Datenpakete
bleibt unverndert.
.($%@2: Differentiated Services Code Point nach RFC 3260
wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe
in binrem Format).
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9
82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9
82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
Digitalisierungsbox Standard
149
11 Netzwerk
Feld
Beschreibung
Im Header der Ethernet-Pakete, die vom ausgewhlten Filter erfasst werden, knnen Sie hier die Serviceklasse (Layer-2-Prioritt) setzen/ndern.
Mgliche Werte sind ganze Zahlen zwischen und ).
Der Standardwert ist .
Schnittstellen
11.5.3 QoS-Schnittstellen/Richtlinien
Im Men Netzwerk->QoS->QoS-Schnittstellen/Richtlinien legen Sie die Priorisierung der Daten fest.
Hinweis
Daten knnen nur ausgehend priorisiert werden.
Pakete der High-Priority-Klasse haben immer Vorrang vor Daten mit Klassen-ID 1 - 254.
Es ist mglich, jeder Queue und somit jeder Datenklasse einen bestimmten Anteil an der Gesamtbandbreite der Schnittstelle zuzuweisen bzw. zu garantieren. Darber hinaus knnen Sie die bertragung
von Sprachdaten (Real-Time-Daten) optimieren.
Abhngig von der jeweiligen Schnittstelle wird fr jede Klasse automatisch eine Queue (Warteschlange)
angelegt, jedoch nur fr ausgehend klassifizierten Datenverkehr sowie fr in beide Richtungen klassifizierten Datenverkehr. Den automatisch angelegten Queues wird hierbei eine Prioritt zugeordnet. Der
Wert der Prioritt ist dabei gleich dem Wert der Klassen-ID. Sie knnen diese standardmig gesetzte
Prioritt einer Queue ndern. Wenn Sie neue Queues hinzufgen, knnen Sie ber die Klassen-ID auch
Klassen anderer Klassenplne verwenden.
11.5.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Priorisierungen einzurichten.
150
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, fr die QoS konfiguriert werden soll.
Priorisierungsalgorithmus Whlen Sie den Algorithmus aus, nach dem die Abarbeitung der Queues
erfolgen soll. Sie aktivieren bzw. deaktivieren damit QoS auf der ausgewhlten Schnittstelle.
Mgliche Werte:
0 G33&: QoS wird auf der Schnittstelle aktiviert. Die
verfgbare Bandbreite wird streng gem der Prioritt der Queues verteilt.
=&
?3
?:: QoS wird auf der Schnittstelle aktiviert. Die
verfgbare Bandbreite wird gem der Gewichtung (weight) der Queues verteilt. Ausnahme: High-Priority-Pakete werden immer vorrangig
behandelt.
=&
' G33&: QoS wird auf der Schnittstelle aktiviert.
Die verfgbare Bandbreite wird mglichst "fair" unter den (automatisch
erkannten) Datenverbindungen (Traffic-Flows) innerhalb einer Queue
aufgeteilt. Ausnahme: High-Priority-Pakete werden immer vorrangig
bedient.
. (Standardwert): QoS wird auf der Schnittstelle deaktiviert. Die ggf. vorhandene Konfiguration wird nicht gelscht und kann
bei Bedarf wieder aktiviert werden.
Traffic Shaping
Maximale UploadGeschwindigkeit
Digitalisierungsbox Standard
151
11 Netzwerk
Feld
Beschreibung
Nur fr IPSec-Schnittstellen auswhlbar:
(+ F:
(+ F: 3
-#4;
(+
(+ 3
-#4;
Verschlsselungsmethode Nur wenn als Schnittstelle ein IPSec Peer gewhlt ist, Traffic Shaping
4 ist und die Gre des Protokoll-Headers unterhalb Layer
3 nicht 5
1 !+ >
D11,Q" ist.
Whlen Sie die Verschlsselungsmethode, die fr die IPSec-Verbindung
genutzt wird. Der Verschlsselungsalgorithmus bestimmt die Lnge der
Blockchiffre, die bei der Bandbreitenkalkulation bercksichtigt wird.
Mgliche Werte:
.(J .(J %21, J $, !$* %+&RM Q
%"
4( J 4(J 4(
J 21,
Q %"
Real Time Jitter Control
!$* %+&RM
Kontrollmodus
Queues/Richtlinien
152
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Fr jede angelegte Klasse aus dem Klassenplan, die mit der gewhlten
Schnittstelle verbunden ist, wird automatisch eine Queue erzeugt und
hier angezeigt (nur fr ausgehend klassifizierten Datenverkehr sowie fr
in beide Richtungen klassifizierten Datenverkehr).
Fgen Sie mit Hinzufgen neue Eintrge hinzu. Das Men Queue/
Richtlinie bearbeiten ffnet sich.
Durch das Erstellen einer QoS-Richtlinie wird automatisch ein Standardeintrag DEFAULT mit der niedrigsten Prioritt 255 erstellt.
Beschreibung
Beschreibung
Ausgehende Schnittstelle
Priorisierungsqueue
Klassen-ID
Prioritt
Gewichtung
RTT-Modus
(Realtime-Traffic-Modus)
Digitalisierungsbox Standard
153
11 Netzwerk
Feld
Beschreibung
Prioritt als Queues mit inaktivem RTT-Modus haben.
Traffic Shaping
Maximale UploadGeschwindigkeit
berbuchen zugelassen
Burst-Gre
Beschreibung
Dropping-Algorithmus
Whlen Sie das Verfahren, nach dem Pakete in der QoS-Queue verworfen werden, wenn die maximale Gre der Queue berschritten wird.
Mgliche Werte:
.* (Standardwert): Das neu hinzugekommene Paket wird
verworfen.
>
.*: Das lteste Paket in der Queue wird verworfen.
?
.*: Ein zufllig ausgewhltes Paket aus der Queue wird
verworfen.
154
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
Min. Queue-Gre
Max. Queue-Gre
11.6 Zugriffsregeln
Mit Access-Listen werden Zugriffe auf Daten und Funktionen eingegrenzt (welcher Benutzer welche
Dienste und Dateien nutzen darf).
Sie definieren Filter fr IP-Pakete, um den Zugang von bzw. zu den verschiedenen Hosts in angeschlossenen Netzwerken zu erlauben oder zu sperren. So knnen Sie verhindern, dass ber das Gateway unzulssige Verbindungen aufgebaut werden. Access-Listen definieren die Art des IP-Traffics, den das
Gateway annehmen oder ablehnen soll. Die Zugangsentscheidung basiert auf Informationen, die in den
IP-Paketen enthalten sind, z. B.:
Quell- und/oder Ziel IP-Adresse
Protokoll des Pakets
Quell- und/oder Ziel-Port (Portbereiche werden untersttzt)
Mchten z. B. Standorte, deren LANs ber eine Digitalisierungsbox miteinander verbunden sind, alle
eingehenden FTP-Anfragen ablehnen, oder Telnet-Sitzungen nur zwischen bestimmten Hosts zulassen,
sind Access-Listen ein effektives Mittel.
Access-Filter auf dem Gateway basieren auf der Kombination von Filtern und Aktionen zu Filterregeln (=
rules) und der Verknpfung dieser Regeln zu sogenannten Regelketten. Sie wirken auf die eingehenden
Datenpakete und knnen so bestimmten Daten den Zutritt zum Gateway erlauben oder verbieten.
Ein Filter beschreibt einen bestimmten Teil des IP-Datenverkehrs, basierend auf Quell- und/oder ZielIP-Adresse, Netzmaske, Protokoll, Quell- und/ oder Ziel-Port.
Mit den Regeln, die Sie in Access Lists organisieren, teilen Sie dem Gateway mit, wie es mit gefilterten
Datenpaketen umgehen soll ob es sie annehmen oder abweisen soll. Sie knnen auch mehrere Regeln definieren, die Sie in Form einer Kette organisieren und ihnen damit eine bestimmte Reihenfolge
geben.
Fr die Definition von Regeln bzw. Regelketten gibt es verschiedene Anstze:
Nehme alle Pakete an, die nicht explizit verboten sind, d. h.:
Digitalisierungsbox Standard
155
11 Netzwerk
Achtung
Achten Sie darauf, dass Sie sich beim Konfigurieren der Filter nicht selbst aussperren.
Greifen Sie zur Filter-Konfiguration mglichst ber die serielle Konsolen-Schnittstelle (nicht
fr alle Gerte verfgbar) oder mit ISDN-Login auf Ihr Gateway zu.
11.6.1 Zugriffsfilter
In diesem Men werden die Access-Filter konfiguriert. Jedes Filter beschreibt einen bestimmten Teil des
IP-Traffic und definiert z. B. die IP-Adressen, das Protokoll, den Quell- oder Ziel-Port.
Im Men Netzwerk->Zugriffsregeln->Zugriffsfilter wird eine Liste aller Access Filter angezeigt.
156
Digitalisierungsbox Standard
11 Netzwerk
Beschreibung
Beschreibung
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus. Werkseitig ist eine
umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
+0
**N
3
+ &
+,K
0
+*
,+
Der Standardwert ist 0.
Protokoll
Typ
Digitalisierungsbox Standard
157
11 Netzwerk
Feld
Verbindungsstatus
Beschreibung
Nur bei Protokoll = $
Sie knnen ein Filter definieren, das den Status von TCP-Verbindung bercksichtigt.
Mgliche Werte:
%:& (Standardwert): Das Filter passt auf alle TCP-Pakete.
>&,: Das Filter passt auf diejenigen TCP-Pakete, die beim
Routing ber das Gateway keine neue TCP-Verbindung ffnen wrden.
IPv4-Zieladresse/-netzmas Geben Sie die IPv4 Ziel-Adresse der Datenpakete und die zugehrige
ke
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Netzmaske sind nicht
nher spezifiziert.
>,: Geben Sie die Ziel-IP-Adresse des Hosts ein.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die zugehrige
Netzmaske ein.
IPv6-Zieladresse/-lnge
Geben Sie die IPv6 Ziel-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Lnge sind nicht nher
spezifiziert.
>,: Geben Sie die Ziel-IP-Adresse des Hosts ein.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die Prfixlnge
ein.
Ziel-Port/Bereich
IPv4-Quelladresse/-netzma Geben Sie die IPv4 Quell-Adresse der Datenpakete und die zugehrige
ske
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Netzmaske sind
nicht nher spezifiziert.
>,: Geben Sie die Quell-IP-Adresse des Hosts ein.
;82: Geben Sie die Quell-Netzwerk-Adresse und die Prfixlnge
ein.
IPv6-Quelladresse/-lnge
Geben Sie die IPv6 Quell-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Lnge ist nicht nher
spezifiziert.
>,: Geben Sie die Quell-IP-Adresse des Hosts ein.
158
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
;82: Geben Sie die Quell-Netzwerk-Adresse und die Prfixlnge
ein.
Quell-Port/Bereich
Whlen Sie die Art des Dienstes aus (TOS, Type of Service).
Mgliche Werte:
;+ :+ (Standardwert): Die Art des Dienstes wird nicht bercksichtigt.
.($%@2: Differentiated Services Code Point nach RFC 3260
wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe
in binrem Format, 6 Bit).
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9
82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9
82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
COS-Filter (802.1p/Layer
2)
Tragen Sie die Serviceklasse der IP-Pakete ein (Class of Service, CoS).
Mgliche Werte sind ganze Zahlen zwischen und ).
Der Standardwert ist ;+ :+ .
11.6.2 Regelketten
Im Men Regelketten werden Regeln fr IP-Filter konfiguriert. Diese knnen separat angelegt oder in
Regelketten eingebunden werden.
Im Men Netzwerk->Zugriffsregeln->Regelketten werden alle angelegten Filterregeln aufgelistet.
Digitalisierungsbox Standard
159
11 Netzwerk
Beschreibung
Whlen Sie aus, ob Sie eine neue Regelkette anlegen oder eine bestehende bearbeiten wollen.
Mgliche Werte:
;3 (Standardwert): Mit dieser Einstellung legen Sie eine neue Regelkette an.
A;
?&B: Whlen Sie eine bereits angelegte Regelkette aus und fgen ihr somit eine weitere Regel hinzu.
Beschreibung
Zugriffsfilter
Aktion
Legen Sie fest, wie mit einem gefilterten Datenpaket verfahren wird.
Mgliche Werte:
E3,,J 2 ' *,, (Standardwert): Paket annehmen,
wenn das Filter passt.
E3,,J 2 ' + *,,: Paket annehmen, wenn
das Filter nicht passt.
-2&J 2 ' *,,: Paket abweisen, wenn das Fil160
Digitalisierungsbox Standard
11 Netzwerk
Feld
Beschreibung
ter passt.
-2&J 2 ' + *,,: Paket abweisen, wenn
das Filter nicht passt.
;+ :+ : Nchste Regel anwenden.
Um die Regeln einer Regelkette in eine andere Reihenfolge zu bringen, whlen Sie im Listenmen bei
dem Eintrag, der verschoben werden soll, die Schaltflche . Daraufhin ffnet sich ein Dialog, bei dem
Sie unter Verschieben entscheiden knnen, ob der Eintrag 3 (Standardwert) oder F: eine andere Regel dieser Regelkette verschoben wird.
11.6.3 Schnittstellenzuweisung
In diesem Men werden die konfigurierten Regelketten den einzelnen Schnittstellen zugeordnet und das
Verhalten des Gateways beim Abweisen von IP-Paketen festgelegt.
Im Men Netzwerk->Zugriffsregeln->Schnittstellenzuweisung wird eine Liste aller konfigurierten
Schnittstellenzuordnungen angezeigt.
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, der eine konfigurierte Regelkette zugeordnet werden soll.
Regelkette
Digitalisierungsbox Standard
Legen Sie fest, ob beim Abweisen eines IP-Paketes der Absender informiert werden soll.
161
11 Netzwerk
Feld
Beschreibung
4 (Standardwert) : Der Absender wird nicht informiert.
.: Der Absender erhlt eine ICMP-Nachricht.
Berichtsmethode
Legen Sie fest, ob bei Abweisung eines IP-Paketes eine Syslog-Meldung
erzeugt werden soll.
Mgliche Werte:
< %+ : Keine Syslog-Meldung.
1 (Standardwert): Eine Syslog-Meldung mit Angabe von Protokollnummer, Quell-IPAdresse und Quell-Port-Nummer wird generiert.
.3*: Eine Syslog-Meldung mit dem Inhalt der ersten 64 Bytes des abgewiesenen Pakets wird generiert.
162
Digitalisierungsbox Standard
12 Multicast
Kapitel 12 Multicast
Was ist Multicasting?
Viele jngere Kommunikations-Technologien basieren auf der Kommunikation von einem Sender zu
mehreren Empfngern. Daher liegt auf der Reduzierung des Datenverkehrs ein Hauptaugenmerk von
modernen Telekommunikationssystemen wie Voice-over-IP oder Video- und Audio-Streaming (z. B.
IPTV oder Webradio), z. B. im Rahmen von TriplePlay (Voice, Video, Daten). Multicast bietet eine kostengnstige Lsung zur effektiven Bandbreitennutzung, dadurch dass der Sender das Datenpaket, welches mehrere Empfnger empfangen knnen, nur einmal senden muss. Dabei wird an eine virtuelle
Adresse gesendet, die als Multicast-Gruppe bezeichnet wird. Interessierte Empfnger melden sich bei
diesen Gruppen an.
Weitere Anwendungsbereiche
Ein klassischer Einsatzbereich von Multicast sind Konferenzen (Audio/Video) mit mehreren Empfngern.
Allen voran drften die bekanntesten MBone Multimedia Audio Tool (VAT), Video Conferencing Tool
(VIC) und das Whiteboard (WB) sein. Mit Hilfe von VAT knnen Audiokonferenzen durchgefhrt werden.
Hierzu werden alle Gesprchspartner in einem Fenster sichtbar gemacht und der/die Sprecher mit einem schwarzen Kasten gekennzeichnet. Andere Anwendungsgebiete sind vor allem fr Firmen interessant. Hier bietet Multicasting die Mglichkeit, die Datenbanken mehrerer Server gleichzeitig zu synchronisieren, was fr multinationale oder auch fr Firmen mit nur wenigen Standorten lohnenswert ist.
Adressbereich fr Multicast
Fr IPv4 sind im Klasse-D-Netzwerk die IP-Adressen 224.0.0.0 bis 239.255.255.255 (224.0.0.0/4) fr
Multicast reserviert. Eine IP-Adresse aus diesem Bereich reprsentiert eine Multicast-Gruppe, fr die
sich mehrere Empfnger anmelden knnen. Der Multicast-Router leitet dann gewnschte Pakete in alle
Subnetze mit angemeldeten Empfngern weiter.
Multicast Grundlagen
Multicast ist verbindungslos, d. h. eine etwaige Fehlerkorrektur oder Flusskontrolle muss auf Applikationsebene gewhrleistet werden.
Auf der Transportebene kommt fast ausschlielich UDP zum Einsatz, da es im Gegensatz zu TCP nicht
an eine Punkt-zu-Punkt-Verbindung angelehnt ist.
Der wesentliche Unterschied besteht somit auf IP-Ebene darin, dass die Zieladresse keinen dedizierten
Host adressiert, sondern an eine Gruppe gerichtet ist, d. h. beim Routing von Multicast-Paketen ist allein
entscheidend, ob sich in einem angeschlossenen Subnetz ein Empfnger befindet.
Im lokalen Netzwerk sind alle Hosts angehalten, alle Multicast-Pakete zu akzeptieren. Das basiert bei
Ethernet oder FDD auf einem sogenannten MAC-Mapping, bei dem die jeweilige Gruppen-Adresse in
die Ziel-MAC-Adresse kodiert wird. Fr das Routing zwischen mehreren Netzen mssen sich bei den jeweiligen Routern vorerst alle potentiellen Empfnger im Subnetz bekannt machen. Dies geschieht durch
sog. Membership-Management-Protokolle wie IGMP bei IPv4 und MLP bei IPv6.
Membership-Management-Protokoll
IGMP (Internet Group Management Protocol) ist in IPv4 ein Protokoll, mit dem Hosts dem Router Multicast-Mitgliedsinformationen mitteilen knnen. Hierbei werden fr die Adressierung IP-Adressen des
Klasse-D-Adressraums verwendet. Eine IP-Adresse dieser Klasse reprsentiert eine Gruppe. Ein Sender (z. B. Internetradio) sendet an diese Gruppe. Die Adressen (IP) der verschiedenen Sender innerhalb
einer Gruppe werden als Quell(-Adressen) bezeichnet. Es knnen somit mehrere Sender (mit unterDigitalisierungsbox Standard
163
12 Multicast
schiedlichen IP-Adressen) an dieselbe Multicast-Gruppe senden. So kommt eine 1-zu-n-Beziehung zwischen Gruppen- und Quelladressen zustande. Diese Informationen werden an den Router ber Reports
weitergegeben. Ein Router kann bei eingehenden Multicast-Datenverkehr anhand dieser Informationen
entscheiden, ob ein Host in seinem Subnetz diesen empfangen will oder nicht. Ihr Gert untersttzt die
aktuelle Version IGMP V3, welche abwrtskompatibel ist, d. h. es knnen sowohl V3- als auch V1- und
V2-Hosts verwaltet werden.
Ihr Gert untersttzt folgende Multicast-Mechanismen:
Forwarding (Weiterleiten): Dabei handelt es sich um statisches Forwarding, d.h. eingehender Datenverkehr fr eine Gruppe wird auf jeden Fall weitergeleitet. Dies bietet sich an, wenn Multicast-Datenverkehr permanent weitergeleitet werden soll.
IGMP: Mittels IGMP werden Informationen ber die potentiellen Empfnger in einem Subnetz gesammelt. Bei einem Hop kann dadurch eingehender Multicast-Datenverkehr ausgesondert werden.
Tipp
Bei Multicast liegt das Hauptaugenmerk auf dem Ausschluss von Datenverkehr ungewnschter Multicast-Gruppen. Beachten Sie daher, dass bei einer etwaigen Kombination
von Forwarding mit IGMP die Pakete an die im Forwarding angegebenen Gruppen auf jeden Fall weitergeleitet werden knnen.
12.1 Allgemein
12.1.1 Allgemein
Im Men Multicast->Allgemein->Allgemein knnen Sie die Multicast-Funktionalitt aus- bzw. einschalten.
Beschreibung
Multicast-Routing
12.2 IGMP
Mit IGMP (Internet Group Management Protocol, siehe RFC 3376) werden die Informationen ber die
Gruppen (zugehrigkeit) in einem Subnetz signalisiert. Somit gelangen nur diejenigen Pakete in das
Subnetz, die explizit von einem Host gewnscht sind.
Spezielle Mechanismen sorgen fr die Vereinigung der Wnsche der einzelnen Clients. Derzeit gibt es
drei Versionen von IGMP (V1 - V3), wobei aktuelle Systeme meist V3, seltener V2, benutzen.
164
Digitalisierungsbox Standard
12 Multicast
Bei IGMP spielen zwei Paketarten die zentrale Rolle: Queries und Reports.
Queries werden ausschlielich von einem Router versendet. Sollten mehrere IGMP-Router in einem
Netzwerk existieren, so wird der Router mit der niedrigeren IP-Adresse der sogenannte Querier. Hierbei
unterscheidet man das General Query (versendet an 224.0.0.1), die Group-Specific Query (versendet
an jeweilige Gruppenadresse) und die Group-and-Source-Specific Query (versendet an jeweilige Gruppenadresse). Reports werden ausschlielich von Hosts versendet, um Queries zu beantworten.
12.2.1 IGMP
In diesem Men konfigurieren Sie die Schnittstellen, auf denen IGMP aktiv sein soll.
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, auf der IGMP aktiviert werden soll, d.h.
Queries werden versendet und Antworten akzeptiert.
Abfrage Intervall
Geben Sie das Intervall in Sekunden ein, in dem IGMP Queries versendet werden sollen.
Mglich Werte sind bis .
Der Standardwert ist
.
Maximale Antwortzeit
Digitalisierungsbox Standard
165
12 Multicast
Feld
Beschreibung
Robustheit
Whlen Sie den Multiplikator zur Steuerung interner Timer-Werte aus. Mit
einem hheren Wert kann z. B. in einem verlustreichen Netzwerk ein Paketverlust kompensiert werden. Durch einen zu hohen Wert kann sich
aber auch die Zeit zwischen dem Abmelden und dem Stopp des eingehenden Datenverkehrs erhhen (Leave Latency).
Mglich Werte sind bis .
Der Standardwert ist .
Antwortintervall (Letztes
Mitglied)
Bestimmen Sie, wie lang der Router nach einer Query an eine Gruppe
auf Antwort wartet.
Wenn Sie den Wert verkleinern, wird schneller erkannt, ob das letzte Mitglied eine Gruppe verlassen hat und somit keine Pakete mehr fr diese
Gruppe an diese Schnittstelle weitergeleitet werden mssen.
Mglich Werte sind J bis
J.
Der Standardwert ist J.
Limitieren Sie die Anzahl der Reports/Queries pro Sekunde fr die gewhlte Schnittstelle.
Modus
IGMP Proxy
Mit IGMP Proxy knnen mehrere lokal angeschlossene Schnittstellen als ein Subnetz zu einem benachbarten Router simuliert werden. Auf der IGMP-Proxy-Schnittstelle eingehende Queries werden in die lokalen Subnetze weitergeleitet. Lokale Reports werden auf der IPGM-Proxy-Schnittstelle weitergeleitet.
Beschreibung
IGMP Proxy
Whlen Sie aus, ob Ihr Gert die IGMP-Meldungen der Hosts im Subnetz
ber seine definierte Proxy-Schnittstelle weiterleiten soll.
Proxy-Schnittstelle
166
Digitalisierungsbox Standard
12 Multicast
12.2.2 Optionen
In diesem Men haben Sie die Mglichkeit, IGMP auf Ihrem System zu aktivieren bzw. zu deaktivieren.
Auerdem knnen Sie bestimmen, ob IGMP im Kompatibilittsmodus verwendet werden soll oder nur
IGMP V3-Hosts akzeptiert werden sollen.
Beschreibung
IGMP-Status
Modus
Maximale Gruppen
Geben Sie ein, wie viele Gruppen sowohl intern als auch in Reports maximal mglich sein sollen.
Der Standardwert ist .
Maximale Quellen
Geben Sie die maximale Anzahl der Quellen ein, die in den Reports der
Version 3 spezifiziert sind, als auch die maximale Anzahl der intern verwalteten Quellen pro Gruppe.
Der Standardwert ist .
Digitalisierungsbox Standard
167
12 Multicast
12.3 Weiterleiten
12.3.1 Weiterleiten
In diesem Men legen Sie fest, welche Multicast-Gruppen zwischen den Schnittstellen Ihres Gerts immer weitergeleitet werden.
12.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um Weiterleitungsregeln fr neue Multicast-Gruppen zu erstellen.
Beschreibung
Alle Multicast-Gruppen
Whlen Sie aus, ob alle Multicast-Gruppen, d. h. der komplette MulticastAdressraum 224.0.0.0/4, von der definierten Quellschnittstelle an die
definierte Zielschnittstelle weitergeleitet werden soll. Setzen Sie dazu
den Haken fr 4.
Mchten Sie nur eine definierte Multicast-Gruppe an eine bestimmte
Schnittstelle weiterleiten, deaktivieren Sie die Option.
Standardmig ist die Option nicht aktiv.
168
Multicast-Gruppen-Adresse
Quellschnittstelle
Whlen Sie die Schnittstelle Ihres Gerts aus, an dem die gewnschte
Multicast-Gruppe eingeht.
Zielschnittstelle
Whlen Sie die Schnittstelle Ihres Gerts aus, zu der die gewnschte
Multicast-Gruppe weitergeleitet werden soll.
Geben Sie hier die Adresse der Multicast-Gruppe ein, die Sie von einer
definierten Quellschnittstelle an eine definierte Zielschnittstelle weiterleiten mchten.
Digitalisierungsbox Standard
13 WAN
Kapitel 13 WAN
Dieses Men stellt Ihnen verschiedene Mglichkeiten zur Verfgung, Zugnge bzw. Verbindungen aus
Ihrem LAN zum WAN zu konfigurieren. Auerdem knnen Sie hier die Sprachbertragung bei Telefongesprchen ber das Internet optimieren.
Hinweis
Beachten Sie die Vorgaben Ihres Providers!
Einwahl-Verbindungen ber ISDN dienen dazu, zu Netzwerken oder Hosts auerhalb Ihres LANs eine
Verbindung herzustellen.
Alle eingetragenen Verbindungen werden in der entsprechenden Liste angezeigt, welche die Beschreibung, den Benutzernamen, die Authentifizierung und den aktuellen Status enthlt.
Das Feld Status kann folgende Werte annehmen:
Mgliche Werte fr Status
Feld
Beschreibung
verbunden
nicht verbunden (Whlverbindung); Verbindungsaufbau mglich
nicht verbunden (z. B. ist aufgrund eines Fehlers beim Aufbau einer ausgehenden Verbindung ein erneuter Versuch erst nach einer definierten
Anzahl von Sekunden mglich)
administrativ auf inaktiv gesetzt (deaktiviert); Verbindungsaufbau nicht
mglich
NAT aktivieren
Mit Network Address Translation (NAT) verbergen Sie Ihr gesamtes Netzwerk nach auen hinter nur einer IP-Adresse. Fr die Verbindung zum Internet Service Provider (ISP) sollten Sie dies auf jeden Fall
tun.
Digitalisierungsbox Standard
169
13 WAN
Bei aktiviertem NAT sind zunchst nur ausgehende Sessions zugelassen. Um bestimmte Verbindungen
von auen zu Hosts innerhalb des LANs zu erlauben, mssen diese explizit definiert und zugelassen
werden.
Authentifizierung
Wenn bei ISDN-Verbindungen ein Ruf eingeht, wird ber den ISDN-D-Kanal die Nummer des Anrufers
mitgegeben. Anhand dieser Nummer kann Ihr Gert den Anrufer identifizieren (CLID), wenn dieser auf
Ihrem Gert eingetragen ist. Nach der Identifizierung mit CLID kann Ihr Gert zustzlich eine PPPAuthentisierung mit dem Verbindungspartner durchfhren, bevor der Ruf angenommen wird.
Fr alle PPP-Verbindungen bentigt Ihr Gert Vergleichsdaten, die Sie eintragen mssen. Legen Sie
fest, welche Authentisierungsverhandlung ausgefhrt werden soll und tragen Sie ein gemeinsames
Passwort und zwei Kennungen ein. Diese Daten erhalten Sie z. B. von Ihrem Internet Service Provider
oder dem Systemadministrator der Firmenzentrale. Stimmen die von Ihnen auf Ihrem Gert eingetragenen Daten mit den Daten des Anrufers berein, wird der Ruf angenommen. Stimmen die Daten nicht
berein, wird der Ruf abgewiesen.
Callback
Um zustzliche Sicherheit bezglich des Verbindungspartners zu erlangen oder die Kosten von Verbindungen eindeutig verteilen zu knnen, kann der Callback-Mechanismus fr jede Verbindung ber eine
ISDN- oder ber eine AUX-Schnittstelle verwendet werden. Damit kommt eine Verbindung erst durch
einen Rckruf zustande, nachdem der Anrufer eindeutig identifiziert wurde. Ihr Gert kann sowohl einen
eingehenden Ruf mit einem Rckruf beantworten, also auch von einem Verbindungspartner einen Rckruf anfordern. Die Identifizierung kann aufgrund der Calling Party Number oder aufgrund der PAP/
CHAP/MS-CHAP-Authentifizierung erfolgen. Im ersten Fall erfolgt die Identifikation ohne Rufannahme,
da die Calling Party Number ber den ISDN-D- Kanal bermittelt wird, im zweiten Fall mit Rufannahme.
Kanalbndelung
Ihr Gert untersttzt dynamische und statische Kanalbndelung fr Whlverbindungen. Kanalbndelung
kann nur bei ISDN-Verbindungen fr Bandbreitenerhhung bzw. als Backup angewendet werden. Bei
Aufbau einer Verbindung wird zunchst nur ein B-Kanal geffnet.
Dynamisch
Dynamische Kanalbndelung bedeutet, dass Ihr Gert bei Bedarf, also bei groen Datenraten, weitere
ISDN-B-Kanle fr Verbindungen zuschaltet, um den Durchsatz zu erhhen. Sinkt das Datenaufkommen, werden die zustzlichen B-Kanle wieder geschlossen.
Falls auf der Gegenstelle Gerte anderer Fabrikate verwendet werden, stellen Sie sicher, dass diese dynamische Kanalbndelung fr Bandbreitenerhhung bzw. als Backup untersttzen.
Statisch
Bei statischer Kanalbndelung legen Sie im Voraus fest, wie viele B-Kanle Ihr Gert fr Verbindungen
nutzen soll, unabhngig von der bertragenen Datenrate.
170
Digitalisierungsbox Standard
13 WAN
13.1.1 PPPoE
Im Men WAN->Internet + Einwhlen->PPPoE wird eine Liste aller PPPoE-Schnittstellen angezeigt.
PPP over Ethernet (PPPoE) ist die Verwendung des Netzwerkprotokolls Point-to-Point Protocol (PPP)
ber eine Ethernet-Verbindung. PPPoE wird heute bei ADSL-Anschlssen in Deutschland verwendet. In
sterreich wurde ursprnglich fr ADSL-Zugnge das Point To Point Tunneling Protocol (PPTP) verwendet. Mittlerweile wird allerdings PPPoE auch dort von einigen Providern angeboten.
13.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPPoE Schnittstellen einzurichten.
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um den PPPoE-Partner eindeutig zu benennen. In diesem Feld darf das erste Zeichen keine Zahl sein.
Sonderzeichen und Umlaute drfen ebenfalls nicht verwendet werden.
PPPoE-Modus
Digitalisierungsbox Standard
171
13 WAN
Feld
Beschreibung
1+ :
3&, so knnen Sie mehrere DSL-Verbindungen eines
Providers ber PPP als statische Bndel koppeln, um mehr Bandbreite
zu erhalten. Jede dieser DSL-Verbindungen sollte dafr eine separate
Ethernet-Verbindung nutzen. Aktuell ist bei vielen Providern die Funktion
PPPoE Multilink erst in Vorbereitung.
Wir empfehlen Ihnen, fr PPPoE Multilink den Ethernet Switch Ihres Gerts im Split-Port-Modus zu betreiben und fr jede PPPoE-Verbindung eine eigene Ethernet-Schnittstelle zu benutzen, z. B. , .
Wenn Sie fr PPPoE Multilink zustzlich ein externes Modem benutzen
wollen, mssen Sie den Ethernet-Switch Ihres Gerts im SplitPort-Modus betreiben.
PPPoE-Ethernet-Schnittstelle
Nur fr PPPoE-Modus = (
Whlen Sie die Ethernet-Schnittstelle aus, die fr eine Standard-PPPoE-Verbindung vorgegeben wird.
Bei Verwendung eines externen DSL-Modems, whlen Sie hier den
Ethernet-Port aus, an dem das Modem angeschlossen ist.
Bei Verwendung des internen DSL-Modems, whlen Sie hier die in
WAN->ATM->Profile->Neu fr diese Verbindung konfigurierte EthoASchnittstelle aus.
Whlen Sie den Wert 43,+ um den automatischen VDSL/ADSL-Modus zu untersttzen. In diesem Modus wird die Schnittstelle fr
der Internetzugang automatisch gewhlt. Achten Sie darauf, dass fr
einen ADSL-Zugang im Men ATM eine Schnittstelle angelegt sein
muss, fr einen VDSL-Zugang ist dies nicht notwendig.
PPPoE-Schnittstelle fr
Mehrfachlink
Benutzername
Passwort
VLAN
VLAN-ID
Geben Sie die VLAN-ID ein, die Sie von Ihrem Provider erhalten haben.
Immer aktiv
172
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
vergehen sollen.
Mgliche Werte von bis (Sekunden). deaktiviert den Shorthold.
Der Standardwert ist .
Bsp. fr FTP-bertragungen, fr LAN-zu-LAN-bertragungen,
fr Internetverbindungen.
Beschreibung
Sicherheitsrichtlinie
IP-Adressmodus
Standardroute
Whlen Sie aus, ob die Route zu diesem Verbindungspartner als Standard-Route festgelegt werden soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
NAT-Eintrag erstellen
Lokale IP-Adresse
Routeneintrge
Digitalisierungsbox Standard
173
13 WAN
Feld
Beschreibung
/: Je niedriger der Wert, desto hhere Prioritt besitzt die Route
(Wertebereich ...
). Der Standardwert ist .
Beschreibung
IPv6
Whlen Sie aus, ob die gewhlte PPPoE- Schnittstelle das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Sicherheitsrichtlinie
IPv6-Modus
DHCP-Client
174
Feld
Beschreibung
Geben Sie ein, fr wie viele Sekunden nach fehlgeschlagenem Verbindungsaufbau kein erneuter Versuch durch Ihr Gert unternommen werden soll. Der Standardwert ist .
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
Geben Sie die Anzahl der erfolglosen Versuche fr einen Verbindungsaufbau ein, nach denen die Schnittstelle blockiert wird.
Mgliche Werte sind bis .
Der Standardwert ist
.
Authentifizierung
Whlen Sie das Authentifizierungsprotokoll fr diesen Verbindungspartner aus. Whlen Sie die Authentifizierung, die von Ihrem Provider spezifiziert ist.
Mgliche Werte:
4 (Standardwert): Nur PAP (PPP Password Authentication Protocol)
ausfhren, Passwort wird unverschlsselt bertragen.
$>4: Nur CHAP (PPP Challenge Handshake Authentication Protocol
nach RFC 1994) ausfhren, Passwort wird verschlsselt bertragen.
47$>4: Vorrangig CHAP, sonst PAP ausfhren.
/($>4: Nur MS-CHAP Version 1 (PPP-Microsoft Challenge
Handshake Authentication Protocol) ausfhren.
47$>47/($>4: Vorrangig CHAP ausfhren, bei Ablehnung anschlieend das vom Verbindungspartner geforderte Authentifizierungsprotokoll ausfhren. (MSCHAP Version 1 oder 2 mglich.)
/($>4: Nur MS-CHAP Version 2 ausfhren.
<: Einige Provider verwenden keine Authentifizierung. Whlen
Sie in dem Fall diese Option.
DNS-Aushandlung
TCP-ACK-Pakete priorisie- Whlen Sie aus, ob der TCP-Download bei intensivem TCP-Upload optiren
miert werden soll. Diese Funktion kann speziell fr asymmetrische Bandbreiten (ADSL) angewendet werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
LCPErreichbarkeitsprfung
Whlen Sie aus, ob die Erreichbarkeit der Gegenstelle durch Senden von
LCP Echo Requests bzw. Replies berprft werden soll. So ist es mglich, im Falle einer Leitungsstrung schneller auf eine Backup-Verbindung umzuschalten.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Beschreibung
MTU
Digitalisierungsbox Standard
175
13 WAN
Feld
Beschreibung
Wenn Sie 43,+
13.1.2 PPTP
Im Men WAN->Internet + Einwhlen->PPTP wird eine Liste aller PPTP-Schnittstellen angezeigt.
In diesem Men konfigurieren Sie eine Internet-Verbindung, die zum Verbindungsaufbau das Pointto-Point Tunneling Protocol (PPTP) verwendet. Dies ist z. B. in sterreich notwendig.
13.1.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPTP-Schnittstellen einzurichten.
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um die Internetverbindung eindeutig zu benennen.
In diesem Feld darf das erste Zeichen keine Zahl sein. Sonderzeichen
176
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
und Umlaute drfen ebenfalls nicht verwendet werden.
PPTP-Ethernet-Schnittstelle
Whlen Sie die IP-Schnittstelle aus, ber die Pakete zur PPTP-Gegenstelle transportiert werden.
Bei Verwendung eines externen DSL-Modems, whlen Sie hier den
Ethernet-Port aus, an dem das Modem angeschlossen ist.
Bei Verwendung des internen DSL-Modems, whlen Sie hier die in Physikalische Schnittstellen->ATM->Profile->Neu fr diese Verbindung
konfigurierte EthoA-Schnittstelle z. B.
, aus.
Benutzername
Passwort
Immer aktiv
Beschreibung
Sicherheitsrichtlinie
IP-Adressmodus
Digitalisierungsbox Standard
177
13 WAN
Feld
Beschreibung
Standardroute
Whlen Sie aus, ob die Route zu diesem Verbindungspartner als Standard-Route festgelegt werden soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
NAT-Eintrag erstellen
Lokale IP-Adresse
Routeneintrge
Beschreibung
Geben Sie ein, fr wie viele Sekunden nach fehlgeschlagenem Verbindungsaufbau kein erneuter Versuch durch Ihr Gert unternommen werden soll. Der Standardwert ist .
Geben Sie die Anzahl der erfolglosen Versuche fr einen Verbindungsaufbau ein, nach denen die Schnittstelle blockiert wird.
Mgliche Werte sind bis .
Der Standardwert ist
.
Authentifizierung
178
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
47$>47/($>4: Vorrangig CHAP ausfhren, bei Ablehnung anschlieend das vom Verbindungspartner geforderte Authentifizierungsprotokoll ausfhren. (MSCHAP Version 1 oder 2 mglich.)
/($>4: Nur MS-CHAP Version 2 ausfhren.
<: Einige Provider verwenden keine Authentifizierung. Whlen
Sie in dem Fall diese Option.
DNS-Aushandlung
TCP-ACK-Pakete priorisie- Whlen Sie aus, ob der TCP-Download bei intensivem TCP-Upload optiren
miert werden soll. Diese Funktion kann speziell fr asymmetrische Bandbreiten (ADSL) angewendet werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
PPTP-Adressmodus
Zeigt den Adressmodus an. Der Wert kann nicht verndert werden.
Mgliche Werte:
(,+ : Die Lokale PPTP-IP-Adresse wird dem ausgewhlten
Ethernet-Port zugewiesen.
Lokale PPTP-IP-Adresse
Weisen Sie der PPTP-Schnittstelle eine IP-Adresse zu, die als Quelladresse verwendet wird.
Der Standardwert ist .
Entfernte PPTPIP-Adresse
LCPErreichbarkeitsprfung
Whlen Sie aus, ob die Erreichbarkeit der Gegenstelle durch Senden von
LCP Echo Requests bzw. Replies berprft werden soll. So ist es mglich, im Falle einer Leitungsstrung schneller auf eine Backup-Verbindung umzuschalten.
13.1.3 PPPoA
Im Men WAN->Internet + Einwhlen->PPPoA wird eine Liste aller PPPoA-Schnittstellen angezeigt.
In diesem Men konfigurieren Sie eine xDSL-Verbindung, die zum Verbindungsaufbau PPPoA verwendet. Bei PPPoA wird die Verbindung so konfiguriert, dass ein PPP-Datenstrom direkt ber ein ATMNetzwerk transportiert wird (RFC 2364). Dieses ist bei manchen Providern erforderlich. Achten Sie bitte
auf die Spezifikationen Ihres Providers!
Bei Verwendung des internen DSL-Modems, muss in WAN->ATM->Profile->Neu fr diese Verbindung
eine PPPoA-Schnittstelle mit Client-Typ = 431 41
3& konfiguriert werden.
Digitalisierungsbox Standard
179
13 WAN
13.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPPoA-Schnittstellen einzurichten.
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um den Verbindungspartner eindeutig zu benennen. In diesem Feld darf das erste Zeichen keine Zahl
sein. Sonderzeichen und Umlaute drfen ebenfalls nicht verwendet werden.
ATM PVC
Whlen Sie ein im Men ATM->Profile angelegtes ATM-Profil, dargestellt durch die vom Provider vorgegebenen globalen ID VPI und VCI.
Benutzername
Passwort
Immer aktiv
180
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
Beschreibung
Sicherheitsrichtlinie
IP-Adressmodus
Whlen Sie aus, ob Ihr Gert eine statische IP-Adresse hat oder diese
dynamisch erhlt.
Mgliche Werte:
4
,, :31 (Standardwert): Ihr Gert erhlt dynamisch eine IP-Adresse.
(,+ : Sie geben eine statische IP-Adresse ein.
Standardroute
Whlen Sie aus, ob die Route zu diesem Verbindungspartner als Standard-Route festgelegt werden soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
NAT-Eintrag erstellen
Lokale IP-Adresse
Routeneintrge
Digitalisierungsbox Standard
181
13 WAN
Feld
Beschreibung
Fgen Sie mit Hinzufgen neue Eintrge hinzu.
1 4
,,: IP-Adresse des Ziel-Hosts oder Netzwerkes.
;8,: Netzmaske zu Entfernte IP-Adresse. Wenn kein Eintrag
erfolgt, benutzt Ihr Gert eine Standardnetzmaske.
/: Je niedriger der Wert, desto hhere Prioritt besitzt die Route
(Wertebereich ...
). Der Standardwert ist .
Beschreibung
IPv6
Whlen Sie aus, ob das gewhlte ATM-Profil das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Sicherheitsrichtlinie
IPv6-Modus
DHCP-Client
182
Digitalisierungsbox Standard
13 WAN
Beschreibung
Geben Sie ein, fr wie viele Sekunden nach fehlgeschlagenem Verbindungsaufbau kein erneuter Versuch durch Ihr Gert unternommen werden soll. Der Standardwert ist .
Geben Sie die Anzahl der erfolglosen Versuche fr einen Verbindungsaufbau ein, nach denen die Schnittstelle blockiert wird.
Mgliche Werte sind bis .
Der Standardwert ist
.
Authentifizierung
DNS-Aushandlung
TCP-ACK-Pakete priorisie- Whlen Sie aus, ob der TCP-Download bei intensivem TCP-Upload optiren
miert werden soll. Diese Funktion kann speziell fr asymmetrische Bandbreiten (ADSL) angewendet werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
LCPErreichbarkeitsprfung
Whlen Sie aus, ob die Erreichbarkeit der Gegenstelle durch Senden von
LCP Echo Requests bzw. Replies berprft werden soll. Diese ist empfehlenswert fr Fest-, PPTP- und L2TP-Verbindungen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
13.1.4 IP Pools
Im Men IP Pools wird eine Liste aller IP Pools angezeigt.
Digitalisierungsbox Standard
183
13 WAN
Ihr Gert kann als dynamischer IP-Adress-Server fr PPP-Verbindungen agieren. Dafr stellen Sie
einen oder mehrere Pools von IP-Adressen zur Verfgung. Diese IP-Adressen knnen fr die Dauer der
Verbindung an einwhlende Verbindungspartner vergeben werden.
Eingetragene Host-Routen haben immer Vorrang vor IP-Adressen aus den Adress-Pools. Wenn also ein
eingehender Ruf authentisiert wurde, berprft Ihr Gert zunchst, ob fr den Anrufer in der Routing-Tabelle eine Host-Route eingetragen ist. Wenn dies nicht der Fall ist, kann Ihr Gert eine IP-Adresse aus
einem Adress-Pool zuweisen (falls verfgbar). Bei Adress-Pools mit mehr als einer IP-Adresse knnen
Sie nicht festlegen, welcher Verbindungspartner welche Adresse bekommt. Die Adressen werden zunchst einfach der Reihe nach vergeben. Bei einer erneuten Einwahl innerhalb eines Intervalls von einer
Stunde wird aber versucht, wieder die zuletzt an diesen Partner vergebene IP-Adresse zuzuweisen.
Beschreibung
IP-Poolname
IP-Adressbereich
Geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IPAdresse des IP-Adress-Pools ein.
DNS-Server
Primr: Geben Sie die IP-Adresse des DNS-Servers ein, der von Clients,
die eine Adresse aus diesem Pool beziehen, bevorzugt verwendet werden soll.
Sekundr: Geben Sie die IP-Adresse eines alternativen DNS-Servers
ein.
13.2 ATM
ATM (Asynchronous Transfer Mode) ist ein Datenbertragungsverfahren, das ursprnglich fr Breitband-ISDN konzipiert wurde.
Aktuell wird ATM u.a. in Hochgeschwindigkeitsnetzen verwendet. Sie bentigen ATM z. B., wenn Sie
ber das integrierte ADSL- bzw. SHDSL-Modem einen Hochgeschwindigkeitszugang ins Internet realisieren wollen.
In einem ATM-Netz knnen unterschiedliche Anwendungen wie z. B. Sprache, Video und Daten nebeneinander im asynchronen Zeitmultiplexverfahren bertragen werden. Jedem Sender werden dabei Zeitabschnitte zum bertragen seiner Daten zur Verfgung gestellt. Beim asynchronen Verfahren werden
ungenutzte Zeitabschnitte eines Senders von einem anderen Sender verwendet.
184
Digitalisierungsbox Standard
13 WAN
Bei ATM handelt es sich um ein verbindungsorientiertes Paketvermittlungsverfahren. Fr die Datenbertragung wird eine virtuelle Verbindung genutzt, die zwischen Sender und Empfnger ausgehandelt oder
auf beiden Seiten konfiguriert wird. Es wird z. B. der Weg festgelegt, den die Daten nehmen sollen. ber
eine einzige physikalische Schnittstelle knnen mehrere virtuelle Verbindungen eingerichtet werden.
Die Daten werden in sogenannten Zellen oder Slots konstanter Gre bermittelt. Jede Zelle besteht
aus 48 Byte Nutzdaten und 5 Byte Steuerinformation. Die Steuerinformation enthlt u.a. die ATMAdresse vergleichbar der Internetadresse. Die ATM-Adresse setzt sich aus den Bestandteilen Virtual
Path Identifier (VPI) und Virtual Connection Identifier (VCI) zusammen; sie identifiziert die virtuelle Verbindung.
ber ATM werden verschiedene Arten von Datenstrmen transportiert. Um den unterschiedlichen Ansprchen dieser Datenstrme an das Netz, z. B. bezglich Zellverlust und Verzgerungszeit, gerecht zu
werden, knnen mit Hilfe der Dienstkategorien dafr geeignete Werte festgelegt werden. Fr unkomprimierte Videodaten werden z. B. andere Parameter bentigt als fr zeitunkritische Daten.
In ATM-Netzen steht Quality of Service (QoS) zur Verfgung, d. h. die Gre verschiedener Netzparameter wie z. B. Bitrate, Delay und Jitter kann garantiert werden.
OAM (Operation, Administration and Maintenance) dient der berwachung der Datenbertragung bei
ATM. OAM umfasst Konfigurationsmanagement, Fehlermanagement und Leistungsmessung.
13.2.1 Profile
Im Men WAN->ATM->Profile wird eine Liste aller ATM-Profile angezeigt.
Wenn die Verbindung fr Ihren Internetzugang ber das interne Modem aufgebaut wird, mssen dafr
die ATM-Verbindungsparameter eingestellt werden. Ein ATM-Profil fasst einen Satz Parameter fr einen
bestimmten Provider zusammen.
Standardmig ist ein ATM-Profil mit der Beschreibung 45D$?4. vorkonfiguriert, dessen Werte
(VPI 1 und VCI 32) z. B. fr eine ATM-Verbindung der Telekom geeignet sind.
Hinweis
Die ATM-Enkapsulierungen sind in den RFCs 1483 und 2684 beschrieben. Sie finden die
RFCs auf den entsprechenden Seiten der IETF (www.ietf.org/rfc.html ).
13.2.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere ATM-Profile einzurichten.
Digitalisierungsbox Standard
185
13 WAN
Beschreibung
Provider
Beschreibung
ATM-Schnittstelle
Typ
186
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
Mgliche Werte sind bis
.
Der Standardwert ist .
.
Der Standardwert ist 32.
Enkapsulierung
Felder im Men Einstellungen fr Ethernet ber ATM (erscheint nur fr Typ = Ethernet ber
ATM)
Feld
Beschreibung
Digitalisierungsbox Standard
187
13 WAN
Feld
Beschreibung
(,+ (Standardwert): Der Schnittstelle wird eine statische IPAdresse in IP-Adresse / Netzmaske zugewiesen.
.>$: Die Schnittstelle erhlt dynamisch per DHCP eine IP-Adresse.
IP-Adresse/Netzmaske
MAC-Adresse
DHCP-MAC-Adresse
DHCP-Hostname
Felder im Men Einstellungen fr geroutete Protokolle ber ATM (erscheint nur fr Typ = Geroutete Protokolle ber ATM)
Feld
Beschreibung
IP-Adresse/Netzmaske
Geben Sie die IP-Adressen (IP-Adresse) und die entsprechenden Netzmasken (Netzmaske) der ATM-Schnittstelle ein. Fgen Sie weitere Eintrge mit Hinzufgen hinzu.
TCP-ACK-Pakete priorisie- Whlen Sie aus, ob der TCP-Download bei intensivem TCP-Upload optiren
miert werden soll. Diese Funktion kann speziell fr asymmetrische Bandbreiten (ADSL) angewendet werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Feld im Men Einstellungen fr PPP ber ATM (erscheint nur fr Typ = PPP ber ATM)
Feld
Beschreibung
Client-Typ
188
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
aufgebaut, z. B. fr den Internetzugang.
Zustzliche Informationen zu PPP ber ATM finden Sie unter PPPoA auf
Seite 179.
13.2.2 Dienstkategorien
Im Men WAN->ATM->Dienstkategorien wird eine Liste aller bereits konfigurierten ATM-Verbindungen
(PVC, Permanent Virtual Circuit) angezeigt, denen spezifische Datenverkehrsparameter zugewiesen
wurden.
Ihr Gert untersttzt QoS (Quality of Service) fr ATM-Schnittstellen.
Achtung
ATM QoS ist nur anzuwenden, wenn Ihr Provider eine Liste an Datenverkehrsparametern
(Traffic Contract) vorgibt.
Die Konfiguration von ATM QoS erfordert umfangreiches Wissen ber die ATMTechnologie und die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration
kann zu erheblichen Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B. auf Ihrem PC.
13.2.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Kategorien einzurichten.
Beschreibung
ATM-Dienstkategorie
Whlen Sie aus, auf welche Art der Datenverkehr der ATM-Verbindung
geregelt werden soll.
Durch die Auswahl der ATM-Dienstkategorie wird implizit eine Prioritt
zugeordnet: von CBR (hchste Prioritt) ber VBR.1 /VBR.3 bis VBR
(niedrigste Prioritt).
Zur Verfgung stehen:
5,*+1
% ? !5%?" (Standardwert): Der Verbindung
Digitalisierungsbox Standard
189
13 WAN
Feld
Beschreibung
wird keine bestimmte Datenrate garantiert. Die Peak Cell Rate (PCR)
legt die Grenze fest, bei deren berschreiten Daten verworfen werden.
Diese Kategorie eignet sich fr nicht-kritische Anwendungen.
$, % ? !$%?": Der Verbindung wird eine garantierte
Datenrate zugewiesen, die von der Peak Cell Rate (PCR) bestimmt
wird. Diese Kategorie eignet sich fr kritische Anwendungen
(Real-Time), die eine garantierte Datenrate voraussetzen.
-: % ? - !-%?": Der Verbindung wird eine garantierte Datenrate zugewiesen - Sustained Cell Rate (SCR). Diese
darf insgesamt um das in Maximale Burst-Gre (MBS) konfigurierte
Volumen berschritten werden. Jeglicher weiterer ATM-Traffic wird verworfen. Die Peak Cell Rate (PCR) bildet dabei die maximal mgliche
Datenrate. Die Kategorie eignet sich fr nicht-kritische Anwendungen
mit stoweisem Datenaufkommen.
-: % ? - !-%?": Der Verbindung wird eine garantierte Datenrate zugewiesen - Sustained Cell Rate (SCR). Diese
darf insgesamt um das in Maximale Burst-Gre (MBS) konfigurierte
Volumen berschritten werden. Weiterer ATM-Traffic wird markiert und
je nach Auslastung des Zielnetzes mit niedriger Prioritt behandelt, d.
h. wird bei Bedarf verworfen. Die Peak Cell Rate (PCR) bildet dabei
die maximal mgliche Datenrate. Diese Kategorie eignet sich fr kritische Anwendungen mit stoweisem Datenaufkommen.
Geben Sie einen Wert fr die maximale Datenrate in Bits pro Sekunde
ein.
Mgliche Werte: bis .
Der Standardwert ist .
13.2.3 OAM-Regelung
OAM ist ein Dienst zur berwachung von ATM-Verbindungen. In OAM sind insgesamt fnf Hierarchien
(Flow Level F1 bis F5) fr den Informationsfluss definiert. Fr eine ATM-Verbindung sind die wichtigsten
Informationsflsse F4 und F5. Der F4-Informationsfluss betrifft den virtuellen Pfad (VP), der
F5-Informationsfluss den virtuellen Kanal (VC). Der VP wird durch den VPI-Wert definiert, der VC durch
VPI und VCI.
190
Digitalisierungsbox Standard
13 WAN
Hinweis
Im Allgemeinen geht die berwachung nicht vom Endgert aus, sondern wird seitens des
ISP initiiert. Ihr Gert muss dann lediglich korrekt auf die empfangenen Signale reagieren.
Dies ist auch ohne eine spezifische OAM-Konfiguration sowohl auf den Flow Level 4 als
auch dem Flow Level 5 gewhrleistet.
Zur berwachung der ATM-Verbindung stehen zwei Mechanismen zur Verfgung: Loopback-Tests und
OAM Continuity Check (OAM CC). Sie knnen unabhngig voneinander konfiguriert werden.
Achtung
Die Konfiguration von OAM erfordert umfangreiches Wissen ber die ATM-Technologie
und die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration kann zu erheblichen Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B.
auf Ihrem PC.
13.2.3.1 Neu
Whlen Sie die Schaltflche Neu, um die berwachung weiterer Fluss-Levels einzurichten.
Beschreibung
OAM-Fluss-Level
Digitalisierungsbox Standard
191
13 WAN
Feld
Beschreibung
(VPC)
Beschreibung
Loopback Ende-zu-Ende
Endezu-Ende-Sendeintervall
Ausstehende Endezu-Ende-Anforderungen
Loopback-Segment
Segment-Sendeintervall
Ausstehende SegmentAnforderungen
Beschreibung
Continuity Check (CC) En- Whlen Sie aus, ob Sie den OAM-CC-Test fr die Verbindung zwischen
de-zu-Ende
den Endpunkten der VCC bzw. VPC aktivieren wollen.
Mgliche Werte:
192
Digitalisierungsbox Standard
13 WAN
Feld
Beschreibung
,, (Standardwert): OAM CC Requests werden nach der CCAushandlung (CC activation negotiation) beantwortet.
4: OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet.
%
: OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet und beantwortet.
< 43,
3&: Je nach Einstellung im Feld Richtung werden
OAM CC Requests entweder gesendet und/oder beantwortet. Es findet
keine CC-Aushandlung statt.
,,: Die Funktion ist nicht aktiv.
Whlen Sie auerdem aus, ob die Testzellen des OAM CC gesendet
bzw. empfangen werden sollen.
Mgliche Werte:
%
(Standardwert): CC-Daten werden sowohl empfangen als auch
generiert.
(: CC-Daten werden empfangen.
G3: CC-Daten werden generiert.
193
13 WAN
13.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um fr weitere Schnittstellen die Sprachbertragung zu optimieren.
Abb. 105: WAN ->Real Time Jitter Control ->Regulierte Schnittstellen ->Neu
Das Men WAN->Real Time Jitter Control->Regulierte Schnittstellen->Neu besteht aus folgenden
Feldern:
Felder im Men Grundeinstellungen
Feld
Beschreibung
Schnittstelle
Kontrollmodus
Maximale UploadGeschwindigkeit
194
Geben Sie die maximal zur Verfgung stehende Bandbreite in UploadRichtung in kbit/s fr die gewhlte Schnittstelle ein.
Digitalisierungsbox Standard
14 VPN
Kapitel 14 VPN
Als VPN (Virtual Private Network) wird eine Verbindung bezeichnet, die das Internet als "Transportmedium" nutzt, aber nicht ffentlich zugnglich ist. Nur berechtigte Benutzer haben Zugang zu einem solchen
VPN, das anschaulich auch als VPN-Tunnel bezeichnet wird. blicherweise werden die ber ein VPN
transportierten Daten verschlsselt.
ber ein VPN kann z. B. ein Auendienstmitarbeiter oder ein Mitarbeiter im Home Office auf die Daten
im Firmennetz zugreifen. Filialen knnen ebenfalls ber VPN an die Zentrale angebunden werden.
Zum Aufbau eines VPN-Tunnels stehen verschiedene Protokolle zur Verfgung, wie z. B. IPSec oder
PPTP.
Die Authentifizierung der Verbindungspartner erfolgt ber ein Passwort, mithilfe von Preshared Keys
oder ber Zertifikate.
Bei IPSec wird die Verschlsselung der Daten z. B. mit Hilfe von AES oder 3DES erledigt, bei PPTP
kann MPPE benutzt werden.
14.1 IPSec
IPSec ermglicht den Aufbau von gesicherten Verbindungen zwischen zwei Standorten (VPN). Hierdurch lassen sich sensible Unternehmensdaten auch ber ein unsicheres Medium wie z. B. das Internet
bertragen. Die eingesetzten Gerte agieren hierbei als Endpunkte des VPN Tunnels. Bei IPSec handelt es sich um eine Reihe von Internet-Engineering-Task-Force-(IETF)-Standards, die Mechanismen
zum Schutz und zur Authentifizierung von IP-Paketen spezifizieren. IPSec bietet Mechanismen, um die
in den IP-Paketen bermittelten Daten zu verschlsseln und zu entschlsseln. Darber hinaus kann die
IPSec Implementierung nahtlos in eine Public-Key-Umgebung (PKI, siehe Zertifikate auf Seite 45) integriert werden. Die IPSec-Implementierung erreicht dieses Ziel zum einen durch die Benutzung des Authentication-Header-(AH)-Protokolls und des Encapsulated-Security-Payload-(ESP)-Protokolls. Zum anderen werden kryptografische Schlsselverwaltungsmechanismen wie das InternetKey-Exchange-(IKE)-Protokoll verwendet.
Digitalisierungsbox Standard
195
14 VPN
die IPSec-Phase-2-Aushandlung und der Datenverkehr wird ber den Tunnel bertragen.
Hinweis
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs ist ausschlielich fr den Initiator der IPSec-Verbindung relevant, er gilt nur fr ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tunnel-Endpunkten identisch sein muss.
14.1.1 IPSec-Peers
Als Peer wird ein Endpunkt einer Kommunikation in einem Computernetzwerk bezeichnet. Jeder Peer
bietet dabei seine Dienste an und nutzt die Dienste der anderen Peers.
Im Men VPN->IPSec->IPSec-Peers wird eine Liste aller konfigurierter IPSec-Peers nach Prioritt sortiert angezeigt.
Peer berwachung
Das berwachungsmen eines Peers wird durch Auswahl der
Peer in der Peerliste aufgerufen. Siehe Werte in der Liste IPSec-Tunnel auf Seite 326.
14.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IPSec-Peers einzurichten.
196
Digitalisierungsbox Standard
14 VPN
Beschreibung
Administrativer Status
Whlen Sie den Zustand aus, in den Sie den Peer nach dem Speichern
der Peer-Konfiguration versetzen wollen.
Mgliche Werte:
4 (Standardwert): Der Peer steht nach dem Speichern der Konfiguration sofort fr den Aufbau eines Tunnels zur Verfgung.
: Der Peer steht nach dem Speichern der Konfiguration zunchst nicht zur Verfgung.
Digitalisierungsbox Standard
197
14 VPN
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung des Peers ein, die diesen identifiziert.
Die maximal mgliche Lnge des Eintrags betrgt 255 Zeichen.
Peer-Adresse
Whlen Sie die IP-Version aus. Sie knnen whlen, ob IPv4 oder IPv6
bevorzugt verwendet werden soll oder ob nur eine der beiden IPVersionen erlaubt sein soll.
Hinweis
Diese Auswahl ist nur relevant, wenn ein Host-Name als
Peer-Adresse eingegeben wird.
Mgliche Werte:
:83&
:83&
;3
;3
Geben Sie die offizielle IP-Adresse des Peers bzw. seinen auflsbaren
Host-Namen ein.
Die Eingabe kann in bestimmten Konfigurationen entfallen, wobei Ihr Gert dann keine IPSec-Verbindung initiieren kann.
Peer-ID
Whlen Sie den ID-Typ aus und geben Sie die ID des Peers ein.
Die Eingabe kann in bestimmten Konfigurationen entfallen.
Die maximal mgliche Lnge des Eintrags betrgt 255 Zeichen.
Mgliche ID-Typen:
'30 G31
. ; !'G.;": Beliebige Zeichenkette
/4
,,
-4
,,
4(;.; !.,&3,
;"
(+ F,,.: Beliebige Zeichenkette
Auf dem Peer-Gert entspricht diese ID dem Parameter Lokaler
ID-Wert.
Whlen Sie die Version des Internet-Key-Exchange-Protokolls, die verwendet werden soll.
Mgliche Werte:
< (Standardwert): Internet Key Exchange Protocol Version 1
<: Internet Key Exchange Protocol Version 2
Authentifizierungsmethode
198
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
riert. Der Preshared Key ist das gemeinsame Passwort.
?(4(&3: Phase-1-Schlsselberechnungen werden unter Nutzung des RSA-Algorithmus authentifiziert.
Lokaler ID-Typ
Lokale ID
Preshared Key
Whlen Sie aus, ob IPv4 oder IPv6 oder beide Versionen fr den VPNTunnel verwendbar sein sollen.
Mgliche Werte:
3
Beschreibung
Sicherheitsrichtlinie
Digitalisierungsbox Standard
199
14 VPN
Feld
Beschreibung
durchgelassen, die einer Verbindung zugeordnet werden knnen, die
aus einer vertrauenwrdigen Zone aufgebaut wurde.
Ausnahmen fr die gewhlte Einstellung knnen Sie im Men Firewall
auf Seite 224 konfigurieren.
IPv4-Adressvergabe
Whlen Sie den Konfigurationsmodus der Schnittstelle aus.
Mgliche Werte:
(,+ (Standardwert): Geben Sie eine statische IP-Adresse ein.
$ <<1&3,
3,: Nur fr IKEv1 auswhlbar. Whlen Sie diese Option, wenn Ihr Gateway als IPSec-Client vom
Server eine IP-Adresse erhalten soll.
( <<1&3,
3,: Whlen Sie diese Option,
wenn Ihr Gateway als Server sich verbindenden Clients eine IPAdresse vergeben soll. Diese wird aus dem gewhlten IPZuordnungspool entnommen.
Konfigurationsmodus
IP-Zuordnungspool
Standardroute
Lokale IP-Adresse
Metrik
200
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
Wertebereich von bis
. der Standardwert ist .
Routeneintrge
Beschreibung
Beschreibung
Sicherheitsrichtlinie
Lokales IPv6-Netzwerk
Whlen Sie ein Netzwerk aus. Sie knnen unter den Link-Prfixen whlen, die unter LAN->IP-Konfiguration->Schnittstellen->Neu angelegt
sind.
Geben Sie die Lokale IPv6-Adresse mit der entsprechenden Prfixlnge
ein. Dieser Prfix muss mit :: enden. Standardmig ist eine Prfixlnge
von /64 vorgegeben.
Entferntes IPv6-Netzwerk
Fgen Sie mit Hinzufgen einen neuen Prfix hinzu. Geben Sie die
Adresse der Tunnelgegenstelle ein. Standardmig ist eine Lnge von
und eine Prioritt von vorgegeben. Je niederiger der Wert der Prioritt ist, desto hhere Prioritt besitzt die Route.
Digitalisierungsbox Standard
201
14 VPN
Die Richtlinien-basierte Methode nutzt Filter fr den Datenverkehr zur Aushandlung der IPSec-Phase-2-SAs. Damit ist eine sehr "feinkrnige" Filterung der IP-Pakete bis auf Protokoll- und Portebene
mglich.
Die Routing-basierte Methode bietet gegenber der Richtlinien-basierte Methode verschiedene Vorteile,
wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Routing-Protokollen und Realisierung von VPN-Backup-Szenarien. Bei der Routing-basierten Methode werden zur Aushandlung der IPSec-Phase-2-SAs die konfigurierten oder dynamisch gelernten Routen genutzt. Diese Methode vereinfacht zwar viele Konfigurationen, gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen
oder wegen der "grberen" Filterung des Datenverkehrs kommen.
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs behebt dieses Problem. Sie knnen "feiner" filtern, d.h. Sie knnen z. B. die Quell-IP-Adresse oder den Quell-Port angeben. Ist ein Zustzlicher Filter des IPv4-Datenverkehrs konfiguriert, so wird er zur Aushandlung der IPSec-Phase-2-SAs
herangezogen, die Route bestimmt nur noch, welcher Datenverkehr geroutet werden soll.
Passt ein IP-Paket nicht zum definierten Zustzlicher Filter des IPv4-Datenverkehrs , so wird es verworfen.
Erfllt ein IP-Paket die Anforderungen in einem Zustzlicher Filter des IPv4-Datenverkehrs , so startet
die IPSec-Phase-2-Aushandlung und der Datenverkehr wird ber den Tunnel bertragen.
Hinweis
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs ist ausschlielich fr den Initiator der IPSec-Verbindung relevant, er gilt nur fr ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tunnel-Endpunkten identisch sein muss.
202
Digitalisierungsbox Standard
14 VPN
Beschreibung
Beschreibung
Protokoll
QuellIP-Adresse/Netzmaske
Quell-Port
ZielIP-Adresse/Netzmaske
Geben Sie die Ziel-IP-Adresse und die zugehrige Netzmaske der Datenpakete ein.
Ziel-Port
Digitalisierungsbox Standard
203
14 VPN
Beschreibung
Whlen Sie ein Profil fr die Phase 1 aus. Neben den benutzerdefinierten
Profilen stehen vordefinierte Profile zur Verfgung.
Mgliche Werte:
<, !(
*1 2
": Verwendet das Profil,
das in VPN->IPSec->Phase-1-Profile als Standard markiert ist
/3*,: Verwendet ein spezielles Profil, das fr Phase 1
die Proposals 3DES/MD5, AES/MD5 und Blowfish/MD5 enthlt ungeachtet der Proposalauswahl im Men .
A1B: Verwendet ein Profil, das im Men
VPN->IPSec->Phase-1-Profile fr Phase 1 konfiguriert wurde.
Phase-2-Profil
Whlen Sie ein Profil fr die Phase 2 aus. Neben den benutzerdefinierten
Profilen stehen vordefinierte Profile zur Verfgung.
Mgliche Werte:
<, !(
*1 2
": Verwendet das Profil,
das in VPN->IPSec->Phase-2-Profile als Standard markiert ist
S/3*,: Verwendet ein spezielles Profil, das fr Phase 2
die Proposals 3DES/MD5, AES-128/MD5 und Blowfish/MD5 enthlt ungeachtet der Proposalauswahl im Men VPN->IPSec->Phase2-Profile.
A1B: Verwendet ein Profil, das im Men
VPN->IPSec->Phase-2-Profile fr Phase 2 konfiguriert wurde.
XAUTH-Profil
Whlen Sie aus, wieviele Benutzer sich mit diesem Peer-Profil verbinden
drfen.
Mgliche Werte:
%38 (Standardwert): Es kann sich nur ein Peer mit den in
diesem Profil definierten Daten verbinden.
/ %38: Es knnen sich mehrere Peers mit den in diesem Profil definierten Daten verbinden. Bei jeder Verbindungsanfrage
mit den in diesem Profil definierten Daten, wird der Peer-Eintrag dupliziert.
Die Konfiguration des dynamischen Peers darf keine Peer ID und keine
Peer-IP-Adresse enthalten. Die CLients, die sich mit dem Gateway verbinden, mssen jedoch ber eine Peer ID verfgen, da diese verwendet wird, um die durch dynamische Peers erstellten IPSec-Tunnel voneinander zu trennen.
Der resultierende Peer auf dem Gateway wrde nun auf alle eingehenden Tunnel-Requests zutreffen. Daher ist es notwendig, ihn an das Ende der IPSec-Peer-Liste zu stellen. Andernfalls wren alle in der Listen
folgenden Peers inaktiv.
204
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
Startmodus
Whlen Sie aus, wie der Peer in den aktiven Zustand versetzt werden
soll.
Mgliche Werte:
431 41
3& (Standardwert): Der Peer wird durch einen Trigger in den aktiven Zustand versetzt.
: Der Peer ist immer aktiv.
Beschreibung
ffentliche Schnittstelle
Legen Sie diejenige ffentliche (oder WAN-) Schnittstelle fest, ber die
dieser Peer sich mit seinem VPN-Partner verbinden soll. Wenn Sie -
?3& 3,&2@ auswhlen, wird die Entscheidung, ber welche
Schnittstelle der Datenverkehr geleitet wird, gem der aktuellen Routingtabelle getroffen. Wenn Sie eine Schnittstelle auswhlen, wird unter
Beachtung der Einstellung unter ffentlicher Schnittstellenmodus diese Schnittstelle verwendet.
ffentlicher Schnittstellenmodus
Legen Sie fest, wie strikt die Einstellung unter ffentliche Schnittstelle
gehandhabt wird. Mgliche Werte:
82&: Unabhngig von den Prioritten der aktuellen Routingtabelle wird nur die ausgewhlte Schnittstelle verwendet.
%83&: Die Prioritten der aktuellen Routingtabelle werden verwendet. Nur wenn mehrere gleichwertige Routen zur Verfgung stehen, wird die Route ber die gewhlte Schnittstelle verwendet.
ffentliche
IPv4-Quelladresse
berprfung der
IPv4-Rckroute
MobIKE
Nur fr Peers mit IKEv2.
MobIKE ermglicht es, bei wechselnden ffentlichen IP-Adressen lediglich diese Adressen in den SAs zu aktualisieren, ohne die SAs selbst neu
aushandeln zu mssen.
Standardmig ist die Funktion aktiv.
Beachten Sie, dass MobIKE einen aktuellen IPSec Client voraussetzt, z.
B. den aktuellen Windows-7- oder Windows-8-Client oder die neuste Version des bintec elmeg IPSec Clients.
IPv4 Proxy ARP
Whlen Sie aus, ob Ihr Gert ARP-Requests aus dem eigenen LAN stellvertretend fr den spezifischen Verbindungspartner beantworten soll.
Mgliche Werte:
Digitalisierungsbox Standard
205
14 VPN
Feld
Beschreibung
(Standardwert): Deaktiviert Proxy-ARP fr diesen IPSecPeer.
4
?3
: Ihr Gert beantwortet einen ARP-Request nur,
wenn der Status der Verbindung zum IPSec Peer (aktiv) oder
?3
(ruhend) ist. Bei ?3
beantwortet Ihr Gert lediglich den
ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tatschlich die Route nutzen will.
;3 : Ihr Gert beantwortet einen ARP-Request nur, wenn der
Status der Verbindung zum IPSec-Peer (aktiv) ist, wenn also
bereits eine Verbindung zum IPSec Peer besteht.
IPSec-Callback
Um Hosts, die nicht ber feste IP-Adressen verfgen, eine sichere Verbindung ber das Internet zu ermglichen, untersttzen Digitalisierungsbox-Gerte den DynDNS-Dienst. Dieser Dienst ermglicht die
Identifikation eines Peers anhand eines durch DNS auflsbaren Host-Namens. Die Konfiguration der IPAdresse des Peers ist nicht notwendig.
Der DynDNS-Dienst signalisiert aber nicht, ob ein Peer wirklich online ist, und kann einen Peer nicht
veranlassen, eine Internetverbindung aufzubauen, um einen IPSec-Tunnel ber das Internet zu ermglichen. Diese Mglichkeit wird mit IPSec-Callback geschaffen: Mithilfe eines direkten ISDN-Rufs bei einem Peer kann diesem signalisiert werden, dass man online ist und den Aufbau eines IPSec-Tunnels
ber das Internet erwartet. Sollte der gerufene Peer derzeit keine Verbindung zum Internet haben, wird
er durch den ISDN-Ruf veranlasst, eine Verbindung aufzubauen. Dieser ISDN-Ruf verursacht (je nach
Einsatzland) keine Kosten, da der ISDN-Ruf von Ihrem Gert nicht angenommen werden muss. Die
Identifikation des Anrufers durch dessen ISDN-Rufnummer gengt als Information, um einen Tunnelaufbau zu initiieren.
Um diesen Dienst einzurichten, muss zunchst auf der passiven Seite im Men Physikalische Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu eine Rufnummer fr den IPSec-Callback konfiguriert
werden. Dazu steht fr das Feld Dienst der Wert (+ zur Verfgung. Dieser Eintrag sorgt dafr, dass
auf dieser Nummer eingehende Rufe an den IPSec-Dienst geleitet werden.
Bei aktivem Callback wird, sobald ein IPSec-Tunnel bentigt wird, der Peer durch einen ISDN-Ruf veranlasst, diesen zu initiieren. Bei passivem Callback wird immer dann ein Tunnelaufbau zum Peer initiiert, wenn ein ISDN-Ruf auf der entsprechenden Nummer (MSN im Men Physikalische
Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu fr Dienst (+) eingeht. Auf diese Weise
wird sichergestellt, dass beide Peers erreichbar sind und die Verbindung ber das Internet zustande
kommen kann. Es wird lediglich dann kein Callback ausgefhrt, wenn bereits SAs (Security Associations) vorhanden sind, der Tunnel zum Peer also bereits besteht.
Hinweis
Wenn ein Tunnel zu einem Peer aufgebaut werden soll, wird vom IPSec-Daemon zunchst die Schnittstelle aktiviert, ber die der Tunnel realisiert werden soll. Sofern auf dem
lokalen Gert IPSec mit DynDNS konfiguriert ist, wird die eigene IP-Adresse propagiert
und erst dann der ISDN-Ruf an das entfernte Gert abgesetzt. Auf diese Art ist sichergestellt, dass das entfernte Gert das lokale auch tatschlich erreichen kann, wenn es den
Tunnelaufbau initiiert.
206
Digitalisierungsbox Standard
14 VPN
Hinweis
Um die Funktion IP-Adressbermittlung ber ISDN nutzen zu knnen, mssen Sie eine
kostenfreie Zusatzlizenz erwerben.
Die Lizenzdaten der Zusatzlizenzen erhalten Sie ber die Online-Lizenzierungs-Seiten im
Support-Bereich auf www.bintec-elmeg.com . Bitte folgen Sie den Anweisungen der Online-Lizenzierung.
Vor Systemsoftware Release 7.1.4 untersttzte der IPSec ISDN Callback einen Tunnelaufbau nur dann,
wenn die aktuelle IP-Adresse des Auslsers auf indirektem Wege (z. B. ber DynDNS) ermittelt werden
konnte. DynDNS hat aber gravierende Nachteile, wie z. B. die Latenzzeit, bis die IP-Adresse in der Datenbank wirklich aktualisiert ist. Dadurch kann es dazu kommen, dass die ber DynDNS propagierte IPAdresse nicht korrekt ist. Dieses Problem wird durch die bertragung der IP-Adresse ber ISDN umgangen. Darber hinaus ermglicht es diese Art der bermittlung dynamischer IP-Adressen, den sichereren
ID-Protect-Modus (Haupt Modus) fr den Tunnelaufbau zu verwenden.
Funktionsweise: Um die eigene IP-Adresse an den Peer bermitteln zu knnen, stehen unterschiedliche
Modi zur Verfgung: Die Adresse kann im D-Kanal kostenfrei bertragen werden oder im B-Kanal, wobei der Ruf von der Gegenstelle angenommen werden muss und daher Kosten verursacht. Wenn ein
Peer, dessen IP-Adresse dynamisch zugewiesen worden ist, einen anderen Peer zum Aufbau eines IPSec-Tunnels veranlassen will, so kann er seine eigene IP-Adresse gem der in Felder im Men IPv4
IPSec Callback auf Seite 208 beschriebenen Einstellungen bertragen. Nicht alle bertragungsmodi werden von allen Telefongesellschaften untersttzt. Sollte diesbezglich Unsicherheit bestehen, kann mittels der automatischen Auswahl durch das Gert sichergestellt werden, dass alle zur Verfgung stehenden Mglichkeiten genutzt werden.
Hinweis
Damit Ihr Gert die Informationen des gerufenen Peers ber die IP-Adresse identifizieren
kann, sollte die Callback-Konfiguration auf den beteiligten Gerten analog vorgenommen
werden.
Folgende Rollenverteilungen sind mglich:
Eine Seite bernimmt die aktive, die andere die passive Rolle.
Beide Seiten knnen beide Rollen (Beide) bernehmen.
Die bertragung der IP-Adresse und der Beginn der IKE-Phase-1-Aushandlung verlaufen in folgenden
Schritten:
(1)
Peer A (der Auslser des Callbacks) stellt eine Verbindung zum Internet her, um eine dynamische
IP-Adresse zugewiesen zu bekommen und um fr Peer B ber das Internet erreichbar zu sein.
(2)
Ihr Gert erstellt ein begrenzt gltiges Token und speichert es zusammen mit der aktuellen IPAdresse im zu Peer B gehrenden MIB-Eintrag.
(3)
Ihr Gert setzt den initialen ISDN-Ruf an Peer B ab. Dabei werden die IP-Adresse von Peer A sowie das Token gem der Callback-Konfiguration bermittelt.
(4)
Peer B extrahiert die IP-Adresse von Peer A sowie das Token aus dem ISDN-Ruf und ordnet sie
Peer A aufgrund der konfigurierten Calling Party Number (der ISDN-Nummer, die Peer A verwendet, um den initialen Ruf an Peer B abzusetzen) zu.
(5)
Der IPSec-Daemon auf Ihrem Gert von Peer B kann die bermittelte IP-Adresse verwenden, um
eine Phase-1-Aushandlung mit Peer A zu initiieren. Dabei wird der Token in einem Teil des Payload innerhalb der IKE-Aushandlung an Peer A zurckgesendet.
(6)
Peer A ist nun in der Lage, das von Peer B zurckgesendete Token mit den Eintrgen in der MIB
zu vergleichen und so den Peer zu identifizieren, auch ohne dessen IP-Adresse zu kennen.
Da Peer A und Peer B sich wechselseitig identifizieren knnen, knnen auch unter Verwendung von
Preshared Keys Aushandlungen im ID-Protect-Modus durchgefhrt werden.
Digitalisierungsbox Standard
207
14 VPN
Hinweis
In manchen Lndern (z. B. in der Schweiz) kann auch der Ruf im D-Kanal Kosten verursachen. Eine falsche Konfiguration der angerufenen Seite kann dazu fhren, dass die angerufene Seite den B-Kanal ffnet und somit Kosten fr die anrufende Seite verursacht werden.
Die folgenden Optionen sind nur auf Gerten mit ISDN-Anschluss verfgbar:
Felder im Men IPv4 IPSec Callback
Feld
Beschreibung
Modus
bertragungsmodus
208
14 VPN
Feld
Beschreibung
automatisch den gnstigsten D-Kanal-Modus. Der B-Kanal ist von der
Verwendung ausgeschlossen.
(*81,+ .<
3, 2
: Ihr Gert versucht, die
IP-Adresse in dem im Feld Modus eingestellten Modus zu bertragen.
(*81,+ .<
3, ,3+ J 31 %< 83
F+& : Ihr Gert versucht, die IP-Adresse in dem im Feld Modus
eingestellten Modus zu bertragen. Gelingt das nicht, wird die IPAdresse im B-Kanal betragen. (Dies verursacht Kosten.)
;3 %<
3, 2
: Ihr Gert bertrgt die IP-Adresse
im B-Kanal. Dies verursacht Kosten.
14.1.2 Phase-1-Profile
Im Men VPN->IPSec->Phase-1-Profile wird eine Liste aller konfigurierter IPSec-Phase-1-Profile angezeigt.
In der Spalte Standard knnen Sie das Profil markieren, das als Standard-Profil verwendet werden soll.
14.1.2.1 Neu
Whlen Sie die Schaltflche Neu (bei Neues IKEv1-Profil erstellen bzw. Neues IKEv2-Profil
erstellen), um weitere Profile einzurichten.
Digitalisierungsbox Standard
209
14 VPN
Beschreibung
Beschreibung
Geben Sie eine Beschreibung ein, welche die Art der Regel eindeutig
identifiziert.
Proposals
In diesem Feld knnen Sie auf Ihrem Gert jede Kombination aus Verschlsselungs- und Nachrichten-Hash-Algorithmen fr IKE Phase 1 auswhlen. Die Kombination von sechs Verschlsselungsalgorithmen und
vier Nachrichten-Hash-Algorithmen ergibt 24 mgliche Werte in diesem
Feld. Mindestens ein Proposal muss vorhanden sein. Daher kann die
erste Zeile der Tabelle nicht deaktiviert werden.
Verschlsselungsalgorithmen (Verschlsselung):
.( (Standardwert): 3DES ist eine Erweiterung des DES Algorithmus
mit einer effektiven Schlssellnge von 112 Bit, was als sicher eingestuft wird. Es ist der langsamste Algorithmus, der derzeit untersttzt
wird.
21, : Twofish war ein finaler Kandidat fr den AES (Advanced Encryption Standard). Er wird als genauso sicher eingestuft wie Rijndael
(AES), ist aber langsamer.
%21, : Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus. Twofish kann als Nachfolger von Blowfish angesehen werden.
$4(: CAST ist ebenfalls ein sehr sicherer Algorithmus, etwas langsamer als Blowfish, aber schneller als 3DES.
.(: DES ist ein lterer Verschlsselungsalgorithmus, der aufgrund
seiner kleinen effektiven Lnge von 56 Bit als schwach eingestuft wird.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der
geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe
und der allgemeinen Geschwindigkeit zum AES ernannt. Hier wird die
210
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
AES-Schlssellnge des Partners verwendet. Hat dieser ebenfalls den
Parameter 4( gewhlt, wird eine Schlssellnge von 128 Bit verwendet.
4( : Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 128 Bits angewendet.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 192 Bits angewendet.
4(
: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 256 Bits angewendet.
Hash-Algorithmen (Authentifizierung):
/.
(Standardwert): MD5 (Message Digest #5) ist ein lterer Hash Algorithmus. Wird mit 96 Bit Digest Length fr IPSec verwendet.
(>4: SHA 1 (Secure Hash Algorithmus #1) ist ein Hash Algorithmus,
der von der NSA (United States National Security Association) entwickelt wurde. Er wird als sicher eingestuft, ist aber langsamer als MD5.
Wird mit 96 Bit Digest Length fr IPSec verwendet.
?*/. : RipeMD 160 ist ein 160 Bit Hash-Algorithmus. Er wird
als sicherer Ersatz fr MD5 und RipeMD angewandt.
&: Tiger 192 ist ein relativ neuer und sehr schneller Algorithmus.
Beachten Sie, dass die Beschreibung der Verschlsselung und Authentifizierung oder der Hash-Algorithmen auf dem Kenntnisstand und der Meinung des Autors zum Zeitpunkt der Erstellung dieses Handbuchs basiert.
Die Qualitt der Algorithmen im besonderen unterliegt relativen Gesichtpunkten und kann sich aufgrund von mathematischen oder kryptographischen Weiterentwicklungen ndern.
DH-Gruppe
Lebensdauer
Digitalisierungsbox Standard
211
14 VPN
Feld
Beschreibung
Eingabe in Sekunden: Geben Sie die Lebensdauer fr Phase-1Schlssel in Sekunden ein. Der Wert darf jeder ganzzahlige Wert von 0
bis 2147483647 sein. Der Standardwert ist , das bedeutet, dass
die Schlssel erneuert werden, wenn vier Stunden abgelaufen sind.
Eingabe in kBytes: Geben Sie die Lebensdauer fr Phase-1- Schlssel
als Menge der verarbeiteten Daten in KBytes ein. Der Wert darf jeder
ganzzahlige Wert von 0 bis 2147483647 sein. Der Standardwert ist ;
das bedeutet, dass die Anzahl der gesendeten kBytes keine Rolle
spielt.
Authentifizierungsmethode
Lokales Zertifikat
Modus
Lokaler ID-Typ
212
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
Whlen Sie den Typ der lokalen ID aus.
Mgliche Werte:
'30 G31
. ; !'G.;"
/4
,,
-4
,,
4(;.; !.,&3,
;"
Lokaler ID-Wert
Erreichbarkeitsprfung
In der Kommunikation zweier IPSec-Peers kann es dazu kommen, dass einer der beiden z. B. aufgrund
von Routing-Problemen oder aufgrund eines Neustarts nicht erreichbar ist. Dies ist aber erst dann feststellbar, wenn das Ende der Lebensdauer der Sicherheitsverbindung erreicht ist. Bis zu diesem Zeitpunkt gehen die Datenpakete verloren. Um dies zu verhindern, gibt es verschiedene Mechanismen einer Erreichbarkeitsprfung. Im Feld Erreichbarkeitsprfung whlen Sie aus, ob ein Mechanismus angewendet werden soll, um die Erreichbarkeit eines Peers zu berprfen.
Hierbei stehen zwei Mechanismen zur Verfgung: Heartbeats und Dead Peer Detection.
Das Men Erweiterte Einstellungen besteht aus folgenden Feldern:
Felder im Men Erweiterte Einstellungen
Feld
Beschreibung
Erreichbarkeitsprfung
Digitalisierungsbox Standard
213
14 VPN
Feld
Beschreibung
>:, !;3 ,
": Ihr Gert erwartet keinen Heartbeat
vom Peer, sendet aber einen.
>:, !(
T2": Ihr Gert erwartet einen Heartbeat vom Peer und sendet selbst einen.
.
.+: DPD (Dead Peer Detection) gem RFC
3706 verwenden. DPD benutzt ein Request-Reply-Protokoll um die Erreichbarkeit der Gegenstelle zu berprfen, und kann auf beiden Seiten unabhngig konfiguriert werden. Mit dieser Option wird die Erreichbarkeit des Peers nur berprft, wenn tatschlich Daten an ihn gesendet werden sollen.
.
.+ !
": DPD (Dead Peer Detection) gem RFC 3706 verwenden. DPD benutzt ein Request-Reply-Protokoll
um die Erreichbarkeit der Gegenstelle zu berprfen, und kann auf beiden Seiten unabhngig konfiguriert werden. Mit dieser Option wird die
berprfung in bestimmten Intervallen unabhngig von anstehenden
Datentransfers vorgenommen.
Nur fr Phase-1-Parameter (IKEv2)
Aktivieren oder deaktivieren Sie die Erreichbarkeitsprfung.
Standardmig ist die Funktion aktiv.
Blockzeit
Legen Sie fest, wie lange ein Peer fr Tunnelaufbauten blockiert wird,
nachdem ein Phase-1-Tunnelaufbau fehlgeschlagen ist. Dies betrifft nur
lokal initiierte Aufbauversuche.
Zur Verfgung stehen Werte von bis (Sekunden), der Wert
bedeutet die bernahme des Wertes im Standardprofil, der Wert ,
dass der Peer in keinem Fall blockiert wird.
Der Standardwert ist .
NAT-Traversal
CA-Zertifikate
214
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
Nur fr Authentifizierungsmethode = .(4(&3,
?(4(&3 oder ?(4-,+ F,,3&
Wenn Sie die Option Folgenden CA-Zertifikaten vertrauen aktivieren,
knnen Sie bis zu drei CA-Zertifikate auswhlen, die fr dieses Profil akzeptiert werden sollen.
Die Option ist nur konfigurierbar, wenn Zertifikate geladen sind.
14.1.3 Phase-2-Profile
Ebenso wie fr Phase 1 knnen Sie Profile fr die Phase 2 des Tunnelaufbaus definieren.
Im Men VPN->IPSec->Phase-2-Profile wird eine Liste aller konfigurierten IPSec-Phase-2-Profile angezeigt.
In der Spalte Standard knnen Sie das Profil markieren, das als Standardprofil verwendet werden soll.
14.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Profile einzurichten.
Digitalisierungsbox Standard
215
14 VPN
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung ein, die das Profil eindeutig identifiziert.
Die maximal mgliche Lnge des Eintrags betrgt 255 Zeichen.
Proposals
In diesem Feld knnen Sie auf Ihrem Gert jede Kombination aus Verschlsselungs- und Message-Hash-Algorithmen fr IKE Phase 2 auswhlen. Die Kombination von sechs Verschlsselungsalgorithmen und
zwei Nachrichten-Hash-Algorithmen ergibt 12 mgliche Werte in diesem
Feld.
Verschlsselungsalgorithmen (Verschlsselung):
.( (Standardwert): 3DES ist eine Erweiterung des DES Algorithmus mit einer effektiven Schlssellnge von 112 Bit, was als sicher
eingestuft wird. Es ist der langsamste Algorithmus, der derzeit untersttzt wird.
4## : Alle Optionen knnen verwendet werden.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der
geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt. Hier wird
die AES-Schlssellnge des Partners verwendet. Hat dieser ebenfalls
den Parameter 4( gewhlt, wird eine Schlssellnge von 128 Bit
verwendet.
4( : Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 128 Bits angewendet.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 192 Bits angewendet.
4(
: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 256 Bits angewendet.
21, : Twofish war ein finaler Kandidat fr den AES (Advanced
Encryption Standard). Er wird als genauso sicher eingestuft wie Rijndael (AES), ist aber langsamer.
%21, : Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus. Twofish kann als Nachfolger von Blowfish angesehen werden.
$4(: CAST ist ebenfalls ein sehr sicherer Algorithmus, etwas langsamer als Blowfish, aber schneller als 3DES.
.(: DES ist ein lterer Verschlsselungsalgorithmus, der aufgrund
seiner kleinen effektiven Lnge von 56 Bit als schwach eingestuft
wird.
Hash-Algorithmen (Authentifizierung):
/.
(Standardwert): MD5 (Message Digest #5) ist ein lterer Hash Algorithmus. Wird mit 96 Bit Digest Length fr IPSec verwendet.
4## : Alle Optionen knnen verwendet werden.
(>4: SHA 1 (Secure Hash Algorithmus #1) ist ein Hash Algorithmus,
der von der NSA (United States National Security Association) entwickelt wurde. Er wird als sicher eingestuft, ist aber langsamer als MD5.
Wird mit 96 Bit Digest Length fr IPSec verwendet.
Beachten Sie, dass RipeMD 160 und Tiger 192 fr Nachricht-Hashing in
216
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
Phase 2 nicht zur Verfgung stehen.
PFS-Gruppe verwenden
Da PFS (Perfect Forward Secrecy) eine weitere Diffie-Hellman-Schlsselberechnung erfordert, um neues Verschlsselungsmaterial zu erzeugen, mssen Sie die Merkmale der Exponentiation whlen.
Wenn Sie PFS aktivieren ( 4), sind die Optionen die gleichen,
wie bei der Konfiguration von DH-Gruppe im Men VPN->IPSec->Phase-1-Profile . PFS wird genutzt, um die Schlssel einer erneuerten Phase-2-SA zu schtzen, auch wenn die Schlssel der Phase-1-SA bekannt geworden sind.
Das Feld hat folgende Optionen:
!) %": Whrend der Diffie-Hellman-Schlsselberechnung
wird die modulare Exponentiation mit 768 Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.
! %" (Standardwert): Whrend der Diffie-Hellman-Schlsselberechnung wird die modulare Exponentiation mit 1024
Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.
!
%": Whrend der Diffie-Hellman-Schlsselberechnung
wird die modulare Exponentiation mit 1536 Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.
Lebensdauer
Legen Sie fest, wie die Lebensdauer festgelegt wird, die ablaufen darf,
bevor die Phase-2-SAs erneuert werden mssen.
Die neuen SAs werden bereits kurz vor dem Ablauf der aktuellen SAs
ausgehandelt. Der Standardwert betrgt gem RFC 2407 acht Stunden, das bedeutet, dass die Schlssel erneuert werden, wenn acht
Stunden abgelaufen sind.
Folgende Optionen stehen fr die Definition der Lebensdauer zur Verfgung:
Eingabe in Sekunden: Geben Sie die Lebensdauer fr Phase-2Schlssel in Sekunden ein. Der Wert darf jeder ganzzahlige Wert von
bis ) ) sein. Der Standardwert ist )
Eingabe in kBytes: Geben Sie die Lebensdauer fr Phase-2- Schlssel als Menge der verarbeiteten Daten in kBytes ein. Der Wert darf jeder ganzzahlige Wert von bis ) ) sein. Der Standardwert
ist .
Schlssel erneut erstellen nach: Legen Sie fest, bei welchem Prozentsatz des Ablaufes der Lebensdauer die Schlssel der Phase 2 neu
erstellt werden.
Die eingegebene Prozentzahl wird sowohl auf die Lebensdauer in Sekunden als auch auf die Lebensdauer in kBytes angewendet.
Der Standardwert ist %.
Beschreibung
IP-Komprimierung
Whlen Sie aus, ob eine Kompression vor der Datenverschlsselung eingeschaltet wird. Das kann bei gut komprimierbaren Daten zu einer hheren Performance und geringerem zu bertragenden Datenvolumen fhren. Bei schnellen Leitungen oder nicht komprimierbaren Daten wird von
der Option abgeraten, da die Performance durch den erhhten Aufwand
Digitalisierungsbox Standard
217
14 VPN
Feld
Beschreibung
bei der Kompression erheblich beeintrchtigt werden kann.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Erreichbarkeitsprfung
PMTU propagieren
Whlen Sie aus, ob whrend der Phase 2 die PMTU (Path Maximum
Transfer Unit) propagiert werden soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
14.1.4 XAUTH-Profile
Im Men XAUTH-Profile wird eine Liste aller XAuth-Profile angezeigt.
Extended Authentication fr IPSec (XAuth) ist eine zustzliche Authentifizierungsmethode fr Benutzer
eines IPSec-Tunnels.
Das Gateway kann bei Nutzung von XAuth zwei verschiedene Rollen bernehmen, es kann als Server
oder als Client dienen:
Das Gateway fordert als Server einen Berechtigungsnachweis an.
Das Gateway weist als Client seine Berechtigung nach.
Im Server-Modus knnen sich mehrere Benutzer ber XAuth authentifizieren, z. B. Nutzer von Apple
iPhones. Die Berechtigung wird entweder anhand einer Liste oder ber einen RADIUS Server geprft.
Bei Verwendung eines Einmalpassworts (One Time Password, OTP) kann die Passwortberprfung von
einem Token-Server bernommen werden (z. B. beim Produkt SecOVID von Kobil), der hinter dem RADIUS-Server installiert ist. Wenn ber IPSec eine Firmenzentrale mit mehreren Filialen verbunden ist,
knnen mehrere Peers konfiguriert werden. Je nach Zuordnung verschiedener Profile kann ein bestimmter Benutzer den IPSec-Tunnel ber verschiedene Peers nutzen. Das ist zum Beispiel ntzlich,
wenn ein Angestellter abwechselnd in verschiedenen Filialen arbeitet, jeder Peer eine Filiale reprsentiert und der Angestellte jeweils vor Ort Zugriff auf den Tunnel haben will.
218
Digitalisierungsbox Standard
14 VPN
Nachdem IPSec IKE (Phase 1) erfolgreich beendet ist und bevor IKE (Phase 2) beginnt, wird XAuth realisiert.
Wenn XAuth zusammen mit dem IKE-Konfigurationsmodus verwendet wird, werden zuerst die Transaktionen fr XAuth und dann diejenigen fr den IKE-Konfigurationsmodus durchgefhrt.
14.1.4.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Profile einzurichten.
Beschreibung
Beschreibung
Rolle
Whlen Sie die Rolle des Gateways bei der XAuth-Authentifizierung aus.
Mgliche Werte:
( (Standardwert): Das Gateway fordert einen Berechtigungsnachweis an.
$: Das Gateway weist seine Berechtigung nach.
Modus
Name
Passwort
RADIUS-Server GruppenID
Digitalisierungsbox Standard
14 VPN
Feld
Beschreibung
zierung->RADIUS konfigurierte RADIUS-Gruppe aus.
Benutzer
14.1.5 IP Pools
Im Men IP Pools wird eine Liste aller IP Pools fr Ihre konfigurierten IPSec-Verbindungen angezeigt.
Wenn Sie bei einem IPSec-Peer fr IPv4-Adressvergabe (
<<1&3,
3, eingestellt haben, mssen Sie hier die IP-Pools, aus denen die IPAdressen vergeben werden, definieren.
Beschreibung
IP-Poolname
IP-Adressbereich
Geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IPAdresse des IP-Adress-Pools ein.
DNS-Server
Primr: Geben Sie die IP-Adresse des DNS-Servers ein, der von Clients,
die eine Adresse aus diesem Pool beziehen, bevorzugt verwendet werden soll.
Sekundr: Geben Sie die IP-Adresse eines alternativen DNS-Servers
ein.
220
Digitalisierungsbox Standard
14 VPN
14.1.6 Optionen
Beschreibung
IPSec aktivieren
IPSec-Debug-Level
Whlen Sie die Prioritt der intern aufzuzeichnenden Systemprotokoll-Nachrichten des IPSec Subsystems.
Mgliche Werte:
;1 (hchste Prioritt)
4
<,+
'
=3&
Digitalisierungsbox Standard
221
14 VPN
Feld
Beschreibung
%+ + &3&
1
.:3& (Standardwert, niedrigste Prioritt)
Nur Systemprotokoll-Nachrichten mit gleicher oder hherer Prioritt als
angegeben werden intern aufgezeichnet, d. h. dass beim Syslog-Level
"Debug" smtliche erzeugten Meldungen aufgezeichnet werden.
Im Men Erweiterte Einstellungen knnen Sie bestimmte Funktionen und Merkmale an die besonderen Erfordernisse Ihrer Umgebung anpassen, d. h. grtenteils werden Interoperabilitts-Flags gesetzt.
Die Standardwerte sind global gltig und ermglichen es, dass Ihr System einwandfrei mit anderen Digitalisierungsbox-Gerten zusammenarbeitet, so dass Sie diese Werte nur ndern mssen, wenn die
Gegenseite ein Fremdprodukt ist oder Ihnen bekannt ist, dass sie besondere Einstellungen bentigt.
Dies kann beispielsweise notwendig sein, wenn die entfernte Seite mit lteren IPSec-Implementierungen arbeitet.
Das Men Erweiterte Einstellungen besteht aus folgenden Feldern:
Felder im Men Erweiterte Einstellungen
Feld
Beschreibung
Whlen Sie aus, ob bei IKE (Phase 1) IKE-Initial-Contact-Meldungen gesandt werden sollen, wenn keine SAs mit einem Peer bestehen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Whlen Sie aus, ob auf Null gesetzte ISAKMP Cookies gesendet werden
sollen.
Diese sind dem SPI (Security Parameter Index) in IKE-Proposals quivalent; da sie redundant sind, werden sie normalerweise auf den Wert der
laufenden Aushandlung gesetzt. Alternativ kann Ihr Gert Nullen fr alle
Werte des Cookies nutzen. Whlen Sie in diesem Fall 4.
Dynamische RADIUSAuthentifizierung
222
14 VPN
Feld
Beschreibung
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Beschreibung
CRLs senden
Whlen Sie aus, ob whrend IKE (Phase 1) CRLs gesandt werden sollen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Digitalisierungsbox Standard
223
15 Firewall
Kapitel 15 Firewall
Mit einer Stateful Inspection Firewall (SIF) verfgt die Digitalisierungsbox ber eine leistungsfhige Sicherheitsfunktion.
Zustzlich zur sogenannten statischen Paketfilterung hat eine SIF durch dynamische Paketfilterung
einen entscheidenden Vorteil: Die Entscheidung, ob ein Paket weitergeleitet wird, kann nicht nur aufgrund von Quell- und Zieladressen oder Ports, sondern auch mittels dynamischer Paketfilterung aufgrund des Zustands (Status) der Verbindung zu einem Partner gefllt werden.
Es knnen also auch solche Pakete weitergeleitet werden, die zu einer bereits aktiven Verbindung gehren. Dabei akzeptiert die SIF auch Pakete, die zu einer "Tochterverbindung" gehren. Die Aushandlung einer FTP-Verbindung findet zum Beispiel ber den Port 21 statt, der eigentliche Datenaustausch
kann aber ber einen vllig anderen Port erfolgen.
NAT
Eine der Grundfunktionen von NAT ist die Umsetzung lokaler IP-Adressen Ihres LANs in die globalen
IP-Adressen, die Ihnen von Ihrem ISP zugewiesen werden, und umgekehrt. Dabei werden zunchst alle
von auen initiierten Verbindungen abgeblockt, d. h. jedes Paket, welches Ihr Gert nicht einer bereits
bestehenden Verbindung zuordnen kann, wird abgewiesen. Auf diese Art kann eine Verbindung lediglich von innen nach auen aufgebaut werden. Ohne explizite Genehmigungen wehrt NAT jeden Zugriff
aus dem WAN auf das LAN ab.
IP Access Listen
Hier werden Pakete ausschlielich aufgrund der oben aufgefhrten Kriterien zugelassen oder abgewiesen, d. h. der Zustand der Verbindung wird nicht bercksichtigt (auer bei Dienste = $).
SIF
Die SIF sondert alle Pakete aus, die nicht explizit oder implizit zugelassen werden. Dabei gibt es sowohl
224
Digitalisierungsbox Standard
15 Firewall
ein "Verweigern", bei dem keine Fehlermeldung an den Sender des zurckgewiesenen Pakets ausgegeben wird, als auch ein "Ablehnen", bei dem der Sender ber die Ablehnung des Pakets informiert wird.
Die eingehenden Pakete werden folgendermaen bearbeitet:
Zunchst berprft die SIF, ob ein eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann. Ist dies der Fall, wird es weitergeleitet. Kann das Paket keiner bestehenden Verbindung zugeordnet werden, wird berprft, ob eine entsprechende Verbindung zu erwarten ist (z. B.
als Tochterverbindung einer bereits bestehenden). Ist dies der Fall, wird das Paket ebenfalls akzeptiert.
Wenn das Paket keiner bestehenden und auch keiner zu erwartenden Verbindung zugeordnet werden
kann, werden die SIF-Filterregeln angewendet: Trifft auf das Paket eine Deny-Regel zu, wird es abgewiesen, ohne dass eine Fehlermeldung an den Sender des Pakets geschickt wird; trifft eine Reject-Regel zu, wird das Paket abgewiesen und eine ICMPHost-Unreachable-Meldung an den Sender des
Paktes ausgegeben. Nur wenn auf das Paket eine Accept-Regel zutrifft, wird es weitergeleitet.
Alle Pakete, auf die keine Regel zutrifft, werden nach Kontrolle aller vorhandenen Regeln ohne Fehlermeldung an den Sender abgewiesen (= Standardverhalten).
Konkrete Hinweise fr die Konfiguration einer Stateful Inspection Firewall (SIF) finden Sie am Ende des
Kapitels unter SIF - Konfigurationsbeispiel auf Seite 238.
15.1 Richtlinien
15.1.1 IPv4-Filterregeln
Das Standard-Verhalten mit der Aktion = E3&11 besteht aus zwei impliziten Filterregeln: wenn ein
eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine entsprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird
das Paket zugelassen.
Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes
Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu berschneidungen, d. h. trifft fr ein Paket
mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgefhrt. Wenn also die erste Filterregel ein Paket zurckweist, whrend eine sptere Regel es zulsst, so wird es abgewiesen. Ebenso
bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen
Filterregel zugelassen wird.
Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswrdigen
und nicht vertrauenswrdigen Zonen besteht. Die beiden Sicherheitsrichtlinien -3,2F
&
bzw. ;+ -3,2F
& beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln
Vertrauenswrdige Schnittstelle und Nicht vertrauenswrdige Schnittstellen , die standardmig
angelegt sind und nicht gelscht werden knnen.
Falls Sie die Sicherheitsrichtlinie -3,2F
& verwenden, werden alle Datenpakete akzeptiert. Sie knnen nun zustzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die gleiche Weise knnen Sie fr die Einstellung ;+ -3,2F
& ausgewhlte Datenpakete freigeben.
Im Men Firewall->Richtlinien->IPv4-Filterregeln wird eine Liste aller konfigurierten IPv4-Filterregeln
angezeigt.
Digitalisierungsbox Standard
225
15 Firewall
Schnittstellen Vertrauenswrdig sind. Es ffnet sich ein neues Fenster mit einer Schnittstellenliste. Sie
knnen die einzelnen Schnittstellen als vertrauenswrdig markieren.
Mit der Schaltflche
knnen Sie vor dem Listeneintrag eine weitere Richtlinie einfgen. Es ffnet sich
knnen Sie den Listeneintrag verschieben. Es ffnet sich ein Dialog, in dem Sie
15.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Parameter einzurichten.
Beschreibung
Quelle
Whlen Sie einen der vorkonfigurierten Aliase fr die Quelle des Pakets
aus.
In der die Liste stehen alle WAN-/LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall->Schnittstellen->Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl.
Der Wert %:& bedeutet, dass weder Quell-Schnittstelle noch
Quell-Adresse berprft werden.
Ziel
226
Whlen Sie einen der vorkonfigurierten Aliase fr das Ziel des Pakets
Digitalisierungsbox Standard
15 Firewall
Feld
Beschreibung
aus.
In der die Liste stehen alle WAN-/LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall->Schnittstellen->Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl.
Der Wert %:& bedeutet, dass weder Ziel-Schnittstelle noch ZielAdresse berprft werden.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus, dem das zu filternde
Paket zugeordnet sein muss.
Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
1*
,*
,
*
*
;&
Weitere Dienste werden in Firewall->Dienste->Diensteliste angelegt.
Auerdem stehen die in Firewall->Dienste->Gruppen konfigurierten
Dienstegruppen zur Auswahl.
Aktion
Whlen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
Mglichen Werte:
E3&11 (Standardwert): Die Pakete werden entsprechend den Angaben weitergeleitet.
-2&: Die Pakete werden abgewiesen.
E3F+2,: Die Pakete werden abgewiesen. Eine Fehlermeldung
wird an den Sender des Pakets ausgegeben.
15.1.2 IPv6-Filterregeln
Das Standard-Verhalten mit der Aktion = E3&11 besteht aus zwei impliziten Filterregeln: wenn ein
eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine entsprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird
das Paket zugelassen.
Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes
Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu berschneidungen, d. h. trifft fr ein Paket
mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgefhrt. Wenn also die erste Filterregel ein Paket zurckweist, whrend eine sptere Regel es zulsst, so wird es abgewiesen. Ebenso
bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen
Filterregel zugelassen wird.
Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswrdigen
und nicht vertrauenswrdigen Zonen besteht. Die beiden Sicherheitsrichtlinien -3,2F
&
bzw. ;+ -3,2F
& beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln
Vertrauenswrdige Schnittstelle und Nicht vertrauenswrdige Schnittstellen , die standardmig
angelegt sind und nicht gelscht werden knnen.
Digitalisierungsbox Standard
227
15 Firewall
Falls Sie die Sicherheitsrichtlinie -3,2F
& verwenden, werden alle Datenpakete akzeptiert. Sie knnen nun zustzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die gleiche Weise knnen Sie fr die Einstellung ;+ -3,2F
& ausgewhlte Datenpakete freigeben.
Datenpakete, die das Neighbour Discovery Protocol verwenden, sind grundstzlich erlaubt, auch fr die
Filterregel ;+ -3,2F
&.
Im Men Firewall->Richtlinien->IPv6-Filterregeln wird eine Liste aller konfigurierter IPv6-Filterregeln
angezeigt.
Schnittstellen Vertrauenswrdig sind. Es ffnet sich ein neues Fenster mit einer Schnittstellenliste. Sie
knnen die einzelnen Schnittstellen als vertrauenswrdig markieren.
Hinweis
Beachten Sie, dass die Schnittstellenliste fr IPv6 leer ist, solange IPv6 fr keine Schnittstelle aktiviert ist.
knnen Sie vor dem Listeneintrag eine weitere Richtlinie einfgen. Es ffnet sich
knnen Sie den Listeneintrag verschieben. Es ffnet sich ein Dialog, in dem Sie
15.1.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Parameter einzurichten.
228
Digitalisierungsbox Standard
15 Firewall
Beschreibung
Quelle
Whlen Sie einen der vorkonfigurierten Aliase fr die Quelle des Pakets
aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen
(siehe Firewall->Schnittstellen->IPv6-Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl, fr die IPv6 aktiviert ist.
Ziel
Whlen Sie einen der vorkonfigurierten Aliase fr das Ziel des Pakets
aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen
(siehe Firewall->Schnittstellen->IPv6-Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl, fr die IPv6 aktiviert ist.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus, dem das zu filternde
Paket zugeordnet sein muss.
Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
1*
,*
,
*
*
Weitere Dienste werden in Firewall->Dienste->Diensteliste angelegt.
Auerdem stehen die in Firewall->Dienste->Gruppen konfigurierten
Dienstegruppen zur Auswahl.
Aktion
Whlen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
Mgliche Werte:
E3&11 (Standardwert): Die Pakete werden entsprechend den Angaben weitergeleitet.
-2& : Die Pakete werden abgewiesen.
E3F+2, : Die Pakete werden abgewiesen. Eine Fehlermeldung
wird an den Sender des Pakets ausgegeben.
15.1.3 Optionen
In diesem Men knnen Sie die IPv4-Firewall aus- bzw. einschalten und Sie knnen ihre Aktivitten protokollieren lassen. Darber hinaus knnen Sie festlegen, nach wie vielen Sekunden Inaktivitt eine Sitzung beendet werden soll.
Hinweis
Beachten Sie, dass die IPv6-Firewall immer eingeschaltet ist und nicht ausgeschaltet werden kann.
Digitalisierungsbox Standard
229
15 Firewall
Beschreibung
Protokollierte Aktionen
Vollstndige
IPv4-Filterung
230
Digitalisierungsbox Standard
15 Firewall
Feld
Beschreibung
UDP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine UDP -Session als
abgelaufen betrachtet werden soll (in Sekunden).
Zur Verfgung stehen Werte von bis .
Der Standardwert ist .
TCP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine TCP -Session als
abgelaufen betrachtet werden soll (in Sekunden).
Zur Verfgung stehen Werte von bis .
Der Standardwert ist .
PPTP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine PPTP-Session als
abgelaufen betrachtet werden soll (in Sekunden).
Zur Verfgung stehen Werte von bis .
Der Standardwert ist .
Andere Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine Session eines anderen Typs als abgelaufen betrachtet werden soll (in Sekunden).
Zur Verfgung stehen Werte von bis .
Der Standardwert ist .
Beschreibung
15.2 Schnittstellen
15.2.1 IPv4-Gruppen
Im Men Firewall->Schnittstellen->IPv4-Gruppen wird eine Liste aller konfigurierter Schnittstellen-Gruppen angezeigt.
Sie knnen die Schnittstellen Ihres Gerts zu Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von Firewall-Regeln.
15.2.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Schnittstellen-Gruppen einzurichten.
Digitalisierungsbox Standard
231
15 Firewall
Beschreibung
Beschreibung
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Schnittstellen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.2.2 IPv6-Gruppen
Im Men Firewall->Schnittstellen->IPv6-Gruppen wird eine Liste aller konfigurierter
IPv6-Schnittstellen-Gruppen angezeigt.
Sie knnen die Schnittstellen Ihres Gerts zu Gruppen zusammenfassen. Dies vereinfacht die Konfiguration von Firewall-Regeln.
15.2.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IPv6-Schnittstellen-Gruppen einzurichten.
232
Feld
Beschreibung
Beschreibung
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Schnittstellen die MitglieDigitalisierungsbox Standard
15 Firewall
Feld
Beschreibung
der der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.3 Adressen
15.3.1 Adressliste
Im Men Firewall->Adressen->Adressliste wird eine Liste aller konfigurierter Adressen angezeigt.
15.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Adressen einzurichten.
Beschreibung
Beschreibung
IPv4
Adresstyp
Adresse/Subnetz
Adressbereich
Digitalisierungsbox Standard
233
15 Firewall
Feld
Beschreibung
Geben Sie die Anfangs- und End-IP-Adresse des Bereiches ein.
IPv6
Adresse/Prfix
15.3.2 Gruppen
Im Men Firewall->Adressen->Gruppen wird eine Liste aller konfigurierter Adressgruppen angezeigt.
Sie knnen Adressen zu Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von FirewallRegeln.
15.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Adressgruppen einzurichten.
Beschreibung
Beschreibung
IP-Version
Auswahl
Whlen Sie aus den zur Verfgung stehenden Adressen die Mitglieder
der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.4 Dienste
234
Digitalisierungsbox Standard
15 Firewall
15.4.1 Diensteliste
Im Men Firewall->Dienste->Diensteliste wird eine Liste aller zur Verfgung stehender Dienste angezeigt.
15.4.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Dienste einzurichten.
Beschreibung
Beschreibung
Geben Sie einen Alias fr den Dienst ein, den Sie konfigurieren wollen.
Protokoll
Whlen Sie das Protokoll aus, auf dem der Dienst basieren soll. Es stehen die wichtigsten Protokolle zur Auswahl.
Zielportbereich
.
Quellportbereich
.
Typ
Digitalisierungsbox Standard
235
15 Firewall
Feld
Beschreibung
+ ?*0
., 5+ :
(3+ G3+
?
+
+
9+
:
,*
,* ?*0
1 ?N3,
1 ?*0
4
,, /, ?N3,
4
,, /, ?*0
Code
Nur fr Typ = ., 5+ : stehen Ihnen Auswahlmglichkeiten fr den ICMP Code zur Verfgung.
Mgliche Werte:
%:& (Standardwert)
; 5+ :
>, 5+ :
+ 5+ :
5+ :
'& ;
$3+ 2 ., ;2 , 4
,
0 :
$3+ 2
0 :
15.4.2 Gruppen
Im Men Firewall->Dienste->Gruppen wird eine Liste aller konfigurierter Service-Gruppen angezeigt.
Sie knnen Dienste in Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von Firewall-Regeln.
15.4.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Service-Gruppen einzurichten.
236
Digitalisierungsbox Standard
15 Firewall
Beschreibung
Beschreibung
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Service-Aliasen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.5 Konfiguration
Digitalisierungsbox Standard
237
15 Firewall
Beispielszenario
Konfigurationsziel
Den Mitarbeitern eines Unternehmens sollen nur bestimmte Dienste im Internet zur Verfgung stehen
(HTTP, HTTPS, FTP, DNS).
Die Digitalisierungsbox soll als DNS-Proxy arbeiten, das heit, die Clients verwenden die Digitalisierungsbox als DNS-Server.
Nur der Systemadministrator und der Geschftsfhrer sollen eine HTTP- und eine Telnetverbindung
zur Digitalisierungsbox herstellen knnen.
Der Geschftsfhrer soll alle Dienste im Internet nutzen knnen.
Jeglicher anderer Datenverkehr soll geblockt werden.
Wichtig
Bei einer Fehlkonfiguration der Firewall kann die Funktionalitt der Digitalisierungsbox
bzw. der Verbindungen mitunter stark beeintrchtigt oder sogar unterbrochen werden.
Es gilt der bei Firewalls bliche Grundsatz: Was nicht explizit erlaubt ist, ist verboten.
Daher ist eine genaue Planung der Filterregeln und der Filterregelkette erforderlich um eine korrekte Arbeitsweise sicherzustellen.
Konfigurationsschritte im berblick
Aliasnamen fr IP-Adressen und Netzadressen
238
Feld
Men
Wert
Beschreibung
z. B. 4 ,
Adresstyp
4 ,,7(3:8
Adresse/Subnetz
z. B.
Beschreibung
Adresstyp
4 ,,7(3:8
mit
Digitalisierungsbox Standard
15 Firewall
Feld
Men
Wert
z. B.
Beschreibung
z. B. .&,3&,:9
Adresstyp
4 ,,7(3:8
Adresse/Subnetz
z. B.
Beschreibung
z. B. ;82
Adresstyp
4 ,,7(3:8
Adresse/Subnetz
z. B.
Feld
Men
Wert
Beschreibung
z. B. .&,3&,:9
IP-Version
Auswahl
Feld
Men
Wert
Beschreibung
Mitglieder
Beschreibung
Mitglieder
Adresse/Subnetz
mit
mit
mit
Adressgruppen
Dienstgruppen
Men
Wert
Quelle
.&,3&,:9
Ziel
.&,3&,:9
Dienst
4 ,,*,
Aktion
E3&11
Men
Wert
Quelle
#D$4#
Digitalisierungsbox Standard
239
15 Firewall
Feld
Men
Wert
Ziel
4;U
Dienst
,
Aktion
E3&11
Quelle
;82K
Ziel
.&,3&,:9
Dienst
,
Aktion
E3&11
Men
Wert
Quelle
4;U
Ziel
.&,3&,:9
Dienst
0
Aktion
-2&
Men
Wert
Quelle
Ziel
4;U
Dienst
0
Aktion
E3&11
240
Feld
Men
Wert
Quelle
;82K
Ziel
4;U
Dienst
*,
Aktion
E3&11
Digitalisierungsbox Standard
16 VoIP
Kapitel 16 VoIP
Voice over IP (VoIP) nutzt das IP-Protokoll fr Sprach- und Bildbertragung.
Der wesentliche Unterschied zur herkmmlichen Telefonie besteht darin, dass die Sprachinformationen
nicht ber eine geschaltete Verbindung in einem Telefonnetz bertragen werden, sondern durch das Internet-Protokoll in Datenpakete aufgeteilt, die auf nicht festgelegten Wegen in einem Netzwerk zum Ziel
gelangen. Diese Technologie macht sich so fr die Sprachbertragung die Infrastruktur eines bestehenden Netzwerks zu Nutze und teilt sich dieses mit anderen Kommunikationsdiensten.
Das Session Initiation Protocol (SIP) dient dabei zum Aufbau, zum Abbau und zur Steuerung einer Kommunikationssitzung.
Hinweis
Das Application Level Gateway muss immer dann genutzt werden, wenn auf der Schnittstelle, welche die Verbindung zum Internet herstellt, NAT aktiviert ist.
16.1.1 SIP-Proxys
Sie sehen hier eine Liste der bereits konfigurierten Application Level Gateway Eintrge. Diese Eintrge
aktivieren das ALG. Jeder Eintrag definiert einen bestimmten TCP oder UDP Zielport, der vom ALG
berwacht werden soll. Standardmig sind im Auslieferungszustand zwei Eintrge fr die SIP Ports
TCP 5060 und UDP 5060 entsprechend der IANA Definition angelegt.
->Neu
dern:
Felder im Men Basisparameter
Feld
Beschreibung
Beschreibung
Digitalisierungsbox Standard
241
16 VoIP
Feld
Beschreibung
Administrativer Status
Protokoll
Geben Sie die Zeit in Sekunden ein, welche eine Session bestehen bleiben soll, wenn keine Datenpakete gesendet oder empfangen werden.
Dieser Wert muss grer sein als die SIP Expire Time des angeschlossenen SIP Clients (SIP Telefone, Terminaladapter usw.)
Der Standardwert ist .
Whlen Sie aus, ob ein Mechanismus zur Minimierung der Laufzeit, die
VoIP-Datenpakete fr den "Weg" zwischen zwei Gesprchspartnern bentigen, verwendet werden soll. Das garantiert eine gute Sprachqualitt
bei hoher Leitungsauslastung.
Beachten Sie, dass Low Latency Transmission nur fr Rufe eingeschaltet
werden muss, die nicht ber die in VoIP->Media Gateway konfigurierten
Verbindungen hergestellt werden.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
16.1.2 SIP-Endpunkte
Hier wird eine Liste aller SIP-Sessions angezeigt, welche vom ALG verwaltet werden.
Dazu gehren statische Eintrge, um interne SIP-Server/-Proxies (z. B. interne Asterisk-Server) vom
WAN aus (Internet) durch NAPT hindurch erreichbar zu machen. Weiterhin knnen interne SIP-Clients
ohne Registrierung durch einen statischen Eintrag errreichbar gemacht werden. Auerdem werden dynamisch alle aktiven SIP-Sitzungen erkannt, die von internen SIP-Terminals aus initiiert wurden, und
hier aufgelistet. Diese werden nur fr Monitoring und Administration angezeigt und knnen nicht bearbeitet werden.
Hinweis
Alle automatisch generierten Eintrge, die lnger als 24 Stunden nicht verwendet wurden,
werden automatisch aus der Tabelle gelscht.
242
Digitalisierungsbox Standard
16 VoIP
Hinweis
Dynamisch erstellte Eintrge aktiver Sitzungen knnen nicht bearbeitet werden. Diese Eintrge knnen nur entfernt werden, mit der Folge, dass die entsprechende SIP-Verbindung
sofort beendet wird.
->Neu
Feldern:
Felder im Men Basisparameter
Feld
Beschreibung
Endpunkttyp
Protokoll
Whlen Sie das Protokoll aus, welches fr die Datenbertragung verwendet werden soll.
Mgliche Werte:
5. (Standardwert)
$
Wenn ein Protokoll automatisch erkannt wurde, sollte es nicht gendert
werden.
Interne IP-Adresse
Entfernter Port
Interner Port
Externer Port
Geben Sie den Port auf der WAN-Seite des Gateways an, der fr den
Zugang durch die NAPT-Barriere zu einem SIP-Endpunkt im LAN genutzt
wird.
Bei Clients wird der externe Port automatisch erkannt und sollte nicht ge-
Digitalisierungsbox Standard
243
16 VoIP
Feld
Beschreibung
ndert werden.
16.2 Einstellungen
16.2.1 Teilnehmer
Hier knnen Sie die Rufnummern der Endgerte (=Teilnehmer) konfigurieren, die an das Media Gateway angebunden sind, d.h. die Rufnummern der SIP-Endgerte sowie der angeschalteten ISDNEndgerte abhngig von den verfgbaren Schnittstellen.
Im Men VoIP->Einstellungen->Teilnehmer wird eine Liste aller vorhandenen Teilnehmer angezeigt.
->Neu
244
Feld
Beschreibung
Beschreibung
Teilnehmer / Benutzerna-
16 VoIP
Feld
Beschreibung
me
Schnittstellentyp
Registrierung
Gltigkeit
SIP-Endpunkt-IP-Adresse
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Fr Konfigurationen, bei denen keine Registrierung vorgesehen ist (z. B.
Anbindung an einen Microsoft Exchange Communication Server), kann
die Verbindung als statischer Host eingerichtet werden. Hierzu ist es ntig, die statische IP-Adresse des Endgerts anzugegeben.
Authentifizierungs-ID
Whlen Sie das Protokoll aus, welches fr die Datenbertragung verwendet werden soll.
Mgliche Werte: 5. (Standardwert), $ oder #(.
Wenn ein Protokoll automatisch erkannt wurde, sollte es nicht gendert
werden.
Port
Geben Sie die Nummer des UDP, TCP bzw. TLS Ports, der fr die Verbindung zum Server bzw. Proxy benutzt werden soll.
Mgliche Werte sind bis
.
Der Standardwert ist
.
Das Men Erweiterte Einstellungen besteht aus folgenden Feldern:
Felder im Men Codec-Einstellungen
Feld
Beschreibung
Codec-Reihenfolge
Whlen Sie die Reihenfolge der Codecs, wie sie vom Media Gateway zur
Benutzung vorgeschlagen werden. Kann der erste Codec nicht angewendet werden, wird versucht den zweiten zu benutzen usw.
Mgliche Werte:
(
(Standardwert): Der Codec, welcher im Men an erster
Stelle steht, wird verwendet, wenn mglich.
G3@: Die Codecs werden nach Qualitt sortiert. Der Codec mit
der besten Qualitt wird verwendet, wenn mglich.
;
&,: Die Codecs werden nach bentigter Bandbreite sortiert.
Der Codec, welcher die niedrigste Bandbreite bentigt, wird verwendet,
wenn mglich.
>R+ ,: Die Codecs werden nach bentigter Bandbreite sortiert. Der
Codec, welcher die hchste Bandbreite bentigt, wird verwendet, wenn
mglich.
Sortierreihenfolge
246
Whlen Sie die Codecs aus, die fr die Verbindung vorgeschlagen werDigitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
den sollen. Abhngig von der Einstellung im Feld Codec-Reihenfolge
werden die hier ausgewhlten Codecs in einer bestimmten Reihenfolge
vorgeschlagen.
Mgliche Werte:
) 3#2: ISDN Codec nach US Kennlinie
) #2: ISDN Codec nach EU Kennlinie
): Komprimiert von 31 auf 8 KBit/s; gute Sprachqualitt
): Komprimiert von 63 auf 40 KBit/s
): Komprimiert von 55 auf 32 KBit/s
): Komprimiert von 47 auf 24 KBit/s
): Komprimiert von 39 auf 16 KBit/s
'9: Ermglicht den Versand von Faxmitteilungen ber Datennetzwerke.
(?: SRTP ist eine verschlsselte Variante des Real-Time Transport
Protokolls (RTP).
. !?'$ ": Ermglicht den Transport eines
64-kbit/s-Datenstroms in RTP-Paketen.
(1: Ermglicht DTMF-Signalisierung ber SIP
Standardmig sind ) 3#2, ) #2 und ) aktiviert.
Die tatschlich verwendeten Codecs sind die Schnittmenge der hier festgelegten und der vom Provider signalisierten Codecs. Von diesen Codecs fallen bei ausgehenden Rufen noch diejenigen weg, welche mehr
als die verfgbare Bandbreite bentigen wrden.
Beschreibung
Echounterdrckung
Comfort Noise Generation Whlen Sie aus, ob Comfort Noise Generation (CNG) verwendet werden
(CNG)
soll.
Bei digitaler Sprachbertragung sorgt dieses Verfahren durch das Erzeugen eines leichten Hintergrundrauschens dafr, dass whrend Gesprchspausen beim Gesprchspartner der Eindruck vermieden wird, die
Verbindung sei unterbrochen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Paketgre
Digitalisierungsbox Standard
247
16 VoIP
16.2.2 SIP-Konten
Wenn Sie Ihr Gert an andere SIP-Server (z. B. Server von Internet SIP Service Providern) anbinden
wollen, knnen Sie hier die notwendigen Eintrge konfigurieren. In diesem Fall fungiert das Media Gateway als SIP-Client.
Auerdem knnen Sie hier die Eintrge fr SIP-Trunking-Szenarios konfigurieren. In diesem Fall fungiert das Media Gateway als SIP-Server fr andere SIP-Server. Ein Beispiel hierfr ist die Anbindung einer SIP-PBX (z. B. Asterisk) an das Media Gateway.
Das bedeutet, dass sowohl alle SIP-Provider-Accounts hier konfiguriert werden als auch mit dem Media
Gateway verbundene durchwahlfhige Telefonanlagen (Direct Dial-in).
Hinweis
Verwenden Sie dieses Men auf keinen Fall zur Konfiguration von SIP-Nebenstellen, d.h.
fr SIP-Clients oder PSTN-Clients wie z. B. SIP-Telefone, Terminal Adapter oder ISDNTelefone!
SIP-Nebenstellen knnen Sie im Men VoIP->Teilnehmer konfigurieren.
Im Men VoIP->Einstellungen->SIP-Konten wird eine Liste aller vorhandenen SIP-Konten (SIP Client
Modus und SIP Server Modus) angezeigt.
, um
vorhandene Eintrge zu bearbeiten. In diesem Men werden sowohl SIP-Konten im SIP Client Modus
als auch im SIP Server Modus konfiguriert.
248
Digitalisierungsbox Standard
16 VoIP
->Neu
Beschreibung
Beschreibung
Administrativer Status
Trunk-Modus
Whlen Sie aus, ob und in welchem Trunk-Modus das SIP-Konto betrieben werden soll.
Durch den Trunk-Modus (DDI, Direct Dial In) wird ermglicht, dass ein
eingehender Ruf genau einem Endgert zugeordnet werden kann
(Durchwahl). Bei einem ausgehenden Ruf kann der Anrufer dem Angerufenen angezeigt werden.
Welche Einstellung verwendet werden kann, hngt vom Provider ab.
Mgliche Werte:
43, (Standardwert): Der Trunk-Modus wird nicht verwendet. Das SIPKonto hat nur eine Nummer.
Digitalisierungsbox Standard
249
16 VoIP
Feld
Beschreibung
$: Das Media Gateway wird als DDI-Client betrieben. Es erhlt
eine Durchwahl.
(: Das Media Gateway wird als DDI-Server betrieben, so da
sich DDI-Clients verbinden knnen.
&23: Das Media Gateway wird als DDI-Client betrieben, aber als
Trunk verwendet. Diese Einstellung dient zum Anschluss einer softwarebasierten IP-Telefonanlage von Swyx.
Registrar
Nur fr Trunk-Modus = 43,, $ und &23. Tragen Sie die IPAdresse oder den Domnennamen (FQDN) des SIP Registrars ein. Maximale Zeichenzahl ist 40.
Eintrge mit Leerzeichen sind nicht erlaubt.
SIP-Endpunkt-IP-Adresse
Ausgehender Proxy
Realm
Protokoll
Benutzername
Im SIP Client Modus: Tragen Sie hier den Benutzernamen fr die Authentifizierung ein, wenn Ihnen Ihr VoIP-Provider einen solchen zugewiesen hat.
Im SIP Server Modus: Sie mssen den Benutzernamen festlegen.
Maximal knnen 40 Zeichen eingegeben werden.
Authentifizierungs-ID
250
Tragen Sie einen Namen ein, der zur Authentifizierung beim Outbound
Proxy verwendet wird.
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Wenn Sie keinen Namen eingeben, wird der Name im Feld Benutzername verwendet.
Im SIP Client Modus: Tragen Sie nur dann einen Namen ein, wenn dieser explizit vom Provider vorgegeben wird.
Passwort
Im SIP Client Modus: Der VoIP-Provider weist Ihnen eine PIN bzw. Passwort fr die Authentifizierung zu. Diesen Wert mssen Sie hier eingeben.
Im SIP Server Modus: Legen Sie eine PIN bzw. ein Passwort fest.
Maximal knnen 40 Zeichen eingegeben werden.
Registrierung
Gltigkeit
Angerufene Adresse
Legt fest, aus welchem Parameter der angerufenen Adresse die Rufnummer extrahiert wird.
Die angerufene Adresse hat folgendes Format: Adresse = "Anzeige"
<Benutzer>, z. B. "+49911987543" <sip:+49911987543@tel.telekom.de>
Mgliche Werte:
43 (Standardwert): Extrahiert die Rufnummer aus dem ersten Teil
der Adresse. Wenn dies fehlschlgt, wird die Rufnummer aus dem
zweiten Teil der Adresse extrahiert.
%38: Extrahiert die Rufnummer aus dem zweiten Teil der Adresse, z. B. aus <sip:+49911987543@tel.telekom.de>.
48&: Extrahiert die Rufnummer aus dem ersten Teil der Adresse,
z. B. aus "+49911987543".
Felder im Men Trunk-Einstellungen
Feld
Beschreibung
SIP-Header-Feld(er) fr
Digitalisierungsbox Standard
251
16 VoIP
Feld
Beschreibung
Anruferadresse
Whlen Sie fr ausgehende Rufe die Position der Absender-ID (z.B. Rufnummer) im SIP-Header aus. (Bei eingehenden Rufen wird automatisch
die Rufnummer aus dem SIP Header ermittelt.)
Mgliche Werte:
. (Standardwert): Die Absender-ID wird nicht bertragen.
48& 3
%38: Die Absender-ID wird im SIP Header
im Feld "Display" und im Feld "User" bertragen.
;3 48&: Die Absender-ID wird im SIP Header im Feld "Display"
bertragen.
;3 %38: Die Absender-ID wird im SIP Header im Feld "User"
bertragen.
1
: Der SIP Header wird durch das sogenannte "ppreferred-identity" Feld erweitert, um dort die Absender-ID zu bertragen.
4,,
: Der SIP Header wird durch das sogenannte "passerted-identity" Feld erweitert, um dort die Absender-ID zu bertragen.
Rufnummer
Beschreibung
Codec-Reihenfolge
Whlen Sie die Reihenfolge der Codecs, wie sie vom Media Gateway zur
Benutzung vorgeschlagen werden. Kann der erste Codec nicht angewendet werden, wird versucht den zweiten zu benutzen usw.
Mgliche Werte:
(
(Standardwert): Der Codec, welcher im Men an erster
Stelle steht, wird verwendet, wenn mglich.
G3@: Die Codecs werden nach Qualitt sortiert. Der Codec mit
der besten Qualitt wird verwendet, wenn mglich.
& %
:: Die Codecs werden nach bentigter Bandbreite sortiert. Der Codec, welcher die niedrigste Bandbreite bentigt,
wird verwendet, wenn mglich.
> %
:: Die Codecs werden nach bentigter Bandbreite
sortiert. Der Codec, welcher die hchste Bandbreite bentigt, wird verwendet, wenn mglich.
Sortierreihenfolge
Whlen sie die Codecs aus, die fr die Verbindung vorgeschlagen werden sollen. Abhngig von der Einstellung im Feld Codec-Reihenfolge
werden die hier ausgewhlten Codecs in einer bestimmten Reihenfolge
vorgeschlagen.
Mgliche Werte:
) 3#2: ISDN Codec nach US Kennlinie
) #2: ISDN Codec nach EU Kennlinie
): Komprimiert von 31 auf 8 KBit/s; gute Sprachqualitt
): Komprimiert von 63 auf 40 KBit/s
252
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
): Komprimiert von 55 auf 32 KBit/s
): Komprimiert von 47 auf 24 KBit/s
): Komprimiert von 39 auf 16 KBit/s
'9: Ermglicht den Versand von Faxmitteilungen ber Datennetzwerke.
?'$ : Ernglicht DTMF-Signalisierung im Sprachkanal
(?: SRTP ist eine verschlsselte Variante des Real-Time Transport
Protokolls (RTP).
. !?'$ ": Ermglicht den Transport eines
64-kbit/s-Datenstroms in RTP-Paketen.
(1: Ermglicht DTMF-Signalisierung ber SIP
Standardmig sind ) 3#2, ) #2 und ) aktiviert.
Die tatschlich verwendeten Codecs sind die Schnittmenge der hier festgelegten und der vom Provider signalisierten Codecs. Von diesen Codecs fallen bei ausgehenden Rufen noch diejenigen weg, welche mehr
als die verfgbare Bandbreite bentigen wrden.
Beschreibung
Echounterdrckung
Comfort Noise Generation Whlen Sie aus, ob Comfort Noise Generation (CNG) verwendet werden
(CNG)
soll.
Bei digitaler Sprachbertragung sorgt dieses Verfahren durch das Erzeugen eines leichten Hintergrundrauschens dafr, dass whrend Gesprchspausen beim Gesprchspartner der Eindruck vermieden wird, die
Verbindung sei unterbrochen.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Paketgre
16.2.3 Standorte
Im Men VoIP->Einstellungen->Standorte konfigurieren Sie die Standorte der VoIP-Teilnehmer, die
auf Ihrem System konfiguriert sind, und definieren das Bandbreitenmanagement fr den VoIP-Traffic.
Zur Verwendung des Bandbreitenmanagements knnen einzelne Standorte eingerichtet werden. Ein
Standort wird anhand seiner festen IP-Adresse bzw. DynDNS-Adresse oder mittels der Schnittstelle, an
der das Gert angeschlossen ist, identifiziert. Fr jeden Standort kann die verfgbare VoIP-Bandbreite
(Up- und Downstream) eingestellt werden.
Digitalisierungsbox Standard
253
16 VoIP
Nur fr Kompaktsysteme: Ein vordefinierter Eintrag mit den Parametern Beschreibung = #4;, Beinhalteter Standort (Parent) = <, Typ = (+ ,, Schnittstellen = #4;K; wird angezeigt.
Beschreibung
Standardverhalten
Legen Sie fest, wie das System bei der Registrierung von VoIPTeilnehmern verfahren soll, fr die kein Standort definiert wurde.
Mgliche Werte:
?&,3& 3 * ;82 (Standardwert):
Der VoIP-Teilnehmer wird nur registriert, wenn er sich innerhalb des
privaten Netzwerks befindet.
;+ 3:: Der VoIP-Teilnehmer wird nie registriert.
5&,+ @ ?&,3&: Der VoIP-Teilnehmer wird
immer registriert.
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Beschreibung
Beinhalteter Standort
(Parent)
Typ
Adressen
Schnittstellen
Bandbreitenbegrenzung
Upstream
Maximale UpstreamBandbreite
Geben Sie die maximale Datenrate in Senderichtung in kBits pro Sekunde ein.
Bandbreitenbegrenzung
Downstream
Maximale DownstreamBandbreite
Geben Sie die maximale Datenrate in Empfangsrichtung in kBits pro Sekunde ein.
Beschreibung
DSCP-Einstellungen fr
RTP-Daten
Whlen Sie die Art des Dienstes fr RTP-Daten aus (TOS, Type of Service).
Mgliche Werte:
Digitalisierungsbox Standard
255
16 VoIP
Feld
Beschreibung
.($%@2 (Standardwert): Differentiated Services Code Point
nach RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe in binrem Format, 6 Bit). Der vorkonfigurierte Wert ist
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9
82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9
82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
16.2.4 ISDN-Trunks
Fr die Konfiguration im Men ISDN-Trunks muss Ihr Gert ber mindestens zwei ISDN-Anschlsse im
Punkt-zu-Punkt-Modus (BRI oder PRI) verfgen, die als TE (Sammelanschluss) oder NT konfiguriert
sind.
Hinweis
Beachten Sie, dass bei BRI-Anschlssen der Anschlussmodus (NT Mode oder TE Mode)
per Jumper im Gert umgeschaltet werden muss.
Beschreibung
Geben Sie den Namen des Sammelanschlusses ein.
Maximale Zeichenzahl ist 40.
256
Digitalisierungsbox Standard
16 VoIP
Feld
ISDN-Modus
Beschreibung
Whlen Sie den Modus aus, in welchem der Sammelanschluss betrieben
wird.
Mgliche Werte:
9 (Standardwert): Punkt-zu-Punkt TE-Anschluss (Telekom
Sammelanschluss)
3: Punkt-zu-Punkt NT-Anschluss (fr den Anschluss einer TKAnlage).
Mitglieder
16.2.5 Optionen
Im Men VoIP->Einstellungen->Optionen knnen Sie globale Einstellungen fr das Media Gateway
vornehmen.
Beschreibung
Whlen Sie aus, ob die Funktion Media Gateway aktiviert sein soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Session Border Controller Whlen Sie aus, wie sich das Media Gateway in Verbindung mit einem
Modus
Session Border Controller verhalten soll.
Mgliche Werte:
43 (Standardwert): Die Anrufkontrolle wird fr alle Nebenstellen, die
mit einem existierenden SIP-Konto exakt bereinstimmen, vom Session Border Controller durchgefhrt, d.h. alle SIP-Meldungen, die fr das
entsprechende SIP-Konto konfiguriert sind, werden an den Session
Digitalisierungsbox Standard
257
16 VoIP
Feld
Beschreibung
Border Controller weitergeleitet. Fr alle anderen Nebenstellen wird die
Anrufkontrolle vom Media Gateway entsprechend der unter Anrufkontrolle konfigurierten Eintrge durchgefhrt. Beachten Sie, dass das
Routing vom Media Gateway durchgefhrt wird, wenn der Provider
nicht verfgbar ist (Backup).
43,: Die Anrufkontrolle wird ausschlielich vom Media Gateway entsprechend der unter Anrufkontrolle konfigurierten Eintrge und der lokalen Nebenstellen durchgefhrt. Fr Rufe, die ber einen bestimmten
Provider (SIP-Konto) geroutet werden sollen, mssen Sie einen entsprechenden Anrufkontrolle-Eintrag konfigurieren. Interne Rufe (von interner Nebenstelle zu interner Nebenstelle), die nur lokal geroutet werden mssen, bentigen keinen zustzlichen Anrufkontrolle-Eintrag.
A( 3B: Whlen Sie ein unter VoIP->Media Gateway->SIPKonten konfiguriertes SIP Trunk Konto aus. Die Anrufkontolle wird in
diesem Fall fr alle Nebenstellen vom Session Border Controller ausgefhrt, alle SIP-Meldungen werden an den Session Border Controller
weitergeleitet. Beachten Sie, dass das Routing vom Media Gateway
durchgefhrt wird, wenn der Provider nicht verfgbar ist (Backup).
Hinweis: Eintrge in Anrufkontrolle haben Vorrang vor der Session Border Controller Konfiguration!
Anrufkontrolle fr lokale
Nummern
Media Stream Termination Whlen Sie aus, wie RTP-Sessions vom System kontrolliert werden sollen.
Wenn die Funktion aktiv ist, werden die RTP-Sessions auf dem Media
Gateway terminiert, d.h. alle RTP Streams werden vom Media Gateway
kontrolliert und ber das Media Gateway geroutet. Die beteiligten Endgerte (z. B. SIP-Telefone) sind nicht direkt miteinander verbunden. Beachten Sie, dass das Media Gateway bei VoIP-zu-VoIP-Verbindungen unterschiedliche Codecs der beteiligten VoIP-Endgerte nicht bersetzt. Daher mssen die Codecs von Media Gateway und VoIP-Endgerten bereinstimmen.
Wenn die Funktion nicht aktiv ist, werden die RTP-Sessions nicht auf
dem Media Gateway terminiert, d.h. alle RTP Streams werden ohne Terminierung vom Media Gateway geroutet. Die RTP-Datenpakete knnen
in komplexen Netzen somit auch ber andere Gateways gerouted werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Standard-Abwurfnebenstelle
Sie knnen eine Nebenstelle angeben, zu der eingehende Telefonate geleitet werden, die keiner Extension oder angeschlossenen TK-Anlage zugeordnet werden knnen.
Wahlpause
Geben Sie die maximale Verzgerungszeit ein bis das System die eingegebene Telefonnummer als vollstndig wertet und der SIP-Whlvorgang
(Senden der SIP INVITE Message) startet. Diese Zeitspanne wird mit jedem Tastendruck zurckgesetzt.
Mgliche Werte sind bis
.
258
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Der Standardwert ist
.
Wenn Sie die Rufnummer mit # abschlieen, wird sofort gewhlt.
Beschreibung
Kurzwahl
Wenn Sie eine Kurzwahl aus dieser Liste nutzen wollen, mssen Sie * und dann die Kurzwahl whlen.
Hinweis
Ihr Gert muss mit einem DSP-Modul ausgestattet sein, um die Media Gateway Funktionen nutzen zu knnen. Informationen zum Einbau des DSP-Moduls finden Sie in der Einbauanleitung, die dem Modul beiliegt.
16.3.1 Anrufkontrolle
Hier knnen Sie die Bedingungen fr das Weiterleiten von Anrufen (Routing) festlegen. Sie legen hier
eine Liste mit Regeln oder Regelketten fest, die dazu dienen, die signalisierte Zielrufnummer zu manipulieren.
Im Men VoIP->Media Gateway->Anrufkontrolle wird eine Liste aller vorhandenen Eintrge angezeigt.
Digitalisierungsbox Standard
259
16 VoIP
->Neu
Beschreibung
Beschreibung
Administrativer Status
Typ
Anrufende Leitung
Sie knnen die Anwendung des Eintrags auf die Leitung begrenzen, auf
welcher der Ruf ankommt.
Die Auswahl hngt von den verfgbaren Schnittstellen und den angelegten SIP-Konten ab.
260
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Mgliche Werte:
19,A(+ ,
9B: Begrenzt den Eintrag auf die gewhlte analoge Schnittstelle.
:A(+ ,
9B: Begrenzt den Eintrag auf die gewhlte BRI-Schnittstelle.
A(<B: Begrenzt den Eintrag auf das gewhlte SIP-Konto.
%:&: Keine Begrenzung des Eintrags.
Anrufende Adresse
Sie knnen die Anwendung des Eintrags auf einen bestimmten Anrufer
begrenzen. Dazu mssen Sie die Rufnummer exakt angeben (keine
Wildcards).
Angerufene Adresse
Geben Sie die angerufene Adresse ein, auf die die Regel angewendet
werden soll.
Dazu geben Sie eine Adresse numerisch (z. B. eine Rufnummer) oder alphanumerisch (z. B. fr einen Trunk) ein, die mit der gewhlten Adresse
verglichen wird.
Dabei knnen Sie folgende Wildcards verwenden:
* bedeutet, dass am Ende einer Zeichenfolge beliebige weitere Zeichen
folgen knnen.
? dient als Platzhalter fr ein beliebiges Zeichen.
Wenn die konfigurierte Adresse mit der signalisierten Adresse bereinstimmt, wird der Eintrag angewandt.
Im Bereich Routing-Regeln definieren Sie Regeln, die bestimmen, wie die Rufnummer manipuliert wird,
bevor sie fr den Wahlvorgang verwendet wird.
Legen Sie weitere Eintrge mit Hinzufgen an.
Felder im Men Routing-Regeln (Nur fr Typ = Erlauben )
Feld
Beschreibung
Prioritt
Administrativer Status
Leitung
Geben Sie ein, wie die Rufnummer manipuliert werden soll, bevor sie fr
den Wahlvorgang verwendet wird.
Notation: <a:b>; d.h. a wird durch b ersetzt. Jede Regel muss durch
einen Strichpunkt abgeschlossen sein. Mehrere Regeln knnen zu einer
Regelkette zusammengefasst werden, indem die einzelnen Regeln durch
Strichpunkte voneinander getrennt werden, z. B. <a:b>;<c:d>;<e:f>;. Die
Regelkette wird nach Besttigung der Eingabe automatisch nach der
Digitalisierungsbox Standard
261
16 VoIP
Feld
Beschreibung
"best match" Methode sortiert.
Numerische und alphanumerische Werte sind zulssig.
? dient als Platzhalter fr ein beliebiges Zeichen.
Beispiel 16.1. Beispiel fr eine Regel
Regel: <:+49911>;
gewhlte Rufnummer: 96731234
manipulierte Nummer: +4991196731234
16.3.2 CLID-Umwandlung
Hier legen Sie die Bearbeitung der Rufnummer des Anrufers (Calling Party Number) bei eingehenden
Anrufen fest. Sie knnen z. B. zu einer empfangenen Telefonnummer einen Prefix hinzufgen, um entsprechende ausgehende Gesprche ber ein bestimmtes SIP-Konto zu routen.
Im Men VoIP->Media Gateway->CLID-Umwandlung wird eine Liste aller vorhandenen Eintrge angezeigt, bei denen die empfangene Rufnummer bearbeitet wird.
->Neu
Beschreibung
Beschreibung
Rufnummer
Whlen Sie die ISDN-Leitung oder das SIP-Konto, von welcher bzw. von
welchem der Anruf kommt.
Die Auswahl hngt von den verfgbaren Schnittstellen und den angelegten SIP-Konten ab.
Mgliche Werte:
19,A(+ ,
9B: Begrenzt den Eintrag auf die gewhlte analoge Schnittstelle.
:A(+ ,
9B: Begrenzt den Eintrag auf die ge-
262
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
whlte BRI-Schnittstelle.
A(<B: Begrenzt den Eintrag auf das gewhlte SIP-Konto.
%:&: Keine Begrenzung des Eintrags.
Angerufene Leitung
Geben Sie die Transformationsregel an, die auf die Rufnummer angewendet werden soll.
Notation: <a:b>; d.h. a wird durch b ersetzt. Jede Regel muss durch
einen Strichpunkt abgeschlossen werden. Mehrere Regeln knnen zu einer Regelkette zusammengefat werden, indem die einzelnen Regeln
durch Strichpunkte voneinander getrennt werden, z. B.
<a:b>;<c:d>;<e:f>;. Die Regelkette wird nach Besttigung der Eingabe
automatisch nach der "best match" Methode sortiert.
? dient als Platzhalter fr eine beliebige Ziffer.
Beispiel 16.2. Beispiel fr eine Regel
Regel: <:+49911>;
gewhlte Rufnummer: 96731234
manipulierte Nummer: +4991196731234
16.3.3 Rufnummerntransformation
Hier knnen Sie eine Liste zum Umsetzen von Rufnummern erstellen, d.h. in dieser Liste werden externe und interne Nummern einander zugeordnet.
Hinweis
Welche Rufnummer (Called Party Number oder Calling Party Number) umgesetzt wird,
hngt von der Richtung (eingehend oder ausgehend) des jeweiligen Rufs ab. Bei eingehenden Rufen wird die Called Party Number, bei ausgehenden Rufen die Calling Party
Number umgesetzt.
Digitalisierungsbox Standard
263
16 VoIP
Sie knnen z. B. die interne Rufnummer 340 nach auen als 09119673900 darstellen oder einen Ruf
von auen, der an die Nummer 09119673200 gehen soll, intern an die Nummer 340 weiterleiten.
Im Men VoIP->Media Gateway->Rufnummerntransformation wird eine Liste vorhandenen Transformationen angezeigt.
->Neu
Feldern:
Felder im Men Basisparameter
Feld
Beschreibung
Beschreibung
Richtung
Zugeordnete Leitung
Whlen Sie die ISDN-Leitung oder das SIP-Konto, ber die bzw. ber
das Rufe geleitet werden sollen.
Mgliche Werte:
19,A(+ ,
9B: Begrenzt den Ruf auf die gewhlte
analoge Schnittstelle.
:A(+ ,
9B: Begrenzt den Ruf auf die gewhlte
BRI-Schnittstelle.
A(<B: Begrenzt den Ruf auf das gewhlte SIP-Konto.
Lokale Adresse
264
Geben Sie die interne Rufnummer (z. B. Nummer einer Nebenstelle oder
TK-Anlage) an. Bei eingehenden Rufen wird die signalisierte Called Party
Number (entspricht im Men dem Feld Externe Adresse) auf die Lokale
Adresse umgesetzt. Bei ausgehenden Rufen wird die signalisierte Calling Party Number (entspricht im Men dem Feld Lokale Adresse) auf
die Externe Adresse umgesetzt.
Digitalisierungsbox Standard
16 VoIP
Feld
Beschreibung
Numerische und alphanumerische Zeichen sind zulssig.
V dient als Platzhalter fr eine beliebige Ziffer.
Beachten Sie, dass Lokale Adresse und Externe Adresse dieselbe Anzahl von Wildcards enthalten mssen.
Externe Adresse
Geben Sie die externe Rufnummer (z. B. ISDN MSN oder die Rufnummer des SIP-Kontos) an. Bei eingehenden Rufen wird die signalisierte
Called Party Number (entspricht im Men dem Feld Externe Adresse)
auf die Lokale Adresse umgesetzt. Bei ausgehenden Rufen wird die signalisierte Calling Party Number (entspricht im Men dem Feld Lokale
Adresse) auf die Externe Adresse umgesetzt.
Das Feld Externe Adresse ist nicht sichtbar, wenn das Feld Zugeordnete Leitung = A(<B gesetzt ist. Als Externe Adresse wird in diesem Fall wird der Benutzername des gewhlten SIP-Kontos verwendet.
16.4 RTSP
In diesem Men konfigurieren Sie die Verwendung des Real-Time Streaming Protokolls (RTSP).
RTSP ist ein Netzwerkprotokoll zur Steuerung von Multimedia-Datenstrmen in IP-basierten Netzwerken. Mittels RTSP werden keine Nutzdaten bertragen. Vielmehr wird damit eine Multimedia-Session
zwischen Sender und Empfnger gesteuert.
Wenn Sie RTSP nutzen mchten, mssen Firewall und NAT entsprechend konfiguriert werden. Im Men VoIP->RTSP knnen Sie den RTSP-Proxy aktivieren, um bei Bedarf angefragte RTSP-Sessions
ber den definierten Port zu ermglichen.
16.4.1 RTSP-Proxy
Im Men VoIP->RTSP->RTSP-Proxy konfigurieren Sie die Verwendung des Real-Time Streaming Protokolls.
Beschreibung
RTSP-Proxy
RTSP-Port
Whlen Sie den Port aus, ber den RTSP-Nachrichten ein- bzw. ausgehen sollen.
Mgliche Werte sind bis
.
Digitalisierungsbox Standard
265
16 VoIP
Feld
Beschreibung
Der Standardwert ist
.
266
Digitalisierungsbox Standard
17 Lokale Dienste
17.1 DNS
Jedes Gert in einem TCP/IP-Netz wird normalerweise durch seine IP-Adresse angesprochen. Da in
Netzwerken oft Host-Namen benutzt werden, um verschiedene Gerte anzusprechen, muss die zugehrige IP-Adresse bekanntgegeben werden. Diese Aufgabe bernimmt z. B. ein DNS-Server. Er lst die
Host-Namen in IP-Adressen auf. Eine Namensauflsung kann alternativ auch ber die sogenannte
HOSTS-Datei erfolgen, die auf jedem Rechner zur Verfgung steht.
Ihr Gert bietet zur Namensauflsung folgende Mglichkeiten:
DNS-Proxy, um DNS-Anfragen, die an Ihr Gert gestellt werden, an einen geeigneten DNS-Server
weiterzuleiten. Dieses schliet auch spezifisches Forwarding definierter Domains
(Domnenweiterleitung) ein.
DNS Cache, um die positiven und negativen Ergebnisse von DNS-Anfragen zu speichern.
Statische Eintrge (Statische Hosts), um Zuordnungen von IP-Adressen zu Namen manuell festzulegen oder zu verhindern.
DNS-Monitoring (Statistik), um einen berblick ber DNS-Anfragen auf Ihrem Gert zu ermglichen.
Name-Server
Unter Lokale Dienste->DNS->Globale Einstellungen->Basisparameter werden die IP-Adressen von
Name-Servern eingetragen, die befragt werden, wenn Ihr Gert Anfragen nicht selbst oder durch Forwarding-Eintrge beantworten kann. Es knnen sowohl globale Name-Server eingetragen werden als
auch Name-Server, die an eine Schnittstelle gebunden sind.
Die Adressen der globalen Name-Server kann Ihr Gert auch dynamisch via PPP oder DHCP erhalten
bzw. diese ggf. bermitteln.
Falls mglich, wird die Anfrage aus dem statischen oder dynamischen Cache direkt mit IP-Adresse
oder negativer Antwort beantwortet.
(2)
Ansonsten wird, falls ein passender Forwarding-Eintrag vorhanden ist, der entsprechende DNSServer befragt, je nach Konfiguration von Internet- oder Einwhlverbindungen ggf. unter Aufbau einer kostenpflichtigen WAN-Verbindung. Falls der DNS-Server den Namen auflsen kann, wird die
Information weitergeleitet und ein dynamischer Eintrag im Cache erzeugt.
(3)
Ansonsten werden, falls Name-Server eingetragen sind, unter Bercksichtigung der konfigurierten
Prioritt und wenn der entsprechende Schnittstellenstatus "up" ist, der primre DNS-Server, danach der sekundre DNS-Server befragt. Falls einer der DNS-Server den Namen auflsen kann,
wird die Information weitergeleitet und ein dynamischer Eintrag im Cache erzeugt.
(4)
Ansonsten werden, falls eine Internet- oder Einwhlverbindung als Standard-Schnittstelle ausgewhlt ist, die dazugehrigen DNS-Server befragt, je nach Konfiguration von Internet- oder Einwhl-
Digitalisierungsbox Standard
267
17 Lokale Dienste
verbindungen ggf. unter Aufbau einer kostenpflichtigen WAN-Verbindung. Falls einer der DNSServer den Namen auflsen kann, wird die Information weitergeleitet und ein dynamischer Eintrag
im Cache erzeugt.
(5)
Ansonsten wird, falls im Men WAN->Internet + Einwhlen ein Eintrag angelegt wurde und das
berschreiben der Adressen der globalen Name-Server zulssig ist (Schnittstellenmodus = .0
,+ ), eine Verbindung zur ersten Internet- bzw. Einwhlverbindung ggf. kostenpflichtig aufgebaut, die so konfiguriert ist, dass DNS-Server-Adressen von DNS-Servern angefordert werden knnen (DNS-Aushandlung = 4) - soweit dies vorher noch nicht versucht wurde. Bei erfolgreicher Name-Server-Aushandlung stehen diese Name-Server somit fr weitere Anfragen zur Verfgung.
(6)
Beschreibung
Domnenname
WINS-Server
Geben Sie die IP-Adresse des ersten und, falls erforderlich, des alternativen globalen Windows Internet Name Servers (=WINS) oder NetBIOS
Name Servers (=NBNS) ein.
Primr
Sekundr
268
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Positiver Cache
Whlen Sie aus, ob der positive dynamische Cache aktiviert werden soll,
d. h. ob erfolgreich aufgelste Namen und IP-Adressen im Cache gespeichert werden sollen.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Negativer Cache
Cache-Gre
Maximale TTL fr positive Geben Sie den Wert ein, auf den die TTL fr einen positiven dynamiCacheeintrge
schen DNS-Eintrag im Cache gesetzt werden soll, wenn dessen TTL
ist oder dessen TTL den Wert fr Maximale TTL fr positive Cacheeintrge berschreitet.
Der Standardwert ist .
Maximale TTL fr negative Geben Sie den Wert ein, auf den die TTL bei einem negativen dynamiCacheeintrge
schen Eintrag im Cache gesetzt werden soll.
Der Standardwert ist .
Alternative Schnittstelle,
um DNS-Server zu erhalten
Whlen Sie die Schnittstelle aus, zu der eine Verbindung zur Name-Server-Verhandlung aufgebaut wird, wenn andere Versuche zur Namensauflsung nicht erfolgreich waren.
Der Standardwert ist 43,+ , d. h. es wird einmalig eine Verbindung zum ersten geeigneten Verbindungspartner aufgebaut, der im System konfiguriert ist.
Beschreibung
Whlen Sie aus, welche Name-Server-Adressen dem DHCP-Client bermittelt werden, wenn Ihr Gert als DHCP-Server genutzt wird.
Mgliche Werte:
<: Es wird keine Name-Server-Adresse bermittelt.
& 4
,, (Standardwert): Es wird die Adresse Ihres Gerts als Name-Server-Adresse bermittelt.
Digitalisierungsbox Standard
269
17 Lokale Dienste
Feld
Beschreibung
.;(,3&: Es werden die Adressen der auf Ihrem Gert eingetragenen globalen Name-Server bermittelt.
Als IPCP-Server
Whlen Sie aus, welche Name-Server-Adressen von Ihrem Gert bei einer dynamischen Name-Server-Aushandlung bermittelt werden, wenn
Ihr Gert als IPCP-Server fr PPP-Verbindungen genutzt wird.
Mgliche Werte:
<: Es wird keine Name-Server-Adresse bermittelt.
& 4
,,: Es wird die Adresse Ihres Gerts als NameServer-Adresse bermittelt.
.;(,3& (Standardwert): Es werden die Adressen der auf
Ihrem Gert eingetragenen globalen Name-Server bermittelt.
17.1.2 DNS-Server
Im Men Lokale Dienste->DNS->DNS-Server wird eine Liste aller konfigurierten DNS-Server angezeigt.
Beschreibung
Admin-Status
Beschreibung
270
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Prioritt
Schnittstellenmodus
Whlen Sie aus, ob die IP-Adressen von Name-Servern fr die Namensauflsung von Internet-Adressen automatisch bezogen oder ob abhngig von der Prioritt bis zu zwei feste DNS-Server-Adressen eingetragen werden sollen.
Mgliche Werte:
(,+
.0,+
Schnittstelle
(Standardwert)
Whlen Sie diejenige Schnittstelle, welcher das DNS-Server-Paar zugewiesen werden soll.
Bei Schnittstellenmodus = .0,+
Mit der Einstellung < wird ein globaler DNS-Server angelegt.
Bei Schnittstellenmodus = (,+
Mit der Einstellung %:& wird ein DNS-Server fr alle Schnittstellen
konfiguriert.
IP-Version
Whlen Sie die verwendete IP-Version aus.
Mgliche Werte:
Standardmig ist ausgewhlt.
Primrer IPv4-DNS-Server Nur bei Schnittstellenmodus = (,+
Geben Sie die IPv4-Adresse des ersten Name-Servers fr die Namensauflsung von Internet-Adressen ein.
Sekundrer
IPv4-DNS-Server
Digitalisierungsbox Standard
271
17 Lokale Dienste
17.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere statische Hosts einzurichten.
Beschreibung
DNS-Hostname
Geben Sie den Host-Namen ein, dem die in diesem Men definierte IPAdresse zugeordnet werden soll, wenn eine DNS-Anfrage positiv beantwortet wird. Wenn eine DNS-Anfrage negativ beantwortet wird, wird keine Adresse mitgeteilt.
Der Eintrag kann auch mit der Wildcard * beginnen, z. B.
*.bintec-elmeg.com.
Bei Eingabe eines Namens ohne Punkt wird nach Besttigung mit OK
"<Name.> " ergnzt.
Eintrge mit Leerzeichen sind nicht erlaubt.
Antwort
Whlen Sie die Art der Antwort auf DNS-Anfragen zu diesem Eintrag
aus.
Mgliche Werte:
;&: Eine DNS-Anfrage nach DNS-Hostname wird negativ beantwortet.
, (Standardwert): Eine DNS-Anfrage nach DNS-Hostname
wird mit der dazugehrigen IP-Adresse beantwortet.
<: Ein DNS-Request wird ignoriert, es wird keine Antwort gegeben.
IPV4-Adresse
272
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
IPv6-Adresse
Beschreibung
Nur bei Antwort = ,
Geben Sie die IPv6-Adresse ein, die nach DNS-Hostname zugeordnet
wird.
17.1.4 Domnenweiterleitung
Im Men Lokale Dienste->DNS->Domnenweiterleitung wird eine Liste aller konfigurierter Weiterleitungen fr definierte Domnen angezeigt.
17.1.4.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Weiterleitungen einzurichten.
Beschreibung
Weiterleiten
Whlen Sie aus, ob Anfragen bezglich eines Hosts oder einer Domne
weitergeleitet werden soll.
Mgliche Werte:
>, (Standardwert)
.@
Host
Domne
Digitalisierungsbox Standard
273
17 Lokale Dienste
Feld
Beschreibung
tigung mit OK automatisch eine fhrende Wildcard "*" eingefgt.
Weiterleiten an
Schnittstelle
IPv4-DNS-Server
IPv6-DNS-Server
17.1.5 Cache
Im Men Lokale Dienste->DNS->Cache wird eine Liste aller vorhandenen Cache-Eintrge angezeigt.
Sie knnen einzelne Eintrge ber das Kstchen in der jeweiligen Zeile oder alle gleichzeitig mit der
Schaltflche Alle auswhlen markieren.
Durch Markieren eines Eintrags und Besttigen mit Als statisch festlegen wird ein dynamischer Eintrag in einen statischen umgewandelt. Der entsprechende Eintrag verschwindet aus dieser Liste und
wird in der Liste im Men Statische Hosts angezeigt. Die TTL wird bernommen.
274
Digitalisierungsbox Standard
17 Lokale Dienste
17.1.6 Statistik
Beschreibung
Empfangene DNS-Pakete
Zeigt die Anzahl der empfangenen und direkt an Ihr Gert adressierten
DNS-Pakete an, einschlielich der Antwortpakete auf weitergeleitete Anfragen.
Ungltige DNS-Pakete
Zeigt die Anzahl der ungltigen empfangenen und direkt an Ihr Gert
adressierten DNS-Pakete an.
DNS-Anfragen
Zeigt die Anzahl der gltigen empfangenen und direkt an Ihr Gert adressierten DNS-Requests an.
Cache-Treffer
Zeigt die Anzahl der Anfragen an, die mittels der statischen Eintrge oder
der dynamischen Eintrge aus dem Cache beantwortet werden konnten.
Weitergeleitete Anfragen
Zeigt die Anzahl der Anfragen an, die an andere Name-Server weitergeleitet wurden.
Cache-Trefferrate (%)
Erfolgreich beantwortete
Anfragen
Zeigt die Anzahl der erfolgreich (positiv und negativ) beantworteten Anfragen an.
Serverfehler
Zeigt die Anzahl der Anfragen an, die kein Name-Server (weder positiv
noch negativ) beantworten konnte.
17.2 HTTPS
Die Benutzeroberflche Ihres Gerts knnen Sie von jedem PC aus mit einem aktuellen Web-Browser
auch ber eine HTTPS-Verbindung bedienen.
HTTPS (HyperText Transfer Protocol Secure) ist hierbei das Verfahren, um zwischen dem Browser, der
zur Konfiguration verwendet wird, und dem Gert eine verschlsselte und authentifizierte Verbindung
mittels SSL aufzubauen.
17.2.1 HTTPS-Server
Im Men Lokale Dienste->HTTPS->HTTPS-Server konfigurieren Sie die Parameter der gesicherten
Konfigurationsverbindung ber HTTPS.
Digitalisierungsbox Standard
275
17 Lokale Dienste
Beschreibung
HTTPS-TCP-Port
Geben Sie den Port ein, ber den die HTTPS-Verbindung aufgebaut werden soll.
Mglich sind Werte von bis
.
Der Standardwert ist .
Lokales Zertifikat
17.3 DynDNS-Client
Die Nutzung dynamischer IP-Adressen hat den Nachteil, dass ein Host im Netz nicht mehr aufgefunden
werden kann, sobald sich seine IP-Adresse gendert hat. DynDNS sorgt dafr, dass Ihr Gert auch
nach einem Wechsel der IP-Adresse noch erreichbar ist.
Folgende Schritte sind zur Einrichtung notwendig:
Registrierung eines Hostnamens bei einem DynDNS-Provider
Konfiguration Ihres Gerts
Registrierung
Bei der Registrierung des Hostnamens legen Sie einen individuellen Benutzernamen fr den DynDNSDienst fest, z. B.
0K+. Dazu bieten die Service Provider unterschiedliche Domainnamen an, so
dass sich ein eindeutiger Hostname fr Ihr Gert ergibt, z. B.
0K+*
+. Der
DynDNS-Provider bernimmt fr Sie die Aufgabe, alle DNS-Anfragen bezglich des Hosts
0K+*
+ mit der dynamischen IP-Adresse Ihres Gerts zu beantworten.
Damit der Provider stets ber die aktuelle IP-Adresse Ihres Gerts informiert ist, kontaktiert Ihr Gert
beim Aufbau einer neuen Verbindung den Provider und propagiert seine derzeitige IP-Adresse.
17.3.1 DynDNS-Aktualisierung
Im Men Lokale Dienste->DynDNS-Client->DynDNS-Aktualisierung wird eine Liste aller konfigurierten DynDNS-Registrierungen angezeigt, die aktualisiert werden sollen.
276
Digitalisierungsbox Standard
17 Lokale Dienste
17.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere zu aktualisierende DynDNS-Registrierungen einzurichten.
Beschreibung
Hostname
Geben Sie den vollstndigen Hostnamen ein, wie er beim DynDNS-Provider registriert ist.
Schnittstelle
Benutzername
Geben Sie den Benutzernamen ein, wie er beim DynDNS-Provider registriert ist.
Passwort
Provider
Whlen Sie den DynDNS-Provider aus, bei dem oben genannte Daten
registriert sind.
Im unkonfigurierten Zustand stehen Ihnen bereits DynDNS-Provider zur
Auswahl, deren Protokolle untersttzt werden.
Weitere DynDNS-Provider knnen im Men Lokale Dienste->DynDNS-Client->DynDNS-Provider konfiguriert werden.
Der Standardwert ist .0.;( .
Aktualisierung aktivieren
Whlen Sie aus, ob der hier konfigurierte DynDNS-Eintrag aktiviert werden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
277
17 Lokale Dienste
Beschreibung
Mail-Exchanger (MX)
Wildcard
17.3.2 DynDNS-Provider
Im Men Lokale Dienste->DynDNS-Client->DynDNS-Provider wird eine Liste aller konfigurierten
DynDNS-Provider angezeigt.
17.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere DynDNS-Provider einzurichten.
Beschreibung
Providername
Server
Geben Sie den Host-Namen oder die IP-Adresse des Servers ein, auf
dem der DynDNS-Service des Providers luft.
Aktualisierungspfad
Geben Sie den Pfad auf dem Server des Providers ein, auf dem das
Skript zur Verwaltung der IP-Adresse Ihres Gerts zu finden ist.
Fragen Sie Ihren Provider nach dem zu verwendenden Pfad.
Port
278
Geben Sie den Port ein, auf dem Ihr Gert den Server Ihres Providers
ansprechen soll.
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Erfragen Sie den entsprechenden Port bei Ihrem Provider.
Der Standardwert ist .
Protokoll
Aktualisierungsintervall
Geben Sie die Zeitdauer (in Sekunden) an, die Ihr Gert mindestens warten muss, bevor es seine aktuelle IP-Adresse erneut beim DynDNS-Provider propagieren darf.
Der Standardwert ist Sekunden.
17.4 DHCP-Server
Sie knnen Ihr Gert als DHCP-Server (DHCP = Dynamic Host Configuration Protocol) konfigurieren.
Jeder Rechner in Ihrem LAN bentigt, wie auch Ihr Gert, eine eigene IP-Adresse. Eine Mglichkeit, IPAdressen in Ihrem LAN zuzuweisen, bietet das Dynamic Host Configuration Protocol (DHCP). Wenn Sie
Ihr Gert als DHCP-Server einrichten, vergibt es anfragenden Rechnern im LAN automatisch IPAdressen aus einem definierten IP-Adress-Pool.
Wenn ein Client erstmals eine IP-Adresse bentigt, schickt er eine DHCP-Anfrage (mit seiner MACAdresse) als Netzwerk-Broadcast an die verfgbaren DHCP-Server. Daraufhin erhlt der Client (im Zuge einer kurzen Kommunikation) vom bintec elmeg seine IP-Adresse.
Sie mssen so den Rechnern keine festen IP-Adressen zuweisen, der Konfigurationsaufwand fr Ihr
Netzwerk verringert sich. Dazu richten Sie einen Pool an IP-Adressen ein, aus dem Ihr Gert jeweils fr
einen definierten Zeitraum IP-Adressen an Hosts im LAN vergibt. Ein DHCP-Server bermittelt auch die
Adressen des statisch oder per PPP-Aushandlung eingetragenen Domain-Name-Servers (DNS), des
NetBIOS Name Servers (WINS) und des Standard-Gateways.
Konkrete Hinweise fr die Konfiguration eines DHCP-Servers, eines DHCP-Clients oder eines DHCPRelay-Servers (siehe auch DHCP-Relay-Einstellungen auf Seite 285) finden Sie am Ende des Kapitels
unter DHCP - Konfigurationsbeispiel auf Seite 285.
17.4.1 IP-Pool-Konfiguration
Im Men Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration wird eine Liste aller konfigurierten
IP-Pools angezeigt. Diese Liste ist global und zeigt auch in anderen Mens konfigurierte Pools an.
Digitalisierungsbox Standard
279
17 Lokale Dienste
Beschreibung
IP-Poolname
IP-Adressbereich
Geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IPAdresse des IP-Adress-Pools ein.
DNS-Server
Primr: Geben Sie die IP-Adresse des DNS-Servers ein, der von Clients,
die eine Adresse aus diesem Pool beziehen, bevorzugt verwendet werden soll.
Sekundr: Geben Sie die IP-Adresse eines alternativen DNS-Servers
ein.
17.4.2 DHCP-Konfiguration
Um Ihr Gert als DHCP-Server zu aktivieren, mssen Sie zunchst IP-Adress-Pools definieren, aus denen die IP-Adressen an die anfragenden Clients verteilt werden.
Im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration wird eine Liste aller konfigurierter DHCP-Pools angezeigt.
In der Liste haben Sie zu jedem Eintrag unter Status die Mglichkeit, die angelegten DHCP-Pools zu
aktivieren bzw. deaktivieren.
Hinweis
Im Auslieferungszustand ist der DHCP-Pool mit den IP-Adressen 192.168.2.100 bis
192.168.2.199 vorkonfiguriert, und wird verwendet, wenn kein anderer DHCP-Server im
Netzwerk verfgbar ist.
280
Digitalisierungsbox Standard
17 Lokale Dienste
Beschreibung
Schnittstelle
IP-Poolname
Pool-Verwendung
Whlen Sie aus, ob der DHCP-Pool fr Anfragen von DHCP-Clients in einem direkt an Schnittstelle angeschlossenen Ethernet verwendet werden
soll oder fr DHCP-Anfragen, die aus einem abgesetzt liegenden Ethernet stammen und ber eine DHCP-Relaisstation an Ihr Gert weitergeleitet wurden.
In letzterem Fall ist es mglich, einen IP-Adresspool fr ein entfernt liegendes Netz zu verwenden.
Mgliche Werte:
# (Standardwert): Der DHCP-Pool wird nur fr DHCP-Anfragen
aus einem direkt an Schnittstelle angeschlossenen Ethernet verwendet.
?,: Der DHCP-Pool wird nur fr weitergeleitete DHCP-Anfragen
aus einem abgesetzt liegenden Ethernet verwendet.
#7?,: Der DHCP-Pool kann fr lokale und fr weitergeleitete DHCP-Anfragen aus direkt angeschlossenen bzw. abgesetzt liegenden Ethernets verwendet werden.
Beschreibung
Gateway
Whlen Sie aus, welche IP-Adresse dem DHCP-Client als Gateway bermittelt werden soll.
Mgliche Werte:
Digitalisierungsbox Standard
281
17 Lokale Dienste
Feld
Beschreibung
?3 , 20 2
(Standardwert): Hier wird die fr
die Schnittstelle definierte IP-Adresse bertragen.
< 20: Hier wird keine IP-Adresse bermittelt.
4&:: Geben Sie die entsprechende IP-Adresse ein.
Lease Time
Geben Sie ein, wie lange (in Minuten) eine Adresse aus dem Pool einem
Host zugewiesen werden soll.
Nachdem Lease Time abgelaufen ist, kann die Adresse durch den Server neu vergeben werden.
Der Standardwert ist .
DHCP-Optionen
Geben Sie an, welche zustzlichen Daten dem DHCP Client weitergegeben werden sollen.
Mgliche Werte fr Option:
E, (Standardwert): Geben Sie die IP-Adresse des Zeitservers ein, die dem Client bermittelt werden soll.
.;((: Geben Sie die IP-Adresse des DNS-Servers ein, die
dem Client bermittelt werden soll.
.;(.@: Geben Sie die DNS Domain ein, die dem Client
bermittelt werden soll.
=;(7;%;((: Geben Sie die IP-Adresse des WINS/
NBNS-Servers ein, die dem Client bermittelt werden soll.
=;(7;% ;
0*: Whlen Sie den Typ des WINS/NBT Nodes,
der dem Client bermittelt werden soll.
'(: Geben Sie die IP-Adresse des TFTP-Servers ein, die
dem Client bermittelt werden soll.
$4=4 $: Geben Sie die IP-Adresse des CAPWAP Controllers ein, die dem Client bermittelt werden soll.
5?# !,3&,,": Mit dieser Option knnen Sie einem Client eine beliebige URL bermitteln.
Verwenden Sie diese Option, um anfragenden IP1x0-Telefonen die
URL des Provisionierungsservers zu bermitteln, wenn eine automatische Provisionierung der Telefone vorgenommen werden soll. Die URL
muss dann die Form *677A4
,,
, ,
3&,,,B7&K* haben.
>,&3** (Vendor Specific Information): Mit dieser Option
knnen Sie dem Client in einem beliebigen Text-String ggf. herstellerspezifische Informationen bermitteln.
-
(&: Mit dieser Option knnen die Konfigurationsparameter (z. B. PIN und Access Point Name (APN) der SIM-Karte) bertragen
werden.
Es sind mehrere Eintrge mglich. Fgen Sie weitere Eintrge mit der
Schaltflche Hinzufgen ein.
Herstellergruppe
Im Men Lokale Dienste -> DHCP-Server ->DHCP-Konfiguration->Erweiterte Einstellungen knnen
Sie einen Eintrag im Feld DHCP-Optionen bearbeiten, wenn Option = >,&3** gewhlt
ist.
Whlen Sie das Symbol
Digitalisierungsbox Standard
17 Lokale Dienste
Beschreibung
Hersteller auswhlen
Provisioning-Server
Herstellerbeschreibung
Benutzerdefinierte DHCPOptionen
Vendor String
Gehen Sie im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Erweiterte Einstellungen folgendermaen vor, um die entsprechenden Parameter einzugeben:
Klicken Sie im Feld DHCP-Optionen auf die Schaltflche Hinzufgen und whlen Sie Option = -
(& . Klicken Sie auf die Schaltflche
, um den Eintrag zu bearbeiten.
Felder im Men Basisparameter
Feld
Beschreibung
Hersteller auswhlen
APN
PIN
Herstellerbeschreibung
Digitalisierungsbox Standard
283
17 Lokale Dienste
Feld
Beschreibung
17.4.3 IP/MAC-Bindung
Im Men Lokale Dienste->DHCP-Server->IP/MAC-Bindung wird eine Liste aller Clients angezeigt, die
per DHCP eine IP-Adresse von Ihrem Gert erhalten haben.
Sie haben die Mglichkeit, bestimmten MAC-Adressen eine gewnschte IP-Adresse aus einem definierten IP-Adress-Pool zuzuweisen. Dazu knnen Sie in der Liste die Option Statische Bindung whlen,
um einen Listeneintrag als feste Bindung zu bernehmen, oder Sie legen manuell eine feste IP/
MAC-Bindung an, indem Sie diese im Untermen Neu konfigurieren.
Hinweis
Neue statische IP/MAC-Bindungen knnen erst angelegt werden, wenn in Lokale
Dienste->DHCP-Server->IP-Pool-Konfiguration IP-Adressbereiche konfiguriert wurden,
und im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration ein gltiger IP-Pool
zugewiesen ist.
17.4.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IP/MAC-Bindungen einzurichten.
Beschreibung
Beschreibung
Geben Sie den Namen des Hosts ein, an dessen MAC-Adresse die IPAdresse gebunden wird.
Mglich ist eine Zeichenkette mit bis zu 256 Zeichen.
284
IP-Adresse
MAC-Adresse
Geben Sie die MAC-Adresse ein, der die in IP-Adresse angegebene IPAdresse zugewiesen werden soll.
Digitalisierungsbox Standard
17 Lokale Dienste
17.4.4 DHCP-Relay-Einstellungen
Wenn Ihr Gert fr das lokale Netz keine IP-Adressen per DHCP an die Clients verteilt, kann es dennoch die DHCP-Anforderungen aus dem lokalen Netzwerk stellvertretend an einen entfernten DHCPServer weiterleiten. Der DHCP-Server vergibt Ihrem Gert dann eine IP-Adresse aus seinem Pool, die
dieser wiederum an den Client ins lokale Netzwerk schickt.
Beschreibung
Primrer DHCP-Server
Geben Sie die IP-Adresse eines Servers ein, an den BootP- oder DHCPAnfragen weitergeleitet werden sollen.
Der Standardwert ist .
Sekundrer DHCP-Server
Beispiel-Szenarien
Digitalisierungsbox Standard
285
17 Lokale Dienste
286
Digitalisierungsbox Standard
17 Lokale Dienste
Konfigurationsziel
Sie knnen Ihr Gert als DHCP-Server, als DHCP-Client oder als DHCP-Relay-Server einsetzen.
Konfigurationsschritte im berblick
DHCP-Server
Feld
Men
Wert
IP-Poolname
z. B.
IP-Adressbereich
Schnittstelle
z. B.
IP-Poolname
Pool-Verwendung
Gateway
?3 , 20
2
Lease Time
z. B.
Fr DNS/WINS-Serverzuordnung zu
verwendende IP-Adresse:
Als DHCP-Server
Lokale Dienste -> DNS -> Globale Einstellungen -> Erweiterte Einstellungen
Feld
Men
Wert
Adressmodus
.>$
DHCP-Client
Digitalisierungsbox Standard
287
17 Lokale Dienste
Feld
Men
Wert
DHCP-MAC-Adresse
(optional)
stellungen
DHCP-Relay-Server
Feld
Men
Wert
Primrer DHCP-Server
z. B.
Sekundrer DHCP-Server
(optional)
falls vorhanden
17.5 Scheduling
Ihr Gert verfgt ber einen Aufgabenplaner, mit dem bestimmte Standardaktionen (beispielsweise Aktivierung bzw. Deaktivierung von Schnittstellen) durchgefhrt werden knnen. Auerdem ist jede vorhandene MIB-Variable mit jedem beliebigen Wert konfigurierbar.
Sie legen die gewnschten Aktionen fest und definieren die Auslser, die steuern, wann bzw. unter
welchen Bedingungen die Aktionen durchgefhrt werden sollen. Ein Auslser kann ein einzelnes Ereignis sein oder eine Folge von Ereignissen, die in einer Ereignisliste zusammengefasst sind. Fr ein
einzelnes Ereignis legen Sie ebenfalls eine Ereignisliste an, die jedoch nur ein Element enthlt.
Es ist mglich, zeitgesteuert Aktionen auszulsen. Auerdem kann der Status oder die Erreichbarkeit
von Schnittstellen oder deren Datenverkehr zur Ausfhrung der konfigurierten Aktionen fhren, oder
aber auch die Gltigkeit von Lizenzen. Auch hier ist es mglich, jede beliebige MIB-Variable mit jedem
beliebigen Wert als Auslser einzurichten.
Um den Aufgabenplaner in Betrieb zu nehmen, aktivieren Sie das Schedule-Intervall unter Optionen.
Dieses Intervall gibt den Zeitabstand vor, in dem das System prft, ob mindestens ein Ereignis eingetreten ist. Dieses Ereignis dient als Auslser fr eine konfigurierte Aktion.
Konkrete Hinweise fr die Konfiguration des Aufgabenplaners finden Sie am Ende des Kapitels unter
Konfigurationsbeispiel - Zeitgesteuerte Aufgaben (Scheduling) auf Seite 301.
Achtung
Die Konfiguration der nicht voreingestellten Aktionen erfordert umfangreiches Wissen ber
die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration kann zu erheblichen
Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B. auf Ihrem PC.
Hinweis
Voraussetzung fr den Betrieb des Aufgabenplaners ist ein auf Ihrem Gert eingestelltes
Datum ab dem 1.1.2000.
17.5.1 Auslser
Im Men Lokale Dienste->Scheduling-> Auslser werden alle konfigurierten Ereignislisten angezeigt.
Jede Ereignisliste enthlt mindestens ein Ereignis, das als Auslser fr eine Aktion vorgesehen ist.
17.5.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Ereignislisten anzulegen.
288
Digitalisierungsbox Standard
17 Lokale Dienste
Beschreibung
Mit ;3 (Standardwert) knnen Sie eine neue Ereignisliste anlegen. Mit
Beschreibung geben Sie dieser Liste einen Namen. Mit Hilfe der brigen Parameter legen Sie das erste Ereignis in der Liste an.
Wenn Sie eine bestehende Ereignisliste erweitern wollen, whlen Sie die
gewnschte Ereignisliste aus und fgen ihr mindestens ein Ereignis hinzu.
ber Ereignislisten knnen auch komplexe Bedingungen fr das Auslsen einer Aktion erstellt werden. Die Ereignisse werden in derseben Reihenfolge abgearbeitet wie sie in der Liste angelegt sind.
Beschreibung
Ereignistyp
Whlen Sie den Typ des Ereignisses aus.
Mgliche Werte:
E (Standardwert): Die in Aktionen konfigurierten und zugewiesenene Aktionen werden zu bestimmten Zeitpunkten ausgelst.
/%7(;/: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die definierten MIB-Variablen die angegebenen Werte annehmen.
(+ ,,3,: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die definierten Schnittstellen einen bestimmten Status annehmen.
(+ , : Die in Aktionen konfigurierten und zugewiesenenen Aktionen werden ausgelst, wenn der Datenverkehr auf
den angegebenen Schnittstellen den definierten Wert unter- oder berschreitet.
&,: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die angegebene IP-Adresse erreichbar
bzw. nicht erreichbar ist.
#:,
3 , E1,: Die in Aktionen konfigurierten
und zugewiesenene Aktionen werden ausgelst, wenn die definierte
Digitalisierungsbox Standard
289
17 Lokale Dienste
Feld
Beschreibung
Gltigkeitsdauer erreicht ist.
'3,, : (nicht fr alle Gerte verfgbar): Mit der Option
'3,, legen Sie fest, dass das Drcken der Funktionstaste am Gert als Auslser fr konfigurierte Aktionen dienen kann. Durch
einen Druck von gut einer Sekunde (aber weniger als drei Sekunden)
auf die Taste wird der Zustand der Taste auf 4 gesetzt, durch
einen Druck von mehr als drei Sekunden wird er auf gesetzt.
Aktionen, die vom Zustand der Taste abhngen, werden dann bei der
nchsten zyklischen Abfrage gem dem Schedule-Intervall ausgelst. Es kann also z. B. eine WLAN-Schnittstelle aktiviert werden, wenn
die Funktionstaste eine Sekunde lang gedrckt wird. Bei einem Druck
auf die Taste vom mehr als drei Sekunden wird die Schnittstelle wieder
deaktiviert.
berwachte Variable
Vergleichsbedingung
Vergleichswert
Indexvariablen
berwachte Schnittstelle
Schnittstellenstatus
290
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Mgliche Werte:
?C (Standardwert): Der eingehende Datenverkehr wird berwacht.
C: Der ausgehende Datenverkehr wird berwacht.
bertragener Datenverkehr
Ziel-IP-Adresse
Quell-IP-Adresse
Status
Intervall
Versuche
berwachtes Zertifikat
Verbleibende Gltigkeitsdauer
Digitalisierungsbox Standard
291
17 Lokale Dienste
Feld
Beschreibung
Beschreibung
Zeitbedingung
292
Startzeit
Geben Sie den Zeitpunkt ein, ab dem der Auslser aktiviert werden soll.
Die Aktivierung erfolgt mit dem nchsten Scheduling-Intervall. Der Standardwert dieses Intervalls ist 55 Sekunden.
Stoppzeit
Geben Sie den Zeitpunkt ein, ab dem der Auslser deaktiviert werden
soll. Die Deaktivierung erfolgt mit dem nchsten Scheduling-Intervall.
Wenn Sie keine Stoppzeit eingeben oder Stoppzeit = Startzeit setzen,
wird der Auslser aktiviert und nach 10 Sekunden deaktiviert.
Digitalisierungsbox Standard
17 Lokale Dienste
17.5.2 Aktionen
Im Men Lokale Dienste->Scheduling->Aktionen wird eine Liste aller Aktionen angezeigt, die durch
die in Lokale Dienste->Scheduling->Auslser konfigurierten Ereignisse oder Ereignissketten ausgelst werden sollen.
17.5.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Aktionen zu konfigurieren.
Beschreibung
Geben Sie eine beliebige Bezeichnung fr die Aktion ein.
Whlen Sie die gewnschte Aktion aus.
Mgliche Werte:
;3, (Standardwert): Ihr Gert wird neu gestartet.
/%7(;/: Fr eine MIB-Variable wird der gewnschte Wert eingetragen.
(+ ,,3,: Der Status einer Schnittstelle wird verndert.
=#4;(3,: Nur fr Gerte mit Wireless LAN. Der Status einer
WLAN-SSID wird verndert.
(123,3&: Es wird ein Software-Update initiiert.
<1&3,&: Eine Konfigurationsdatei wird in Ihr
Gert geladen oder von Ihrem Gert gesichert.
&,: Die Erreichbarkeit einer IP-Adresse wird berprft.
E123&: Ein Zertifikat soll erneuert, gelscht oder
eingetragen werden.
>8=#4;%
,+: Nur fr Gerte mit Wireless LAN. Ein Scan
des 5-GHz-Frequenzbands wird durchgefhrt.
=#$6 ;3 ;& :(+&&: Nur fr Gerte mit WLAN
Controller. In einem durch den WLAN Controller kontrollierten WLANNetz wird ein Neighbor Scan ausgelst.
=#$6 -(((3,: Nur fr Gerte mit WLAN Controller. Der Status
eines Drahtlosnetzwerkes wird verndert.
%:,
3,: Der Betriebsmosdus eines WLAN-Radiomoduls wird
verndert.
Digitalisierungsbox Standard
293
17 Lokale Dienste
Feld
Ereignisliste
Beschreibung
Whlen Sie die gewnschte Ereignisliste aus, die in Lokale
Dienste->Scheduling->Auslser angelegt ist.
Bedingung fr EreignislisWhlen Sie fr die gewhlte Ereignisliste aus, wieviele der konfigurierten
te
Ereignisse eintreten mssen, damit die Aktion ausgelst wird.
Mgliche Werte:
4 (Standardwert): Die Aktion wird ausgelst, wenn alle Ereignisse
eintreten.
,: Die Aktion wird ausgelst, wenn ein Ereignis eintritt.
<: Die Aktion wird ausgelst, wenn keines der Ereignisse eintritt.
, + : Die Aktion wird ausgelst, wenn eines der Ereignisse
nicht eintritt.
Neustart des Gerts nach
Befehlsmodus
Indexvariablen
294
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
%
: Der Wert der MIB-Variable wird unterschiedlich verndert,
wenn der Status des Auslsers sich ndert.
MIB-Variablen
Schnittstelle
Status festlegen
Quelle
Digitalisierungsbox Standard
295
17 Lokale Dienste
Feld
Beschreibung
laden, den Sie ber die (5?# festlegen.
Server-URL
Dateiname
Aktion
Protokoll
CSV-Dateiformat
296
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Whlen Sie aus, ob die Datei im CSV-Format bertragen werden soll.
Das CSV-Format kann problemlos gelesen und modifiziert werden. Auerdem knnen Sie z. B. mithilfe von Microsoft Excel die entsprechenden
Dateien in bersichtlicher Form einsehen.
Standardmig ist die Funktion aktiv.
Lokaler Dateiname
Dateiname in Flash
Konfiguration verschlsseln
Digitalisierungsbox Standard
297
17 Lokale Dienste
Feld
Beschreibung
Standardmig ist die Funktion nicht aktiv.
Versionsprfung
Ziel-IP-Adresse
Quell-IP-Adresse
Intervall
Versuche
Serveradresse
298
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
Bei Befehlstyp = E123& und Aktion = E1
R,+
Whlen Sie das Zertifikat aus, das gelscht werden soll.
Kennwort fr geschtztes
Zertifikat
Zertifikat in Konfiguration
schreiben
Subjektname
CA-Name
Passwort
Schlsselgre
Digitalisierungsbox Standard
299
17 Lokale Dienste
Feld
Autospeichermodus
Beschreibung
Nur bei Befehlstyp = E123& und Aktion = ($
Whlen Sie, ob Ihr Gert intern automatisch die verschiedenen Schritte
des Registrierungsprozesses speichert. Dies ist dann von Nutzen, wenn
die Registrierung nicht sofort abgeschlossen werden kann. Falls der Status nicht gespeichert wurde, kann die unvollstndige Registrierung nicht
abgeschlossen werden. Sobald die Registrierung abgeschlossen ist und
das Zertifikat vom CA-Server heruntergeladen wurde, wird es automatisch in der Konfiguration Ihres Gerts gespeichert.
Standardmig ist die Funktion aktiv.
CRL verwenden
WLAN-Modul auswhlen
WLC-SSID
Betriebsmodus (Aktiv)
Betriebsmodus (Inaktiv)
17.5.3 Optionen
Im Men Lokale Dienste->Scheduling->Optionen konfigurieren Sie das Schedule-Intervall.
300
Digitalisierungsbox Standard
17 Lokale Dienste
Beschreibung
Schedule-Intervall
.
Empfohlen wird der Wert (5 Minuten Genauigkeit).
Beispielszenario
Konfigurationsziel
Das Gateway soll tglich whrend der Nacht neu starten.
Am Wochenende soll die WLAN-Schnittstelle abgeschaltet werden.
Einmal im Monat soll die Konfiguration automatisch auf einen TFTP-Server gesichert werden.
Konfigurationsschritte im berblick
Tglicher Neustart
Digitalisierungsbox Standard
301
17 Lokale Dienste
Feld
Men
Wert
Ereignisliste
;3
Beschreibung
z. B. ;3, 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp =
, Bedingungseinstellungen = @&+
Startzeit
Stunde Minute
Beschreibung
z. B. ;3,
,
@,
Befehlstyp
;3,
Ereignisliste
;3, 3,R,
Bedingung fr Ereignisliste
4
z. B. Sekunden
Schedule-Intervall
4,
sec
WLAN-Schnittstelle abschalten
302
Feld
Men
Wert
Ereignisliste
;3
Beschreibung
z. B. =#4;
(+ , :
,+ 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp =
, Bedingungseinstellungen = (,&
(&
Startzeit
Stunde Minute
Stoppzeit
Stunde Minute
Beschreibung
z. B. =#4;
(+ , :
,+
Befehlstyp
(+ ,,3,
Ereignisliste
=#4;(+ ,
:,+ 3,R,
Bedingung fr Ereignisliste
4
Schnittstelle
z. B. ,,
Schnittstellenstatus festle-
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Men
gen
Schedule-Intervall
Wert
4,
sec
Men
Wert
Ereignisliste
;3
Beschreibung
z. B. <1&3,,
+ 3& 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp = &
,
/,, Bedingungseinstellungen =
Startzeit
Stunde Minute
Beschreibung
Konfiguration sichern
Befehlstyp
Konfigurationsmanagement
Ereignisliste
Konfigurationssicherung
auslsen
Bedingung fr Ereignisliste
Alle
Aktion
Konfiguration exportieren
Server-URL
z. B.
1*677
CSV-Dateiformat
4
Dateiname in Flash
:
4
Schedule-Intervall
4,
sec
17.6 berwachung
In diesem Men knnen Sie eine automatische Erreichbarkeitsprfung von Hosts oder Schnittstellen
und automatische Ping-Tests konfigurieren.
Hinweis
Diese Funktion kann auf Ihrem Gert nicht fr Verbindungen eingerichtet werden, die ber
einen RADIUS-Server authentifiziert werden.
Digitalisierungsbox Standard
303
17 Lokale Dienste
17.6.1 Hosts
Im Men Lokale Dienste->berwachung->Hosts wird eine Liste aller berwachten Hosts angezeigt.
Beschreibung
Gruppen-ID
Wenn die Erreichbarkeit einer Gruppe von Hosts bzw. des Standard-Gateways von Ihrem Gert berwacht werden soll, whlen Sie eine ID fr
die Gruppe bzw. fr das Standard-Gateway.
Die Gruppen-IDs werden automatisch von bis
Beschreibung
berwachte IP-Adresse
Geben Sie die IP-Adresse des Hosts ein, der berwacht werden soll.
Mgliche Werte:
(
20 (Standardwert): Das Standard-Gateway wird
berwacht.
(*81,+ : Geben Sie in das nebenstehende Eingabefeld die IPAdresse des zu berwachenden Hosts ein.
Quell-IP-Adresse
304
Whlen Sie aus, wie die IP-Adresse ermittelt werden soll, die Ihr Gert
Digitalisierungsbox Standard
17 Lokale Dienste
Feld
Beschreibung
als Quelladresse des Pakets verwendet, das an den zu berwachenden
Host gesendet wird.
Mgliche Werte:
43,+
mittelt.
Geben Sie das Zeitintervall (in Sekunden) ein, das zur berprfung der
Erreichbarkeit des Hosts verwendet werden soll.
Mgliche Werte sind bis
.
Der Standardwert ist .
Innerhalb einer Gruppe wird das kleinste Intervall der Gruppenmitglieder
verwendet.
Erfolgreiche Versuche
Geben Sie ein, wieviele Pings beantwortet werden mssen, damit der
Host als erreichbar angesehen wird.
Mit dieser Einstellung knnen Sie zum Beispiel festlegen, wann ein Host
als wieder erreichbar gilt und statt eines Backup-Gerts erneut verwendet wird.
Mgliche Werte sind bis
.
Der Standardwert ist .
Fehlgeschlagene Versuche
Geben Sie ein, wieviele Pings unbeantwortet bleiben mssen, damit der
Host als nicht erreichbar angesehen wird.
Mit dieser Einstellung knnen Sie zum Beispiel festlegen, wann ein Host
als nicht erreichbar gilt und stattdessen ein Backup-Gert verwendet
wird.
Mgliche Werte sind bis
.
Der Standardwert ist .
Auszufhrende Aktion
Whlen Sie aus, welche Aktion ausgefhrt werden soll. Fr die meisten
Aktionen whlen Sie eine Schnittstelle, auf die sich die Aktion bezieht.
Auswhlbar sind alle physikalischen und virtuellen Schnittstellen.
Whlen Sie zu jeder Schnittstelle aus, ob sie aktiviert ( 4),
deaktiviert ( ., Standardwert) oder zurckgesetzt ( E3
F+,8) werden soll oder ob die Verbindung erneut aufgebaut (
3 2@ ) werden soll.
Mit Aktion = L:2+ knnen Sie die IP-Adresse berwachen, die
unter berwachte IP-Adresse angegeben ist.
17.6.2 Schnittstellen
Im Men Lokale Dienste->berwachung->Schnittstellen wird eine Liste aller berwachten Schnittstellen angezeigt.
Digitalisierungsbox Standard
305
17 Lokale Dienste
Beschreibung
berwachte Schnittstelle
Whlen Sie die Schnittstelle auf Ihrem Gert aus, die berwacht werden
soll.
Trigger
Whlen Sie den Status bzw. Statusbergang von berwachte Schnittstelle aus, der eine bestimmte Schnittstellenaktion auslsen soll.
Mgliche Werte:
(+ , 2
(Standardwert)
(+ , 2
Schnittstellenaktion
Whlen Sie die Aktion aus, welche dem in Trigger definierten Status
bzw. Statusbergang folgen soll.
Die Aktion wird auf die in Schnittstelle ausgewhlte(n) Schnittstelle(n)
angewendet.
Mgliche Werte:
4 (Standardwert): Aktivierung der Schnittstelle(n)
.: Deaktivierung der Schnittstelle(n)
Schnittstelle
Whlen Sie aus, fr welche Schnittstelle(n) die unter Schnittstelle festgelegte Aktion ausgefhrt werden soll.
Whlbar sind alle physikalischen und virtuellen Schnittstellen und die Optionen 4 (+ , und 4 (+
(+ ,.
17.6.3 Ping-Generator
Im Men Lokale Dienste->berwachung->Ping-Generator wird eine Liste aller konfigurierten Pings
angezeigt, die automatisch generiert werden.
Digitalisierungsbox Standard
17 Lokale Dienste
Beschreibung
Ziel-IP-Adresse
Geben Sie die IP-Adresse ein, an die ein Ping automatisch abgesetzt
werden soll.
Quell-IP-Adresse
Intervall
Geben Sie das Intervall in Sekunden ein, whrend dessen der Ping an
die in Entfernte IP-Adresse angegebene Adresse abgesetzt werden
soll.
Mgliche Werte sind bis
.
Der Standardwert ist .
Versuche
Geben Sie die Anzahl der Ping-Tests ein, die durchgefhrt werden sollen, bis die Ziel-IP-Adresse als ;+ + : gilt.
Der Standardwert ist .
17.7 UPnP
Universal Plug and Play (UPnP) ermglicht die Nutzung aktueller Messenger-Dienste (z. B. Realtime-Video/Audiokonferenzen) als Peer-to-Peer Kommunikation, wobei einer der Peers hinter einem Gateway
mit aktiver NAT-Funktion liegt.
UPnP befhigt (meist) Windows-basierte Betriebssysteme, die Kontrolle ber andere Gerte im lokalen
Netzwerk mit UPnP Funktionalitt zu bernehmen und diese zu steuern. Dazu zhlen u.a. Gateways,
Access Points und Printserver. Es sind keine speziellen Gertetreiber notwendig, da gemeinsame und
bekannte Protokolle genutzt werden wie TCP/IP, HTTP und XML.
Ihr Gateway ermglicht die Nutzung des Subsystems des Internet Gateway Devices (IGD) aus dem UPnP-Funktionsspektrum.
In einem Netzwerk hinter einem Gateway mit aktiver NAT Funktion agieren die UPnP-konfigurierten
Rechner als LAN UPnP Clients. Dazu muss die UPnP Funktion auf dem PC aktiviert sein.
Digitalisierungsbox Standard
307
17 Lokale Dienste
Der auf dem Gateway voreingestellte Port, ber den die UPnP-Kommunikation zwischen LAN UPnP Clients und dem Gateway luft, ist
) . Der LAN UPnP Client dient hierbei als sogenannter Service Control Point, d.h. er erkennt und kontrolliert die UPnP-Gerte im Netzwerk.
Die z. B. vom MSN Messenger dynamisch zugewesenen Ports liegen im Bereich von
bis
.
Die Ports werden gatewayintern bei Anforderung freigegeben, d.h. beim Start einer Audio/Videobertragung im Messenger. Nach Beenden der Anwendung werden die Ports sofort wieder geschlossen.
Die Peer-to-Peer-Kommunikation wird ber ffentliche SIP Server initiiert, wobei lediglich die Informationen beider Clients weitergereicht werden. Anschlieend kommunizieren die Clients direkt miteinander.
Weitere Informationen zu UPnP erhalten Sie auf www.upnp.org .
17.7.1 Schnittstellen
In diesem Men konfigurieren Sie die UPnP-Einstellungen individuell fr jede Schnittstelle auf Ihrem Gateway.
Sie knnen festlegen, ob UPnP-Anfragen von Clients ber die jeweilige Schnittstelle angenommen werden (fr Anfragen aus dem lokalen Netzwerk) und/oder ob die Schnittstelle ber UPnP-Anfragen kontrolliert werden kann.
Beschreibung
Schnittstelle
Auf Client-Anfrage antwor- Legen Sie fest, ob UPnP-Anfragen von Clients ber die jeweilige Schnittten
stelle (aus dem lokalen Netzwerk) beantwortet werden.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Schnittstelle ist UPnPkontrolliert
Legen Sie fest, ob die NAT Konfiguration dieser Schnittstelle von UPnP
kontrolliert wird.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
308
Digitalisierungsbox Standard
17 Lokale Dienste
17.7.2 Allgemein
In diesem Men nehmen Sie grundlegende UPnP-Einstellungen vor.
Beschreibung
UPnP-Status
Entscheiden Sie, wie das Gateway mit UPnP-Anfragen aus dem LAN
verfhrt.
Mit 4 wird die Funktion aktiv. Das Gateway nimmt die UPnPFreigaben gem der in der Anfrage des LAN UPnP Clients beinhalteten
Parameter vor, unabhngig von der IP Adresse des anfragenden LAN
UPnP Clients.
Standardmig ist die Funktion nicht aktiv. Das Gateway verwirft UPnPAnfragen, NAT-Freigaben werden nicht vorgenommen.
Tragen Sie die Nummer des Ports ein, auf dem das Gateway auf UPnPAnfragen lauscht.
Mgliche Werte sind bis
, der Standardwert ist
) .
Digitalisierungsbox Standard
309
18 Wartung
Kapitel 18 Wartung
Im diesem Men werden Ihnen zahlreiche Funktionen zur Wartung Ihres Gerts zur Verfgung gestellt.
So finden Sie zunchst eine Men zum Testen der Erreichbarkeit innerhalb des Netzwerks. Sie haben
die Mglichkeit Ihre Systemkonfigurationsdateien zu verwalten. Falls aktuellere Systemsoftware zur Verfgung steht, kann die Installation ber dieses Men vorgenommen werden. Falls Sie weitere Sprachen
der Konfigurationsoberflche bentigen, knnen Sie diese importieren. Auch ein System-Neustart kann
in diesem Men ausgelst werden.
18.1 Diagnose
Im Men Wartung->Diagnose knnen Sie die Erreichbarkeit von einzelnen Hosts, die Auflsung von
Domain-Namen und bestimmte Routen testen.
18.1.1 Ping-Test
Mit dem Ping-Test knnen Sie berprfen, ob ein bestimmter Host im LAN oder eine Internetadresse erreichbar sind.
Felder im Men Ping-Test
Feld
Beschreibung
Test-Ping-Modus
Ping-Befehl testweise an
Adresse senden
Zu verwendende Schnittstelle
Durch Anklicken der Los-Schaltflche wird der Ping-Test gestartet. Das Ausgabe-Feld zeigt die Meldungen des Ping-Tests an.
310
Digitalisierungsbox Standard
18 Wartung
18.1.2 DNS-Test
Mit dem DNS-Test knnen Sie berprfen, ob der Domnenname eines bestimmten Hosts richtig aufgelst wird. Das Ausgabe-Feld zeigt die Meldungen des DNS-Tests an. Durch Eingabe des Domnennamens, der getestet werden soll, in DNS-Adresse und Klicken auf die Los-Schaltflche wird der DNSTest gestartet.
18.1.3 Traceroute-Test
Mit dem Traceroute-Test knnen Sie die Route zu einer bestimmten Adresse (IP-Adresse oder Domnenname) anzeigen lassen, sofern diese erreichbar ist.
Felder im Men Traceroute-Test
Feld
Beschreibung
Traceroute-Modus
Traceroute-Adresse
Digitalisierungsbox Standard
311
18 Wartung
Durch Anklicken der Los-Schaltflche wird der Traceroute-Test gestartet. Das Ausgabe-Feld zeigt die
Meldungen des Traceroute-Tests an.
18.2.1 Optionen
Ihr Gert ist mit der zum Zeitpunkt der Fertigung verfgbaren Version der Systemsoftware ausgestattet,
von der es aktuell ggf. neuere Versionen gibt. Daher mssen Sie gegebenenfalls ein Software-Update
durchfhren.
Jede neue Systemsoftware beinhaltet neue Funktionen, bessere Leistung und bei Bedarf Fehlerkorrekturen der vorhergehenden Version. Die aktuelle Systemsoftware finden Sie unter
www.bintec-elmeg.com . Hier finden Sie auch aktuelle Dokumentationen.
Wichtig
Wenn Sie ein Software-Update durchfhren, beachten Sie unbedingt die dazugehrigen
Release Notes. Hier sind alle nderungen beschrieben, die mit der neuen Systemsoftware
eingefhrt werden.
Die Folge von unterbrochenen Update-Vorgngen (z. B. Stromausfall whrend des Updates) knnte sein, dass Ihr Gert nicht mehr bootet. Schalten Sie Ihr Gert nicht aus, whrend die Aktualisierung durchgefhrt wird.
In seltenen Fllen ist zustzlich eine Aktualisierung von BOOTmonitor und/oder Logic
empfohlen. In diesem Fall wird ausdrcklich in den entsprechenden Release Notes darauf
hingewiesen. Fhren Sie bei BOOTmonitor oder Logic nur ein Update durch, wenn bintec
elmeg GmbH eine explizite Empfehlung dazu ausspricht.
Flash
Ihr Gert speichert seine Konfiguration in Konfigurationsdateien im Flash EEPROM (electrically erasable
programmable read-only memory). Auch wenn Ihr Gert ausgeschaltet ist, bleiben die Daten im Flash
gespeichert.
RAM
Im Arbeitsspeicher (RAM) befindet sich die aktuelle Konfiguration und alle nderungen, die Sie whrend
des Betriebes auf Ihrem Gert einstellen. Der Inhalt des RAM geht verloren, wenn Ihr Gert ausgeschaltet wird. Wenn Sie Ihre Konfiguration ndern und diese nderungen auch beim nchsten Start Ihres Gerts beibehalten wollen, mssen Sie die genderte Konfiguration im Flash speichern: Schaltflche Konfiguration speichern ber dem Navigationsbereich des GUIs. Dadurch wird die Konfiguration in eine
Datei mit dem Namen : im Flash gespeichert. Beim Starten Ihres Gerts wird standardmig die
Konfigurationsdatei : verwendet.
Aktionen
Die Dateien im Flash-Speicher knnen kopiert, verschoben, gelscht und neu angelegt werden. Es ist
auch mglich, Konfigurationsdateien zwischen Ihrem Gert und einem Host per HTTP zu transferieren.
Digitalisierungsbox Standard
18 Wartung
dem knnen Sie z. B. mithilfe von Microsoft Excel die entsprechenden Dateien in bersichtlicher Form
einsehen. Sicherungsdateien der Konfiguration knnen vom Administrator verschlsselt abgelegt werden. Bei Versand der Konfiguration per E-Mail (z. B. fr Supportzwecke) knnen vertrauliche Konfigurationsdaten bei Bedarf komplett geschtzt werden. So knnen Sie mit den Aktionen "Konfiguration exportieren", "Konfiguration mit Statusinformationen exportieren" und "Konfiguration laden" Dateien sichern
bzw. einspielen. Wenn Sie mit der Aktion "Konfiguration exportieren" oder "Konfiguration mit Statusinformationen exportieren" eine Konfigurationsdatei sichern wollen, knnen Sie bestimmen, ob die Konfigurationsdatei unverschlsselt oder verschlsselt gespeichert werden soll.
Achtung
Sollten Sie ber die SNMP-Shell mit dem Kommando eine Konfigurationsdatei in einem alten Format gesichert haben, kann ein Wiedereinspielen auf das Gert nicht garantiert werden. Daher wird das alte Format nicht mehr empfohlen.
Beschreibung
BOSS
Zeigt die aktuelle Softwareversion an, die auf Ihrem Gert geladen ist.
Systemlogik
ADSL-Logik
Zeigt die aktuelle Systemlogik an, die auf Ihrem Gert geladen ist.
Zeigt die aktuelle Version der ADSL-Logik an, die auf Ihrem Gert geladen ist.
Felder im Men Optionen zu Software und Konfiguration
Feld
Beschreibung
Aktion
Digitalisierungsbox Standard
313
18 Wartung
Feld
Beschreibung
Hinweis: Die Datei, die importiert werden soll, muss das CSV-Format
haben!
<1&3 *: Die Konfigurationsdatei im Feld Name
der Quelldatei wird als Name der Zieldatei gespeichert.
<1&3 R,+ : Die Konfiguration im Feld Datei auswhlen wird gelscht.
<1&3 3:: Die Konfigurationsdatei im Feld Datei
auswhlen wird zu Neuer Dateiname umbenannt.
(+ 3& 2
,: Nur, wenn unter Konfiguration
speichern mit der Einstellung <1&3 ,*+ 3
&
%<1&3 ,+ die aktuelle
Konfiguration als Boot-Konfiguration gespeichert und zustzlich die
vorhergehende Boot-Konfiguration archiviert wurde. Sie knnen die archivierte Boot-Konfiguration wieder einspielen.
(127'2 R,+ : Die Datei im Feld Datei auswhlen
wird gelscht.
(*+ *: Sie knnen weitere Sprachversionen des
GUI auf Ihr Gert einspielen. Die Dateien knnen Sie aus dem Download-Bereich von http://hilfe.telekom.de auf Ihren PC herunterladen
und von dort aus in Ihr Gert einspielen.
(0,,12 3,: Sie knnen eine Aktualisierung
der Systemsoftware, der ADSL-Logik und des BOOTmonitors initiieren.
-+ / =. *: Whlen Sie in Dateiname die Datei ,K21,8* aus, die Sie importieren wollen.
<1&3 (3,1 9*: Die
aktive Konfiguration aus dem RAM wird auf Ihren lokalen Host bertragen. Wenn Sie auf die Los-Schaltflche klicken, erscheint ein Dialog,
in dem Sie den Speicherort auf Ihrem PC auswhlen und den gewnschten Dateinamen eingeben knnen.
Aktueller Dateiname im
Flash
Verschlsselung der Kon- Nur fr Aktion = <1&3 9*, <1&3
figuration
*, <1&3 (3,1 9
*
Whlen Sie aus, ob die Daten der gewhlten Aktion verschlsselt werden sollen.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion nicht aktiv.
Wenn die Funktion aktiviert ist, knnen Sie in das Textfeld das Passwort
eingeben.
Dateiname
314
18 Wartung
Feld
Beschreibung
, (0,,12 3,
Geben Sie den Dateipfad und Namen der Datei ein oder whlen Sie die
Datei mit Durchsuchen... ber den Dateibrowser aus.
Datei auswhlen
Neuer Dateiname
Quelle
URL
Geben Sie die URL des Update-Servers ein, von dem die Systemsoftware-Datei geladen werden soll.
18.3 Neustart
18.3.1 Systemneustart
In diesem Men knnen Sie einen sofortigen Neustart Ihres Gerts auslsen. Nachdem das System
wieder hochgefahren ist, mssen Sie das GUI neu aufrufen und sich wieder anmelden.
Beobachten Sie dazu die LEDs an Ihrem Gert. Fr die Bedeutung der LEDs lesen Sie bitte in dem
Handbuch-Kapitel Technische Daten.
Hinweis
Stellen Sie vor einem Neustart sicher, dass Sie Ihre Konfigurationsnderungen durch Klicken auf die Schaltflche Konfiguration speichern besttigen, so dass diese bei dem
Neustart nicht verloren gehen.
Digitalisierungsbox Standard
315
18 Wartung
Wenn Sie Ihr Gert neu starten wollen, klicken Sie auf die OK-Schaltflche. Der Neustart wird ausgefhrt.
316
Digitalisierungsbox Standard
19 Externe Berichterstellung
19.1 Systemprotokoll
Ereignisse in den verschiedenen Subsystemen Ihres Gerts (z. B. PPP) werden in Form von Systemprotokoll-Nachrichten (Syslog) protokolliert. Je nach eingestelltem Level (acht Stufen von ;1 ber
1 bis .:3&) werden dabei mehr oder weniger Meldungen sichtbar.
Zustzlich zu den intern auf Ihrem Gert protokollierten Daten knnen und sollten alle Informationen zur
Speicherung und Weiterverarbeitung zustzlich an einen oder mehrere externe Rechner weitergeleitet
werden, z. B. an den Rechner des Systemadministrators. Auf Ihrem Gert intern gespeicherte Systemprotokoll-Nachrichten gehen bei einem Neustart verloren.
Warnung
Achten Sie darauf, die Systemprotokoll-Nachrichten nur an einen sicheren Rechner weiterzuleiten. Kontrollieren Sie die Daten regelmig und achten Sie darauf, dass jederzeit ausreichend freie Kapazitt auf der Festplatte des Rechners zur Verfgung steht.
19.1.1 Syslog-Server
Konfigurieren Sie Ihr Gert als Syslog-Server, sodass die definierten Systemmeldungen an geeignete
Hosts im LAN geschickt werden knnen.
In diesem Men definieren Sie, welche Meldungen mit welchen Bedingungen zu welchem Host geschickt werden.
Im Men Externe Berichterstellung->Systemprotokoll ->Syslog-Server wird eine Liste aller konfigurierten Systemprotokoll-Server angezeigt.
19.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Systemprotokoll-Server einzurichten.
Digitalisierungsbox Standard
317
19 Externe Berichterstellung
Beschreibung
IP-Adresse
Geben Sie die IP-Adresse des Hosts ein, zu dem Systemprotokoll-Nachrichten weitergeleitet werden sollen.
Level
Facility
Zeitstempel
Protokoll
Whlen Sie das Protokoll fr den Transfer der Systemprotokoll-Nachrichten aus. Beachten Sie, dass der Syslog Server das Protokoll untersttzen
muss.
Mgliche Werte:
5. (Standardwert)
$
Nachrichtentyp
318
Digitalisierungsbox Standard
19 Externe Berichterstellung
19.2 IP-Accounting
In modernen Netzwerken werden hufig aus kommerziellen Grnden Informationen ber Art und Menge
der Datenpakete gesammelt, die ber die Netzwerkverbindungen bertragen und empfangen werden.
Fr Internet Service Provider, die ihre Kunden nach Datenvolumen abrechnen, ist das von entscheidender Bedeutung.
Aber auch nicht-kommerzielle Zwecke sprechen fr ein detailiertes Netzwerk-Accounting. Wenn Sie z.
B. einen Server verwalten, der verschiedene Arten von Netzwerkdiensten zur Verfgung stellt, ist es
ntzlich fr Sie zu wissen, wieviel Daten von den einzelnen Diensten erzeugt werden.
Ihr Gert enthlt die Funktion IP-Accounting, die Ihnen die Sammlung vielerlei ntzlicher Informationen
ber den IP-Netzwerkverkehr (jede einzelne IP-Session) ermglicht.
19.2.1 Schnittstellen
In diesem Men knnen Sie die Funktion IP-Accounting fr jede Schnittstelle einzeln konfigurieren.
19.2.2 Optionen
In diesem Men konfigurieren Sie allgemeine Einstellungen fr IP-Accounting.
319
19 Externe Berichterstellung
Beschreibung
%d
%t
%a
%c
Protokoll
%i
Quell-IP-Adresse
%r
Quellport
%f
Quell-Schnittstellen-Index
%I
Ziel-IP-Adresse
%R
Zielport
%F
Ziel-Schnittstellen-Index
%p
Ausgegangene Pakete
%o
Ausgegangene Oktetts
%P
Eingegangene Pakete
%O
Eingegangene Oktetts
%s
%%
19.3 Benachrichtigungsdienst
Bisher war es schon mglich Syslog-Meldungen vom Router an einen beliebigen Syslog-Host bertragen zu lassen. Mit dem Benachrichtigungsdienst werden dem Administrator je nach Konfiguration EMails gesendet, sobald relevante Syslog-Meldungen auftreten.
19.3.1 Benachrichtigungsempfnger
Im Men Benachrichtigungsempfnger wird eine Liste der Syslog-Meldungen angezeigt.
19.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Benachrichtigungsempfnger anzulegen.
320
Digitalisierungsbox Standard
19 Externe Berichterstellung
Beschreibung
Zeigt den Benachrichtigungsdienst an. Fr Gerte mit UMTS knnen Sie
den Benachrichtigungsdienst auswhlen.
Mgliche Werte:
E-Mail
SMS
Empfnger
Nachrichtenkomprimierung
Geben Sie die E-Mail-Adresse bzw. die Mobilfunknummer des Empfngers ein. Die Eingabe ist auf 40 Zeichen begrenzt.
Whlen Sie aus, ob der Text der Benachrichtigungsmail verkrzt werden
soll. Die Mail enthlt dann die Syslog-Meldung nur einmal und zustzlich
die Anzahl der entsprechenden Ereignisse.
Aktivieren oder deaktivieren Sie das Feld.
Standardmig ist die Funktion aktiv.
Betreff
Ereignis
321
19 Externe Berichterstellung
Feld
Beschreibung
Bestandteil dieses Netzes ist.
;3 (4 !=" &13
: Eine neuer unkonfigurierter AP
hat sich beim WLAN Controller gemeldet.
-2 4 11: Ein managed AP ist nicht mehr erreichbar.
Enthaltene Zeichenfolge
Sie mssen eine "Enthaltene Zeichenfolge" eingeben. Ihr Vorkommen in
einer Syslog Meldung ist die notwendige Bedingung fr das Auslsen eines Alarms.
Die Eingabe ist auf 55 Zeichen begrenzt. Bedenken Sie, dass ohne die
Verwendung von Wildcards (z. B. "*") nur diejenigen Strings die Bedingung erfllen, die exakt der Eingabe entsprechen. In der Regel wird die
eingegebene "Enthaltene Zeichenfolge" also Wildcards enthalten. Um
grundstzlich ber alle Syslog-Meldungen des gewhlten Levels informiert zu werden, geben Sie lediglich "*" ein.
Schweregrad
Whlen Sie den Schweregrad aus, auf dem der im Feld Enthaltene Zeichenfolge konfigurierte String vorkommen muss, damit eine EMail-Benachrichtigung ausgelst wird.
Mgliche Werte:
;1 (Standardwert), 4, <,+ , ' , =3&, %
+ + &3&, 1, .:3&
berwachte Subsysteme
Whlen Sie die Subsysteme aus, die berwacht werden sollen.
Fgen Sie mit Hinzufgen neue Subsysteme hinzu.
Timeout fr Nachrichten
Geben Sie ein, wie lange der Router nach einem entsprechenden Ereignis maximal warten darf, bevor das Versenden der Benachrichtigungsmails erzwungen wird.
Zur Verfgung stehen Werte von bis . Ein Wert von deaktiviert
den Timeout. Der Standardwert ist .
Anzahl Nachrichten
Geben Sie die Anzahl der Syslog-Meldungen ein, die erreicht sein muss,
ehe eine Benachrichtigungsmail fr diesen Fall gesendet werden kann.
Wenn Timeout konfiguriert ist, wird die Mail bei dessen Ablauf gesendet,
auch wenn die Anzahl an Meldungen noch nicht erreicht ist.
Zur Verfgung stehen Werte von bis , der Standardwert ist .
322
Digitalisierungsbox Standard
19 Externe Berichterstellung
19.3.2 Benachrichtigungseinstellungen
Beschreibung
Whlen Sie aus, ob der Benachrichtigungsdienst aktiviert werden soll.
Mit 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Begrenzen Sie die Anzahl der ausgehenden Mails pro Minute. Zur Verfgung stehen Werte von bis
, der Standardwert ist .
Beschreibung
Geben Sie die Mailadresse ein, die in das Absenderfeld der E-Mail eingetragen werden soll.
SMTP-Server
Geben Sie die Adresse (IP-Adresse oder gltiger DNS-Name) des Mailservers ein, der zum Versenden der Mails verwendet werden soll.
Die Eingabe ist auf 40 Zeichen begrenzt.
SMTP-Port
Verschlsselung von E-Mails (SSL/TLS).
Das Feld SMTP-Port ist Standardmig auf
voreingestellt und SSL
Encryption aktiviert.
SMTP-Authentifizierung
Authentifizierung, die der SMTP-Server erwartet.
Mgliche Werte:
< (Standardwert): Der Server akzeptiert und versendet Mails ohne weitere Authentifizierung.
(/: Der Server akzeptiert Mails nur, wenn sich der Router mit einer
richtigen Benutzer/Passwort-Kombination einloggt.
(/ 1 D: Der Server verlangt, dass vor dem Versenden einer Mail Mails per POP3 von der sendenden IP aus mit dem richtigen
POP3-Benutzernamen/Passwort abgerufen werden.
Digitalisierungsbox Standard
323
19 Externe Berichterstellung
Feld
Benutzername
Beschreibung
Nur wenn SMTP-Authentifizierung = (/ oder (/ 1 D
Geben Sie den Benutzernamen fr den POP3 bzw. SMTP Server an.
Passwort
POP3-Server
POP3-Timeout
324
Digitalisierungsbox Standard
20 Monitoring
Kapitel 20 Monitoring
Dieses Men enthlt Informationen, die das Auffinden von Problemen in Ihrem Netzwerk und das berwachen von Aktivitten, z. B. an der WAN-Schnittstelle Ihres Gerts, ermglichen.
Beschreibung
Nr.
Datum
Zeit
Level
Subsystem
Zeigt an, welches Subsystem Ihres Gerts die Meldung generiert hat.
Nachricht
20.2 IPSec
Digitalisierungsbox Standard
325
20 Monitoring
20.2.1 IPSec-Tunnel
Im Men Monitoring->IPSec->IPSec-Tunnel wird eine Liste aller konfigurierten IPSec-Tunnel angezeigt.
Beschreibung
Beschreibung
Entfernte IP-Adresse
Entfernte Netzwerke
Sicherheitsalgorithmus
Status
Aktion
Details
IPSec-Verbindung gendert.
Durch Klicken auf die
bindung angezeigt.
326
Digitalisierungsbox Standard
20 Monitoring
Feld
Beschreibung
Beschreibung
Lokale IP-Adresse
Entfernte IP-Adresse
Lokale ID
Entfernte ID
Aushandlungsmodus
Authentifizierungsmethode
MTU
Erreichbarkeitsprfung
Zeigt die Methode an, wie berprft wird, dass der Peer erreichbar ist.
NAT-Erkennung
Lokaler Port
Entfernter Port
Pakete
Bytes
Fehler
20.2.2 IPSec-Statistiken
Im Men Monitoring->IPSec->IPSec-Statistiken werden statistische Werte zu allen IPSec-Verbindungen angezeigt.
327
20 Monitoring
Beschreibung
IPSec-Tunnel
Beschreibung
Status
Beschreibung
IKE (Phase-1)
IPSec (Phase-2)
Beschreibung
Gesamt
Zeigt die Anzahl aller verarbeiteten eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an.
Weitergeleitet
Zeigt die Anzahl der eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an, die im Klartext weitergeleitet wurden.
Verworfen
Zeigt die Anzahl der verworfenen eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an.
Verschlsselt
Fehler
Zeigt die Anzahl der eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an, bei deren Behandlung es zu Fehlern gekommen ist.
20.3 ISDN/Modem
20.3.1 Aktuelle Anrufe
Im Men Monitoring->ISDN/Modem->Aktuelle Anrufe wird eine Liste der bestehenden ISDNVerbindungen (eingehend und ausgehend) angezeigt.
328
Digitalisierungsbox Standard
20 Monitoring
Beschreibung
Dienst
Zeigt den Dienst an, zu bzw. von dem der Ruf verbunden ist: ,
(+, C
, D(.
Entfernte Nummer
Zeigt die Rufnummer, die gewhlt wurde (bei ausgehenden Rufen) bzw.
von der aus angerufen wurde (bei eingehenden Rufen).
Schnittstelle
Richtung
Kosten
Dauer
Stack
Kanal
Status
20.3.2 Anrufliste
Im Men Monitoring->ISDN/Modem->Anrufliste wird eine Liste der letzten 20 seit dem letzten Systemstart abgeschlossenen ISDN-Verbindungen (eingehend und ausgehend) angezeigt.
Beschreibung
Dienst
Zeigt den Dienst an, zu bzw. von dem der Ruf verbunden war: ,
(+, C
, D(.
Entfernte Nummer
Zeigt die Rufnummer, die gewhlt wurde (bei ausgehenden Rufen) bzw.
von der aus angerufen wurde (bei eingehenden Rufen).
Schnittstelle
Richtung
Kosten
Startzeit
Zeigt die Uhrzeit an, zu welcher der Ruf aus- bzw. einging.
Dauer
20.4 Schnittstellen
20.4.1 Statistik
Im Men Monitoring->Schnittstellen->Statistik werden die aktuellen Werte und Aktivitten aller Gerte-Schnittstellen angezeigt.
ber die Filterleiste knnen Sie auswhlen, ob Gesamttransfer oder Transferdurchsatz angezeigt
werden soll. In der Anzeige Transferdurchsatz werden die Werte pro Sekunde angezeigt.
Digitalisierungsbox Standard
329
20 Monitoring
Schnittstelle gendert.
Werte in der Liste Statistik
Feld
Beschreibung
Nr.
Beschreibung
Typ
Tx-Pakete
Tx-Bytes
Tx-Fehler
Rx-Pakete
Rx-Bytes
Rx-Fehler
Status
Zeigt an, wie lang sich der Betriebszustand der Schnittstelle nicht gendert hat.
Aktion
Bietet die Mglichkeit den Status der Schnittstelle wie angezeigt zu ndern.
ber die
-Schaltflche knnen Sie die statistischen Daten fr die einzelnen Schnittstellen im Detail
anzeigen lassen.
330
Digitalisierungsbox Standard
20 Monitoring
Beschreibung
Beschreibung
MAC-Adresse
IP-Adresse/Netzmaske
NAT
Tx-Pakete
Tx-Bytes
Rx-Pakete
Rx-Bytes
Beschreibung
Status
Lokale Adresse
Zeigt die lokale IP-Adresse der Schnittstelle fr eine aktive TCPVerbindung an.
Lokaler Port
Remote-Adresse
Entfernter Port
20.5 WLAN
20.5.1 WLAN1
Im Men Monitoring->WLAN->WLAN werden die aktuellen Werte und Aktivitten der WLANSchnittstelle angezeigt. Dabei werden die Werte fr den Drahtlos-Modus 802.11n separat aufgefhrt.
Digitalisierungsbox Standard
331
20 Monitoring
Beschreibung
Mbit/s
Tx-Pakete
Rx-Pakete
ber die Schaltflche Erweitert gelangen Sie in eine bersicht ber weitere Details.
332
Digitalisierungsbox Standard
20 Monitoring
Beschreibung
Beschreibung
Wert
Bedeutung
Erfolgreich bertragene
Multicast-MSDUs
bertragene MPDUs
Erfolgreich empfangene
Multicast-MSDUs
Zeigt die Anzahl der erfolgreich empfangenen MSDUs an, die mit einer
Multicast-Adresse versandt wurden.
Zeigt die Anzahl der erfolgreich empfangenen MSDUs an, die mit einer
Unicast-Adresse versandt wurden.
Zeigt die Anzahl der MSDUs an, die nicht gesendet werden konnten.
Doppelte empfangene MS- Zeigt die Anzahl von doppelt empfangenen MSDUs an.
DUs
CTS Frames als Antwort
auf RTS empfangen
Zeigt die Anzahl der empfangenen CTS (Clear to send)-Frames an, die
als Antwort auf RTS (Request to send) empfangen wurden.
Nicht entschlsselbare
MPDUs erhalten
Zeigt die Anzahl der empfangenen MPDUs an, die nicht entschlsselt
werden konnten. Ein Grund dafr knnte sein, dass kein passender
Schlssel eingetragen wurde.
Zeigt die Anzahl der RTS-Frames an, fr die kein CTS empfangen wurde.
Zeigt die Anzahl der Frames an, die unvollstndig oder fehlerhaft empfangen wurden.
20.5.2 VSS
Im Men Monitoring->WLAN->VSS werden die aktuellen Werte und Aktivitten der konfigurierten
Drahtlosnetzwerke angezeigt.
Digitalisierungsbox Standard
333
20 Monitoring
Beschreibung
MAC-Adresse
IP-Adresse
Uptime
Zeigt die Zeit in Stunden, Minuten und Sekunden an, die der jeweilige
Client angemeldet ist.
Tx-Pakete
Rx-Pakete
Signal dBm (RSSI1, RSSI2, Zeigt die Empfangsstrke des Signals in dBm an.
RSSI3)
Rauschen dBm
Datenrate Mbit/s
Rx Discards
Tx Discards
tivitten eines verbundenen Clients angezeigt. Dabei werden die Werte fr den Drahtlos-Modus 802.11n
separat aufgefhrt.
334
Digitalisierungsbox Standard
20 Monitoring
Beschreibung
Client-MAC-Adresse
IP-Adresse
Uptime
Zeigt die Zeit in Stunden, Minuten und Sekunden an, die der jeweilige
Client angemeldet ist.
Signal dBm (RSSI1, RSSI2, Zeigt die Empfangsstrke des Signals in dBm an.
RSSI3)
Rauschen dBm
SNR dB
Datenrate Mbit/s
Digitalisierungsbox Standard
20 Monitoring
Feld
Beschreibung
Rate
Rx Discards
Zeigt die Anzahl der erhaltenen Pakete fr die jeweilige Datenrate an.
Tx Discards
Zeigt die Anzahl der gesendeten Pakete fr die jeweilige Datenrate an.
20.5.3 Client-Verwaltung
Im Men Monitoring->WLAN+Client-Verwaltung wird eine bersicht des Client-Verwaltung angezeigt. Sie sehen fr jedes VSS u. a. die Anzahl der verbundenen Clients, die Anzahl der Clients, die in
vom 2,4/5-GHz-bergang betroffen sind, sowie die Anzahl der abgewiesenen Clients.
Beschreibung
VSS-Beschreibung
Netzwerkname (SSID)
MAC-Adresse
Zeigt die MAC Adresse, die fr dieses VSS verwendet wird, an.
Aktive Clients
2,4/5-GHz-bergang
Zeigt die Anzahl der Clients, die ber die Funktion 2,4/5-GHz-bergang
in ein anderes Frequenzband verschoben worden sind.
Abgewiesene Clients soft/ Zeigt die Anzahl der abgewiesenen Clients, nachdem die absolute Anhard
zahl an zulssigen Clients erreicht wurde.
20.6 Bridges
20.6.1 br<x>
Im Men Monitoring->Bridges-> br<x> werden die aktuellen Werte der konfigurierten Bridges angezeigt.
336
Feld
Beschreibung
MAC-Adresse
Port
Zeigt den Port an, auf dem die Bridge aktiv ist.
Digitalisierungsbox Standard
20 Monitoring
20.7 QoS
Im Men Monitoring->QoS werden Statistiken fr die Schnittstellen angezeigt, fr die QoS konfiguriert
wurde.
20.7.1 QoS
Im Men Monitoring->QoS->QoS wird eine Liste aller Schnittstellen angezeigt, fr die QoS konfiguriert
wurde.
Beschreibung
Schnittstelle
QoS-Queue
Senden
Zeigt die Anzahl der gesendeten Pakete mit der entsprechenden PaketKlasse an.
Verworfen
Zeigt die Anzahl der verworfenen Pakete mit der entsprechenden PaketKlasse bei berlast an.
Queued
Zeigt die Anzahl der wartenden Pakete mit der entsprechenden PaketKlasse bei berlast an.
Digitalisierungsbox Standard
337
Index
Index
Administrativer Status 241 , 249 , 260 , 261
Adressen 254
Analoge Schnittstelle auswhlen 244
Angerufene Adresse 249
Angerufene Adresse 260 , 262
Angerufene Leitung 262
Ankommende Rufnummer 208
Anrufende Adresse 260
Anrufende Leitung 260
Ausgehende Rufnummer 208
Ausgehender Proxy 249
Authentifizierungs-ID 244 , 249
Bandbreitenbegrenzung Downstream 254
Bandbreitenbegrenzung Upstream 254
Beinhalteter Standort (Parent) 254
Benutzer 45
Benutzer muss das Passwort ndern 45
Benutzerdefinierte DHCP-Optionen 283
Benutzername 249
Beschreibung 42 , 241 , 244 , 249 , 254 ,
256 , 260 , 262 , 264
Codec-Reihenfolge 246 , 252
Comfort Noise Generation (CNG) 247 , 253
DSCP-Einstellungen fr RTP-Daten 255
Echounterdrckung 247 , 253
Eigene IP-Adresse per ISDN/GSM bertragen
208
Endpunkttyp 243
Entfernter Port 243
Externe Adresse 264
Externer Port 243
Gltigkeit 244 , 249
Herstellerbeschreibung 283 , 283
Interne IP-Adresse 243
Interner Port 243
ISDN-Konfigurationstyp 58
ISDN-Modus 256
ISDN-Schnittstelle auswhlen 244
Konfiguration speichern 42
Leitung 261
Level Nr. 42
Lizenzschlssel 31
Lizenzseriennummer 31
Lokale Adresse 264
Low Latency Transmission 241
Maximale Downstream-Bandbreite 254
Maximale Upstream-Bandbreite 254
Mens 43
Metrik 126
Mitglieder 256
Modus 208
Modus des D-Kanals 208
Paketgre 247 , 253
Passwort 45 , 244 , 249
Port 244
Port-Verwendung 58
Portname 58
Prioritt 261
338
Index
DHCP-Relay-Server (Konfigurationsbeispiel)
285
DHCP-Server (Konfigurationsbeispiel) 285
NAT (Konfigurationsbeispiel) 135
SIF (Konfigurationsbeispiel) 238
#
#1 #2, #3
51
2
2,4/5-GHz-bergang
336
A
Abfrage Intervall 165
Abgewiesene Clients soft/hard 336
ACCESS_ACCEPT 35
ACCESS_REJECT 35
ACCESS_REQUEST 35
ACCOUNTING_START 35
ACCOUNTING_STOP 35
Admin-Status 141
Administrativer Status 197 , 270
Administrativer Zugriff 34
Adressbereich 233
Adresse/Prfix 233
Adresse/Subnetz 233
Adressen 233
Adressliste 233
Adressmodus 64 , 187
Adresstyp 233
ADSL-Leitungsprofil 60
ADSL-Logik 313
hnliches Zertifikat berschreiben 293
Airtime Fairness 78 , 101
Aktion 117 , 132 , 160 , 226 , 229 , 293 , 313
, 326 , 330
Aktionen 293
Aktive Clients 336
Aktive Clients 112
Aktiver Allgemeiner Prfix 128
Aktives Funkmodulprofil 98
Aktualisierung aktivieren 277
Aktualisierungsintervall 278
Aktualisierungspfad 278
Aktuelle Geschwindigkeit / Aktueller Modus
56
Aktueller Dateiname im Flash 313
Alle Multicast-Gruppen 168
Allgemein 94 , 164 , 309
Allgemeine IPv6-Prfixe 128
Allgemeiner Name 51
Allgemeiner Prfix 67
Als DHCP-Server 269
Als IPCP-Server 269
Alternative Schnittstelle, um DNS-Server zu erhalten 268
Andere Inaktivitt 230
Angegriffener Access Point 116
Ankndigen 66
Antwort 272
339
Index
Digitalisierungsbox Standard
Index
DHCP-Konfiguration 280
DHCP-MAC-Adresse 69 , 187
DHCP-Modus 69
DHCP-Optionen 281
DHCP-Relay-Einstellungen 285
DHCP-Relay-Server 285
DHCP-Server 64 , 94 , 279
Diagnose 310
Dienst 132 , 141 , 145 , 157 , 226 , 229
Dienste 234
Diensteliste 235
Dienstkategorien 189
DNS 267
DNS-Anfragen 275
DNS-Aushandlung 174 , 178 , 183
DNS-Hostname 272
DNS-Propagation 69
DNS-Server 184 , 220 , 270 , 280
DNS-Test 311
Domne 273
Domnenname 268
Domnenweiterleitung 273
Doppelte empfangene MSDUs 333
Downstream 59
Drahtloser Modus 78 , 101
Drahtlosnetzwerke (VSS) 80 , 104 , 113
Dropping-Algorithmus 154
DSCP / Traffic Class Filter (Layer 3) 145 ,
157
DSCP-/TOS-Wert 122
DSCP/Traffic-Class-Filter setzen (Layer 3)
148
DSL-Chipsatz 59
DSL-Konfiguration 59
DSL-Modem 59
DSL-Modus 60
DTIM Period 86 , 102
Durchsatz 111 , 113
Durchsatz/Client 112
Dynamische RADIUS-Authentifizierung 222
Dynamische Black List 108
DynDNS-Aktualisierung 276
DynDNS-Client 276
DynDNS-Provider 278
E
E-Mail 51
E-Mail-Adresse 323
EAP-Vorabauthentifizierung 83 , 106
Einstellungen Funkmodul 75
Eintrag aktiv 37
Empfangene DNS-Pakete 275
Empfnger 321
Ende-zu-Ende-Sendeintervall 192
Enkapsulierung 186
Entfernte PPTP-IP-Adresse 178
Entfernte IP-Adresse 326 , 326
Entfernte Netzwerke 326
Entfernte ID 326
Entfernter Port 326 , 331
Entferntes IPv6-Netzwerk 201
Digitalisierungsbox Standard
Index
Hosts 304
HTTP 34
HTTPS 34 , 275
HTTPS-Server 275
HTTPS-TCP-Port 276
I
IGMP 164
IGMP Proxy 166
IGMP Snooping 86
IGMP-Status 167
IKE (Phase-1) 328
IKE (Internet Key Exchange) 197
IKE (Phase-1) SAs 326
Image bereits vorhanden. 117
Immer aktiv 171 , 176 , 180
Importieren 52 , 53
Indexvariablen 289 , 293
Initial Contact Message senden 222
Interner ISDN-Anschluss 7
Internes Protokoll 325
Internet + Einwhlen 169
Intervall 289 , 293 , 304 , 307
Intra-cell Repeating 82 , 105
IP Pools 183 , 220
IP-Accounting 319
IP-Adressbereich 94 , 184 , 220 , 280
IP-Adresse 11 , 187 , 188 , 284 , 318 , 334 ,
335
IP-Adresse / Netzmaske 64
IP-Adresse zur Nachverfolgung 139
IP-Adresse/Netzmaske 331
IP-Adressmodus 173 , 177 , 181
IP-Komprimierung 217
IP-Konfiguration 61
IP-Pool-Konfiguration 279
IP-Poolname 184 , 220 , 280 , 281
IP-Version 234 , 270
IP-Version des Tunnelnetzwerks 197
IP-Zuordnungspool 199
IP/MAC-Bindung 284
IPSec 195 , 325
IPSec (Phase-2) 328
IPSec aktivieren 221
IPSec (Phase-2) SAs 326
IPSec ber TCP 222
IPSec-Debug-Level 221
IPSec-Peers 196
IPSec-Statistiken 327
IPSec-Tunnel 326 , 328
IPv4 233
IPv4 Proxy ARP 205
IPV4-Adresse 272
IPv4-Adressvergabe 199
IPv4-DNS-Server 273
IPv4-Filterregeln 225
IPv4-Gruppen 231
IPv4-Quelladresse/-netzmaske 145 , 157
IPv4-Routing-Tabelle 125
IPv4-Zieladresse/-netzmaske 145 , 157
IPv4/IPv6-Filter 145
342
Digitalisierungsbox Standard
Index
N
Nach Ausfhrung neu starten 293
Nachricht 325
Nachrichten 326
Nachrichtenkomprimierung 321
Nachrichtentyp 318
Name 97 , 128 , 219
Name der Quelldatei 313
Name der Zieldatei 313
NAT 129 , 331
NAT aktiv 130
NAT-Eintrag erstellen 173 , 177 , 181
NAT-Erkennung 326
NAT-Konfiguration 130
NAT-Methode 131
NAT-Schnittstellen 129
NAT-Traversal 213
Negativer Cache 268
Netzmaske 11 , 125 , 187 , 188
Netzwerk 119
Netzwerkeinstellung 13
Netzwerkname (SSID) 82 , 105
Netzwerkname (SSID) 336
Neue Quell-IP-Adresse/Netzmaske 134
Neue Ziel-IP-Adresse/Netzmaske 134
Neuer Quell-Port 134
Neuer Ziel-Port 134
Neuer Dateiname 313
Neustart 315
Neustart des Gerts nach 293
Nicht entschlsselbare MPDUs erhalten 333
Nicht gendert seit 330
Nicht-Mitglieder verwerfen 73
Nr. 127 , 325 , 330
Nutzungsbereich 76
O
OAM-Fluss-Level 191
OAM-Regelung 190
ffentliche IPv4-Quelladresse 205
ffentliche Schnittstelle 205
ffentlicher Schnittstellenmodus 205
On Link Flag 68
Optionen 40 , 126 , 167 , 221 , 229 , 300 ,
312 , 319
Organisation 51
Organisationseinheit 51
Original Quell-Port/Bereich 132
Original Ziel-IP-Adresse/Netzmaske 132
Original Ziel-Port/Bereich 132
Originale Quell-IP-Adresse/Netzmaske 132
Ort 51
P
Pakete 326
Passwort 49 , 52 , 53 , 171 , 176 , 180 , 219
, 277 , 293 , 323
Passwort ndern 12
PC einrichten 12
343
Index
Digitalisierungsbox Standard
Index
SSID 116
Staat/Provinz 51
Standard-Benutzerpasswort 37
Standard-Ethernet fr PPPoE-Schnittstellen
187
Standardeinstellungen wiederherstellen 34
Standardroute 173 , 177 , 181 , 199
Standort 97
Startmodus 204
Startzeit 292
Statische Adressen 67
Statische Hosts 272
Statische Black List 116
Statistik 275 , 329
Status 289 , 326 , 328 , 330 , 331
Status festlegen 293
Status der Funktionstaste 289
Status der IPv4-Firewall 230
Status des Auslsers 293
Stoppzeit 292
Subjektname 293
Subnetz-ID 67
Subsystem 325
Support 6
Sustained Cell Rate (SCR) 189
Switch-Port 56
Syslog-Server 317
System-Voraussetzungen 10
Systemlogik 313
Systemmeldungen 325
Systemneustart 315
Systempasswort ndern 12
Systemprotokoll 317
Systemsoftware 10
T
TCP-ACK-Pakete priorisieren 174 , 178 ,
183 , 188
TCP-Inaktivitt 230
TCP-MSS-Clamping 69
Terminierung 7
Test-Ping-Modus 310
Timeout bei Inaktivitt 171 , 176 , 180
Timeout fr Nachrichten 321
Traceroute-Adresse 311
Traceroute-Modus 311
Traceroute-Test 311
Traffic Shaping 150 , 153
Transmit Shaping 60
Trigger 306
Tx Shaping 85 , 109
Tx Discards 335
Tx-Bytes 330 , 331
Tx-Fehler 330
Tx-Pakete 330 , 331 , 332 , 334
Typ 128 , 145 , 157 , 186 , 235 , 330
U
U-APSD 82
berbuchen zugelassen
153
345
Index
VLAN-Mitglieder 72
VLAN-Name 72
VLANs 72
Vollstndige IPSec-Konfiguration lschen
221
Vollstndige IPv4-Filterung 230
Von Schnittstelle 128
Vorbereitungen 10
VPN 195
VSS 333
VSS-Beschreibung 336
W
WAN 169
Wandmontage 7
Wartung 116
Weitergeleitet 328
Weitergeleitete Anfragen 275
Weiterleiten 168 , 273
Weiterleiten an 273
WEP-Schlssel 1-4 83 , 106
Wert 333
Wiederholungen 38
Wiederkehrender Hintergrund-Scan 102
Wildcard 278
WINS-Server 268
Wird ausgefhrt 117
Wireless LAN 75
Wireless LAN Controller 90
Wizard 90
WLAN 75 , 331
WLAN Controller 110
WLAN (Konfigurationsbeispiel) 87
WLAN Controller: VSS-Durchsatz 110
WLAN-Modul auswhlen 293
WLAN1 331
WLC-SSID 293
WMM 82 , 105
WPA Cipher 83 , 106
WPA-Modus 83 , 106
WPA2 Cipher 83 , 106
X
XAUTH-Profil 204
XAUTH-Profile 218
Z
Zeit 325
Zeitbedingung 292
Zeitgesteuerte Aufgaben
(Konfigurationsbeispiel) 301
Zeitstempel 318
Zero Cookies verwenden 222
Zertifikat in Konfiguration schreiben 293
Zertifikat ist ein CA-Zertifikat 47
Zertifikate 45
Zertifikate und Schlssel einschlieen 313
Zertifikatsanforderung 48
Zertifikatsanforderungs-Payloads nicht beachten 223
Digitalisierungsbox Standard
Index
Zertifikatsanforderungs-Payloads senden
223
Zertifikatsanforderungsbeschreibung 49 ,
293
Zertifikatsketten senden 223
Zertifikatsliste 46
Zertifikatsserver 54
Ziel 226 , 229
Ziel-IP-Adresse 125 , 289 , 293 , 307
Ziel-IP-Adresse/Netzmaske 121 , 132 , 141 ,
203
Ziel-Port/Bereich 132 , 141 , 145 , 157
Zieladresse/Lnge 124
Zielport 122 , 203
Zielportbereich 235
Zielschnittstelle 124 , 168
Zu verwendende Schnittstelle 310
Zuerst gesehen 116
Zugang ber LAN 15
Zugewiesene Drahtlosnetzwerke (VSS) 98
Zugriffsfilter 156 , 160
Zugriffskontrolle 85 , 108
Zugriffsregeln 155
Zuletzt gesehen 116
Zusammenfassend 51
Zustzlicher Filter des IPv4-Datenverkehrs
201 , 203
Digitalisierungsbox Standard
347