Bedienungsanleitung Digitalisierungsbox Standard

Benutzerhandbuch
Digitalisierungsbox Standard
Copyright Version 1.1, 2015 bintec elmeg GmbH
Benutzerhandbuch
bintec elmeg GmbH
Rechtlicher Hinweis
Gewhrleistung
nderungen in dieser Verffentlichung sind vorbehalten.
bintec elmeg GmbH gibt keinerlei Gewhrleistung auf die in dieser Bedienungsanleitung enthaltenen Informationen.bintec elmeg GmbH bernimmt keine Haftung fr mittelbare, unmittelbare, Neben-, Folgeoder andere Schden, die mit der Auslieferung, Bereitstellung oder Benutzung dieser Bedienungsanleitung im Zusammenhang stehen.
Copyright bintec elmeg GmbH
Alle Rechte an den hier beinhalteten Daten - insbesondere Vervielfltigung und Weitergabe - sind bintec
elmeg GmbH vorbehalten.
Open Source Software in diesem Produkt
Dieses Produkt enthlt neben anderen Komponenten Open-Source-Software, die von Drittanbietern entwickelt wurde und unter einer Open-Source-Softwarelizenz lizenziert ist. Diese Open-Source-Softwaredateien unterliegen dem Copyright. Eine aktuelle Liste der in diesem Produkt enthaltenen
Open-Source-Softwareprogramme und die Open-Source-Softwarelizenzen finden Sie unter
www.bintec-elmeg.com .
GEMA
Dieses Produkt verwendet interne Wartemusik, fr deren Verwendung eine Genehmigung durch die GEMA (Gesellschaft fr musikalische Auffhrungs- und mechanische Vervielfltigungsrechte) nicht erforderlich ist. Dies hat die GEMA mit Freistellungsbescheinigung besttigt. Die Freistellungsbescheinigung
kann unter folgender Internet-Adresse eingesehen werden: www.bintec-elmeg.com . Wartemelodien
des Systems: elmeg Song, Hold the line.
Inhaltsverzeichnis
bintec elmeg GmbH
Inhaltsverzeichnis
Kapitel 1
Inbetriebnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1
. . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3
Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4
Support-Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 2
Montage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1
Anschluss von Endgerten . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2
Reset Taster
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3
Wandmontage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4
Pin-Belegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 3
Grundkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
3.1
Vorbereitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
3.2
Konfiguration des Systems . . . . . . . . . . . . . . . . . . . . . . . . . .
12
3.3
Internetverbindung einrichten. . . . . . . . . . . . . . . . . . . . . . . . .
13
3.4
Softwareaktualisierung Digitalisierungsbox Standard . . . . . . . . . . . . . .
14
Kapitel 4
Zugang und Konfiguration . . . . . . . . . . . . . . . . . . . . . . .
15
4.1
Zugang ber LAN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
4.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Kapitel 5
Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
Kapitel 6
Systemverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
6.1
Status
6.2
Globale Einstellungen
6.3
Schnittstellenmodus / Bridge-Gruppen
. . . . . . . . . . . . . . . . . . . .
31
6.4
Administrativer Zugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
6.5
Remote Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
35
6.6
Konfigurationszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
6.7
Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
Kapitel 7
Physikalische Schnittstellen . . . . . . . . . . . . . . . . . . . . . .
55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
23
25
Inhaltsverzeichnis
ii
bintec elmeg GmbH
7.1
Ethernet-Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
7.2
ISDN-Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
7.3
DSL-Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
Kapitel 8
LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
8.1
IP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
8.2
VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
Kapitel 9
Wireless LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
9.1
WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
9.2
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
9.3
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
Kapitel 10
Wireless LAN Controller . . . . . . . . . . . . . . . . . . . . . . . .
90
10.1
Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
10.2
Controller-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
10.3
Slave-AP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
10.4
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
10.5
Umgebungs-Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
10.6
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
116
Kapitel 11
Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11.1
Routen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
11.2
Allgemeine IPv6-Prfixe . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
11.3
NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
129
11.4
Lastverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137
11.5
QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
11.6
Zugriffsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
155
Kapitel 12
Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
163
12.1
Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
164
12.2
IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
164
12.3
Weiterleiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
168
Kapitel 13
WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
169
Inhaltsverzeichnis
bintec elmeg GmbH
13.1
Internet + Einwhlen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
169
13.2
ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
184
13.3
Real Time Jitter Control . . . . . . . . . . . . . . . . . . . . . . . . . . .
193
Kapitel 14
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14.1
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 15
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15.1
Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
225
15.2
Schnittstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
15.3
Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
15.4
Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
15.5
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
Kapitel 16
VoIP
16.1
Application Level Gateway
. . . . . . . . . . . . . . . . . . . . . . . . .
241
16.2
Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
16.3
Media Gateway
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259
16.4
RTSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
Kapitel 17
Lokale Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.1
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
17.2
HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
275
17.3
DynDNS-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
276
17.4
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
279
17.5
Scheduling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
288
17.6
berwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
303
17.7
UPnP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
Kapitel 18
Wartung
18.1
Diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
310
18.2
Software &Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
18.3
Neustart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
315
Kapitel 19
Externe Berichterstellung. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
195
224
241
267
310
317
iii
Inhaltsverzeichnis
bintec elmeg GmbH
19.1
Systemprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
317
19.2
IP-Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
319
19.3
Benachrichtigungsdienst
320
Kapitel 20
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20.1
Internes Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
325
20.2
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
325
20.3
ISDN/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
328
20.4
Schnittstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
329
20.5
WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
331
20.6
Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
336
20.7
QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
. . . . . . . . . . . . . . . . . . . . . . . . . .
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
325
338
1 Inbetriebnahme
bintec elmeg GmbH
Kapitel 1 Inbetriebnahme
1.1 Digitalisierungsbox Standard
In diesem Kapitel erfahren Sie, wie Sie Ihr Gert aufstellen, anschlieen und in wenigen Minuten in Betrieb nehmen.
Der Weg zu einer weiterfhrenden Konfiguration wird Ihnen anschlieend Schritt fr Schritt erlutert.
Tiefergehende Kenntnisse ber Telefonanlagen und Router sind dabei nicht erforderlich. Ein detailliertes
Online-Hilfe-System gibt Ihnen zustzlich Hilfestellung.
1.1.1 Aufstellen und Anschlieen

Die Digitalisierungsbox Standard wird an einem reinen IP-Anschluss betreiben. Sie telefonieren ausschlielich ber VoIP, sind aber beim Anschluss Ihrer Endgerte nicht eingeschrnkt: Sie knnen SIPund analoge Endgerte, eine ISDN-Telefonanlage sowie PCs anschlieen.
Abb. 1: Basisszenario Digitalisierungsbox Standard
Achtung
Vor Installation und Inbetriebnahme Ihres Gerts lesen Sie bitte aufmerksam die beiliegenden Sicherheitshinweise.
Achtung
Die Verwendung eines falschen Steckernetzgerts kann zum Defekt Ihres Gerts fhren!
Verwenden Sie ausschlielich das mitgelieferte Steckernetzgert!
Gehen Sie beim Aufstellen und Anschlieen in der folgenden Reihenfolge vor:
(1)
Montage
Um einen strungsfreien Betrieb zu gewhrleisten, sollte die Digitalisierungsbox Standard aufrecht an einer Wand oder gut belftet in einem Netzwerkschrank montiert sein (lesen Sie bitte
aufmerksam das Kapitel Montage auf Seite 7).
(2)
Netzanschluss
Schlieen Sie den Netzanschluss des Gerts mit dem mitgelieferten Steckernetzgert an eine
230 V~ Steckdose an.
(3)
Antennen
Schrauben Sie die mitgelieferten Antennen auf die dafr vorgesehenen Anschlsse.
(4)
DSL
Verbinden Sie den Anschluss DSL ber das graue Kabel an die TAE-Buchse der Telefondose
an.
(5)
ISDN-Telefonanlage
Schlieen Sie eine ISDN-Telefonanlage an den internen ISDN-Anschluss der Digitalisierungs-
1 Inbetriebnahme
bintec elmeg GmbH
box Standard an. Die Up0-Schnittstelle wird nicht untersttzt.

(6)
SIP-Telefone
Schliessen Sie Ihre SIP-Telefone an die 10/100/1000 Base-T Ethernet-Schnittstellen an. Einen
letzten Schritt mssen Sie am PC ausfhren.
(7)
PC
Schlieen Sie einen geeigneten PC ber ein Ethernet-Kabel an eine der Ethernet-Schnittstellen
der Digitalisierungsbox Standard an. Sollten Probleme bei der Verbindung zwischen PC und
der Digitalisierungsbox Standard auftreten, lesen Sie bitte die entsprechenden Kapitel zur
Grundkonfiguration.
(8)
VoIP
Fr einen reinen IP-Anschluss ohne ISDN verwenden Sie die vom Provider bereitgestellte Anleitung.
Hinweis
Mit der "Automatischen Konfiguration" der Telekom wird Ihr Gert automatisch
eingerichtet (siehe Automatische Konfiguration auf Seite 10).
1.1.2 Anschlsse
Abb. 2: Anschlsse
DSL-Schnittstelle Annex B/J
10/100/1000 Base-T Ethernet-Schnittstellen (LAN 1 - LAN4)
Ethernet-WAN-Schnittstelle (LAN5)
Schnittstelle fr ISDN TK-Anlagen (ISDN1, ISDN2)
Buchse fr das Steckernetzteil
1.1.3 Anschlsse (seitlich)
Abb. 3: Seitliche Anschlsse
Antennenanschluss
Funktionstaste (ohne Funktion)
1.1.4 Montagewinkel
Abb. 4: Montagewinkel
Aufgrund der Platzierung der Gerte im Netzwerkschrank, empfiehlt es sich auf abgesetzte Antennen
zurckzugreifen. Montieren Sie die Montagewinkel mit den im Set beiliegenden Schrauben am Gehuse. Die Montagewinkel und die Schrauben sind als Zubehr erhltlich (Artikelnummer MN40285514).
Hinweis
Bei Betrieb im Netzwerkschrank darf die Umgebungstemperatur 40 C nicht bersteigen!
2
1 Inbetriebnahme
bintec elmeg GmbH
1.1.5 LEDs
Anhand der LEDs knnen Sie den Status Ihres Gerts ablesen.
Die LEDs der Digitalisierungsbox Standard sind folgendermaen angeordnet:
Abb. 5: LEDs
Im Betriebsmodus zeigen die LEDs folgende Statusinformationen Ihres Gerts an:

LED Statusanzeige
LED
Farbe
Status
Information
Service
Gelb
an
Automatische Wartung aktiv
aus
Automatische Wartung inaktiv
Mem.
ohne Funktion
WLAN
DSL
TEL
ISDN1 / ISDN 2
Status
aus
WLAN oder alle zugeordneten Drahtlosnetzwerk deaktiviert
Grn
langsam blinkend
Drahtlosnetzwerk ist aktiv, kein Client ist angemeldet
Grn
schnell blinkend
Drahtlosnetzwerk ist aktiv, mindestens ein Client ist angemeldet
Grn
flackernd
Drahtlosnetzwerk ist aktiv, mindestens ein Client ist angemeldet, es besteht Datenverkehr
Grn
an
Verbindung hergestellt
Grn
langsam blinkend
Synchronisation luft
aus
Keine Synchronisation
Grn
flackernd
Datentransfer
Grn
an
Telefonie am IP-Anschluss (Voice over IP) bereit
aus
Telefonie nicht eingerichtet
an
ISDN-Endgerte angeschlossen
aus
Ruhezustand oder auer Betrieb
an
Nach dem Einschalten: Gert wird gestartet
Grn
Grn
whrend des Betriebs: Fehler
Power
Grn
langsam blinkend
Gert ist aktiv
Grn
an
Stromversorgung ist angeschlossen
aus
Keine Stromversorgung
Die LEDs der Ethernet-Buchsen LAN 1-4 (LAN) und LAN 5 (WAN) zeigen folgende Statusinformationen
an:
Ethernet-LEDs
LED
Farbe
Status
Information
LAN 1 bis 4 (Link/Act)
Grn
an
Ethernet -Verbindung hergestellt
Grn
blinkend
Datenbertragung ber Ethernet
1 Inbetriebnahme
bintec elmeg GmbH
LED
Farbe
Status
Information
aus
Keine Ethernet-Verbindung
LAN 1 bis 4 (Speedt)
Grn
an
1000 Mbit/s bertragungsrate
Orange
an
aus

LAN 5 (Link/Act)
Grn
an
WAN- Ethernet -Verbindung hergestellt
LAN 5 (Link/Act)
Grn
blinkend
Daten ber ETH 5 senden/ empfangen
aus
Keine Ethernet-Verbindung
LAN 5 (Link/Act)
LAN 5 (Speedt)
Grn
an
LAN 5 (Speedt)
Orange
an
aus
LAN 5 (Speedt)
1.1.6 Lieferumfang
Ihr Gert wird zusammen mit folgenden Teilen ausgeliefert:
Produktname
Kabelstze/Sonstiges
Dokumentation
Digitalisierungsbox
Standard
ein Ethernet LAN-Kabel (gelb)
Installationsposter
ein Ethernet WAN-Kabel (blau)
Sicherheitshinweise
ein DSL-Kabel (grau)

ein Netzteil
zwei WiFi-Antennen
1.1.7 Allgemeine Produktmerkmale

Die allgemeinen Produktmerkmale umfassen die Leistungsmerkmale und die technischen Voraussetzungen fr Installation und Betrieb Ihres Gerts.
Allgemeine Produktmerkmale Digitalisierungsbox Standard
Eigenschaft
Mae und Gewicht:

Gertemae ohne Kabel (B x H x T)
328 x 193 x 44 mm
Gewicht
ca. 900 g
Transportgewicht (inkl. Dokumentation, Kabel, Verpackung)
ca. 1800 g
Speicher
128 MB SDRAM
LEDs
19 (8 x Funktion, 1 x Service, 5x2 Ethernet)
Leistungsaufnahme Gert
max. 24 W 12 V DC
Spannungsversorgung
12 V DC 2 A
Umweltanforderungen:
4
1 Inbetriebnahme
bintec elmeg GmbH
Eigenschaft
Lagertemperatur
-20 C bis +70 C
Betriebstemperatur
+5 C bis +40 C
Relative Luftfeuchtigkeit
max. 85 %
Raumklassifizierung
Nur in trockenen Rumen betreiben
Verfgbare Schnittstellen:
DSL-Schnittstelle
Internes DSL-Modem
Ethernet IEEE 802.3 LAN (4-Port-Switch)
Fest eingebaut (nur twisted-pair), 10/100/1000 MBit/s, autosensing,

MDIX
ISDN-Schnittstellen
2 interne ISDN-Schnittstellen, ISDN-Terminierung
Vorhandene Buchsen:
WLAN Antennen
R-SMA-Buchsen
Ethernet-Schnittstellen 1 - 4 (LAN)
RJ45-Buchse
Ethernet-Schnittstelle 5 (WAN)
RJ45-Buchse
ISDN-Schnittstelle (ISDN1, ISDN2)
RJ45-Buchse
DSL-Schnittstelle
RJ45-Buchse
Hohlsteckerbuchse fr Stromversorgung
1.2 Reset
Der Reset wird ber den Reset-Knopf an der Anschlussseite des Systems durchgefhrt.
Bei einem kurzen Tastendruck (ca. eine Sekunde) wird das Gert neu gestartet. Dieser Tastendruck
entspricht einer Unterbrechung der Stromversorgung. Die gespeicherten Daten bleiben erhalten, aber
alle Verbindungen werden unterbrochen.
Drcken Sie die Reset-Taste fr ca. 30 bis 40 Sekunden, fhrt das Gert einen Factory Reset durch.
Dies bedeutet, dass das Gert in den Auslieferungszustand zurckversetzt wird. Die Verbindungsdaten
ein und ausgehender Anrufe werden dabei nicht gelscht. Die Konfiguration wird gelscht und alle
Passwrter werden zurckgesetzt. Der Reset ist beendet, wenn nach 30 bis 40 Sekunden die StatusLED gleichmig blinkt.
1.3 Voreinstellungen
Wenn Sie Ihr Gert das erste Mal in Betrieb nehmen, sind einige Einstellungen bereits vorkonfiguriert,
damit Sie in wenigen Schritten nach dem Aufstellen und Anschlieen Ihr Gert in Betrieb nehmen knnen.
Hinweis
Prfen Sie anhand der Bedienungsanleitung Ihrer vorhandenen Endgerte, wie und mit
welchen Einstellungen Leistungsmerkmale genutzt werden knnen.
Die Voreinstellungen knnen Sie entsprechend Ihren persnlichen Erfordernissen und Anschlussbedingungen verndern.
Konfigurationsoberflche
1 Inbetriebnahme
bintec elmeg GmbH
Die Konfigurationsoberflche Ihres Gerts ist im Auslieferungszustand ber einen der LAN-Anschlsse
unter folgender Adresse erreichbar:
IP-Adresse:
Netzmaske:

Benutzen Sie im Auslieferungszustand folgende Zugangsdaten zur Konfiguration ber die Konfigurationsoberflche:
Benutzername:
Passwort:
Hinweis
Nach dem ersten Login in das Gert werden Sie aufgefordert, ein sicheres Passwort einzugeben. Beachten Sie hierzu die angezeigten Vorgaben fr ein sicheres Passwort!
Drcken Sie am Ende des Konfigurationsvorgangs die Schaltflche Konfiguration speichern! Ansonsten geht auch das neue sichere Passwort nach einem Neustart verloren.
Software-Update
Ihr Gert ist mit der zum Zeitpunkt der Fertigung verfgbaren Version der Systemsoftware ausgestattet,
von der es aktuell ggf. neuere Versionen gibt.
Dank der "Automatischen Konfiguration" der Telekom wird die Systemsoftware Ihres Gerts auf dem
neuesten Stand gehalten (siehe Automatische Konfiguration auf Seite 10).
Wie Sie den Softwarestand Ihres Gerts prfen und ggf. eine Aktualisierung sellbst durchfhren, wird im
Handbuch-Kapitel Wartung beschrieben.
1.4 Support-Information
Ergnzende Beratung zu Ihrer Digitalisierungsbox erhalten Sie whrend der blichen Geschftszeiten
unter der kostenfreien Rufnummer 0800 330 1300 oder unter 0800 330 2870 (fr Grokunden). Weitere
Hinweise finden Sie auch im Internet unter http://hilfe.telekom.de. Vermuten Sie eine Strung Ihres Anschlusses, wenden Sie sich bitte unter der entsprechenden Nummer an den Technischen Kundendienst
oder informieren Sie sich unter http://hilfe.telekom.de.
2 Montage
bintec elmeg GmbH
Kapitel 2 Montage
Warnung
Zur Vermeidung eines Elektroschocks ist Vorsicht beim Anschlieen von Telekommunikationsnetzen (TNV-Stromkreisen) geboten. LAN-Ports verwenden ebenfalls RJSteckverbinder.
Achtung
Um einen strungsfreien Betrieb zu gewhrleisten, sollte die Digitalisierungsbox Standard aufrecht an einer Wand oder gut belftet in einem Netzwerkschrank montiert sein.
Das Gert darf keiner direkten Sonneneinstrahlung oder anderen Wrmequellen ausgesetzt sein. Beachten Sie auch die einzuhaltenden Abstnde (siehe Wandmontage auf Seite 7).
2.1 Anschluss von Endgerten

2.1.1 Interner ISDN-Anschluss
Der interne ISDN-Anschluss der Digitalisierungsbox Standard stellt an jedem internen ISDN-Anschluss 2,5 Watt Speiseleistung fr den Anschluss von maximal zwei ungespeisten ISDN-Endgerten
zur Verfgung. Der interne ISDN-Anschluss ist im Auslieferungszustand als "Kurzer passiver Bus"
("S0-Bus") eingerichtet. Es ist die einfache Bus-Verkabelung eines ISDN-Systems mit einer Lnge von
bis zu 120 m.
2.1.2 Terminierung der ISDN-Schnittstellen

Die Schalter fr die Terminierung der ISDN-Schnittstellen befinden sich im Boden/Unterschale des Gerts. Im Auslieferungszustand sind beide Schalter auf ON gestellt. Damit ist die Terminierung aktiv und
das Gert fr alle gngigen Anwendungen vorkonfiguriert.
Abb. 6: Schalter fr die Terminierung
2.2 Reset Taster

An der Anschlussseite des Gerts befindet sich der Reset-Taster, mit dem Sie einen Neustart des Gerts erzwingen oder den Auslieferungszustand wieder herstellen knnen (siehe Reset auf Seite 5).
2.3 Wandmontage
In diesem Abschnitt werden die Ablufe der Montage beschrieben. Halten Sie sich bitte an diesen Ablauf.
(1)
Suchen Sie einen Montageort aus, der max. 1,5 Meter von einer 230 V ~ Netzsteckdose und 2,5
Meter vom bergabepunkt des Netzbetreibers entfernt ist.
(2)
Um eine gegenseitige Beeintrchtigung auszuschlieen, montieren Sie das Gert nicht in unmittelbarer Nhe von elektronischen Gerten wie z. B. HiFi-Gerten, Brogerten oder Mikrowellengerten. Vermeiden Sie auch einen Aufstellort in der Nhe von Wrmequellen, z. B. Heizkrpern oder
2 Montage
bintec elmeg GmbH
in feuchten Rumen.
(3)
Halten Sie die Abstnde ein, die auf der Rckseite des Gerts eingeprgt sind.
(4)
Markieren Sie die Bohrlcher an der Wand.
(5)
berprfen Sie die feste Auflage aller Befestigungspunkte der Digitalisierungsbox Standard an
der Wand. Vergewissern Sie sich, dass im Bereich der markierten Bohrlcher keine Versorgungsleitungen, Kabel o. . verlegt sind.
(6)
Bohren Sie die Befestigungslcher an den markierten Stellen (bei Montage mit den Dbeln verwenden Sie einen 5 mm Steinbohrer). Setzen Sie die Dbel ein.
(7)
Schrauben Sie die beiden Schrauben so ein, dass zwischen Schraubenkopf und Wand noch ein
Abstand von ca. 5 mm verbleibt.
(8)
Hngen Sie die Digitalisierungsbox Standard mit den rckseitigen Halterungen von oben hinter
den Schraubenkpfen ein.
(9)
Installieren Sie, wenn erforderlich, die Anschlussdosen fr die Endgerte. Verbinden Sie die Installation der Anschlussdosen mit der des Gerts. Die Anschlussdosen dienen der festen Installation,
beispielsweise im Flur. Wenn diese installiert sind, werden die Anschlusskabel mit den Anschlssen des Gerts verbunden.
(10) Stecken Sie die Anschlsse der Endgerte in die Anschlussdosen.

(11) Verbinden Sie die Digitalisierungsbox Standard mit dem externen Anschluss. Sie knnen dazu
so verfahren, wie auf dem beigelegten Installationsposter beschrieben.
(12) Stecken Sie das Steckernetzgert in die 230 V~ Steckdose.
(13) Stecken Sie den Hohlstecker des Steckernetzgerts in die entsprechende Buchse an Ihrem Gert.
(14) Sie knnen das Gert in Betrieb nehmen.
2.4 Pin-Belegungen
2.4.1 Ethernet-Schnittstellen
Die Gerte verfgen ber eine Ethernet-Schnittstelle mit integriertem 4-Port Switch (LAN1 - LAN4) sowie ber eine weitere Ethernet-Schnittstelle zum Anschluss einer WAN-Verbindung oder eines Servers..
Der 4-Port Switch dient zur Anbindung einzelner PCs oder weiterer Switches. Der Anschluss erfolgt
ber RJ45-Buchsen.
Abb. 7: Ethernet-10/100/1000 Base-T-Schnittstelle (RJ45-Buchse)
Die Pin-Zuordnung fr die Ethernet 10/100/1000 Base-T-Schnittstelle (RJ45-Buchse) ist wie folgt:
RJ45-Buchse fr Ethernet-Anschluss
Pin
Funktion
Pair 0 +
Pair 0 -
Pair 1 +
Pair 2 +
Pair 2 -
Pair 1 -
Pair 3 +
Pair 3 -
2 Montage
bintec elmeg GmbH
2.4.2 ISDN-Schnittstelle
Der Anschluss erfolgt ber eine RJ45-Buchse:
Abb. 8: ISDN-Schnittstelle (RJ45-Buchse)
Die Pin-Zuordnung fr die ISDN-Schnittstelle (RJ45-Buchse) ist wie folgt:

RJ45-Buchse fr ISDN-Anschluss
Pin
Funktion
Nicht genutzt
Nicht genutzt
Senden (+)
Empfangen (+)
Empfangen (-)
Senden (-)
Nicht genutzt
Nicht genutzt
2.4.3 xDSL-Schnittstelle
Die Digitalisierungsbox Standard verfgt ber eine xDSL-Schnittstelle. Die xDSL-Schnittstelle wird
mittels eines RJ45-Steckers vergebunden.
Nur die inneren zwei Pins werden fr die xDSL-Verbindung verwendet.
Abb. 9: xDSL-Schnittstelle (RJ45-Buchse)
Die Pin-Zuordnung fr die xDSL-Schnittstelle (RJ45-Buchse) ist wie folgt:

RJ45-Buchse fr xDSL-Anschluss
Pin
Funktion
Nicht genutzt
Nicht genutzt
Nicht genutzt
Leitung 1a
Leitung 1b
Nicht genutzt
Nicht genutzt
Nicht genutzt
3 Grundkonfiguration
bintec elmeg GmbH
Kapitel 3 Grundkonfiguration
Der Weg zur Basiskonfiguration ohne eine Automatische Konfiguration wird Ihnen im Folgenden Schritt
fr Schritt erlutert. Ein detailliertes Online-Hilfe-System gibt Ihnen zustzlich Hilfestellung.
3.1 Vorbereitungen
Ihr Gert ist werksseitig als DHCP-Server eingerichtet, es bermittelt also PCs in Ihrem LAN, die ber
keine IP-Konfiguration verfgen, alle fr eine Verbindung notwendigen Einstellungen. Wie Sie den PC,
mit dem Sie die Grundkonfiguration durchfhren wollen, fr den automatischen Bezug einer IPKonfiguration einrichten, ist in PC einrichten auf Seite 12 beschrieben.
Hinweis
Sollten Sie in Ihrem LAN bereits einen DHCP-Server betreiben, empfiehlt sich die Konfiguration des Gerts an einem Einzel-PC, der nicht in Ihr LAN integriert ist. Schlieen Sie diesen PC allein an Ihrer Digitalisierungsbox Standard an, so dass zur Konfiguration ein eigenes Netz entsteht.
3.1.1 Automatische Konfiguration

Die Automatische Konfiguration ist ein Service fr Kunden der Telekom, den Sie mit Ihrer Digitalisierungsbox Standard nutzen knnen.
Verbinden Sie die Digitalisierungsbox Standard mit dem Stromnetz. Schlieen Sie die Kabel an die
dafr vorgesehenen Dosen/Buchsen an. Warten Sie, bis die Service-LED nicht mehr leuchtet.
Starten Sie einen Internet-Browser, geben Sie www.telekom.de in die Adresszeile ein und besttigen
Sie mit der Eingabetaste. Sie werden auf die Autokonfigurationsseite der Telekom weitergeleitet.
Geben Sie Ihre Zugangskennung und Ihr Passwort ein und klicken Sie auf Konfiguration starten. Whrend der Konfiguration leuchtet die Service-LED. Warten Sie, bis Sie die Besttigung angezeigt bekommen, dass die Konfiguration erfolgreich war. Die Service-LED ist nun aus.
3.1.2 Systemsoftware
Das Gert wird mit der zum Zeitpunkt der Produktion aktuellen Systemsoftwareversion betrieben. Die
Systemsoftware wird fortwhrend weiterentwickelt, um die Sicherheit und Funktionsvielfalt des Gerts
zu erhhen. Dank der "Automatischen Konfiguration" der Telekom wird die Systemsoftware Ihres
Gertes auf dem neuesten Stand gehalten (siehe Automatische Konfiguration auf Seite 10).
Alternativ knnen Sie einen Software-Aktualisierung im Men Wartung->Software
&Konfiguration->Optionen vornehmen. Eine Beschreibung der Vorgehensweise finden Sie in Softwareaktualisierung Digitalisierungsbox Standard auf Seite 14.
3.1.3 System-Voraussetzungen
Fr die Konfiguration des Gerts mssen auf Ihrem PC folgende Systemvoraussetzungen erfllt sein:
geeignetes Betriebssystem (Windows, Linux, MAC OS)
ein Web-Broweser (internet Explorer, Firefox, Chrome) in der jeweils aktuellen Version
installierte Netzwerkkarte (Ethernet)
installiertes TCP/IP-Protokoll
hohe Farbanzeige fr die korrekte Darstellung der Grafiken
10
bintec elmeg GmbH
3.1.4 Daten sammeln

Die wesentlichen Daten fr die Konfiguration mit der Konfigurationsoberflche haben Sie schnell gesammelt.
Bevor Sie mit der Konfiguration beginnen, sollten Sie die Daten fr folgende Zwecke bereitlegen:
Netzwerkeinstellungen (nur falls Sie Ihr Gert in eine bestehende Netzinfrastruktur integrieren wollen)
SIP-Provider
Internetzugang
In den folgenden Tabellen haben wir jeweils Beispiele fr die Werte der bentigten Zugangsdaten angegeben. Unter der Rubrik "Ihre Werte" knnen Sie Ihre persnlichen Daten ergnzen. Dann haben Sie
diese bei Bedarf griffbereit.
Grundkonfiguration
Fr eine Grundkonfiguration Ihres Gerts bentigen Sie Informationen, die Ihre Netzwerkumgebung betreffen:
Netzwerkeinstellungen
Zugangsdaten
Beispielwert
IP-Adresse Ihres Gateways

Netzmaske Ihres Gateways

Ihre Werte
SIP-Provider
Zugangsdaten
Beispielwert
Beschreibung
Geben Sie den Namen Ihres

SIP-Providers an, z.B.
.
Authentifizierungsname/Benutzername
Geben Sie Ihre ID ein, z.B. Ihre Email-Adresse
Passwort
Geben Sie Ihr Passwort ein,

das Sie vom SIP-Provider erhalten haben.
Registrar
Geben Sie den entsprechenden Registrar ein, z. B.

.
Rufnummer
z. B.

Ihre Werte
Daten fr den Internetzugang ber xDSL

Zugangsdaten
Beispielwert
Provider-Name

Protokoll

!"
Enkapsulierung
#$$ % & '$(
VPI (Virtual Path Identifier)
VCI (Virtual Circuit Identifier)

Anschlusskennung (12-stellig)

)
T-Online-Nummer (meist 12-stellig)

)
Mitbenutzerkennung
Passwort
*(+
Ihre Werte
11
bintec elmeg GmbH
3.1.5 PC einrichten
Um Ihr Gert ber das Netzwerk erreichen und eine Konfiguration vornehmen zu knnen, mssen auf
dem PC, von dem aus die Konfiguration durchgefhrt wird, einige Voraussetzungen erfllt sein.
Stellen Sie sicher, dass das TCP/IP-Protokoll auf dem PC installiert ist
TCP/IP-Protokoll prfen
Um zu prfen, ob Sie das Protokoll installiert haben, gehen Sie folgendermaen vor:
(1)
Klicken Sie im Startmen auf Einstellungen -> Systemsteuerung -> Netzwerkverbindungen

(Windows XP) bzw. Systemsteuerung -> Netzwerk- und Freigabecenter -> Adaptereinstellungen ndern (Windows 7).
(2)
Klicken Sie auf LAN-Verbindung.
(3)
Klicken Sie im Statusfenster auf Eigenschaften.
(4)
Suchen Sie in der Liste der Netzwerkkomponenten den Eintrag Internetprotokoll (TCP/IP).
TCP/IP-Protokoll installieren
Wenn Sie den Eintrag Internetprotokoll (TCP/IP) nicht finden, installieren Sie das TCP/IP-Protokoll wie
folgt:
(1)
Klicken Sie im Statusfenster der LAN-Verbindung zunchst auf Eigenschaften, dann auf Installieren.
(2)
Whlen Sie den Eintrag Protokoll.
(3)
Klicken Sie auf Hinzufgen.
(4)
Whlen Sie Internetprotokoll (TCP/IP) und klicken Sie auf OK.
(5)
Folgen Sie den Anweisungen am Bildschirm und starten Sie zum Schluss den Rechner neu.
Windows PC als DHCP-Client konfigurieren

Lassen Sie Ihrem PC wie folgt eine IP-Adresse zuweisen:
(1)
Gehen Sie zunchst vor, wie oben beschrieben, um die Netzwerkeigenschaften anzuzeigen.
(2)
Whlen Sie Internetprotokoll (TCP/IP) und klicken Sie auf Eigenschaften.
(3)
Whlen Sie IP-Adresse automatisch beziehen.
(4)
Whlen Sie ebenfalls DNS-Serveradresse automatisch beziehen.
(5)
Schlieen Sie alle Fenster mit OK.
Ihr PC sollte nun alle Voraussetzungen zur Konfiguration Ihres Gerts erfllen.
Hinweis
Zur Konfiguration knnen Sie nun die Konfigurationsoberflche aufrufen, indem Sie in einem untersttzten Browser die vorkonfigurierte IP-Adresse Ihres Gertes eingeben
(192.168.2.1) und sich mit den voreingestellten Anmeldedaten ( User: , Password:
) anmelden.
3.2 Konfiguration des Systems

3.2.1 Systempasswort ndern
Alle Gerte werden mit gleichen Benutzernamen und Passwrtern ausgeliefert. Nach dem ersten Login
werden Sie daher aufgefordert, ein sicheres Passwort einzugeben. Bitte beachten Sie folgende Regeln
fr sichere Passwrter:
12
bintec elmeg GmbH
Das Passwort muss mindestens acht Zeichen lang sein.

Nehmen Sie Zeichen aus mindestens drei der folgenden vier Zeichengruppen:
- Kleinbuchstaben [a-z]
- Grobuchstaben [A-Z]
- Zahlen [0-9]
- Sonderzeichen.
Hinweis
Drcken Sie am Ende des Konfigurationsvorgangs die Schaltflche Konfiguration speichern! Ansonsten geht auch das neue sichere Passwort nach einem Neustart verloren.
3.2.2 Netzwerkeinstellung (LAN)

Falls Sie Ihr Gert in eine bestehende Netzinfrastruktur integrieren wollen, whlen Sie fr die Netzwerkeinstellungen das Men Assistenten->Erste Schritte->Grundeinstellungen. Fr die LANIP-Konfiguration ist der Adressmodus standardmig auf Statisch gesetzt, da Ihr System werksseitig
mit einer festen IP ausgeliefert wird. Geben Sie die gewnschte IP-Adresse Ihres Gerts in Ihrem LAN
und die dazugehrige Netzmaske ein. Belassen Sie alle weiteren Einstellungen und klicken Sie OK.
Speichern Sie die Konfiguration mit der Schaltflche Konfiguration speichern oberhalb der Mennavigation.
3.2.3 SIP-Provider eintragen

Sie haben optional die Mglichkeit, fr Telefonverbindungen nach extern SIP-Provider einzutragen. Bitte
beachten Sie dazu die Beschreibung in der Online-Hilfe fr das Men VoIP->Media Gateway->SIP Accounts->Neu.
3.3 Internetverbindung einrichten

Sie knnen mit Ihrem Gert eine Internetverbindung aufbauen.
3.3.1 Internetverbindung ber das interne VDSL-Modem

Zur einfachen Konfiguration eines VDSL-Internetzugangs verfgt die Konfigurationsoberflche ber
einen Assistenten, mit dem Sie die Verbindung unkompliziert und schnell einrichten knnen.
(1)
Gehen Sie in der Benutzeroberflche in das Men Assistenten->Internet.
(2)
Legen Sie mit Neu einen neuen Eintrag an und bernehmen Sie den Verbindungstyp ,
-.(#/ .
(3)
Folgen Sie den Schritten, die der Assistent vorgibt. Der Assistent verfgt ber eine eigene Online-Hilfe, die Ihnen ggf. notwendige Informationen vermittelt.
(4)
Nachdem Sie den Assistenten beendet haben, speichern Sie die Konfiguration mit der Schaltflche
Konfiguration speichern oberhalb der Mennavigation.
3.3.2 Andere Internetverbindungen

Neben einem VDSL-Anschluss ber das interne VDSL-Modem knnen Sie Ihr Gert noch ber weitere
Verbindungsarten mit dem Internet verbinden, so etwa ber WAN oder ber ein externes Gateway / Kabelmodem. Bei dieser Art der Konfiguration untersttzt Sie ebenfalls der Assistent Internet in der Konfigurationsoberflche.
13
bintec elmeg GmbH
3.3.3 Konfiguration prfen

Wenn Sie die Konfiguration Ihres Gerts abgeschlossen haben, knnen Sie die Verbindung in Ihrem
LAN sowie zum Internet testen.
Fhren Sie folgende Schritte aus, um Ihr Gert zu testen:
(1)
Testen Sie die Verbindung von einem beliebigen Gert im lokalen Netzwerk zum Gert. Klicken Sie
im Windows-Startmen auf Ausfhren und geben Sie gefolgt von einem Leerzeichen und
der IP-Adresse Ihres Gerts ein (z. B. ). Es erscheint ein Fenster mit dem Hinweis
.
(2)
Testen Sie den Internetzugang, indem Sie im Internet Browser http://www.telekom.de eingeben.
Hinweis
Durch eine Fehlkonfiguration von Endgerten kann es zu ungewollten Verbindungen und
erhhten Gebhren kommen! Kontrollieren Sie, ob das Gert Verbindungen nur zu gewollten Zeiten aufbaut! Beobachten Sie die Leuchtanzeigen Ihres Gerts.
3.4 Softwareaktualisierung Digitalisierungsbox Standard

Die Funktionsvielfalt der Digitalisierungsbox Standard wird permanent erweitert. Dank der "Automatischen Konfiguration" der Telekom wird die Systemsoftware Ihres Gertes auf dem neuesten Stand
gehalten (siehe Automatische Konfiguration auf Seite 10).
Alternativ kann die Softwareaktualisierung ber das GUI vorgenommen werden. Voraussetzung fr ein
automatisches Update ist eine bestehende Internetverbindung.
Gehen Sie folgendermaen vor:
(1)
Gehen Sie in das Men Wartung->Software &Konfiguration ->Optionen.
(2)
Whlen Sie unter Aktion (0,,12 3, und unter Quelle 43
(12 5* (.
(3)
Besttigen Sie mit Start.
Das Gert verbindet sich nun mit dem Download-Server und berprft, ob eine aktualisierte Version der
Systemsoftware verfgbar ist. Ist dies der Fall, wird die Aktualisierung Ihres Gerts automatisch vorgenommen. Nach der Installation der neuen Software werden Sie zum Neustart des Gerts aufgefordert.
Achtung
Die Aktualisierung kann nach dem Besttigen mit Start nicht abgebrochen werden. Sollte
es zu einem Fehler bei der Aktualisierung kommen, starten Sie das Gert nicht neu und
wenden Sie sich an den Support.
14
4 Zugang und Konfiguration
bintec elmeg GmbH
Kapitel 4 Zugang und Konfiguration

4.1 Zugang ber LAN
Der Zugang ber eine der Ethernet-Schnittstellen Ihres Gerts ermglicht es Ihnen, die Konfigurationsoberflche in einem Web-Browser zu ffnen.
4.1.1 HTTP/HTTPS
Mit einem aktuellen Web-Browser knnen Sie die HTML-Oberflche zur Konfiguration Ihres Gerts verwenden. Geben Sie dazu Folgendes in das Adressfeld Ihres Web-Browsers ein
*677
oder
*,677
4.2 Konfiguration
Die Konfiguration wird mit der HTML-Konfigurationsoberflche durchgefhrt.
4.2.1 Konfigurationsoberflche
Die Konfigurationsoberflche ist eine web-basierte grafische Benutzeroberflche, die Sie von jedem PC
aus mit einem aktuellen Web-Browser ber eine HTTP- oder HTTPS-Verbindung bedienen knnen.
Die Einstellungsnderungen, die Sie vornehmen, werden mit der OK- bzw. bernehmen-Schaltflche
des jeweiligen Mens bernommen, ohne dass das Gert neu gestartet werden muss. Wenn Sie die
Konfiguration abschlieen und so speichern mchten, dass sie beim nchsten Neustart des Gerts als
Start-Konfiguration geladen wird, speichern Sie diese, indem Sie auf die Schaltflche Konfiguration
speichern klicken.
Mit der Konfigurationsoberflche knnen Sie ebenfalls die wichtigsten Funktionsparameter Ihres Gerts
berwachen.
15
bintec elmeg GmbH
Abb. 10: Konfigurationsoberflche Startseite
4.2.1.1 Die Konfigurationsoberflche aufrufen

(1)
berprfen Sie, ob das Gert angeschlossen und eingeschaltet ist und alle ntigen Kabel richtig
verbunden sind.
(2)
berprfen Sie die Einstellungen des PCs, von dem aus Sie die Konfiguration Ihres Gerts durchfhren mchten.
(3)
ffnen Sie einen Webbrowser.
(4)
Geben Sie *677 in das Adressfeld des Webbrowsers ein.
(5)
Geben Sie in das Feld User und in das Feld Password ein und klicken Sie auf LOGIN.
Sie werden zur nderung des Administrator-Passworts aufgefrdert. ndern Sie das Login-Passwort.
Sie befinden sich nun im Statusmen der Konfigurationsoberflche Ihres Gerts.
4.2.1.2 Bedienelemente
Fenster der Konfigurationsoberflche
Das Fenster der Konfigurationsoberflche ist in drei Bereiche geteilt:
Die Kopfleiste
Die Navigationsleiste
Das Hauptkonfigurationsfenster
16
bintec elmeg GmbH
Abb. 11: Bereiche der Konfigurationsoberflche
Kopfleiste
Abb. 12: Konfigurationsoberflche Kopfleiste
Konfigurationsoberflche Kopfleiste
Men
Funktion
Sprache: Whlen Sie in dem Dropdown-Men die gewnschte Sprache
aus, in der die Konfigurationsoberflche angezeigt werden soll. Hier knnen Sie die Sprache auswhlen, in der Sie die Konfiguration durchfhren
mchten. Zur Auswahl stehen .3,+ und &, . Der Standardwert ist &, .
Ansicht: Whlen Sie in dem Dropdown-Men die gewnschte Ansicht
aus. Zur Auswahl steht -83&11 , 9* und %38. Auch
den Schnellstart knnen Sie von hier aus erneut aufrufen.
Online-Hilfe: Klicken Sie auf diese Schaltflche, wenn Sie zu dem gerade aktiven Men Hilfe bentigen. Die Beschreibung des Untermens, in
dem Sie sich gerade befinden, wird angezeigt.
Ausloggen: Wenn Sie die Konfiguration beenden mchten, klicken Sie
auf diese Schaltflche, um sich von Ihrem Gert abzumelden. Es wird ein
Fenster geffnet, in dem Ihnen folgende Optionen angeboten werden:
mit der Konfiguration fortfahren,
die Konfiguration speichern und das Fenster schlieen,
die Konfiguration ohne Speichern verlassen.
17
bintec elmeg GmbH
Navigationsleiste
Abb. 13: Konfiguration speichern Schaltflche
Abb. 14: Mens
ber der Navigationsleiste ist die Schaltflche Konfiguration speichern zu finden. Wenn Sie eine aktuelle Konfiguration speichern, knnen Sie diese als Start-Konfiguration speichern oder Sie knnen zustzlich die vorhergehende Start-Konfiguration als Backup archivieren. Wenn Sie auf die Schaltflche
Konfiguration speichern klicken, erscheint die Frage: "Mchten Sie die aktuelle Konfiguration wirklich
als Boot-Konfiguration speichern?"
Die Navigationsleiste enthlt weiterhin die Hauptkonfigurationsmens und deren Untermens. Klicken
Sie auf das gewnschte Hauptmen. Es ffnet sich das jeweilige Untermen. Wenn Sie auf das gewnschte Untermen klicken, wird der gewhlte Eintrag farbig unterlegt angezeigt. Alle anderen Untermens werden geschlossen. So knnen Sie stets mit einem Blick erkennen, in welchem Untermen Sie
sich befinden.
Hauptkonfigurationsfenster
Die Untermens enthalten im Allgemeinen mehrere Registerkarten. Diese werden ber die im Hauptfenster oben stehenden Reiter aufgerufen. Durch Klicken auf einen Reiter ffnet sich das Fenster mit
den Basis-Parametern, welches durch Klicken auf die Schaltflche Erweiterte Einstellungen erweiterbar ist und dann Zusatzoptionen anzeigt.
Konfigurationselemente
Die verschiedenen Aktionen, die Sie bei der Konfiguration Ihres Gerts in der Konfigurationsoberflche
ausfhren knnen, werden mithilfe folgender Schaltflchen ausgelst:
Schaltflchen
Schaltflche
Funktion
Aktualisiert die Ansicht.
Wenn Sie einen neu konfigurierten Listeneintrag nicht sichern wollen,
machen Sie diesen und die evtl. gettigten Einstellungen durch Abbre-
18
bintec elmeg GmbH
Schaltflche
Funktion
chen rckgngig.
Besttigt die Einstellungen eines neuen Eintrags und die Parameternderungen in einer Liste.
Startet die konfigurierte Aktion sofort.
Ruft das Untermen zum Anlegen eines neuen Eintrags auf.
Fgt einen Eintrag zu einer internen Liste hinzu.
Symbole
Symbol
Funktion
Lscht den entsprechenden Listeneintrag.
Zeigt das Men zur nderung der Einstellungen eines Eintrags an.
Zeigt die Details eines Eintrags an.
Verschiebt einen Eintrag. Es ffnet sich eine Combobox, in der Sie auswhlen knnen, vor / hinter welchen Listeneintrag der ausgewhlte Eintrag verschoben werden soll.
Legt einen weiteren Listeneintrag vorher an und ffnet das Konfigurationsmen.
Setzt den Status des Eintrags auf .
Setzt den Status des Eintrags auf 4 .
Kennzeichnet den Status "Ruhend" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Aktiv" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Inaktiv" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Blockiert" einer Schnittstelle oder einer Verbindung.
Kennzeichnet den Status "Wird aktiviert" einer Schnittstelle oder einer
Verbindung.
Kennzeichnet, dass der Datenverkehr verschlsselt wird.
Lst einen WLAN-Bandscan aus.
Zeigt die nchste Seite einer Liste an.
Zeigt die vorherige Seite einer Liste an.
Listenoptionen
Men
Funktion
Aktualisierungsintervall
Hier knnen Sie das Intervall einstellen, in dem die Ansicht aktualisiert
werden soll.
Geben Sie dazu einen Zeitraum in Sekunden in das Eingabefeld ein und
besttigen Sie mit
.
Filter
Sie haben die Mglichkeit, die Eintrge einer Liste nach bestimmten Kriterien filtern und entsprechend anzeigen zu lassen.
Sie knnen die Anzahl der pro Seite angezeigten Eintrge bestimmen, indem Sie in Ansicht x pro Seite die gewnschte Zahl eingeben.
19
Men
bintec elmeg GmbH
Funktion
Mit den Tasten
und
blttern Sie eine Seite vor bzw. eine Seite zu-
rck.
Sie knnen nach bestimmten Stichwrtern innerhalb der Konfigurationsparameter filtern, indem Sie bei Filtern in x <Option> y die gewnschte
Filterregel auswhlen und das Suchwort in das Eingabefeld eingeben.
startet den Filtervorgang.
Einige Listen enthalten Konfigurationselemente.

So knnen Sie direkt in der Liste die Konfiguration des entsprechenden
Listeneintrags ndern.
Abb. 15: Konfiguration des Aktualisierungsintervalls
Abb. 16: Liste filtern
Struktur der Konfigurationsmens

Die Mens enthalten folgende Grundstrukturen:
Menstruktur
Men
Funktion
Basis-Konfigurationsmen /
Liste
Bei Auswahl eines Mens der Navigationsleiste wird zunchst das Men
mit den Basisparametern angezeigt. Bei einem Untermen mit mehreren
Seiten wird jeweils das Men mit den Basisparametern der ersten Seite
angezeigt.
Das Men enthlt entweder eine Liste aller konfigurierten Eintrge oder
die Grundeinstellungen fr die jeweilige Funktion.
Untermen
Die Schaltflche Neu ist in jedem Men vorhanden, in dem eine Liste aller konfigurierten Eintrgen angezeigt wird. Klicken Sie diese Schaltflche, um das Konfigurationsmen fr das Anlegen eines neuen Listeneintrags aufzurufen.
Untermen
Klicken Sie auf diese Schaltflche, um den bestehenden Listeneintrag zu

bearbeiten. Sie gelangen in das Konfigurationsmen.
Men
Klicken Sie auf diesen Reiter, um erweiterte Konfigurationsoptionen anzuzeigen.
Fr die Konfiguration stehen folgende Optionen zur Verfgung:

Men
Funktion
Eingabefelder
z. B. leeres Textfeld
Textfeld mit verdeckter Eingabe
Geben Sie entsprechende Daten ein.

Radiobuttons
20
z. B.
bintec elmeg GmbH
Men
Funktion
Whlen Sie die entsprechende Option aus.
Checkboxen
z. B. Aktivieren durch Auswahl der Checkbox
Auswahl verschiedener mglicher Optionen
Dropdown-Mens
z. B.
Klicken Sie auf den Pfeil, um die Liste zu ffnen. Whlen Sie die gewnschte Option mit der Maus.
Interne Listen
z. B.
Klicken Sie auf die Schaltflche
. Ein neuer Listeneintrag
wird angelegt. Geben Sie die entsprechenden Daten ein. Bleiben die Felder des Listeneintrags leer, wird dieser bei Besttigen mit OK nicht gespeichert. Lschen Sie Eintrge, indem Sie auf das
-Symbol klicken.
Darstellung von Optionen, die nicht zur Verfgung stehen
Optionen, die abhngig von der Wahl anderer Einstelloptionen nicht zur Verfgung stehen, sind grundstzlich ausgeblendet. Falls die Nennung solcher Optionen bei der Konfigurationsentscheidung behilflich
sein knnte, werden sie statt dessen grau dargestellt und sind nicht auswhlbar.
Wichtig
Bitte beachten Sie die eingeblendeten Hinweise in den Untermens! Diese geben Auskunft ber eventuelle Fehlkonfigurationen.
4.2.1.3 Mens
Die Konfigurationsoptionen Ihres Gerts sind in die Untermens gruppiert, die in der Navigationsleiste
im linken Fensterbereich angezeigt werden.
Hinweis
Beachten Sie, dass nicht alle Gerte ber den maximal mglichen Funktionsumfang verfgen. Prfen Sie die Software-Ausstattung Ihres Gerts anhand Ihrer Produktspezifikation.
21
5 Assistenten
bintec elmeg GmbH
Kapitel 5 Assistenten
Das Men Assistenten bietet Schritt-fr-Schritt-Anleitungen fr folgende Grundkonfigurationsaufgaben:
Schnellstart
Erste Schritte
Internet
WLAN
VoIP PBX im LAN
Telefonie
VPN
SWYX
Whlen Sie die entsprechende Aufgabe aus der Navigation aus und folgen Sie den Anweisungen und
Erluterungen auf den einzelnen Assistentenseiten.
22
6 Systemverwaltung
bintec elmeg GmbH
Kapitel 6 Systemverwaltung
Das Men Systemverwaltung enthlt allgemeine System-Informationen und -Einstellungen.
Sie erhalten eine System-Status-bersicht. Weiterhin werden globale Systemparameter wie z. B. Systemname, Datum / Zeit, Passwrter und Lizenzen verwaltet sowie die Zugangs- und Authentifizierungsmethoden konfiguriert.
6.1 Status
Wenn Sie sich in die Konfigurationsoberflche einloggen, gelangen Sie auf die Status-Seite in der Ansicht Benutzer.
Auf der Status-Seite finden Sie Links zu den Konfigurations-Assistenten, die Ihnen eine einfache Konfiguration der wichtigsten Einstellungen ermglichen.
Auerdem knnen Sie hier eine Systemsoftware-Aktualisierung durchfhren. Klicken Sie auf die
Schaltflche Aktualisierung, um den Vorgang zu starten.
Hinweis
Unterbrechen Sie weder die Internetverbindung noch die Stromversorgung.
Nach der Installation einer neuen Systemsoftware mssen Sie das System neu starten.
Auf der Status-Seite in der Ansicht Vollzugriff und Experte Ihres Gerts, werden die wichtigsten System-Informationen angezeigt.
Sie erhalten einen berblick ber folgende Daten:
System-Status
Aktivitten Ihres Gerts: Ressourcenauslastung, aktive Sessions und Tunnel
Status und die Grundkonfiguration der LAN-, WAN-, ISDN- und ADSL-Schnittstellen
Informationen ber gegebenenfalls gesteckte Zusatzmodule
die letzten zehn Systemmeldungen
Sie knnen das Aktualisierungsintervall der Status-Seite individuell anpassen, indem Sie fr Automatisches Aktualisierungsintervall den gewnschten Zeitraum in Sekunden angeben und auf die bernehmen-Schaltflche klicken.
Achtung
Geben Sie fr Automatisches Aktualisierungsintervall keinen Wert unter
Sekunden
ein, da sich der Bildschirm dann in zu kurzen Intervallen aktualisiert, um weitere nderungen vornehmen zu knnen!
23
6 Systemverwaltung
bintec elmeg GmbH
Abb. 17: Systemverwaltung ->Status
Das Men Systemverwaltung ->Status besteht aus folgenden Feldern:

Felder im Men Systeminformationen
Feld
Wert
Uptime
Zeigt die Zeit an, die vergangen ist, seit das Gert neu gestartet wurde.
Systemdatum
Zeigt das aktuelle Systemdatum und die Systemuhrzeit an.
Seriennummer
Zeigt die Gerte-Seriennummer an.
BOSS-Version
Zeigt die aktuell geladene Version der Systemsoftware an.
Letzte gespeicherte Konfi- Zeigt Tag, Datum und Uhrzeit der letzten Konfigurationsspeicherung an.
guration
Felder im Men Ressourceninformationen
24
Feld
Wert
CPU-Nutzung
Zeigt die CPU-Auslastung in Prozent an.
Arbeitsspeichernutzung
Zeigt die Auslastung des Arbeitsspeichers in MByte relativ zum verfgbaren Gesamtarbeitsspeicher in MByte an. Die Auslastung wird auerdem
in Klammern in Prozent angezeigt.
Interner Speicher
Zeigt den Status eines internen Speichers und die Speichergre in

GByte oder MByte an.
ISDN Verwendung Intern
Zeigt die Anzahl der aktiven B-Kanle und die maximale Anzahl an zur
Verfgung stehenden B-Kanle fr interne Verbindungen.
Aktive Sitzungen (SIF,
Zeigt die Summe aller SIF, TDRC und IP-Lastverteilung Sessions an.
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
RTP, etc... )
Aktive IPSec-Tunnel
Zeigt die Anzahl der aktuell aktiven IPSec-Verbindungen relativ zur Anzahl an konfigurierten IPSec-Verbindungen an.
Felder im Men Module

Feld
Wert
DSP-Modul
Zeigt den Typ des DSP-Moduls und die aktuell belegten DSP-Kanle
(belegt / vorhanden) an.
Felder im Men Physikalische Schnittstellen

Feld
Wert
Schnittstelle - Verbindungsinformation - Link
Hier sind alle physikalischen Schnittstellen aufgelistet und deren wichtigste Einstellungen genannt. Auerdem wird angezeigt, ob die jeweilige
Schnittstelle angeschlossen bzw. aktiv ist.
Felder im Men WAN-Schnittstellen

Feld
Wert
Beschreibung - Verbindungsinformation - Link
Hier sind alle WAN-Schnittstellen aufgelistet und deren wichtigste Einstellungen genannt. Auerdem wird angezeigt, ob die jeweilige Schnittstelle aktiv ist.
6.2 Globale Einstellungen

Im Men Globale Einstellungen werden grundlegende Systemparameter verwaltet.
6.2.1 System
Im Men Systemverwaltung ->Globale Einstellungen->System werden die grundlegenden Systemdaten Ihres Systems eingetragen.
Abb. 18: Systemverwaltung ->Globale Einstellungen->System
Das Men Systemverwaltung ->Globale Einstellungen->System besteht aus folgenden Feldern:

Felder im Men Grundeinstellungen
Feld
Wert
Systemname
Geben Sie den Systemnamen Ihres Gerts ein.
25
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
Mglich ist eine Zeichenkette mit max. 255 Zeichen.
Als Standardwert ist der Gertetyp voreingestellt.
Standort
Geben Sie an, wo sich Ihr Gert befindet.
Kontakt
Geben Sie die zustndige Kontaktperson an. Hier kann z. B. die EMail-Adresse des Systemadministrators eingetragen werden.
Mglich ist eine Zeichenkette mit max. 255 Zeichen.
Der Standardwert ist .3,+ .
Maximale Anzahl der Sys- Geben Sie die maximale Anzahl an Systemprotokoll-Nachrichten an, die
log-Protokolleintrge
auf dem Gert intern gespeichert werden sollen.
Mgliche Werte sind bis .
Der Standardwert ist
. Sie knnen die gespeicherten Meldungen in
Monitoring->Internes Protokoll anzeigen lassen.
Maximales Nachrichtenlevel von Systemprotokolleintrgen
Whlen Sie die Prioritt der Systemmeldungen aus, ab der protokolliert

werden soll.
Nur Systemmeldungen mit gleicher oder hherer Prioritt als angegeben
werden intern aufgezeichnet, d. h. dass bei der Prioritt .:3&
smtliche erzeugten Meldungen aufgezeichnet werden.
Mgliche Werte:
;1: Es werden nur Meldungen mit der Prioritt Notfall aufgezeichnet.
4: Es werden Meldungen mit der Prioritt Notfall und Alarm aufgezeichnet.
<,+ : Es werden Meldungen mit der Prioritt Notfall, Alarm und
Kritisch aufgezeichnet.
' : Es werden Meldungen mit der Prioritt Notfall, Alarm, Kritisch
und Fehler aufgezeichnet.
=3&: Es werden Meldungen mit der Prioritt Notfall, Alarm, Kritisch, Fehler und Warnung aufgezeichnet.
%+ + &3&: Es werden Meldungen mit der Prioritt Notfall,
Alarm, Kritisch, Fehler, Warnung und Benachrichtigung aufgezeichnet.
1 (Standardwert): Es werden Meldungen mit der Prioritt
Notfall, Alarm, Kritisch, Fehler, Warnung, Benachrichtigung und Informationen aufgezeichnet.
.:3&: Es werden alle Meldungen aufgezeichnet.
Maximale Anzahl der Accounting-Protokolleintrge
Geben Sie die maximale Anzahl an Eintrgen an, die fr Login-Vorgnge

auf dem Gert intern gespeichert werden sollen.
LED-Modus
Diese Funktion wird nicht untersttzt.
Whlen Sie das Leuchtverhalten der LEDs.
Mgliche Werte:
26
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
(3, (Standardwert): Die LEDs zeigen ihr Standardverhalten.
% : Nur die Status-LED blinkt einmal in der Sekunde.
43,: Alle LEDs sind deaktiviert.
6.2.2 Passwrter
Auch das Einstellen der Passwrter gehrt zu den grundlegenden Systemeinstellungen.
Abb. 19: Systemverwaltung ->Globale Einstellungen->Passwrter
Hinweis
Alle Gerte werden mit gleichem Benutzernamen und Passwort und den gleichen PINs
ausgeliefert. Sie sind daher nicht gegen einen unautorisierten Zugriff geschtzt, solange
die Passwrter bzw. PINs nicht gendert wurden.
Wenn Sie sich das erste Mal auf Ihrem Gert einloggen, werden Sie aufgefordert, das
Passwort zu ndern. Sie mssen das Systemadministrator-Passwort ndern, um Ihr Gert
konfigurieren zu knnen.
ndern Sie unbedingt alle Passwrter und PINs, um unberechtigten Zugriff auf das Gert
zu verhindern.
Das Men Systemverwaltung ->Globale Einstellungen->Passwrter besteht aus folgenden Feldern:

Felder im Men Systempasswort
Feld
Wert
Systemadministrator-Pass- Geben Sie das Passwort fr den Benutzernamen an.

wort
Das Standard-Passwort ist .
Dieses Passwort wird bei SNMPv3 auch fr Authentifizierung (MD5) und
Verschlsselung (DES) verwendet.
Systemadministrator-Pass- Besttigen Sie das Passwort, indem Sie es erneut eingeben.
wort besttigen
Felder im Men SNMP-Communities
Feld
SNMP Read Community
Wert
Geben Sie das Passwort fr den Benutzernamen ein.
27
6 Systemverwaltung
bintec elmeg GmbH
Feld
SNMP Write Community
Wert
Geben Sie das Passwort fr den Benutzernamen ein.
Feld im Men Globale Passwortoptionen

Feld
Wert
Passwrter und Schlssel Whlen Sie aus, ob die Passwrter im Klartext angezeigt werden sollen.
als Klartext anzeigen
Mit 48& wird die Funktion aktiviert.
Standardmig ist die Funktion nicht aktiv.
Wenn Sie die Funktion aktivieren, werden alle Passwrter und Schlssel
in allen Mens als Klartext angezeigt und knnen in Klartext bearbeitet
werden.
Eine Ausnahme bilden die IPSec-Schlssel. Diese knnen nur im Klartext eingegeben werden. Nach Anklicken von OK oder erneutem Aufruf
des Mens werden sie als Sternchen angezeigt.
6.2.3 Datum und Uhrzeit

Die Systemzeit bentigen Sie u. a. fr korrekte Zeitstempel bei Systemmeldungen oder Gebhrenerfassung.
Abb. 20: Systemverwaltung ->Globale Einstellungen->Datum und Uhrzeit
Fr die Ermittlung der Systemzeit (lokale Zeit) haben Sie folgende Mglichkeiten:
Manuell
Die Umschaltung der Uhrzeit von Sommer- auf Winterzeit (und zurck) erfolgt automatisch. Die Umschaltung erfolgt unabhngig von der Zeit der Vermittlungsstelle oder von einem ntp-Server. Die Sommerzeit beginnt am letzten Sonntag im Mrz durch die Umschaltung von 2 Uhr auf 3 Uhr. Die in der fehlenden Stunde anstehenden kalender- oder zeitplanbedingten Umschaltungen im Gert werden anschlieend durchgefhrt. Die Winterzeit beginnt am letzten Sonntag im Oktober durch die Umschaltung
28
6 Systemverwaltung
bintec elmeg GmbH
von 3 Uhr auf 2 Uhr. Die in der zustzlichen Stunde anstehenden kalender- oder zeitplanbedingten Umschaltungen im Gert werden anschlieend durchgefhrt.
Zeitserver
Sie knnen die Systemzeit auch automatisch ber verschiedene Zeitserver beziehen. Um sicherzustellen, dass das Gert die gewnschte aktuelle Zeit verwendet, sollten Sie einen oder mehrere Zeitserver
konfigurieren.
Hinweis
Wenn auf dem Gert eine Methode zum automatischen Beziehen der Zeit festgelegt ist,
haben die auf diese Weise erhaltenen Werte die hhere Prioritt. Eine evtl. manuell eingegebene Systemzeit wird berschrieben.
Das Men Systemverwaltung ->Globale Einstellungen->Datum und Uhrzeit besteht aus folgenden
Feldern:
Feld
Beschreibung
Zeitzone
Whlen Sie die Zeitzone aus, in der Ihr Gert installiert ist.
Mglich ist die Auswahl der Universal Time Coordinated (UTC) plus oder
minus der Abweichung davon in Stunden oder ein vordefinierter Ort.
Der Standardwert ist 3*7%.
Aktuelle Ortszeit
Hier werden das aktuelle Datum und die aktuelle Systemzeit angezeigt.
Der Eintrag kann nicht verndert werden.
Felder im Men Manuelle Zeiteinstellung

Feld
Beschreibung
Datum einstellen
Geben Sie ein neues Datum ein.

Format:
Tag: dd
Monat: mm
Jahr: yyyy
Zeit einstellen
Geben Sie eine neue Uhrzeit ein.

Format:
Stunde: hh
Minute: mm
Felder im Men Automatische Zeiteinstellung (Zeitprotokoll)

Feld
Beschreibung
Erster Zeitserver
Geben Sie den ersten Zeitserver an, entweder mit Domnennamen oder
IP-Adresse.
Whlen Sie auerdem das Protokoll fr die Abfrage des Zeitservers aus.
Mgliche Werte:
(; (Standardwert): Dieser Server nutzt das Simple Network Time
Protocol ber UDP-Port 123.
29
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
(+ 7 5. : Dieser Server nutzt den Zeit-Dienst ber
UDP-Port 37.
(+ 7 $ : Dieser Server nutzt den Zeit-Dienst ber
TCP-Port 37.
< : Dieser Zeitserver wird momentan nicht fr die Zeitabfrage
benutzt.
Zweiter Zeitserver
Geben Sie den zweiten Zeitserver an, entweder mit Domnennamen

oder IP-Adresse.
Mgliche Werte:
UDP-Port 37.
TCP-Port 37.
benutzt.
Dritter Zeitserver
Geben Sie den dritten Zeitserver an, entweder mit Domnennamen oder
IP-Adresse.
Mgliche Werte:
UDP-Port 37.
TCP-Port 37.
benutzt.
Zeitaktualisierungsintervall
Geben Sie das Zeitintervall in Minuten ein, in dem die automatische

Zeitaktualisierung durchgefhrt wird.
Der Standardwert ist .
Zeitaktualisierungsrichtlinie
Geben Sie an, in welchen Abstnden nach einer gescheiterten Zeitaktualisierung versucht wird, den Zeitserver erneut zu erreichen.
Mgliche Werte:
; (Standardwert): Es wird nach 1, 2, 4, 8 und 16 Minuten versucht, den Zeitserver zu erreichen.
4&&,,: Zehn Minuten lang wird versucht, den Zeitserver zuerst
nach 1, 2, 4, 8 Sekunden und danach in 10-Sekunden-Abstnden zu
erreichen.
,: Es wird ohne zeitliche Begrenzung versucht, den Zeitserver
nach 1, 2, 4, 8 Sekunden und danach in 10-Sekunden-Abstnden zu
erreichen.
Bei der Verwendung von Zertifikaten fr die Verschlsselung des Datenverkehrs in einem VPN ist es von zentraler Bedeutung, dass auf dem Ge-
30
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
rt die korrekte Zeit eingestellt ist. Um dies sicherzustellen, whlen Sie
fr Zeitaktualisierungsrichtlinie den Wert ,.
System als Zeitserver
Whlen Sie aus, ob der interne Zeitserver verwendet werden soll.

Mit Auswahl von 4 wird die Funktion aktiv. Zeitanfragen eines
Clients werden mit der aktuellen Systemzeit beantwortet. Diese wird als
GMT ohne Offset angegeben.
Standardmig ist die Funktion aktiv. Zeitanfragen der Clients im LAN
werden beantwortet.
6.2.4 Systemlizenzen
In diesem Kapitel werden die im Auslieferungsstand aktivierten Software-Lizenzen angezeigt.
Die Optionen zum Bearbeiten, Neueintragen und Wiederherstellen werden in der Regel nicht bentigt.
Mgliche Werte fr Status
Lizenz
Bedeutung
OK
Subsystem ist freigeschaltet.
Nicht OK
Subsystem ist nicht freigeschaltet.
Nicht untersttzt
Sie haben eine Lizenz fr ein Subsystem angegeben, das Ihr System
nicht untersttzt.
Auerdem wird die Systemlizenz-ID oberhalb der Liste angezeigt.
6.2.4.1 Bearbeiten oder Neu

Whlen Sie das Symbol
, um vorhandene Eintrge zu bearbeiten. Whlen Sie die Schaltflche Neu,
um weitere Lizenzen einzutragen.
Abb. 21: Systemverwaltung ->Globale Einstellungen->Systemlizenzen ->Neu
Das Men Systemverwaltung ->Globale Einstellungen->Systemlizenzen->Neu besteht aus folgenden Feldern:

Feld
Wert
Lizenzseriennummer
Geben Sie die Lizenzseriennummer ein, die Sie beim Kauf der Lizenz erhalten haben.
Lizenzschlssel
Geben Sie den Lizenzschlssel ein, den Sie per E-Mail erhalten haben.
6.3 Schnittstellenmodus / Bridge-Gruppen

In diesem Men legen Sie den Betriebsmodus der Schnittstellen Ihres Gerts fest.
31
6 Systemverwaltung
bintec elmeg GmbH
Routing versus Bridging

Mit Bridging werden gleichartige Netze verbunden. Im Gegensatz zum Routern arbeiten Bridges auf
Schicht 2 (Sicherungsschicht) des OSI-Modells, sind von hheren Protokollen unabhngig und bertragen Datenpakete anhand von MAC-Adressen. Die Datenbertragung ist transparent, d. h. die Informationen der Datenpakete werden nicht interpretiert.
Mit Routing werden unterschiedliche Netze auf Schicht 3 (Netzwerkschicht) des OSI-Modells verbunden
und Informationen von einem Netz in das andere weitergeleitet (routen).
Konventionen fr die Port-/Schnittstellennamen

Verfgt Ihr Gert ber einen Funk-Port, erhlt dieser den Schnittstellennamen WLAN. Sind mehrere
Funkmodule vorhanden, setzen sich die Namen der Funk-Ports in der Benutzeroberflche Ihres Gerts
aus den folgenden Bestandteilen zusammen:
(a) WLAN
(b) Nummer des physischen Ports (1 oder 2)
Beispiel: =#4;
Der Name des Ethernet-Ports setzt sich aus den folgenden Bestandteilen zusammen:
(a) ETH
(b) Nummer des Ports
Beispiel: >
Der Name der Schnittstelle, die an einen Ethernet-Port gebunden ist, setzt sich aus den folgenden Bestandteilen zusammen:
(a) Abkrzung fr den Schnittstellentyp, dabei steht fr Ethernet
(b) Nummer des Ethernet-Ports
(c) Nummer der Schnittstelle
Beispiel: (erste Schnittstelle am ersten Ethernet-Port)
Der Name der Bridge-Gruppe setzt sich aus den folgenden Bestandteilen zusammen:
(a) Abkrzung fr den Schnittstellentyp, dabei steht : fr Bridge-Gruppe
(b) Nummer der Bridge-Gruppe
Beispiel: : (erste Bridge-Gruppe)
Der Name des Drahtlosnetzwerks (VSS) setzt sich aus den folgenden Bestandteilen zusammen:
(a) Abkrzung fr den Schnittstellentyp, dabei steht ,, fr Drahtlosnetzwerk
(b) Nummer des Funkmoduls
(c) Nummer der Schnittstelle
Beispiel: ,, (erstes Drahtlosnetzwerk auf dem ersten Funkmodul)
Der Name der virtuellen Schnittstelle, die an einen Ethernet-Port gebunden ist, setzt sich aus den folgenden Bestandteilen zusammen:
(a) Abkrzung fr den Schnittstellentyp
(b) Nummer des Ethernet-Ports
(c) Nummer der Schnittstelle, die an den Ethernet-Port gebunden ist
(d) Nummer der virtuellen Schnittstelle
Beispiel: (erste virtuelle Schnittstelle basierend auf der ersten Schnittstelle am ersten Ethernet-Port)
32
6 Systemverwaltung
bintec elmeg GmbH
6.3.1 Schnittstellen
Sie definieren fr jede Schnittstelle separat, ob diese im Routing- oder im Bridging-Modus arbeiten soll.
Wenn Sie den Bridging-Modus setzen wollen, knnen Sie zwischen bestehenden Bridge-Gruppen und
dem Erstellen einer neuen Bridge-Gruppe whlen.
Abb. 22: Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen ->Schnittstellen
Das Men Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen besteht aus

folgenden Feldern:
Felder im Men Schnittstellen
Feld
Beschreibung
Schnittstellenbeschreibung
Zeigt den Namen der Schnittstelle an.
Modus / Bridge-Gruppe
Whlen Sie aus, ob Sie die Schnittstelle im ?3&/ 3, betreiben

mchten oder ordnen Sie die Schnittstelle einer bestehenden ( :,
: usw.) oder neuen Bridge-Gruppe ( ;3 % &3**) zu. Bei
Auswahl von ;3 % &3** wird nach Anklicken des OKButtons automatisch eine neue Bridge-Gruppe erzeugt.
Konfigurationsschnittstel- Whlen Sie aus, ber welche Schnittstelle die Konfiguration durchgefhrt
le
wird.
Mgliche Werte:
3,2@ (Standardwert): Einstellung im Auslieferungszustand. Die richtige Konfigurationsschnittstelle muss aus den anderen
Optionen ausgewhlt werden.
;+ :+ : Keine Schnittstelle wird als Konfigurationsschnittstelle definiert.
A(+ ,B: Legen Sie die Schnittstelle fest, die zur
Konfiguration benutzt wird. Wenn diese Schnittstelle Mitglied einer
Bridge-Gruppe ist, bernimmt sie deren IP-Adresse, wenn sie aus der
Bridge-Gruppe herausgenommen wird.
6.3.1.1 Hinzufgen
Whlen Sie die Hinzufgen-Schaltflche um den Modus von PPP-Schnittstellen zu bearbeiten.
33
6 Systemverwaltung
bintec elmeg GmbH
Abb. 23: Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen ->Schnittstellen ->Hinzufgen
Das Men Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen->Hinzufgen besteht aus folgenden Feldern:

Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, deren Modus Sie verndern wollen.
6.4 Administrativer Zugriff

In diesem Men knnen Sie den administrativen Zugang zum Gert konfigurieren.
6.4.1 Zugriff
Im Men Systemverwaltung ->Administrativer Zugriff ->Zugriff wird eine Liste aller IP-fhigen Schnittstellen angezeigt.
Abb. 24: Systemverwaltung ->Administrativer Zugriff ->Zugriff
Fr eine Ethernet-Schnittstelle sind die Zugangsparameter >, >(und & auswhlbar.

Nur fr Telefonanlagen: Weiterhin knnen Sie Ihr Gert fr Wartungsarbeiten durch den TelekomKundenservice freischalten. Hierzu aktivieren Sie je nach angeforderter Service-Leistung die Option
Service Call Ticket (SSH Web-Access) oder Automatische Konfiguration (TR-069) und whlen die
Schaltflche OK. Folgen Sie den Anweisungen des Telekom-Kundenservice!
Service Call Ticket (SSH Web-Access) ist standardmig nicht aktiv, Automatische Konfiguration
(TR-069) ist standardmig aktiv.
Das Men Erweiterte Einstellungen besteht aus folgenden Feldern:
Felder im Men Erweiterte Einstellungen
Feld
Beschreibung
Standardeinstellungen
wiederherstellen
Erst wenn Sie nderungen an der Konfiguration des administrativen Zugangs vornehmen, werden entsprechende Zugangsregeln eingerichtet
und aktiviert. Mithilfe des Symbols
knnen Sie die Standardeinstellungen wiederherstellen.
34
6 Systemverwaltung
bintec elmeg GmbH
6.4.1.1 Hinzufgen
Whlen Sie die Hinzufgen-Schaltflche, wenn Sie den administrativen Zugriff fr weitere Schnittstellen
konfigurieren wollen.
Abb. 25: Systemverwaltung ->Administrativer Zugriff ->Zugriff ->Hinzufgen
Das Men Systemverwaltung ->Administrativer Zugriff ->Zugriff->Hinzufgen besteht aus folgenden

Feldern:
Felder im Men Zugriff
Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, fr die der administrative Zugriff konfiguriert werden soll.
6.5 Remote Authentifizierung

In diesem Men finden Sie die Einstellungen fr die Benutzerauthentifizierung.
6.5.1 RADIUS
RADIUS (Remote Authentication Dial In User Service) ist ein Dienst, der es ermglicht, Authentifizierungs- und Konfigurationsinformationen zwischen Ihrem Gert und einem RADIUS-Server auszutauschen. Der RADIUS-Server verwaltet eine Datenbank mit Informationen zur Benutzerauthentifizierung,
zur Konfiguration und fr die statistische Erfassung von Verbindungsdaten.
RADIUS kann angewendet werden fr:
Authentifizierung
Gebhrenerfassung
Austausch von Konfigurationsdaten
Bei einer eingehenden Verbindung sendet Ihr Gert eine Anforderung mit Benutzername und Passwort
an den RADIUS-Server, woraufhin dieser seine Datenbank abfragt. Wenn der Benutzer gefunden wurde
und authentifiziert werden kann, sendet der RADIUS-Server eine entsprechende Besttigung zu Ihrem
Gert. Diese Besttigung enthlt auch Parameter (sog. RADIUS-Attribute), die Ihr Gert als WANVerbindungsparameter verwendet.
Wenn der RADIUS-Server fr Gebhrenerfassung verwendet wird, sendet Ihr Gert eine Accounting-Meldung am Anfang der Verbindung und eine Meldung am Ende der Verbindung. Diese Anfangs- und Endmeldungen enthalten zudem statistische Informationen zur Verbindung (IP-Adresse, Benutzername,
Durchsatz, Kosten).
RADIUS Pakete
Folgende Pakettypen werden zwischen RADIUS-Server und Ihrem Gert (Client) versendet:
Pakettypen
Feld
Wert
ACCESS_REQUEST
Client -> Server

Wenn ein Verbindungs-Request auf Ihrem Gert empfangen wird, wird
35
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
beim RADIUS-Server angefragt, falls in Ihrem Gert kein entsprechender
Verbindungspartner gefunden wurde.
ACCESS_ACCEPT
Server -> Client

Wenn der RADIUS-Server die im ACCESS_REQUEST enthaltenen Informationen authentifiziert hat, sendet er ein ACCESS_ACCEPT zu Ihrem
Gert mit den fr den Verbindungsaufbau zu verwendenden Parametern.
ACCESS_REJECT
Server -> Client

Wenn die im ACCESS_REQUEST enthaltenen Informationen nicht den
Informationen in der Benutzerdatenbank des RADIUS-Servers entsprechen, sendet er ein ACCESS_REJECT zur Ablehung der Verbindung.
ACCOUNTING_START
Client -> Server

Wenn ein RADIUS-Server fr Gebhrenerfassung verwendet wird, sendet Ihr Gert eine Accounting- Meldung am Anfang jeder Verbindung
zum RADIUS-Server.
ACCOUNTING_STOP
Client -> Server

Wenn ein RADIUS-Server fr Gebhrenerfassung verwendet wird, sendet Ihr Gert eine Accounting- Meldung am Ende jeder Verbindung zum
RADIUS-Server.
Im Men Systemverwaltung ->Remote Authentifizierung ->RADIUS wird eine Liste aller eingetragenen RADIUS-Server angezeigt.

um weitere RADIUS-Server einzutragen.
36
6 Systemverwaltung
bintec elmeg GmbH
Abb. 26: Systemverwaltung ->Remote Authentifizierung ->RADIUS->Neu
Das Men Systemverwaltung ->Remote Authentifizierung ->RADIUS->Neu besteht aus folgenden

Feldern:
Felder im Men Basisparameter
Feld
Wert
Authentifizierungstyp
Whlen Sie aus, wofr der RADIUS-Server verwendet werden soll.

Mgliche Werte:
43 183& (Standardwert, nur fr PPP-Verbindungen): Der RADIUS-Server wird verwendet, um den Zugang zu
einem Netzwerk zu regeln.
4++3& (nur fr PPP-Verbindungen): Der RADIUS-Server wird
zur Erfassung statistischer Verbindungsdaten verwendet.
#&43 183&: Der RADIUS-Server wird verwendet,
um den Zugang zur SNMP Shell Ihres Gerts zu kontrollieren.
(+43 183&: Der RADIUS-Server wird verwendet,
um Konfigurationsdaten fr IPSec-Peers an Ihr Gert zu bermitteln.
=#4; ! 9": Der RADIUS-Server wird verwendet, um den Zugang zu einem Drahtlosnetzwerk zu regeln.
C45>: Der RADIUS-Server wird verwendet, um IPSec-Peers ber
XAuth zu authentisieren.
Betreibermodus
Nur fr Authentifizierungstyp = 4++3&

In Standardanwendungen belassen Sie den Wert bei ( .
Mgliche Werte:
'+ +: Fr Anwendungen der France Telecom
Server-IP-Adresse
Geben Sie die IP-Adresse des RADIUS-Servers ein.
37
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
RADIUS-Passwort
Geben Sie das fr die Kommunikation zwischen RADIUS-Server und Ihrem Gert gemeinsam genutzte Passwort ein.
Standard-Benutzerpasswort
Prioritt
Einige RADIUS-Server bentigen fr jede RADIUS-Anfrage ein Benutzerpasswort. Geben Sie daher das Passwort hier ein, das Ihr Gert als
Standard-Benutzerpasswort in der Anfrage fr die Dialout-Routen an den
RADIUS-Server mitsendet.
Wenn mehrere RADIUS-Server-Eintrge angelegt wurden, wird der Server mit der obersten Prioritt als erstes verwendet. Wenn dieser Server
nicht antwortet, wird der Server mit der nchstniedrigeren Prioritt verwendet usw.
Mgliche Werte von (hchste Prioritt) bis ) (niedrigste Prioritt).
Siehe auch Richtlinie in den erweiterten Einstellungen.
Eintrag aktiv
Whlen Sie aus, ob der in diesem Eintrag konfigurierte RADIUS-Server

verwendet werden soll.
Mit Auswahl von 4 wird die Funktion aktiv.
Standardmig ist die Funktion aktiv.
Gruppenbeschreibung
Definieren Sie eine neue RADIUS-Gruppenbeschreibung bzw. weisen

Sie den neuen RADIUS-Eintrag einer schon definierten Gruppe zu. Die
konfigurierten RADIUS-Server einer Gruppe werden gem der Prioritt
und der Richtlinie abgefragt.
Mgliche Werte:
;3 (Standardwert): Tragen Sie in das Textfeld eine neue Gruppenbeschreibung ein.
( &3** : Whlen Sie diesen Eintrag fr spezielle Anwendungen aus.
A3**B: Whlen Sie aus der Liste eine schon definierte
Gruppe aus.

Feld
Wert
Richtlinie
Whlen Sie aus, wie Ihr Gert reagieren soll, wenn eine negative Antwort
auf eine Anfrage eingeht.
Mgliche Werte:
-: + (Standardwert): Eine negative Antwort auf eine Anfrage
wird akzeptiert.
;+ : + : Eine negative Antwort auf eine Anfrage wird
nicht akzeptiert. Der nchste RADIUS-Server wird angefragt, bis Ihr
Gert eine Antwort von einem als autoritativ konfigurierten Server erhlt.
UDP-Port
Geben Sie den zu verwendenden UDP-Port fr RADIUS-Daten ein.

Gem RFC 2138 sind die Standard-Ports 1812 fr die Authentifizierung
(1645 in lteren RFCs) und 1813 fr Gebhrenerfassung (1646 in lterne
RFCs) vorgesehen. Der Dokumentation Ihres RADIUS-Servers knnen
38
6 Systemverwaltung
bintec elmeg GmbH
Feld
Wert
Sie entnehmen, welcher Port zu verwenden ist.
Server Timeout
Geben Sie die maximale Wartezeit zwischen ACCESS_REQUEST und

Antwort in Millisekunden ein.
Nach Ablauf dieser Zeit wird die Anfrage gem Wiederholungen wiederholt bzw. der nchste konfigurierte RADIUS-Server angefragt.
Mgliche Werte sind ganze Zahlen zwischen
und
.
Der Standardwert ist (1 Sekunde).
Erreichbarkeitsprfung
Whlen Sie eine berprfung der Erreichbarkeit eines RADIUS-Servers

im Status .
Es wird regelmig (alle 20 Sekunden) ein Alive-Check durchgefhrt, in
dem ein ACCESS_REQUEST an die IP-Adresse des RADIUS-Servers
gesendet wird. Bei erneuter Erreichbarkeit wird der Status wieder auf
gesetzt.
Wiederholungen
Geben Sie die Anzahl der Wiederholungen fr den Fall ein, dass eine Anfrage nicht beantwortet wird. Falls nach diesen Versuchen dennoch keine
Antwort erhalten wurde, wird der Status auf gesetzt. bei Erreichbarkeitsprfung = 4 versucht Ihr Gert alle 20 Sekunden, den Server zu erreichen. Wenn der Server antwortet, wird Status
wieder auf zurckgesetzt.
Mgliche Werte sind ganze Zahlen zwischen und .
Der Standardwert ist . Um zu verhindern, dass Status auf
gesetzt wird, setzen Sie diesen Wert auf .
RADIUS-Dialout
Nur fr Authentifizierungstyp = 43 183& und

(+43 183&.
Whlen Sie aus, ob Ihr Gert vom RADIUS-Server Dialout-Routen abfragt. Auf diesem Weg knnen automatisch temporre Schnittstellen angelegt werden und Ihr Gert kann ausgehende Verbindungen initiieren,
die nicht fest konfiguriert sind.
Wenn die Funktion aktiv ist, knnen Sie folgende Optionen eingeben:
;3 : Geben Sie den Zeitabstand zwischen den Aktualisierungsintervallen in Sekunden ein.
Standardmig ist hier eingetragen, d. h. ein automatischer Reload
wird nicht durchgefhrt.
39
6 Systemverwaltung
bintec elmeg GmbH
6.5.2 Optionen
Aufgrund der hier mglichen Einstellung fhrt Ihr Gert bei eingehenden Rufen eine Authentifizierungsverhandlung aus, wenn es die Calling Party Number nicht identifiziert (z. B. weil die Gegenstelle keine
Calling Party Number signalisiert). Wenn die mit Hilfe des ausgefhrten Authentifizierungsprotokolls erhaltenen Daten (Passwort, Partner PPP ID) mit den Daten einer eingetragenen Gegenstelle oder eines
RADIUS-Benutzers bereinstimmen, akzeptiert Ihr Gert den ankommenden Ruf.
Abb. 27: Systemverwaltung ->Remote Authentifizierung ->Optionen
Das Men Systemverwaltung ->Remote Authentifizierung ->Optionen besteht aus folgenden Feldern:
Felder im Men Globale RADIUS-Optionen
Feld
Beschreibung
Authentifizierung fr PPP- Standardmig wird folgende Reihenfolge bei der Authentisierung fr

Einwahl
eingehende Verbindungen unter Bercksichtigung von RADIUS angewendet: zunchst CLID, danach PPP und daraufhin PPP mit RADIUS.
Optionen:
: : Nur Inband-RADIUS-Anfragen (PAP, CHAP, MS-CHAP V1 &
V2) (d. h. PPP-Anfragen ohne Rufnummernidentifizierung) werden zum
in Server-IP-Adresse definierten RADIUS-Server geschickt.
D3: !$#.": Nur Outband-RADIUS-Anfragen (d. h. Anfragen
zur Rufnummernidentifizierung) werden zum RADIUS-Server geschickt
(CLID = Calling Line Identification).
Standardmig ist : aktiviert, D3: !$#." deaktiviert.
6.6 Konfigurationszugriff
Im Men Konfigurationszugriff knnen Sie Benutzerprofile konfigurieren.
Sie legen dazu Zugriffsprofile und Benutzer an und weisen jedem Benutzer mindestens ein Zugriffsprofil
zu. Ein Zugriffsprofil stellt denjenigen Teil des GUI zur Verfgung, den ein Benutzer fr seine Aufgaben
bentigt. Nicht bentigte Teile des GUI sind gesperrt.
6.6.1 Zugriffsprofile
Im Men Systemverwaltung ->Konfigurationszugriff ->Zugriffsprofile wird eine Liste aller konfigurierten Zugriffsprofile angezeigt. Vorhandene Eintrge knnen Sie mithilfe des Symbols
lschen.
Standardmig sind die Zugriffsprofile C? und 5(? bereits angelegt. Diese knnen Sie mithilfe
des Symbols
ndern sowie ber das Symbol
auf die Standardeinstellungen zurcksetzen.
40
6 Systemverwaltung
bintec elmeg GmbH
Abb. 28: Systemverwaltung ->Konfigurationszugriff ->Zugriffsprofile

um weitere Zugriffsprofile anzulegen.

Um ein Zugriffsprofil zu erzeugen, knnen Sie alle Eintrge in der Navigationsleiste des GUI sowie Konfiguration speichern verwenden. Sie knnen maximal 29 Zugriffsprofile anlegen.
41
6 Systemverwaltung
bintec elmeg GmbH
Abb. 29: Systemverwaltung ->Konfigurationszugriff ->Zugriffsprofile ->Neu
Das Men Systemverwaltung ->Konfigurationszugriff ->Zugriffsprofile ->Neu besteht aus folgenden

Feldern:
Feld
Beschreibung
Beschreibung
Geben Sie eine eindeutige Bezeichnung fr das Zugriffsprofil ein.
Level Nr.
Das System vergibt automatisch eine laufende Nummer an das Zugriffsprofil. Diese kann nicht editiert werden.
Felder im Men Schaltflchen
42
Feld
Beschreibung
Konfiguration speichern
Wenn Sie die Schaltflche Konfiguration speichern aktivieren, darf der

Benutzer Konfigurationen speichern.
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
Hinweis
Beachten Sie, dass die Passwrter in der gespeicherten
Datei im Klartext eingesehen werden knnen.
Aktivieren oder deaktivieren Sie Konfiguration speichern .

Mit 4 wird die Funktion aktiv.
Felder im Men Navigationseintrge
Feld
Beschreibung
Mens
Sie sehen alle Mens aus der Navigationsleiste des GUI. Mens, die
mindestens ein Untermen enthalten, sind mit
bzw.
gekennzeichnet. Das Symbol
kennzeichnet Seiten.
Wenn Sie ein neues Zugriffsprofil anlegen, sind noch keine Elemente zugewiesen, d.h. alle verfgbaren Mens, Untermens und Seiten sind mit
dem Symbol
gekennzeichnet.
Jedes Element in der Navigationsleiste kann drei Werte annehmen. Klicken Sie in der gewnschten Zeile auf das Symbol
, um diese drei
Werte anzeigen zu lassen.
Mgliche Werte:
-2&: Das Men und alle untergeordeneten Mens sind gesperrt.
E3,,: Das Men ist freigegeben. Untergeordenete Mens mssen gegebenenfalls gesondert freigegeben werden.
4 83,,: Das Men und alle untergeordneten Mens sind
freigegeben.
Sie knnen in der entsprechenden Zeile E3,, bzw. 4 83,
, whlen, um dem aktuellen Zugriffsprofil Elemente zuzuweisen.
Elemente, die dem aktuellen Zugriffsprofil zugewiesen sind, sind mit dem
Symbol
gekennzeichnet.
kennzeichnet ein Men, das gesperrt ist, das aber mindestens ber
ein freigegebenes Untermen verfgt.
6.6.2 Benutzer
Im Men Systemverwaltung ->Konfigurationszugriff ->Benutzer wird eine Liste aller konfigurierten
Benutzer angezeigt. Die vorhandenen Eintrge knnen Sie mithilfe des Symbols
lschen.
Es sind keine Benutzer vorkonfiguriert.
43
6 Systemverwaltung
bintec elmeg GmbH
Abb. 30: Systemverwaltung ->Konfigurationszugriff ->Benutzer
Durch Klicken auf die Schaltflche
werden die Details zum konfigurierten Benutzer angezeigt. Sie
sehen, welche Felder und welche Mens dem Benutzer zugewiesen sind.
Abb. 31: Systemverwaltung ->Konfigurationszugriff ->Benutzer->
Das Symbol
bedeutet, dass Nur lesen erlaubt ist. Ist eine Zeile mit dem Symbol
net, so sind die Informationen zum Lesen und Schreiben freigegeben. Das Symbol
44
kennzeichkennzeichnet
6 Systemverwaltung
bintec elmeg GmbH
gesperrte Eintrge.

um weitere Benutzer einzutragen.
Abb. 32: Systemverwaltung ->Konfigurationszugriff ->Benutzer->Neu
Das Men Systemverwaltung ->Konfigurationszugriff ->Benutzer->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Benutzer
Geben Sie eine eindeutige Bezeichnung fr den Benutzer ein.
Passwort
Geben Sie ein Passwort fr den Benutzer ein.
Benutzer muss das Passwort ndern
Mit der Option Benutzer muss das Passwort ndern kann der Administrator bestimmen, dass der Benutzer beim ersten Login ein eigenes
Passwort vergeben muss. Dazu muss die Option Konfiguration speichern im Men Zugriffsprofile aktiv sein. Ist diese Option nicht aktiv, so
wird ein Warnhinweis angezeigt.
Aktivieren oder deaktivieren Sie Benutzer muss das Passwort ndern.
Zugangs-Level
Mit Hinzufgen weisen Sie dem Benutzer mindestens ein Zugriffsprofil

zu. Mit der Auswahl von Nur lesen wird festgelegt, dass der Benutzer die
Parameter des Zugriffsprofils ansehen, aber nicht ndern kann.
Werden einem Benutzer sich berschneidende Zugriffsprofile zugeordnet, so hat Lesen und Schreiben eine hhere Prioritt als Nur lesen.
Schaltflchen knnen nicht auf die Einstellung Nur lesen gesetzt werden.
6.7 Zertifikate
Ein asymmetrisches Kryptosystem dient dazu, Daten, die in einem Netzwerk transportiert werden sollen,
zu verschlsseln, digitale Signaturen zu erzeugen oder zu prfen und Benutzer zu authentifizieren oder
zu authentisieren. Zur Ver- und Entschlsselung der Daten wird ein Schlsselpaar verwendet, das aus
einem ffentlichen und einem privaten Schlssel besteht.
Fr die Verschlsselung bentigt der Sender den ffentlichen Schlssel des Empfngers. Der Empfnger entschlsselt die Daten mit seinem privaten Schlssel. Um sicherzustellen, dass der ffentliche
Schlssel der echte Schlssel des Empfngers und keine Flschung ist, wird ein Nachweis, ein soge-
45
6 Systemverwaltung
bintec elmeg GmbH
nanntes digitales Zertifikat bentigt.

Ein digitales Zertifikat besttigt u. a. die Echtheit und den Eigentmer eines ffentlichen Schlssels. Es
ist vergleichbar mit einem amtlichen Ausweis, in dem besttigt wird, dass der Eigentmer des Ausweises bestimmte Merkmale aufweist, wie z. B. das angegebene Geschlecht und Alter, und dass die Unterschrift auf dem Ausweis echt ist. Da es fr Zertifikate nicht nur eine einzige Ausgabestelle gibt, wie z. B.
das Passamt fr einen Ausweis, sondern Zertifikate von vielen verschiedenen Stellen und in unterschiedlicher Qualitt ausgegeben werden, kommt der Vertrauenswrdigkeit der Ausgabestelle eine zentrale Bedeutung zu. Die Qualitt eines Zertifikats regelt das deutsche Signaturgesetz bzw. die entsprechende EU-Richtlinie.
Die Zertifizierungsstellen, die sogenannte qualifizierte Zertifikate ausstellen, sind hierarchisch organisiert
mit der Bundesnetzagentur als oberster Zertifizierungsinstanz. Struktur und Inhalt eines Zertifikats werden durch den verwendeten Standard vorgegeben. X.509 ist der wichtigste und am weitesten verbreitete Standard fr digitale Zertifikate. Qualifizierte Zertifikate sind personenbezogen und besonders vertrauenswrdig.
Digitale Zertifikate sind Teil einer sogenannten Public Key Infrastruktur (PKI). Als PKI bezeichnet man
ein System, das digitale Zertifikate ausstellen, verteilen und prfen kann.
Zertifikate werden fr einen bestimmten Zeitraum, meist ein Jahr, ausgestellt, d.h. ihre Gltigkeitsdauer
ist begrenzt.
Ihr Gert ist fr die Verwendung von Zertifikaten fr VPN-Verbindungen und fr Sprachverbindungen
ber Voice over IP ausgestattet.
6.7.1 Zertifikatsliste
Im Men Systemverwaltung ->Zertifikate->Zertifikatsliste wird eine Liste aller vorhandenen Zertifikate
angezeigt.
6.7.1.1 Bearbeiten
Klicken Sie auf das
-Symbol, um den Inhalt des gewhlten Objekts (Schlssel, Zertifikat oder Anfor-
derung) einzusehen.
46
6 Systemverwaltung
bintec elmeg GmbH
Abb. 33: Systemverwaltung ->Zertifikate->Zertifikatsliste->
Die Zertifikate und Schlssel an sich knnen nicht verndert werden, jedoch knnen - je nach Typ des
gewhlten Eintrags - einige externe Attribute verndert werden.
Das Men Systemverwaltung ->Zertifikate->Zertifikatsliste->
besteht aus folgenden Feldern:
Felder im Men Parameter bearbeiten

Feld
Beschreibung
Beschreibung
Zeigt den Namen des Zertifikats, des Schlssels oder der Anforderung.
Zertifikat ist ein CAZertifikat
Markieren Sie das Zertifikat als Zertifikat einer vertrauenswrdigen Zertifizierungsstelle (CA).
Zertifikate, die von dieser CA ausgestellt wurden, werden bei der Authentifizierung akzeptiert.
Mit = wird die Funktion aktiv.
berprfung anhand einer Nur fr Zertifikat ist ein CA-Zertifikat = =

Zertifikatsperrliste (CRL)
Legen Sie hier fest, inwiefern Sperrlisten (CRLs) in die Validierung von
Zertifikaten, die vom Besitzer dieses Zertifikats ausgestellt wurden, einbezogen werden sollen.
Mgliche Einstellungen:
.: keine berprfung von CRLs.
: CRLs werden grundstzlich berprft.
;3 2 E1,*,-3&,*3
47
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
, (Standardwert): berprfung nur dann, wenn ein
CRL-Distribution-Point-Eintrag im Zertifikat enthalten ist, Dies kann im
Inhalt des Zertifikats unter "Details anzeigen" nachgesehen werden.
,3& , F:& E1, :3
8: Es werden die Einstellungen des bergeordneten Zertifikates verwendet, falls eines vorhanden ist. Falls nicht, wird genauso verfahren,
wie unter "Nur wenn ein Zertifikatsperrlisten-Verteilungspunkt vorhanden ist" beschrieben.
Vertrauenswrdigkeit des
Zertifikats erzwingen
Legen Sie fest, dass dieses Zertifikat ohne weitere berprfung bei der
Authentifizierung als Benutzerzertifikat akzeptiert werden soll.
Mit = wird die Funktion aktiv.
Achtung
Es ist von zentraler Wichtigkeit fr die Sicherheit eines VPN, dass die Integritt aller manuell als vertrauenswrdig markierten Zertifikate (Zertifizierungsstellen- und Benutzerzertifikate), sichergestellt ist. Die angezeigten "Fingerprints" knnen zur berprfung dieser Integritt herangezogen werden: Vergleichen Sie die angezeigten Werte mit den Fingerprints, die der Aussteller des Zertifikats (z. B. im Internet) angegeben hat. Dabei reicht die
berprfung eines der beiden Werte aus.
6.7.1.2 Zertifikatsanforderung
Registration-Authority-Zertifikate im SCEP
Bei der Verwendung von SCEP (Simple Certificate Enrollment Protocol) untersttzt Ihr Gert auch separate Registration-Authority-Zertifikate.
Registration-Authority-Zertifikate werden von manchen Certificate Authorities (CAs) verwendet, um bestimmte Aufgaben (Signatur und Verschlsselung) bei der SCEP Kommunikation mit separaten Schlsseln abzuwickeln, und den Vorgang ggf. an separate Registration Authorities zu delegieren.
Beim automatischen Download eines Zertifikats, also wenn CA-Zertifikat = .2 ausgewhlt ist, werden alle fr den Vorgang notwendigen Zertifikate automatisch geladen.
Sind alle notwendigen Zertifikate bereits auf dem System vorhanden, knnen diese auch manuell ausgewhlt werden.
Whlen Sie die Schaltflche Zertifikatsanforderung, um weitere Zertifikate zu beantragen oder zu importieren.
48
6 Systemverwaltung
bintec elmeg GmbH
Abb. 34: Systemverwaltung ->Zertifikate->Zertifikatsliste->Zertifikatsanforderung
Das Men Systemverwaltung ->Zertifikate->Zertifikatsliste->Zertifikatsanforderung besteht aus folgenden Feldern:

Felder im Men Zertifikatsanforderung
Feld
Beschreibung
Zertifikatsanforderungsbe- Geben Sie eine eindeutige Bezeichnung fr das Zertifikat ein.

schreibung
Modus
Whlen Sie aus, auf welche Art Sie das Zertifikat beantragen wollen.
Zur Verfgung stehen:
/3 (Standardwert): Ihr Gert erzeugt fr den Schlssel eine PKCS#10-Datei, die direkt im Browser hochgeladen oder im
-Men
ber das Feld Details anzeigen kopiert werden kann. Diese Datei
muss der CA zugestellt und das erhaltene Zertifikat anschlieend manuell auf Ihr Gert importiert werden.
($: Der Schlssel wird mittels des Simple Certificate Enrollment Protocols bei einer CA beantragt.
Privaten Schlssel generieren
Nur fr Modus = /3

Whlen Sie einen Algorithmus fr die Schlsselerstellung aus.
Zur Verfgung stehen ?(4 (Standardwert) und .(4.
Whlen Sie weiterhin die Lnge des zu erzeugenden Schlssels aus.
Mgliche Werte:
, ) , ,
, , .
Beachten Sie, dass ein Schlssel mit der Lnge 512 Bit als unsicher ein-
49
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
gestuft werden knnte, whrend ein Schlssel mit 4096 Bit nicht nur viel
Zeit zur Erzeugung erfordert, sondern whrend der IPSec-Verarbeitung
einen wesentlichen Teil der Ressourcen belegt. Ein Wert von 768 oder
mehr wird jedoch empfohlen, als Standardwert ist 1024 Bit vorgegeben.
SCEP-URL
Nur fr Modus = ($

Geben Sie die URL des SCEP-Servers ein, z. B.
http://scep.beispiel.com:8080/scep/scep.dll
Die entsprechenden Daten erhalten Sie von Ihrem CA-Administrator.
CA-Zertifikat
Nur fr Modus = ($

Whlen Sie das CA-Zertifikat aus.
.2 : Geben Sie in CA-Name den Namen des CAZertifikats der Zertifizierungsstelle (CA) ein, von der Sie Ihr Zertifikat
anfordern mchten, z. B. +2 2,. Die entsprechenden Daten erhalten Sie von Ihrem CA-Administrator.
Falls keine CA-Zertifikate zur Verfgung stehen, wird Ihr Gert zuerst
das CA-Zertifikat der betroffenen CA herunterladen. Es fhrt dann mit
dem Registrierungsprozess fort, sofern keine wesentlichen Parameter
mehr fehlen. In diesem Fall kehrt es in das Men Zertifikatsanforderung generieren zurck.
Falls das CA-Zertifikat keine CRL-Verteilstelle (Certificate Revocation
List, CRL) enthlt und auf Ihrem Gert kein Zertifikatsserver konfiguriert ist, werden Zertifikate von dieser CA nicht auf ihre Gltigkeit berprft.
<Name eines vorhandenen Zertifikats>: Sind alle notwendigen Zertifikate bereits auf dem System vorhanden, whlen Sie diese manuell
aus.
RA-Signierungszertifikat
Nur fr Modus = ($

Nur fr CA-Zertifikat nicht = .2
Whlen Sie ein Zertifikat fr die Signierung der SCEP-Kommunikation
aus.
Der Standardwert ist $4E1 2 , d. h. es
wird das CA-Zertifikat verwendet.
RANur fr Modus = ($

Verschlsselungszertifikat
Nur wenn RA-Signierungszertifikat nicht = $4E1
2
Wenn Sie ein eigenes Zertifikat zur Signierung der Kommunikation mit
der RA verwenden, haben Sie hier die Mglichkeit, ein weiteres zur Verschlsselung der Kommunikation auszuwhlen.
Der Standardwert ist ?4(&3&,81 2
, d. h. es wird dasselbe Zertifikat wie zur Signierung verwendet.
Passwort
Nur fr Modus = ($

Um Zertifikate fr Ihre Schlssel zu erhalten, bentigen Sie mglicherweise ein Passwort von der Zertifizierungsstelle. Tragen Sie das Passwort, welches Sie von Ihrer Zertifizierungsstelle erhalten haben, hier ein.
50
6 Systemverwaltung
bintec elmeg GmbH
Felder im Men Subjektname

Feld
Beschreibung
Benutzerdefiniert
Whlen Sie aus, ob Sie die Namenskomponenten des Subjektnamens

einzeln laut Vorgabe durch die CA oder einen speziellen Subjektnamen
eingeben wollen.
Wenn 4 ausgewhlt ist, kann in Zusammenfassend ein Subjektname mit Attributen, die nicht in der Auflistung angeboten werden, angegeben werden. Beispiel: "CN=VPNServer, DC=mydomain, DC=com,
c=DE".
Ist das Feld nicht markiert, geben Sie die Namenskomponenten in Allgemeiner Name, E-Mail, Organisationseinheit, Organisation, Ort, Staat/
Provinz und Land ein.
Zusammenfassend
Nur fr Benutzerdefiniert = aktiviert.

Geben Sie einen Subjektnamen mit Attributen ein, die nicht in der Auflistung angeboten werden.
Beispiel: "CN=VPNServer, DC=mydomain, DC=com, c=DE".
Allgemeiner Name
Nur fr Benutzerdefiniert = deaktiviert.

Geben Sie den Namen laut CA ein.
E-Mail

Geben Sie die E-Mail-Adresse laut CA ein.
Organisationseinheit

Geben Sie die Organisationseinheit laut CA ein.
Organisation

Geben Sie die Organisation laut CA ein.
Ort

Geben Sie den Standort laut CA ein.
Staat/Provinz

Geben Sie den Staat/das Bundesland laut CA ein.
Land

Geben Sie das Land laut CA ein.

Felder im Men Subjekt-Alternativnamen
Feld
Beschreibung
#1, #2, #3
Definieren Sie zu jedem Eintrag den Typ des Namens und geben Sie zustzliche Subjektnamen ein.
Mgliche Werte:
< (Standardwert): Es wird kein zustzlicher Name eingegeben.
51
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
: Es wird eine IP-Adresse eingetragen.
.;(: Es wird ein DNS-Name eingetragen.
/: Es wird eine E-Mail-Adresse eingetragen.
5?: Es wird ein Uniform Resource Identifier eingetragen.
.;: Es wird ein Distinguished Name (DN) eingetragen.
?.: Es wird eine Registered Identity (RID) eingetragen.
Feld im Men Optionen

Feld
Beschreibung
Autospeichermodus
Whlen Sie, ob Ihr Gert intern automatisch die verschiedenen Schritte

des Registrierungsprozesses speichert. Dies ist dann von Nutzen, wenn
die Registrierung nicht sofort abgeschlossen werden kann. Falls der Status nicht gespeichert wurde, kann die unvollstndige Registrierung nicht
abgeschlossen werden. Sobald die Registrierung abgeschlossen ist und
das Zertifikat vom CA-Server heruntergeladen wurde, wird es automatisch in der Konfiguration Ihres Gerts gespeichert.
6.7.1.3 Importieren
Whlen Sie die Schaltflche Importieren, um Zertifikate zu importieren.
Abb. 35: Systemverwaltung ->Zertifikate->Zertifikatsliste->Importieren
Das Men Systemverwaltung ->Zertifikate->Zertifikatsliste->Importieren besteht aus folgenden Feldern:

Felder im Men Importieren
Feld
Beschreibung
Externer Dateiname
Geben Sie den Dateipfad und -namen des Zertifikats ein, welches importiert werden soll oder whlen Sie die Datei mit Datei auswhlen ber
den Dateibrowser aus.
Lokale Zertifikatsbeschrei- Geben Sie eine eindeutige Bezeichnung fr das Zertifikat ein.
bung
Dateikodierung
Whlen Sie die Art der Kodierung, so dass Ihr Gert das Zertifikat dekodieren kann.
Mgliche Werte:
43 (Standardwert): Aktiviert die automatische Kodiererkennung.
Falls der Zertifikat-Download im Auto-Modus fehlschlgt, versuchen
52
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
Sie es mit einer bestimmten Kodierung.
%,
%@
Passwort
Um Zertifikate fr Ihre Schlssel zu erhalten, bentigen Sie mglicherweise ein Passwort.

Tragen Sie das Passwort hier ein.
6.7.2 CRLs
Im Men Systemverwaltung ->Zertifikate->CRLs wird eine Liste aller CRLs (Certificate Revocation
List) angezeigt.
Wenn ein Schlssel nicht mehr verwendet werden darf, z. B. weil er in falsche Hnde geraten oder verloren gegangen ist, wird das zugehrige Zertifikat fr ungltig erklrt. Die Zertifizierungsstelle widerruft
das Zertifikat, sie gibt Zertifikatsperrlisten, sogenannte CRLs, heraus. Nutzer von Zertifikaten sollten
durch einen Abgleich mit diesen Listen stets prfen, ob das verwendete Zertifikat aktuell gltig ist. Dieser Prfvorgang kann ber einen Browser automatisiert werden.
Das Simple Certificate Enrollment Protocol (SCEP) untersttzt die Ausgabe und den Widerruf von Zertifikaten in Netzwerken.
6.7.2.1 Importieren
Whlen Sie die Schaltflche Importieren, um CRLs zu importieren.
Abb. 36: Systemverwaltung ->Zertifikate->CRLs->Importieren
Das Men Systemverwaltung ->Zertifikate->CRLs->Importieren besteht aus folgenden Feldern:

Felder im Men CRL-Import
Feld
Beschreibung
Externer Dateiname
Geben Sie den Dateipfad und -namen der CRL ein, welche importiert
werden soll oder whlen Sie die Datei mit Datei auswhlen ber den
Dateibrowser aus.
Lokale Zertifikatsbeschrei- Geben Sie eine eindeutige Bezeichnung fr die CRL ein.
bung
Dateikodierung
Whlen Sie die Art der Kodierung, so dass Ihr Gert die CRL decodieren
kann.
Mgliche Werte:
43 (Standardwert): Aktiviert die automatische Kodiererkennung.
Falls der CRL-Download im Auto-Modus fehlschlgt, versuchen Sie es
mit einer bestimmten Kodierung.
53
6 Systemverwaltung
bintec elmeg GmbH
Feld
Beschreibung
%,
%@
Passwort
Geben Sie das zum Importieren zu verwendende Passwort ein.
6.7.3 Zertifikatsserver
Im Men Systemverwaltung ->Zertifikate->Zertifikatsserver wird eine Liste aller Zertifikatsserver angezeigt.
Eine Zertifizierungsstelle (Zertifizierungsdiensteanbieter, Certificate Authority, CA) stellt ihre Zertifikate
den Clients, die ein Zertifikat beantragen, ber einen Zertifikatsserver zur Verfgung. Der Zertifikatsserver stellt auch die privaten Schlssel aus und hlt Zertifikatsperrlisten (CRL) bereit, die zur Prfung von
Zertifikaten entweder per LDAP oder HTTP vom Gert abgefragt werden.
6.7.3.1 Neu
Whlen Sie die Schaltflche Neu, um einen Zertifikatsserver einzurichten.
Abb. 37: Systemverwaltung ->Zertifikate->Zertifikatsserver->Neu
Das Men Systemverwaltung ->Zertifikate->Zertifikatsserver->Neu besteht aus folgenden Feldern:

54
Feld
Beschreibung
Beschreibung
Geben Sie eine eindeutige Bezeichnung fr den Zertifikatsserver ein.
LDAP-URL-Pfad
Geben Sie die LDAP-URL oder die HTTP-URL des Servers ein.
7 Physikalische Schnittstellen
bintec elmeg GmbH
Kapitel 7 Physikalische Schnittstellen

7.1 Ethernet-Ports
Eine Ethernet-Schnittstelle ist eine physikalische Schnittstelle zur Anbindung an das lokale Netzwerk
oder zu externen Netzwerken.
Die Ethernet-Ports LAN1 bis LAN4 sind im Auslieferungszustand einer einzigen logischen EthernetSchnittstelle zugeordnet. Die logische Ethernet-Schnittstelle ist zugewiesen und mit IP-Adresse
und Netzmaske

vorkonfiguriert.
Hinweis
Um die Erreichbarkeit Ihres Systems zu gewhrleisten, achten Sie beim Aufteilen der
Ports darauf, dass die Ethernet-Schnittstelle mit der vorkonfigurierten IP-Adresse
und Netzmaske einem Port zugewiesen wird, der per Ethernet erreichbar ist.
ETH1 - ETH4
Die Schnittstellen knnen separat genutzt werden. Sie werden voneinander logisch getrennt, indem jedem Port im Men Portkonfiguration im Feld Ethernet-Schnittstellenauswahl die gewnschte logische Ethernet-Schnittstelle zugewiesen wird. Fr jede zugewiesene Ethernet-Schnittstelle wird im Men
LAN->IP-Konfiguration eine weitere Schnittstelle in der Liste angezeigt und eine jeweils vollstndig eigenstndige Konfiguration der Schnittstelle ermglicht.
VLANs fr Routing-Schnittstellen
Konfigurieren Sie VLANs, um z. B. einzelne Netzwerksegmente voneinander zu trennen (z. B. einzelne
Abteilungen einer Firma) oder um bei der Verwendung von Managed Switches mit QoS-Funktion eine
Bandbreitenreservierung fr einzelne VLANs vorzunehmen.
7.1.1 Portkonfiguration
Portseparation
Ihr Gert bietet die Mglichkeit, die Switch Ports als eine Schnittstelle zu betreiben oder diese logisch
voneinander zu trennen und als eigenstndige Ethernet-Schnittstellen zu konfigurieren.
Bei der Konfiguration sollten Sie Folgendes beachten: Die Aufteilung der Switch Ports auf mehrere
Ethernet-Schnittstellen trennt diese nur logisch voneinander. Die verfgbare Gesamtbandbreite von
max. 1000 Mbit/s Full Duplex fr alle entstandenen Schnittstellen bleibt unverndert. Wenn Sie also z.
B. alle Switch Ports voneinander trennen, verfgt jede der entstehenden Schnittstellen nur ber einen
Teil der vollen Bandbreite. Wenn Sie mehrere Switch Ports zu einer Schnittstelle zusammenfassen, so
stehen fr alle Ports gemeinsam die volle Bandbreite von max. 1000 Mbit/s Full Duplex zur Verfgung.
55
bintec elmeg GmbH
Abb. 38: Physikalische Schnittstellen ->Ethernet-Ports ->Portkonfiguration
Das Men Physikalische Schnittstellen ->Ethernet-Ports->Portkonfiguration besteht aus folgenden

Feldern:
Felder im Men Switch-Konfiguration
Feld
Beschreibung
Switch-Port
Zeigt den jeweiligen Switch-Port an. Die Nummerierung entspricht der

Nummerierung der Ethernet-Ports auf der Rckseite des Gerts.
EthernetSchnittstellenauswahl
Ordnen Sie dem jeweiligen Switch-Port eine logische EthernetSchnittstelle zu.

Zur Auswahl stehen vier Schnittstellen, bis . In der Grundeinstellung ist Switch Port 1-4 die Schnittstelle zugeordnet.
Konfigurierte Geschwindigkeit/konfigurierter Modus
Whlen Sie den Modus aus, in dem die Schnittstelle betrieben werden
soll.
Mgliche Werte:
-,@ & 3,+ 43, 3& (Standardwert)
43 /:7, 0
43 /:7, 0
43 /:7, 0
43 /:7, 7 '3 .3*9
43 /:7, 7 >1 .3*9
43 /:7, 7 '3 .3*9
43 /:7, 7 >1 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 >1 .3*9
', /:7, 7 '3 .3*9
', /:7, 7 >1 .3*9
< : Die Schnittstelle wird angelegt, bleibt aber inaktiv.
Aktuelle Geschwindigkeit / Zeigt den tatschlichen Modus und die tatschliche Geschwindigkeit
Aktueller Modus
deadminr Schnittstelle an.
Mgliche Werte:
/:7, 7 '3 .3*9
/:7, 7 '3 .3*9
/:7, 7 >1 .3*9
56
bintec elmeg GmbH
Feld
Beschreibung
/:7, 7 '3 .3*9
/:7, 7 >1 .3*9

Flusskontrolle
Whlen Sie aus, ob auf der entsprechenden Schnittstelle eine Flusskontrolle vorgenommen werden soll.
Mgliche Werte:
. (Standardwert): Es wird keine Flusskontrolle vorgenommen.
4: Es wird eine Flusskontrolle durchgefhrt.
43: Es wird eine automatische Flusskontrolle durchgefhrt.
7.2 ISDN-Ports
In diesem Men konfigurieren Sie die ISDN-Schnittstelle Ihres Gerts. Um die ISDN-BRI-Schnittstelle zu
konfigurieren, mssen Sie zwei Schritte durchfhren:
Einstellungen Ihres ISDN-Anschlusses eintragen: Hier tragen Sie die wichtigsten Parameter Ihres
ISDN-Anschlusses ein.
MSN-Konfiguration: Hier teilen Sie Ihrem Gert mit, wie auf eingehende Rufe aus dem WAN reagiert
werden soll.
7.2.1 ISDN-Konfiguration
Hinweis
Wenn das ISDN-Protokoll nicht erkannt wird, mssen Sie es unter Port-Verwendung und
ISDN-Konfigurationstyp manuell auswhlen. Die automatische D-Kanal-Erkennung ist
dann ausgeschaltet. Bei falsch eingestelltem ISDN-Protokoll kann kein ISDNVerbindungsaufbau erfolgen!
Im Men Physikalische Schnittstellen ->ISDN-Ports->ISDN-Konfiguration wird eine Liste aller ISDNPorts und deren Konfiguration angezeigt.
7.2.1.1 Bearbeiten
Whlen Sie die Schaltflche
, um die Konfiguration des jeweiligen ISDN-Ports zu bearbeiten.
Abb. 39: Physikalische Schnittstellen ->ISDN-Ports->ISDN-Konfiguration ->
Das Men Physikalische Schnittstellen ->ISDN-Ports->ISDN-Konfiguration->

besteht aus folgen57
bintec elmeg GmbH
den Feldern:
Feld
Beschreibung
Portname
Zeigt den Namen des ISDN-Ports an.
Port-Verwendung
Nur wenn Automatische Konfiguration beim Start deaktiviert ist.

Whlen Sie das Protokoll aus, das fr den ISDN-Port verwendet werden
soll.
Mgliche Werte:
;+ 2 : Der ISDN-Anschluss wird nicht genutzt.
.3* !3(.;"
G(
ISDN-Konfigurationstyp
Nur wenn Automatische Konfiguration beim Start deaktiviert ist und

fr Port-Verwendung = .3* !3(.;" gesetzt ist.
Whlen Sie die ISDN-Anschlussart aus.
Mgliche Werte:
383/ *3 (Standardwert): Mehrgerteanschluss.
3833: Anlagenanschluss.

Feld
Beschreibung
X.31 (X.25 im D-Kanal)
Whlen Sie aus, ob Sie X.31 (X.25 im D-Kanal) z. B. fr CAPIApplikationen nutzen wollen.
X.31 TEI-Wert
Nur wenn X.31 (X.25 im D-Kanal) aktiviert ist

Bei ISDN-Autokonfiguration wird der X.31-TEI automatisch erkannt. Hat
die Autokonfiguration den TEI nicht erkannt, knnen Sie hier manuell den
Wert eingeben, der von der Vermittlungsstelle zugewiesen wurde.
Standardwert ist (fr automatische Erkennung).
X.31 TEI-Dienst
Nur fr X.31 (X.25 im D-Kanal) = aktiviert

Whlen Sie den Dienst, fr den Sie den X.31-TEI nutzen wollen.
Mgliche Werte:
$4
$4(
+ (2+
(Standardwert)
$4 und $4( dienen zur Nutzung des X.31-TEI fr CAPIApplikationen. Bei $4 wird der in der CAPI-Applikation eingestellte
TEI-Wert benutzt, bei $4( wird der Wert der CAPIApplikation ignoriert und immer der hier eingestellte Standardwert benutzt.
58
bintec elmeg GmbH
Feld
Beschreibung
+ (2+ stellen Sie ein, wenn Sie den X.31-TEI fr das
X.25-Gert nutzen mchten.
7.3 DSL-Modem
Das DSL-Modem eignet sich fr den High-Speed Internetzugang und den Remote-Access-Einsatz in
kleinen bis mittleren Unternehmen oder Remote-Offices.
7.3.1 DSL-Konfiguration
In diesem Men nehmen Sie grundlegende Einstellungen Ihrer ADSL-Verbindung vor.
Abb. 40: Physikalische Schnittstellen ->DSL-Modem ->DSL-Konfiguration
Das Men Physikalische Schnittstellen ->DSL-Modem->DSL-Konfiguration besteht aus folgenden

Feldern:
Felder im Men DSL-Portstatus
Feld
Beschreibung
DSL-Chipsatz
Zeigt die Kennung des eingebauten Chipsatzes an.
Physikalische Verbindung Zeigt den aktuellen DSL-Betriebsmodus an. Der Wert kann nicht verndert werden.
Mgliche Werte:
5:: Der Link ist nicht aktiv.
4.(#: ADSL classic, G.DMT, ITU-T G.992.1
4.(#: G.DMT.Bis, ITU-T G.992.3
4.(# 3,: ADSL2 Plus, ITU-T G.992.5
4.(#H 49 I: ITU-T G.992.5
-.(#: ITU-T G.993.2
Felder im Men Aktuelle Leitungsgeschwindigkeit
Feld
Beschreibung
Downstream
Zeigt die Datenrate in Empfangsrichtung (Richtung von CO/DSLAM zu

CPE/Router) in Bits pro Sekunde an.
59
Feld
bintec elmeg GmbH
Beschreibung
Der Wert kann nicht verndert werden.
Upstream
Zeigt die Datenrate in Senderichtung (Richtung CPE/Router zu CO/

DSLAM) in Bits pro Sekunde an.
Der Wert kann nicht verndert werden.
Felder im Men DSL Parameter

Feld
Beschreibung
DSL-Modus
Zeigt den gewhlten DSL-Betriebsmodus an.

Mgliche Werte:
: Der Link ist nicht aktiv.
( : ETSI T1.413
4.(#: ADSL classic, G.DMT, ITU-T G.992.1
43,+ / 3, !4.(#" (Standardwert, wenn das Gert als
Telefonanlage betrieben wird): Automatische Erkennung des ADSLModus 4.(#, 4.(# oder 4.(# 3,
4.(#: G.DMT.Bis, ITU-T G.992.3
4.(# 3,: ADSL2 Plus, ITU-T G.992.5
-.(#: VDSL2 (ITU-T G.993.2)
-.(#74.(# /3 3, (Standardwert, wenn das Gert als Media
Gateway betrieben wird): Automatische Erkennung des DSL-Modus
4.(#, 4.(# , 4.(# 3, oder -.(#
Transmit Shaping
Whlen Sie aus, ob die Datenrate in Senderichtung reduziert werden soll.

Dies ist nur in wenigen Fllen an speziellen DSLAMs notwendig.
Mgliche Werte:
( !#3&,&,+ 2 &" (Standardwert): Die Datenrate in Senderichtung wird nicht reduziert.
%7, bis %7,: Die Datenrate in Senderichtung wird reduziert auf maximal 128.000 bit/s bis 2.048.000 bit/s in
festgesetzten Schritten.
%38 1: Die Datenrate wird reduziert auf den in Maximale Upstream-Bandbreite eingegebenen Wert.
Maximale UpstreamBandbreite
Nur fr Transmit Shaping = %38 1

Geben Sie die maximale Datenrate in Senderichtung in Bits pro Sekunde
ein.

Feld
Beschreibung
ADSL-Leitungsprofil
Whlen Sie den gewnschten Internet-Service-Provider und damit implizit den von diesem Provider verwendeten Modem-Parametersatz aus.
.3,+ ist als Standardwert voreingestellt.
Wenn Sie Ihren Provider in der Liste nicht finden, verwenden Sie die Einstellung ( .
60
8 LAN
bintec elmeg GmbH
Kapitel 8 LAN
In diesem Men konfigurieren Sie die Adressen in Ihrem LAN und haben die Mglichkeit ihr lokales
Netzwerk durch VLANs zu strukturieren.
8.1 IP-Konfiguration
In diesem Men kann die IP-Konfiguration der LAN und Ethernet-Schnittstellen Ihres Gerts bearbeitet
werden.
In Men LAN->IP-Konfiguration->Schnittstellen werden die vorhandenen IP-Schnittstellen aufgelistet.
Sie haben die Mglichkeit, die IP-Konfiguration der Schnittstellen zu bearbeiten oder virtuelle Schnittstellen fr Spezialanwendungen anzulegen. Hier werden alle im Men Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen konfigurierten Schnittstellen (logische EthernetSchnittstellen und solche in den Subsystemen erstellten) aufgelistet.
ber das Symbol
bearbeiten Sie die Einstellungen einer vorhandenen Schnittstelle (Bridge-Gruppen,
Ethernet-Schnittstellen im Routing-Modus).
ber die Schaltflche Neu haben Sie die Mglichkeit, virtuelle Schnittstellen anzulegen. Dieses ist jedoch nur in Spezialanwendungen (BRRP u. a.) ntig.
Abhngig von der gewhlten Option, stehen verschiedene Felder und Optionen zur Verfgung. Im Folgenden finden Sie eine Auflistung aller Konfigurationsmglichkeiten.
Durch Klicken auf die
-Schaltflche oder der
-Schaltflche in der Spalte Aktion wird der Status der
Schnittstelle gendert.
ber die
-Schaltflche knnen Sie die Details einer vorhandenen Schnittstelle anzeigen lassen.
Hinweis
Beachten Sie bei IPv4:
Hat Ihr Gert bei der Erstkonfiguration dynamisch von einem in Ihrem Netzwerk betriebenen DHCP-Server eine IP-Adresse erhalten, so wird die Standard-IP-Adresse automatisch
gelscht und Ihr Gert ist darber nicht mehr erreichbar.
Sollten Sie dagegen bei der Erstkonfiguration eine Verbindung zum Gert ber die Standard-IP-Adresse aufgebaut oder eine IP-Adresse mit dem Dime Manager vergeben haben, ist es nur noch ber diese IP-Adresse erreichbar. Es kann nicht mehr dynamisch ber
DHCP eine IP-Konfguration erhalten.
Beispiel Teilnetze
Falls Ihr Gert an ein LAN angeschlossen ist, das aus zwei Teilnetzen besteht, sollten Sie fr das zweite
Teilnetz eine zweite IP-Adresse / Netzmaske eintragen.
Im ersten Teilnetz gibt es z. B. zwei Hosts mit den IP-Adressen 192.168.42.1 und 192.168.42.2, im
zweiten Teilnetz zwei Hosts mit den IP-Adressen 192.168.46.1 und 192.168.46.2. Um mit dem ersten
Teilnetz Datenpakete austauschen zu knnen, benutzt Ihr Gert z. B. die IP-Adresse 192.168.42.3, fr
das zweite Teilnetz 192.168.46.3. Die Netzmasken fr beide Teilnetze mssen ebenfalls angegeben
werden.
IPv6-Adressen konfigurieren
61
8 LAN
bintec elmeg GmbH
Zustzlich zu IPv4-Adressen knnen Sie IPv6-Adressen verwenden.

Im Folgenden sehen Sie ein Beispiel fr eine IPv6-Adresse:
Abb. 41: IPv6-Adresse (Beispiel)
Ihr Gert kann auf einer Schnittstelle entweder als Router oder als Host agieren. In der Regel agiert es
auf den LAN-Schnittstellen als Router und auf den WAN- sowie den PPP-Verbindungen als Host.
Wenn Ihr Gert als Router agiert, so knnen seine eigenen IPv6-Adressen folgendermaen gebildet
werden: ein Link-Prfix kann von einem Allgemeinen Prfix abgeleitet werden oder Sie knnen einen
statischen Wert eingeben. Eine Host-Adresse kann ber 43 3 erzeugt werden, fr weitere
Host-Adressen knnen Sie statische Werte eingeben.
Wenn Ihr Gert als Router agiert, so verteilt es den konfigurierten Link-Prfix in der Regel per Router
Advertisements an die Hosts. ber einen DHCP-Server werden Zusatzinformationen, wie z. B. die
Adresse eines Zeitservers, an die Hosts bermittelt. Der Client kann sich seine Host-Adresse entweder
ber Stateless Address Autoconfiguration (SLAAC) erzeugen oder diese Adresse von einem DHCPServer zugeteilt bekommen.
Verwenden Sie fr den oben beschriebenen Router-Modus im Men LAN->IP-Konfiguration->Schnittstellen->Neu die Einstellungen IPv6-Modus = ?3, Router Advertisement bertragen 4
DHCP-Server 4 und IPv6-Adressen Hinzufgen.
Wenn Ihr Gert als Host agiert, wird ihm ein Link-Prfix von einem anderen Router per Router Advertisement zugeteilt. Die Host- Adresse wird dann per SLAAC automatisch erzeugt. Zusatzinformationen,
wie z. B. der Allgemeine Prfix vom Provider oder die Adresse eines Zeitservers knnen per DHCP bezogen werden. Verwenden Sie dazu im Men LAN->IP-Konfiguration->Schnittstellen->Neu die Einstellungen IPv6-Modus = $, Router Advertisement annehmen 4 und DHCP-Client =
4.

um virtuelle Schnittstellen zu erstellen.
62
8 LAN
bintec elmeg GmbH
Abb. 42: LAN->IP-Konfiguration ->Schnittstellen ->Neu
Das Men LAN->IP-Konfiguration->Schnittstellen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Basierend auf EthernetSchnittstelle
Dieses Feld wird nur angezeigt, wenn eine virtuelle Routing-Schnittstelle

bearbeitet wird.
Whlen Sie die Ethernet-Schnittstelle aus, zu der die virtuelle Schnittstelle konfiguriert werden soll.
Schnittstellenmodus
Nur bei physikalischen Schnittstellen im Routing-Modus und bei virtuelle

Schnittstellen.
Whlen Sie den Konfigurationsmodus der Schnittstelle aus.
Mgliche Werte:
5&& (Standardwert): Die Schnittstelle wird keinem speziellen
Verwendungszweck zugeordnet.
&& !-#4;": Diese Option gilt nur fr Routing-Schnittstellen.
Mit dieser Option weisen Sie die Schnittstelle einem VLAN zu. Dies geschieht ber die VLAN-ID, die in diesem Modus angezeigt wird und
konfiguriert werden kann. Die Definition einer MAC-Adresse in MACAdresse ist in diesem Modus optional.
VLAN-ID
Nur fr Schnittstellenmodus = && !-#4;"

Diese Option gilt nur fr Routing-Schnittstellen. Weisen Sie die Schnittstelle einem VLAN zu, indem Sie die VLAN-ID des entsprechenden
VLANs eingeben.
Mgliche Werte sind (Standardwert) bis .
MAC-Adresse
Geben Sie die mit der Schnittstelle verbundene MAC-Adresse ein. Sie
63
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
knnen fr virtuelle Schnittstellen die MAC-Adresse der physikalischen
Schnittstelle verwenden, unter der die virtuelle Schnittstelle erstellt wurde, wenn Sie Voreingestellte verwenden aktivieren. Die VLAN IDs mssen sich jedoch unterscheiden. Das Zuweisen einer virtuellen MACAdresse ist ebenfalls mglich. Die ersten 6 Zeichen der MAC-Adresse
sind voreingestellt (sie knnen jedoch gendert werden).
Wenn Voreingestellte verwenden aktiv ist, wird die voreingestellte
MAC-Adresse der zugrunde liegenden physikalischen Schnittstelle verwendet.
Standardmig ist Voreingestellte verwenden aktiv.
Felder im Men Grundlegende IPv4-Parameter

Feld
Beschreibung
Sicherheitsrichtlinie
Whlen Sie, mit welcher Sicherheitseinstellung die Schnittstelle betrieben

werden soll.
Mgliche Werte:
-3,2F & (Standardwert): Es werden alle IP-Pakete
durchgelassen, auer denen, die explizit verboten sind.
;+ -3,2F &: Es werden nur diejenigen IP-Pakete
durchgelassen, die einer Verbindung zugeordnet werden knnen, die
aus einer vertrauenwrdigen Zone aufgebaut wurde.
Ausnahmen fr die gewhlte Einstellung knnen Sie im Men Firewall
auf Seite 224 konfigurieren.
Adressmodus
Whlen Sie aus, auf welche Weise der Schnittstelle eine IP-Adresse zugewiesen wird.
Mgliche Werte:
(,+ (Standardwert): Der Schnittstelle wird eine statische IPAdresse in IP-Adresse / Netzmaske zugewiesen.
.>$: Die Schnittstelle erhlt dynamisch per DHCP eine IP-Adresse.
IP-Adresse / Netzmaske
Nur fr Adressmodus = (,+

Fgen Sie mit Hinzufgen einen neuen Adresseintrag hinzu und geben
Sie die IP-Adresse und die entsprechende Netzmaske der virtuellen
Schnittstelle ein.
Felder im Men Grundlegende IPv6-Parameter

Feld
Beschreibung
IPv6
Whlen Sie aus, ob die gewhlte Schnittstelle das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.
Hier nur fr IPv6 = 4

werden soll.
Mgliche Werte:
64
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
Wir empfehlen Ihnen, diese Einstellung zu verwenden, wenn Sie IPv6
in Ihrem LAN verwenden wollen.
auerhalb Ihres LANs verwenden wollen.
IPv6-Modus
Nur fr IPv6 = 4

Whlen Sie, ob die Schnittstelle im Host- oder im Router-Modus betrieben werden soll. Abhngig von der getroffenen Auswahl werden unterschiedliche Parameter angezeigt, die Sie konfigurieren mssen.
Mgliche Werte:
?3 (Standardwert): Die Schnittstelle wird im Router-Modus betrieben.
>,: Die Schnittstelle wird im Host-Modus betrieben.
Router Advertisement
bertragen
Nur fr IPv6 = 4 und IPv6-Modus = ?3

Whlen Sie, ob Router Advertisements ber die gewhlte Schnittstelle
gesendet werden sollen.
Mithilfe der Router Advertisements wird z.B. die Prfix Liste bertragen
und der Router propagiert sich als Standard-Gateway.
DHCP-Server
Nur fr IPv6 = 4 und IPv6-Modus = ?3

Legen Sie fest, ob Ihr Gert als DHCP-Server agieren soll, d.h ob es DHCP-Options versenden soll, um z. B. Informationen zu den DNS-Servern
an die Clients weiterzuleiten.
Aktivieren Sie diese Option, wenn Hosts IPv6-Adressen per SLAAC erzeugen sollen.
IPv6-Adressen
Nur fr IPv6 = 4

Sie knnen der gewhlten Schnittstelle IPv6-Adressen zuordnen.
Mit Hinzufgen knnen Sie einen oder mehrere Adresseintrge anlegen.
Ein zustzliches Fenster ffnet sich, in dem Sie eine IPv6-Adresse bestehend aus einem Link-Prfix und einem Host-Anteil festlegen knnen.
Wenn Ihr Gert im Host-Modus arbeitet (IPv6-Modus = >,, Router
Advertisement annehmen 4 und DHCP-Client 4),
werden seine IPv6-Adressen per SLAAC festgelegt. Sie brauchen keine
IPv6-Adressen manuell zu konfigurieren, knnen aber auf Wunsch zu-
65
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
stzliche Adressen eintippen.
Wenn Ihr Gert im Router-Modus arbeitet ( IPv6-Modus = ?3, Router Advertisement bertragen 4 und DHCP-Server 4
), so mssen Sie hier seine IPv6-Adressen konfigurieren.
Router Advertisement annehmen
Nur fr IPv6 = 4 und IPv6-Modus = >,

Whlen Sie, ob Router Advertisements ber die gewhlte Schnittstelle
empfangen werden sollen. Mithilfe der Router Advertisements wird z. B.
die Prfix-Liste erstellt.
DHCP-Client

Legen Sie fest, ob Ihr Gert als DHCP-Client agieren soll, d.h. ob es DHCP-Options empfangen soll, um z. B. Informationen zu den DNS-Servern
zu erhalten.
Legen Sie weitere Eintrge mit Hinzufgen an.
Abb. 43: LAN->IP-Konfiguration ->Schnittstellen ->Neu->Hinzufgen

Feld
Ankndigen
66
Beschreibung
Nur fr IPv6-Modus = ?3
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
Hier knnen Sie - bezogen auf den Link-Prfix, der im aktuellen Fenster
definiert wird - festlegen, ob dieser Prfix per Router Advertisement ber
die gewhlte Schnittstelle versendet werden soll.
Felder im Men Link-Prfix

Feld
Art der Einrichtung
Beschreibung
Whlen Sie, auf welche Weise der Link-Prfix festgelegt werden soll.
Mgliche Werte:
- 4& @19 (Standardwert): Der Link-Prfix wird von
einem allgemeinen Prfix abgeleitet.
(,+ : Sie knnen den Link-Prfix eingeben.
Allgemeiner Prfix
Nur fr Art der Einrichtung = - 4& @19

Whlen Sie den Allgemeinen Prfix, von dem der Link-Prfix abgeleitet
werden soll. Sie knnen unter den Allgemeinen Prfixen whlen, die unter Netzwerk->Allgemeine IPv6-Prfixe->Konfiguration eines Allgemeinen Prfixes->Neu angelegt sind.
Automatische Subnetzerstellung
Nur wenn Art der Einrichtung = - 4& @19 und

wenn ein Allgemeiner Prfix gewhlt ist.
Whlen Sie, ob das Subnetz automatisch erstellt werden soll. Bei der automatischen Subnetzerstellung wird fr das erste Subnetz die ID verwendet, fr das zweite Subnetz die Subnetz-ID , usw.
Mgliche Werte fr die Subnetz-ID sind bis

.
Die Subnetz-ID beschreibt das vierte der vier 16-Bit-Felder eines LinkPrfix. Bei der Subnetzerstellung wird der dezimale ID-Wert in einen hexadezimalen Wert umgerechnet.
Wenn die Funktion nicht aktiv ist, so knnen Sie durch Eingabe der Subnetz-ID ein Subnetz definieren.
Subnetz-ID
Nur wenn Automatische Subnetzerstellung nicht aktiv ist.
Geben Sie eine Subnetz-ID ein, um ein Subnetz zu definieren. Die Subnetz-ID beschreibt das vierte der vier 16-Bit-Felder eines Link-Prfix.
Mgliche Werte sind bis

.
Bei der Subnetzerstellung wird der eingegebene dezimale Wert in einen
hexadezimalen Wert umgerechnet.
Link-Prfix
Nur fr Art der Einrichtung = (,+

Sie knnen den Link-Prfix einer IPv6-Adresse eingeben. Dieser Prfix
muss mit 66 enden. Seine Lnge ist mit vorgegeben.
Felder im Men Host-Adresse
67
8 LAN
bintec elmeg GmbH
Feld
Erzeugungsmethode
Beschreibung
Legen Sie fest, ob der Host-Anteil der IPv6-Adresse mittels EUI-64 automatisch aus der MAC-Adresse erzeugt werden soll.
EUI-64 setzt folgenden Prozess in Gang:
Die hexadezimale 48-Bit MAC Adresse wird in 2 x 24 Bit geteilt.
In die entstandene Lcke wird ''' eingefgt, um 64 Bit zu erhalten.
Die hexadezimale Schreibweise der 64 Bit wird in die duale Schreibweise umgewandelt.
Im ersten 8-Bit-Feld wird Bit 7 auf gesetzt.
Statische Adressen
Sie knnen, unabhngig von der automatischen Erzeugung, die unter Erzeugungsmethode festgelegt ist, mit Hinzufgen den Host-Anteil einer
IPv6-Adresse oder mehrerer IPv6-Adressen manuell eingeben. Seine
Lnge ist mit vorgegeben. Beginnen Sie die Eingabe mit 66 .
Die Felder im Men Erweitert sind Bestandteil der Prfix-Informationen, die im Router Advertisement
gesendet werden, wenn Ankndigen aktiv ist. Das Men Erweitert besteht aus folgenden Feldern:
Felder im Men Erweiterte IPv6-Einstellungen
Feld
On Link Flag
Beschreibung
Whlen Sie, ob das On-Link Flag (L-Flag) gesetzt werden soll.
Dadurch fgt der Host das Prfix der Prfixliste hinzu.
Mit Auswahl von = wird die Funktion aktiv.
Autonomous Flag
Whlen Sie, ob das Autonomous Address Configuration Flag (A-Flag)
gesetzt werden soll.
Dadurch nutzt ein Host das Prfix und eine Schnittstellen-ID, um daraus
seine Adresse abzuleiten.
Mit Auswahl von = wird die Funktion aktiv.
Bevorzugte Gltigkeitsdauer
Geben Sie eine Zeitspanne in Sekunden ein. Whrend dieser Zeit werden die Adressen, die mit Hilfe des Prfix per SLAAC erzeugt wurden,
bevorzugt verwendet.
Der Standardwert ist Sekunden.
Gltigkeitsdauer
Geben Sie eine Zeitspanne in Sekunden an, fr die das Prfix gltig ist.
Sekunden.
Hinweis
Der Wert fr die Gltigkeitsdauer sollte niedriger sein als
derjenige, der unter Erweiterte IPv6-Einstellungen fr die
Option Router-Gltigkeitsdauer konfiguriert ist.

68
8 LAN
bintec elmeg GmbH

Feld
Beschreibung
DHCP-MAC-Adresse
Nur fr Adressmodus = .>$

Ist Voreingestellte verwenden aktiviert (Standardeinstellung) wird die
Hardware-MAC-Adresse der Ethernet-Schnittstelle verwendet. Bei physikalischen Schnittstellen ist die aktuelle MAC-Adresse standardmig eingetragen.
Wenn Sie Voreingestellte verwenden deaktivieren, geben Sie eine
MAC-Adresse fr die virtuelle Schnittstelle ein, z. B.
66166:16.
Manche Provider verwenden hardware-unabhngige MAC-Adressen, um
ihren Clients IP-Adressen dynamisch zuzuweisen. Sollte Ihnen Ihr Provider eine MAC-Adresse zugewiesen haben, so tragen Sie diese hier ein.
DHCP-Hostname

Geben Sie den Hostnamen ein, der vom Provider gefordert wird. Die maximale Lnge des Eintrags betrgt 45 Zeichen.
DHCP Broadcast Flag

Whlen Sie aus, ob in den DHCP-Anfragen Ihres Gertes das BROADCAST Bit gesetzt werden soll oder nicht. Einige DHCP-Server, die IPAdressen mittels UNICAST vergeben, reagieren nicht auf DHCP-Anfragen mit gesetztem BROADCAST Bit. In diesem Falle ist es ntig, DHCP-Anfragen zu versenden, in denen dieses Bit nicht gesetzt ist. Deaktivieren Sie in diesem Fall diese Option.
Proxy ARP
Whlen Sie aus, ob Ihr Gert ARP-Requests aus dem eigenen LAN stellvertretend fr definierte Gegenstellen beantworten soll.
TCP-MSS-Clamping
Whlen Sie aus, ob Ihr Gert das Verfahren MSS Clamping anwenden
soll. Um die Fragmentierung von IP-Paketen zu verhindern, wird hierbei
vom Gert automatisch die MSS (Maximum Segment Size) auf den hier
einstellbaren Wert verringert.
Standardmig ist die Funktion nicht aktiv. Bei Aktivierung ist im Eingabefeld der Standardwert
eingetragen.

Feld
Beschreibung
Router-Gltigkeitsdauer
Nur fr IPv6 = 4, IPv6-Modus = ?3 und Router Advertisement bertragen = 4
Geben Sie eine Zeitspanne in Sekunden an. Fr dieses Intervall verbleibt
der Router in der Default Router List.
Der Standardwert ist Sekunden. Der Maximalwert ist

Sekunden. Ein Wert von besagt, dass der Router kein Standardrouter
69
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
ist und nicht in die Default Router List eingetragen werden soll.
Hinweis
Der Wert fr die Router-Gltigkeitsdauer sollte hher sein
als die krzeste Link-Prfix-Gltigkeitsdauer, die im unter
Grundlegende IPv6-Parameter fr die Schnittstelle konfiguriert ist.
Router-Prferenz
Whlen Sie die Prferenz Ihres Routers fr die Wahl des Standardrouters. Dies ist in Fllen ntzlich, in denen ein Knoten Advertisements von
mehreren Routern erhlt oder in Back-Up-Szenarien.
Mgliche Werte:
>+
/ (Standardwert)
; &
DHCP-Modus
Whlen Sie die an den DHCP-Client weitergeleiteten Informationen aus.
Hinweis
Der Router muss nicht als DHCP-Server eingerichtet sein.
Mit Auswahl von 4 .;((J ((
(Standardwert) werden nicht-adressbezogene Informationen, wie z. B.
DNS, VoIP, usw. durchgeleitet.
Aktivieren Sie diese Option, wenn die Hosts im Netzwerk ihre IP-Adresse
ber SLAAC automatisch bilden sollen. Der Router sendet in diesem Fall
ausschlielich nicht-adressbezogene Daten ber DHCP.
Mit Auswahl von -2 4 ,,23& werden
sowohl die IPv6-Adressen als auch alle nicht adressbezogenen Daten
vom Host per DHCP bezogen.
DNS-Propagation
Nur fr IPv6-Modus = ?3 und Router Advertisement bertragen

4
Whlen Sie aus, ob DNS-Server-Adressen ber Router Advertisements
propagiert werden sollen und wenn ja, auf welche Weise. Es werden maximal zwei DNS-Server-Adressen propagiert.
Mgliche Werte:
43,: Es wird keine DNS-Server-Adresse propagiert.
(:,: Die eigene IP-Adresse wird als DNS-Server-Adresse propagiert. Bei mehreren Adressen, werden die Adressen in folgender Reihenfolge propagiert:
Globale Adressen
ULA (Unique Local Addresses)
Link-Lokale-Adressen
70
8 LAN
bintec elmeg GmbH
Feld
Beschreibung
(,&: Die statisch konfigurierten und die dynamisch gelernten
DNS-Server-Eintrge werden gem ihrer Prioritt propagiert. Sind keine Eintrge vorhanden, werden keine Adressen propagiert.
8.2 VLAN
Durch die Implementierung der VLAN-Segmentierung nach 802.1Q ist die Konfiguration von VLANs auf
Ihrem Gert mglich. Insbesondere sind Funk-Ports eines Access Points in der Lage, das VLAN-Tag eines Frames, das zu den Clients gesendet wird, zu entfernen und empfangene Frames mit einer vorab
festgelegten VLAN-ID zu taggen. Durch diese Funktionalitt ist ein Access Point nichts anderes als eine
VLAN-fhiger Switch mit der Erweiterung, Clients in VLAN-Gruppen zusammenzufassen. Generell ist
die VLAN-Segmentierung mit allen Schnittstellen konfigurierbar.
Abb. 44: VLAN-Segmentierung
VLAN fr Bridging und VLAN fr Routing

Im Men LAN->VLAN werden VLANs (virtuelle LANs) mit Schnittstellen, die im Bridging-Modus arbeiten, konfiguriert. ber das Men VLAN knnen Sie alle dafr notwendigen Einstellungen vornehmen
und deren Status abfragen.
Achtung
Fr Schnittstellen, die im Routing-Modus arbeiten, wird der jeweiligen Schnittstelle lediglich eine VLAN-ID zugewiesen. Dies definieren Sie ber die Parameter Schnittstellenmodus = && !-#4;" und das Feld VLAN-ID im Men
LAN->IP-Konfiguration->Schnittstellen->Neu.
71
8 LAN
bintec elmeg GmbH
8.2.1 VLANs
In diesem Men knnen Sie sich alle bereits konfigurierten VLANs anzeigen lassen, Ihre Einstellungen
bearbeiten und neue VLANs erstellen. Standardmig ist das VLAN /& mit VLAN Identifier
= vorhanden, dem alle Schnittstellen zugeordnet sind.

um weitere VLANs zu konfigurieren.
Abb. 45: LAN->VLAN->VLANs->Neu
Das Men LAN->VLAN->VLANs->Neu besteht aus folgenden Feldern:

Felder im Men VLAN konfigurieren
Feld
Beschreibung
VLAN Identifier
Geben Sie die Ziffer ein, die das VLAN identifiziert. Im
-Men kann
dieser Wert nicht mehr verndert werden.

Mgliche Werte sind (Standardwert) bis
VLAN-Name
Geben Sie einen eindeutigen Namen fr das VLAN ein. Mglich ist eine
Zeichenkette mit bis zu 32 Zeichen.
Der voreingestellt VLAN-Name ist /&.
VLAN-Mitglieder
Whlen Sie die Ports aus, die zu diesem VLAN gehren sollen. ber die
Schaltflche Hinzufgen knnen Sie weitere Mitglieder hinzufgen.
Whlen Sie weiterhin zu jedem Eintrag aus, ob die Frames, die von diesem Port bertragen werden, && (also mit VLAN-Information) oder
5&& (also ohne VLAN-Information) bertragen werden sollen.
8.2.2 Portkonfiguration
In diesem Men knnen Sie Regeln fr den Empfang von Frames an den Ports des VLANs festlegen
und einsehen.
72
8 LAN
bintec elmeg GmbH
Abb. 46: LAN->VLANs->Portkonfiguration
Das Men LAN->VLANs->Portkonfiguration besteht aus folgenden Feldern:

Felder im Men Portkonfiguration
Feld
Beschreibung
Schnittstelle
Zeigt den Port an, fr den Sie die PVID definieren und Verarbeitungsregeln definieren.
PVID
Weisen Sie dem ausgewhlten Port die gewnschte PVID (Port VLAN
Identifier) zu.
Wenn ein Paket ohne VLAN-Tag diesen Port erreicht, wird es mit dieser
PVID versehen.
Frames ohne Tag verwerfen
Wenn die Option aktiviert ist, werden ungetaggte Frames verworfen. Ist
die Option deaktiviert, werden ungetaggte Frames mit der in diesem Men definierten PVID getaggt.
Nicht-Mitglieder verwerfen Wenn die Option aktiviert ist, werden alle getaggten Frames verworfen,
die mit einer VLAN-ID getaggt sind, in der der ausgewhlte Port nicht Mitglied ist.
8.2.3 Verwaltung
In diesem Men nehmen Sie allgemeine Einstellungen fr ein VLAN vor. Die Optionen sind fr jede
Bridge-Gruppe separat zu konfigurieren.
Abb. 47: LAN->VLANs->Verwaltung
Das Men LAN->VLANs->Verwaltung besteht aus folgenden Feldern:

Felder im Men Bridge-Gruppe br<ID> VLAN-Optionen
Feld
Beschreibung
VLAN aktivieren
Aktivieren oder deaktivieren Sie die spezifizierte Bridge-Gruppe fr

VLAN.
Standardmig ist die Funktion deaktiviert.
73
8 LAN
74
bintec elmeg GmbH
Feld
Beschreibung
Verwaltungs-VID
Whlen Sie die VLAN-ID des VLANs aus, in dem Ihr Gert arbeiten soll.
9 Wireless LAN
bintec elmeg GmbH
Kapitel 9 Wireless LAN

Bei Funk-LAN oder Wireless LAN (WLAN = Wireless Local Area Network) handelt es sich um den Aufbau eines Netzwerkes mittels Funktechnik.
Netzwerkfunktionen
Ein WLAN ermglicht genauso wie ein kabelgebundenes Netzwerk alle wesentlichen Netzwerkfunktionen. Somit steht der Zugriff auf Server, Dateien, Drucker und Mailsystem genauso zuverlssig zur Verfgung wie der firmenweite Internetzugang. Da keine Verkabelung der Gerte ntig ist, hat ein WLAN
den groen Vorteil, dass nicht auf bauliche Einschrnkungen geachtet werden muss (d. h. der Gertestandort ist unabhngig von der Position und der Zahl der Anschlsse).
Derzeit gltiger Standard: IEEE 802.11

Bei 802.11-WLANs sind alle Funktionen eines verkabelten Netzwerks mglich. WLAN sendet innerhalb
und auerhalb von Gebuden mit maximal 100 mW.
IEEE 802.11g ist der derzeit am weitesten verbreitete Standard fr Funk-LANs und bietet eine maximale
Datenbertragungsrate von 54 Mbit/s. Dieses Verfahren arbeitet im Funkfrequenzbereich von 2,4 GHz,
der gewhrleistet, dass Gebudeteile mglichst gut und bei nur geringer, gesundheitlich unproblematischer Sendeleistung durchdrungen werden.
Ein zu 802.11g kompatibler Standard ist 802.11b, der im 2,4 GHz-Band (2400 MHz - 2485 MHz) arbeitet
und eine maximale Datenbertragungsrate von 11 Mbit/s bietet. 802.11b- und 802.11g-WLAN Systeme
sind anmelde- und gebhrenfrei.
Mit 802.11a sind im Bereich 5150 GHz bis 5725 MHz Bandbreiten bis 54 Mbit/s nutzbar. Mit dem greren Frequenzbereich stehen 19 nicht berlappende Frequenzen (in Deutschland) zur Verfgung. Auch
dieser Frequenzbereich ist in Deutschland lizenzfrei nutzbar. In Europa werden mit 802.11h nicht nur 30
mW sondern 1000 mW Sendeleistung nutzbar, jedoch nur unter Einsatz von TPC (TX Power Control,
Methode zur Regelung der Sendeleistung bei Funksystemen zur Reduktion von Interferenzen) und DFS
(Dynamic Frequency Selection). TPC und DFS sollen sicherstellen, dass Satellitenverbindungen und
Radargerte nicht gestrt werden.
Der Standard 802.11n (Draft 2.0) verwendet fr die Datenbertragung die MIMO-Technik (Multiple Input
Multiple Output), was Datentransfer ber WLAN ber grere Entfernungen oder mit hheren Datenraten ermglicht. Mit einer Bandbreite von 20 oder 40 MHz werden so 150 bis 300 MBit/s Bruttodatenrate
erreicht.
Durch eine nderung im Telekommunikationsgesetz (TKG) wurde es mglich, das 5,8 GHz-Band (5755
MHz - 5875 MHz) fr sogenannte BFWA-Anwendungen (Broadband Fixed Wireless Access) zu nutzen.
Dazu ist allerdings eine Anmeldung bei der Bundesnetzagentur ntig. Jedoch ist auch hier der Einsatz
von TPC und DFS verbindlich.
9.1 WLAN
Im Men Wireless LAN->WLAN knnen Sie alle WLAN-Module Ihres Gerts konfigurieren.
Je nach Modellvariante sind ein oder zwei WLAN-Module, WLAN 1 und ggf. WLAN 2 verfgbar.
Konkrete Hinweise fr die Konfiguration von Wireless LAN finden Sie am Ende des Kapitels unter WLAN
- Konfigurationsbeispiel auf Seite 87.
9.1.1 Einstellungen Funkmodul

Im Men Wireless LAN->WLAN->Einstellungen Funkmodul wird eine bersicht ber alle Konfigurationsoptionen des WLAN-Moduls angezeigt.
75
9 Wireless LAN
bintec elmeg GmbH
Abb. 48: Wireless LAN ->WLAN->Einstellungen Funkmodul
9.1.1.1 Einstellungen Funkmodul ->

In diesem Men ndern Sie die Einstellungen des Funkmoduls.
um die Konfiguration zu bearbeiten.
Abb. 49: Wireless LAN ->WLAN->Einstellungen Funkmodul ->
fr Betriebsmodus 4++,,
7 % & # /,

Das Men Wireless LAN->WLAN->Einstellungen Funkmodul->
besteht aus folgenden Feldern:
Felder im Men WLAN-Einstellungen

Feld
Betriebsmodus
Beschreibung
Legen Sie fest, in welchem Modus das Funkmodul Ihres Gerts betrieben werden soll.
Mgliche Werte:
43, (Standardwert): Das Funkmodul ist nicht aktiv.
4++,,: Ihr Gert dient als Access Point in Ihrem Netzwerk.
Frequenzband
Whlen Sie das Frequenzband und ggf. den Einsatzbereich des Funkmoduls aus.
Fr Betriebsmodus = 4++,,
Mgliche Werte:
J >8 7D3 (Standardwert): Ihr Gert wird mit 2.4 GHz
76
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
(Mode 802.11b und Mode 802.11g) innerhalb oder auerhalb von Gebuden betrieben.

>8 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h) innerhalb
von Gebuden betrieben.

>8 D3 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h) auerhalb von Gebuden betrieben.

>8 7D3 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h) innerhalb oder auerhalb von Gebuden betrieben.
Kanal
Die Anzahl der whlbaren Kanle ist von der Lndereinstellung abhngig. Bitte ziehen Sie hier das aktuelle Datenblatt Ihres Gerts zu Rate.
Access-Point-Modus:
Durch das Einstellen des Netzwerknamens (SSID) im AccessPoint-Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich aber physisch immer noch behindern, falls sie auf denselben
bzw. zu nah nebeneinander liegenden Funkkanlen arbeiten. Falls Sie
also zwei oder mehr Funknetze mit geringem Abstand betreiben, ist es
ratsam, den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens 4 Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher,
ob die entsprechenden Clients diese Kanle auch untersttzen.
Mgliche Werte:
Fr Frequenzband = J >8 7D3
Mgliche Werte sind bis und 43 (Standardwert).
Fr Frequenzband =
>8
Mgliche Werte sind , , , und 43 (Standardwert)
Fr Frequenzband =
>8 7D3 und
>8 D3
Hier ist nur die Option 43 mglich.
Ausgewhlter Kanal
Zeigt den verwendeten Kanal an.
Bandbreite
Nicht fr Frequenzband = J >8 7D3

Whlen Sie aus, wie viele Kanle verwendet werden sollen.
Mgliche Werte:
/>8 (Standardwert): Ein Kanal mit 20 MHz Bandbreite wird verwendet.
/>8: Zwei Kanle mit je 20 MHz Bandbreite werden verwendet.
Dabei dient ein Kanal als Kontroll-Kanal und der andere als Erweiterungs-Kanal.
Anzahl der Spatial Streams
Nur fr Drahtloser Modus = :7&7, &7 und

Whlen Sie aus, wie viele Datenstrme parallel verwendet werden sollen.
Mgliche Werte:
: Zwei Datenstrme werden verwendet.
: Ein Datenstrom wird verwendet.
Sendeleistung
Whlen Sie den Maximalwert der abgestrahlten Antennenleistung. Die

77
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
tatschlich abgestrahlte Antennenleistung kann abhngig von der bertragenen Datenrate auch niedriger liegen als der eingestellte Maximalwert. Der Maximalwert der verfgbaren Sendeleistung ist lnderabhngig.
Mgliche Werte:
/9 (Standardwert): Die maximale Antennenleistung wird verwendet.

%
%
%
%
%
17 %
Felder im Men Performance-Einstellungen

Feld
Beschreibung
Drahtloser Modus
Whlen Sie die Wireless-Technologie aus, die der Access Point anwenden soll.
Fr Betriebsmodus = 4++,, und Frequenzband = J >8
7D3 .
Mgliche Werte:
&: Ihr Gert arbeitet ausschlielich nach 802.11g.
802.11b-Clients knnen nicht zugreifen.
:: Ihr Gert arbeitet ausschlielich nach 802.11b und zwingt
alle Clients dazu, sich anzupassen.
9 !:7&": Ihr Gert passt sich der Technologie der Clients an und arbeitet entweder nach 802.11b oder 802.11g.
9 & !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Nur
die Datenrate von 1 und 2 Mbit/s mssen von allen Clients untersttzt
werden (Basic Rates). Dieser Modus wird auch fr Centrino Clients bentigt, falls Verbindungsprobleme aufgetreten sind.
9 , !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Fr
mixed-short gilt: Die Datenraten 5.5 und 11 Mbit/s mssen von allen
Clients untersttzt werden (Basic Rates).
:7&7: Ihr Gert arbeitet entweder nach 802.11b, 802.11g
oder 802.11n.
&7: Ihr Gert arbeitet entweder nach 802.11g oder 802.11n.
: Ihr Gert arbeitet ausschlielich nach 802.11n.
Fr Betriebsmodus = 4++,, und Frequenzband =
>8
,
>8 D3 ,
>8 7D3 .
Mgliche Werte:
: Ihr Gert arbeitet ausschlielich nach 802.11a.
7: Ihr Gert arbeitet entweder nach 802.11a oder 802.11n.
Airtime Fairness
Diese Funktion ist nicht fr alle Gerte verfgbar.

Mit der Airtime Fairness -Funktion wird gewhrleistet, dass Senderes-
78
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
sourcen des Access Points intelligent auf die verbundenen Clients verteilt
werden. Dadurch lsst sich verhindern, dass ein leistungsfhiger Client
(z. B. ein 802.11n-Client) nur geringen Durchsatz erzielt, da ein weniger
leistungsfhiger Client (z. B. ein 802.11a-Client) bei der Zuteilung gleich
behandelt wird.
Diese Funktion wirkt sich lediglich auf nicht priorisierte Frames der
WMM-Klasse "Background" aus.

Felder im Men Erweiterte Einstellungen fr Betriebsmodus = Access-Point
Feld
Beschreibung
Kanalplan
Nur fr Betriebsmodus = 4++,, und Kanal = 43

Whlen Sie den gewnschten Kanalplan aus.
Der Kanalplan trifft bei der Kanalwahl eine Vorauswahl. Dadurch wird sichergestellt, dass sich keine Kanle berlappen, d. h. dass zwischen den
verwendeten Kanlen ein Abstand von vier Kanlen eingehalten wird.
Dies ist ntzlich, wenn mehrere Access Points eingesetzt werden, deren
Funkzellen sich berlappen.
Mgliche Werte:
4: Alle Kanle knnen bei der Kanalwahl gewhlt werden.
43: Abhngig von der Region, vom Frequenzband, vom drahtlosen
Modus und von der Bandbreite werden diejenigen Kanle zur Verfgung gestellt, die vier Kanle Abstand haben.
%38 1: Whlen Sie die gewnschten Kanle selbst
aus.
Ausgewhlte Kanle
Nur fr Kanalplan = %38 1

Hier werden die aktuell gewhlten Kanle angezeigt.
Mit Hinzufgen knnen Sie Kanle hinzufgen. Wenn alle verfgbaren
Kanle angezeigt werden, knnen Sie keine Eintrge hinzufgen.
Mithilfe von
RTS Threshold
-Symbol knnen Sie Eintrge lschen.
Hier whlen Sie aus, wie der RTS/CTS-Mechanismus ein- bzw. ausgeschaltet werden soll.
Whlen Sie %38 1 aus, knnen Sie in das Eingabefeld
den Schwellwert in Bytes (1 - 2346) angeben, ab welcher Datenpaketlnge der RTS/CTS-Mechanismus verwendet werden soll. Dies ist sinnvoll,
wenn an einem Access Point mehrere Clients betrieben werden, die sich
gegenseitig nicht in Funkreichweite befinden. Der Mechanismus kann
auch unabhngig von der Datenpaketlnge ein- bzw. ausgeschaltet werden, indem die Werte bzw.
(Standardwert) ausgewhlt werden.
Short Guard Interval
Aktivieren Sie diese Funktion, um das Guard Interval (= Zeit zwischen

der bertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkrzen.
Fragmentation Threshold
Geben Sie die maximale Gre an, ab der Datenpakete fragmentiert (d.
79
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
h. in kleinere Einheiten aufgeteilt) werden. Niedrige Werte in diesem Feld
sind in Bereichen mit schlechtem Empfang und bei Funkstrungen empfehlenswert.
Mglich Werte sind
bis .
Der Standardwert ist Bytes.
9.1.2 Drahtlosnetzwerke (VSS)

Wenn Sie Ihr Gert im Access-Point-Modus betreiben ( Wireless LAN->WLAN->Einstellungen Funkmodul-> ->Betriebsmodus = 4++,,), knnen Sie im Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS)->Neu die gewnschten Drahtlosnetzwerke Bearbeiten oder neue einrichten.
Hinweis
Das voreingestellte Drahtlosnetzwerk default verfgt im Auslieferungszustand ber folgende Sicherheitseinstellungen:
Sicherheitsmodus = =4(<
WPA-Modus = =4 3 =4
WPA Cipher sowie WPA2 Cipher = 4( 3 <
Der Preshared Key ist mit einem systeminternen Wert belegt, den Sie bei der Konfiguration abndern mssen.
Einstellen von Netzwerknamen

Im Gegensatz zu einem ber Ethernet eingerichteten LAN verfgt ein Wireless LAN nicht ber Kabelstrnge, mit denen eine feste Verbindung zwischen Server und Clients hergestellt wird. Daher kann es
bei unmittelbar benachbarten Funknetzen zu Strungen oder zu Zugriffsverletzungen kommen. Um dies
zu verhindern, gibt es in jedem Funknetz einen Parameter, der das Netz eindeutig kennzeichnet und
vergleichbar mit einem Domainnamen ist. Nur Clients, deren Netzwerk-Konfiguration mit der ihres Gerts bereinstimmt, knnen in diesem WLAN kommunizieren. Der entsprechende Parameter heit Netzwerkname. Er wird im Netzwerkumfeld manchmal auch als SSID bezeichnet.
Absicherung von Funknetzwerken

Da im WLAN Daten ber das bertragungsmedium Luft gesendet werden, knnen diese theoretisch
von jedem Angreifer, der ber die entsprechenden Mittel verfgt, abgefangen und gelesen werden. Daher muss der Absicherung der Funkverbindung besondere Beachtung geschenkt werden.
Es gibt drei Sicherheitsstufen, WEP, WPA-PSK und WPA Enterprise. WPA Enterprise bietet die hchste
Sicherheit, diese Sicherheitsstufe ist allerdings eher fr Unternehmen interessant, da ein zentraler Authentisierungsserver bentigt wird. Privatanwender sollten WEP oder besser WPA-PSK mit erhhter Sicherheit als Sicherheitsstufe auswhlen.
WEP
802.11 definiert den Sicherheitsstandard WEP (Wired Equivalent Privacy = Verschlsselung der Daten
mit 40 Bit (Sicherheitsmodus = = ) bzw. 104 Bit ( Sicherheitsmodus = = ). Das verbreitet
genutzte WEP hat sich jedoch als anfllig herausgestellt. Ein hheres Ma an Sicherheit erreicht man
jedoch nur durch zustzlich zu konfigurierende, auf Hardware basierende Verschlsselung (wie z. B.
3DES oder AES). Hierdurch knnen auch sensible Daten ohne Angst vor Datendiebstahl ber die Funkstrecke bertragen werden.
IEEE 802.11i
80
9 Wireless LAN
bintec elmeg GmbH
Der Standard IEEE 802.11i fr Wireless-Systeme beinhaltet grundstzliche Sicherheitsspezifikationen

fr Funknetze, besonders im Hinblick auf Verschlsselung. Er ersetzt das unsichere Verschlsselungsverfahren WEP (Wired Equivalent Privacy) durch WPA (Wi-Fi Protected Zugriff). Zudem sieht er die Verwendung des Advanced Encryption Standard (AES) zur Verschlsselung von Daten vor.
WPA
WPA (Wi-Fi Protected Access) bietet zustzlichen Schutz durch dynamische Schlssel, die auf dem
Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Nutzern PSK
(Pre-Shared-Keys) oder Extensible Authentication Protocol (EAP) ber 802.1x (z. B. RADIUS) an.
Die Authentifizierung ber EAP wird meist in groen Wireless-LAN-Installationen genutzt, da hierfr eine
Authentifizierungsinstanz in Form eines Servers (z. B. eines RADIUS-Servers) bentigt wird. In kleineren Netzwerken, wie sie im SoHo (Small Office, Home Office) hufig vorkommen, werden meist PSKs
(Pre-Shared-Keys) genutzt. Der entsprechende PSK muss somit allen Teilnehmern des Wireless LAN
bekannt sein, da mit seiner Hilfe der Sitzungsschlssel generiert wird.
WPA 2
Die Erweiterung von WPA ist WPA 2 . In WPA 2 wurde nicht nur der 802.11i-Standard erstmals vollstndig umgesetzt, sondern es nutzt auch einen anderen Verschlsselungsalgorithmus (AES, Advanced Encryption Standard).
Zugangskontrolle
Sie knnen kontrollieren, welche Clients ber Ihr Gert auf Ihr Wireless LAN zugreifen drfen, indem Sie
eine Access Control List anlegen (Zugriffskontrolle oder MAC-Filter). In der Access Control List tragen
Sie die MAC-Adressen der Clients ein, die Zugriff auf Ihr Wireless LAN haben drfen. Alle anderen Clients haben keinen Zugriff.
Sicherheitsmanahmen
Zur Absicherung der ber das WLAN bertragenen Daten sollten Sie im Men Wireless
LAN->WLAN->Drahtlosnetzwerke (VSS)->Neu gegebenenfalls folgende Konfigurationsschritte vornehmen:
ndern Sie die Zugangspasswrter Ihres Gerts.
ndern Sie die Standard-SSID, Netzwerkname (SSID) = 13, Ihres Access Points. Setzen Sie
Sichtbar = 4. Damit werden alle WLAN-Clients ausgeschlossen, die mit dem allgemeinen
Wert fr Netzwerkname (SSID) %:& einen Verbindungsaufbau versuchen und welche die eingestellten SSIDs nicht kennen.
Nutzen Sie die zur Verfgung stehenden Verschlsselungsmethoden. Whlen Sie dazu Sicherheitsmodus = = , = , =4(< oder =4*, und tragen Sie den entsprechenden
Schlssel im Access Point unter WEP-Schlssel 1 - 4 bzw. Preshared Key sowie in den WLAN-Clients ein.
Der WEP-Schlssel sollte regelmig gendert werden. Wechseln Sie dazu den bertragungsschlssel. Whlen Sie den lngeren 104-Bit-WEP-Schlssel.
Fr die bertragung von extrem sicherheitsrelevanten Informationen sollte der Sicherheitsmodus =
=4*, mit WPA-Modus = =4 konfiguriert werden. Diese Methode beinhaltet eine
hardwarebasierte Verschlsselung und RADIUS-Authentifizierung des Clients. In Sonderfllen ist
auch eine Kombination mit IPSec mglich.
Beschrnken Sie den Zugriff im WLAN auf zugelassene Clients. Tragen Sie die MAC-Adressen der
Funknetzwerkkarten dieser Clients in die Erlaubte Adressen-Liste im Men MAC-Filter ein (siehe
Felder im Men MAC-Filter auf Seite 85).
Im Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS) wird eine Liste aller WLAN-Netzwerke angezeigt.
81
9 Wireless LAN
bintec elmeg GmbH

um weitere Drahtlosnetzwerke zu konfigurieren.
Abb. 50: Wireless LAN ->WLAN->Drahtlosnetzwerke (VSS) ->
->Neu
Das Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS)->
->Neu besteht aus folgenden Fel-
dern:
Felder im Men Service Set Parameter
Feld
Beschreibung
Netzwerkname (SSID)
Geben Sie den Namen des Wireless Netzwerks (SSID) ein.

Geben Sie eine ASCII-Zeichenfolge mit max. 32 Zeichen ein.
Whlen Sie auerdem aus, ob der Netzwerkname (SSID) bertragen
werden soll.
Mit Auswahl von (+ : wird der Netzwerkname sichtbar bertragen.
Standardmig ist er sichtbar.
Intra-cell Repeating
Whlen Sie aus, ob die Kommunikation zwischen den WLAN-Clients innerhalb einer Funkzelle erlaubt sein soll.
82
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
WMM
Whlen Sie aus, ob fr das Drahtlosnetzwerk Sprach- oder VideodatenPriorisierung mittels WMM (Wireless Multimedia) aktiviert sein soll, um
stets eine optimale bertragungsqualitt bei zeitkritischen Anwendungen
zu erreichen. Es wird Datenpriorisierung nach DSCP (Differentiated Services Code Point) oder IEEE802.1d untersttzt.
U-APSD
Whlen Sie aus, ob der Stromsparmodus Unscheduled Automatic Power

Save Delivery (U-APSD) aktiviert werden soll.
Felder im Men Sicherheitseinstellungen

Feld
Beschreibung
Sicherheitsmodus
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes aus.
Mgliche Werte:
(Standardwert): Weder Verschlsselung noch Authentifizierung
= : WEP 40 Bit
= : WEP 104 Bit
=4(<: WPA Preshared Key
=4*,: 802.11i/TKIP
bertragungsschlssel
Nur fr Sicherheitsmodus = = oder =

Whlen Sie einen der in WEP-Schlssel <1 - 4> konfigurierten Schlssel
als Standardschlssel aus.
Der Standardwert ist (+ F,, .
WEP-Schlssel 1-4
Nur fr Sicherheitsmodus = = , =

Geben Sie den WEP-Schlssel ein.
Geben Sie eine Zeichenfolge mit der fr den gewhlten WEP-Modus
passenden Zeichenanzahl ein. Fr = bentigen Sie eine Zeichenfolge mit 5 Zeichen, fr = mit 13 Zeichen, z. B. fr =
, 2* fr = .
WPA-Modus
Nur fr Sicherheitsmodus = =4(< und =4*,

Whlen Sie aus, ob Sie WPA (mit TKIP-Verschlsselung) oder WPA 2
(mit AES-Verschlsselung) oder beides anwenden wollen.
Mgliche Werte:
=4 3 =4 (Standardwert): WPA und WPA 2 knnen angewendet werden.
=4: Nur WPA wird angewendet.
=4 : Nur WPA 2 wird angewendet.
83
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
WPA Cipher
Nur fr Sicherheitsmodus = =4(< und =4*, und fr

WPA-Modus = =4 und =4 3 =4
Whlen Sie aus, mit welcher Verschlsselung Sie WPA anwenden wollen.
Mgliche Werte:
4( : AES wird angewendet.
<: TKIP wird angewendet
4( 3 < (Standardwert): AES oder TKIP werden angewendet.
WPA2 Cipher

Whlen Sie aus, mit welcher Verschlsselung Sie WPA 2 anwenden wollen.
Mgliche Werte:
4( : AES wird angewendet.
4( 3 < (Standardwert): AES oder TKIP werden angewendet.
Preshared Key
Nur fr Sicherheitsmodus = =4(<

Geben Sie das WPA-Passwort ein.
Geben Sie eine ASCII-Zeichenfolge mit 8 - 63 Zeichen ein.
Hinweis
ndern Sie unbedingt den Standard Preshared Key! Solange der Schlssel nicht gendert wurde, ist ihr Gert nicht
gegen einen unautorisierten Zugriff geschtzt!
EAPVorabauthentifizierung
Nur fr Sicherheitsmodus = =4*,

Whlen Sie aus, ob EAP-Vorabauthentifizierung aktiviert werden soll. Mit
dieser Funktion gibt ihr Gert bekannt, dass WLAN-Clients, die schon mit
einem anderen Access Point verbunden sind, vorab eine
802.1x-Authentifizierung mit Ihrem Gert durchfhren knnen, sobald sie
in Reichweite sind. Solche WLAN-Clients knnen sich anschlieend auf
vereinfachte Weise ber die bestehende Netzwerkverbindung mit Ihrem
Gert verbinden.
Felder im Men Client-Lastverteilung

Feld
Beschreibung
Max. Anzahl Clients - Hard

Geben Sie die maximale Anzahl an Clients ein, die sich mit diesem
Limit
Drahtlosnetzwerk (SSID) verbinden drfen.
Die Anzahl der Clients, die sich maximal an einem Funkmodul anmelden
knnen, ist abhngig von der Spezifikation des jeweiligen WLAN-Moduls.
Diese Anzahl verteilt sich auf alle auf diesem Radiomodul Drahtlosnetzwerke. Ist die maximale Anzahl an Clients erreicht, knnen keine neuen
Drahtlosnetzwerke mehr angelegt werden und es erscheint ein Warnhinweis.
84
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
Mgliche Werte sind ganze Zahlen von bis
.
Max. Anzahl Clients - Soft

Limit
Diese Funktion wird nicht von allen Gerten untersttzt.

Um eine vollstndie Auslastung eines Radiomoduls zu vermeiden, knnen Sie hier eine "weiche" Begrenzung der Anzahl verbundener Clients
vornehmen. Wird diese Anzahl erreicht, werden neue Verbindungsanfragen zunchst abgelehent. Findet der Client kein anderes Drahtlosnetzwerk und wiederholt daher seine Anfrage, wird die Verbindung akzeptiert.
Erst bei Erreichen des Max. Anzahl Clients - Hard Limit werden Anfragen strikt abgelehnt.
Der Wert der Max. Anzahl Clients - Soft Limit muss gleich oder kleiner
sein als der Max. Anzahl Clients - Hard Limit.
Sie knnen diese Funktion deaktivieren, indem Sie Max. Anzahl Clients
- Soft Limit und Max. Anzahl Clients - Hard Limit auf den gleichen
Wert einstellen.
Auswahl des Client-Bands

Diese Funktion erfordert eine Konfiguration mit zwei Radiomodulen, bei
der das gleiche Drahtlosnetzwerk auf beiden Modulen, aber in unterschiedlichen Frequenzbndern konfiguriert ist.
Die Option Auswahl des Client-Bands ermglicht es, Clients von dem
urspnglich ausgewhlten in ein weniger ausgelastetes Frequenzband zu
verschieben, sofern dieses vom Client untersttzt wird. Dazu wird ein
Verbindungsversuch des Clients ggf. zunchst abgelehnt, damit dieser
sich in einem anderen Frequenzband erneut anzumelden versucht.
Mgliche Werte:
.J * 1F ', ?& (Standardwert):
Die Funktion wird fr dieses VSS nicht angewendet. Dies ist dann sinnvoll, wenn Clients zwischen unterschiedlichen Funkzellen mglichst
verzgerungsfrei wechseln sollen, z. B. bei Voice over WLAN.
J>8% :83&: Clients werden bevorzugt im
2,4-GHz-Band akzeptiert.

>8% :83&: Clients werden bevorzugt im 5-GHz-Band
akzeptiert.
Felder im Men MAC-Filter
Feld
Beschreibung
Zugriffskontrolle
Whlen Sie aus, ob fr dieses Wireless Netzwerk nur bestimmte Clients

zugelassen werden sollen.
Erlaubte Adressen
Nur bei Zugriffskontrolle = 4

Legen Sie Eintrge mit Hinzufgen an und geben Sie die MACAdressen der Clients (MAC-Adresse) ein, die zugelassen werden sollen.
Felder im Men Bandbreitenbeschrnkung fr jeden WLAN-Client

85
9 Wireless LAN
bintec elmeg GmbH
Feld
Beschreibung
Rx Shaping
Whlen Sie die Begrenzung der Bandbreite in Empfangsrichtung.

Mgliche Werte sind
< %&83& (Standardwert)
/:7,, /:7,, /:7, bis /:7, in Einerschritten,

/:7,, /:7,, /:7,, /:7, und
/:7,.
Tx Shaping
Whlen Sie die Begrenzung der Bandbreite in Senderichtung.

Mgliche Werte sind

/:7,, /:7,, /:7,, /:7, und
/:7,.

Feld
Beschreibung
Beacon Period
Geben Sie die Zeit in Millisekunden zwischen dem Senden zweier Beacons an.
Dieser Wert wird in Beacon und Probe Response Frames bermittelt.

.
Der Standardwert ist ms.
DTIM Period
Geben Sie das Intervall fr die Delivery Traffic Indication Message

(DTIM) an.
Das DTIM-Feld ist ein Datenfeld in den ausgesendeten Beacons, das Clients ber das Fenster zur nchsten Broadcast- oder Multicast-bertragung informiert. Wenn Clients im Stromsparmodus arbeiten, wachen
sie zum richtigen Zeitpunkt auf und empfangen die Daten.
.
IGMP Snooping
IGMP Snooping reduziert den Datenverkehr und damit die Netzlast, weil
Multicast Pakete aus dem LAN nicht weitergeleitet werden. Es werden
ausschlielich Multicast-Pakete weitergeleitet, die von den entsprechenden Clients angefordert werden. Wenn Sie IGMP Snooping aktivieren,
gibt IGMP Snooping daher den Rahmen vor, in dem Multicast angewendet wird.
9.2 Verwaltung
Das Men Wireless LAN->Verwaltung enthlt grundlegende Einstellungen, um Ihr Gateway als Access
Point (AP) zu betreiben.
86
9 Wireless LAN
bintec elmeg GmbH
9.2.1 Grundeinstellungen
Abb. 51: Wireless LAN ->Verwaltung ->Grundeinstellungen
Das Men Wireless LAN->Verwaltung->Grundeinstellungen besteht aus folgenden Feldern:

Felder im Men WLAN Administration
Feld
Beschreibung
Region
Whlen Sie das Land, in welchem der Access Point betrieben werden
soll.
Mgliche Werte sind alle auf dem Wireless-Modul des Gerts vorkonfigurierten Lnder.
Der Bereich der auswhlbaren Kanle (Kanal im Men Wireless
LAN->WLAN->Einstellungen Funkmodul) variiert je nach Lndereinstellung.
Der Standardwert ist 0.
9.3 Konfiguration
9.3.1 WLAN - Konfigurationsbeispiel
Voraussetzungen
Ihr LAN ist ber die erste Ethernet-Schnittstelle (Port 1) Ihres Gerts angeschlossen
Ein Client mit geeignetem Betriebssystem und WLAN
Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz 7 fr Clients aus dem
LAN und WLAN.
Eine z. B. mit dem Assistenten Schnellstart im Abschnitt Internet konfigurierte Verbindung zum
WAN, z. B. =4;K-.(#K.
Beispielszenario
87
9 Wireless LAN
bintec elmeg GmbH
Beispielszenario WLAN mit WPA-PSK
Konfigurationsziel
Konfiguration eines zustzlichen WLANs (Gaeste-WLAN)
Konfigurationsschritte im berblick
Gaeste-WLAN einrichten
Feld
Men
Wert
Netzwerkname (SSID)
Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu
z. B. ,=#4;
Sichtbar
Aktiviert
Sicherheitsmodus
=4(<
WPA-Modus
=4
Preshared Key
z. B. (3*(+
Feld
Men
Wert
Aktion
Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS)
Gaeste-WLAN aktivieren
IP-Pool zuordnen
88
Feld
Men
Wert
Adressmodus
LAN -> IP-Konfiguration -> Schnittstellen -> vss7-11
(,+
IP-Adresse / Netzmaske
LAN-> IP-Konfiguration-> Schnittstellen- z. B. /

> vss7-11
-> Hinzufgen

IP-Poolname
Lokale Dienste -> DHCP-Server-> IPPool-Konfiguration -> Neu
z. B. ,
IP-Adressbereich
Lokale Dienste -> DHCP-Server -> IPPool-Konfiguration -> Neu
z. B.

Schnittstelle
Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu
,,)
IP-Poolname
Lokale Dienste -> DHCP-Server -> DH-
z. B. ,
9 Wireless LAN
bintec elmeg GmbH
Feld
Men
Wert
CP-Konfiguration -> Neu

Firewall-Regeln einrichten
Feld
Men
Wert
Quelle
Firewall -> Richtlinien ->

IPv4-Filterregeln -> Neu
=#4;K-(()
Ziel

z. B. =4;K-.(#K#<D/
Dienst

0
Aktion

E3&11
Quelle

=#4;K-(()
Ziel

z. B. =4;
Dienst

0
Aktion

-2&
89
10 Wireless LAN Controller
bintec elmeg GmbH
Kapitel 10 Wireless LAN Controller

Mit dem Wireless LAN Controller knnen Sie eine WLAN-Infrastruktur mit mehreren Access Points
(APs) aufbauen und verwalten. Der WLAN Controller verfgt ber einen Wizard, der Sie bei der Konfiguration Ihrer Access Points untersttzt. Das System nutzt das CAPWAP-Protokoll (Control and Provisioning of Wireless Access Points Protocol) fr die Kommunikation zwischen Master und Slaves.
Sobald der Controller alle APs in seinem System "gefunden" hat, bekommen diese nacheinander jeweils
ein neues Passwort und eine neue Konfiguration, d.h. sie werden ber den WLAN Controller verwaltet
und sind nicht mehr von "auen" manipulierbar.
Mit dem WLAN Controller knnen Sie im einzelnen
Access Points (APs) automatisch erkennen und zu einem WLAN vernetzen
Eine Systemsoftware in die APs laden
Eine Konfiguration in die APs laden
APs berwachen und verwalten.
Die Anzahl der APs, die Sie mit dem Wireless LAN Controller Ihres Gateways verwalten knnen, sowie
die Information ber die notwendigen Lizenzen entnehmen Sie bitte dem Datenblatt Ihres Gateways.
10.1 Wizard
Das Men Wizard bietet eine Schritt-fr-Schritt-Anleitung fr das Einrichten einer WLAN-Infrastruktur.
Der Wizard fhrt Sie durch die Konfiguration.
Bei Aufruf des Wizard erhalten Sie Anweisungen und Erluterungen auf den einzelnen Assistentenseiten.
Hinweis
Wir empfehlen Ihnen, den Wizard auf jeden Fall bei der Erstkonfiguration Ihrer WLANInfrastruktur zu verwenden.
10.1.1 Grundeinstellungen
Sie knnen hier alle Einstellungen konfigurieren, die Sie fr den eigentlichen Wireless LAN Controller
bentigen.
Der Wireless LAN Controller verwendet folgende Einstellungen:
Region
Whlen Sie das Land, in welchem der Wireless Controller betrieben werden soll.
Hinweis: Der Bereich der verwendbaren Kanle variiert je nach Lndereinstellung.
Schnittstelle
Whlen Sie die Schnittstelle, die fr den Wireless Controller verwendet werden soll.
DHCP-Server
Whlen Sie aus, ob ein externer DHCP-Server die IP-Adressen an die APs vergeben soll bzw. ob Sie
selbst feste IP-Adressen vergeben wollen. Alternativ knnen Sie Ihr Gert als DHCP-Server verwenden.
Bei diesem internen DHCP-Server ist die CAPWAP Option 138 aktiv, um die Kommunikation zwischen
Master und Slaves zu ermglichen.
Wenn Sie in Ihrem Netzwerk statische IP-Adressen verwenden, mssen Sie diese IP-Adressen auf allen
90
bintec elmeg GmbH
APs von Hand eingeben. Die IP-Adresse des Wireless LAN Controllers mssen Sie bei jedem AP im
Men Systemverwaltung ->Globale Einstellungen->System im Feld Manuelle IP-Adresse des
WLAN-Controller eintragen.
Hinweis: Stellen Sie bei Nutzung eines externen DHCP-Servers sicher, dass CAPWAP Option 138 aktiv
ist.
Wenn Sie z. B. eine Digitalisierungsbox als DHCP-Server verwenden wollen, klicken Sie im GUI Men
dieses Gerts unter Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu->Erweiterte Einstellungen im Feld DHCP-Optionen auf die Schaltflche Hinzufgen. Whlen Sie als Option $4=4
$ und tragen Sie im Feld Wert die IP-Adresse des WLAN Controllers ein.
IP-Adressbereich
Wenn die IP-Adressen intern vergeben werden sollen, mssen Sie die Anfangs-und End-IP-Adresse
des gewnschten Bereiches eingeben.
Hinweis: Wenn Sie auf Weiter klicken, erscheint eine Warnung, dass beim Fortfahren die WirelessLAN-Controller-Konfiguration berschrieben wird. Mit Klicken auf OK sind Sie einverstanden und fahren
mit der Konfiguration fort.
10.1.2 Funkmodulprofil
Whlen Sie aus, welches Frequenzband Ihr WLAN Controller verwenden soll.
Mit der Einstellung >8 ? 1 wird das 2.4-GHz-Frequenzband verwendet.
Mit der Einstellung
>8 ? 1 wird das 5-GHz-Frequenzband verwendet.
Wenn das entsprechende Gert zwei Funkmodule enthlt, knnen Sie Zwei unabhngige Funkmodulprofile verwenden. Modul 1 wird dadurch das >8 ? 1 zugeordnet, Modul 2 das
>8 ? 1 .
10.1.3 Drahtlosnetzwerk
In der Liste werden alle konfigurierten Drahtlosnetzwerke (VSS) angezeigt. Es ist mindestens ein Drahtlosnetzwerk (VSS) angelegt. Dieser Eintrag kann nicht gelscht werden.
Zum Bearbeiten eines vorhandenen Eintrags klicken Sie auf
Mithilfe von
Mit Hinzufgen knnen Sie neue Eintrge anlegen. Fr ein Funkmodul knnen Sie bis zu acht Drahtlosnetzwerke (VSS) anlegen.
Hinweis
Wenn Sie das standardmig angelegte Drahtlosnetzwerk verwenden wollen, mssen Sie
mindestens den Parameter Preshared Key ndern. Andernfalls erscheint eine Aufforderung.
10.1.3.1 Drahtlosnetzwerke ndern oder hinzufgen

Zum Bearbeiten eines vorhandenen Eintrags klicken Sie auf
Mit Hinzufgen knnen Sie neue Eintrge anlegen.

Folgende Parameter stehen zur Verfgung
91
bintec elmeg GmbH
Netzwerkname (SSID)
Geben Sie den Namen des Drahtlosnetzwerks (SSID) ein.
Whlen Sie auerdem aus, ob der Netzwerkname (SSID) (+ : bertragen werden soll.
Sicherheitsmodus
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes
aus.
Hinweis: =4*, bedeutet 802.11x.
WPA-Modus
Whlen Sie fr Sicherheitsmodus = =4(< oder =4*, aus, ob Sie WPA oder WPA 2
oder beides anwenden wollen.
Preshared Key
Geben Sie fr Sicherheitsmodus = =4(< das WPA-Passwort ein.
Geben Sie eine ASCII Zeichenfolge mit 8 - 63 Zeichen ein.
Wichtig
ndern Sie unbedingt den Standard Preshared Key! Solange der Key nicht gendert wurde, ist ihr Gert nicht gegen einen unautorisierten Zugriff geschtzt!
RADIUS-Server
Sie knnen den Zugang zu einem Drahtlosnetzwerk ber einen RADIUS-Server regeln.
Mit Hinzufgen knnen Sie neue Eintrge anlegen.
Geben Sie die IP-Adresse und das Passwort des gewnschten RADIUS-Servers ein.
EAP-Vorabauthentifizierung
Whlen Sie fr Sicherheitsmodus = =4*, aus, ob EAP-Vorabauthentifizierung 4
werden soll. Mit dieser Funktion gibt ihr Gert bekannt, dass WLAN-Clients, die schon mit einem
anderen Access Point verbunden sind, vorab eine 802.1x-Authentifizierung mit Ihrem Gert durchfhren
knnen, sobald sie in Reichweite sind. Solche WLAN-Clients knnen sich anschlieend auf vereinfachte
Weise ber die bestehende Netzwerkverbindung mit Ihrem Gert verbinden.
VLAN
Whlen Sie aus, ob fr dieses Drahtlosnetzwerk VLAN-Segmentierung verwendet werden soll.
Wenn Sie VLAN-Segmentierung verwenden wollen, geben Sie in das Eingabefeld einen Zahlenwert zwischen und ein, um das VLAN zu identifizieren (VLAN ID ist nicht mglich!).
Hinweis
Bevor Sie fortfahren, stellen Sie sicher, dass alle Access Points, die der WLAN Controller
verwalten soll, korrekt verkabelt und eingeschaltet sind.
10.1.4 Automatische Installation starten

Sie sehen eine Liste der gefundenen Access Points.
Wenn Sie die Einstellungen eines gefundenen APs ndern wollen, klicken Sie im entsprechenden Ein92
bintec elmeg GmbH
trag auf
Sie sehen die Einstellungen des gewhlten Access Points. Sie knnen diese Einstellungen ndern.
Folgende Parameter stehen im Men Access-Point-Einstellungen zur Verfgung:
Standort
Zeigt den angegebenen Standort des APs. Sie knnen einen anderen Standort eingeben.
Zugewiesene Drahtlosnetzwerke (VSS)
Zeigt die aktuell zugewiesenen Drahtlosnetzwerke.
Folgende Parameter stehen im Men Funkmodul 1 zur Verfgung:
(Wenn der AP ber zwei Funkmodule verfgt, werden die Abschnitte Funkmodul 1 und Funkmodul 2 angezeigt.)
Betriebsmodus
Whlen Sie den Betriebsmodus des Funkmoduls.
Mgliche Werte:
(Standardwert): Das Funkmodul dient als Access Point in Ihrem Netzwerk.
43,: Das Funkmodul ist nicht aktiv.
Aktives Funkmodulprofil
Zeigt das aktuell gewhlte Funkmodulprofil. Sie knnen ein anderes Funkmodulprofil aus der Liste whlen, wenn mehrere Funkmodulprofile angelegt sind.
Kanal
Zeigt den zugewiesenen Kanal. Sie knnen einen alternativen Kanal whlen.
Hinweis
Durch das Einstellen des Netzwerknamens (SSID) im Access-Point-Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich aber physisch immer noch behindern, falls sie auf denselben bzw. zu nah nebeneinander liegenden Funkkanlen arbeiten.
Falls Sie also zwei oder mehr Funknetze mit geringem Abstand betreiben, ist es ratsam,
den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens vier Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher, ob die entsprechenden APs
diese Kanle untersttzen.
Sendeleistung
Zeigt die Sendeleistung in dBm. Sie knnen eine andere Sendeleistung whlen.
Mit OK bernehmen Sie die Einstellungen.
Whlen Sie die Access Points, welche der WLAN Controller verwalten soll. Klicken Sie dazu in der Spalte Manage auf die gewnschten Eintrge oder klicken Sie auf Alle auswhlen, um alle Eintrge auszuwhlen. Klicken Sie auf die Schaltflche Alle deaktivieren, um alle Eintrge zu deaktivieren und danach
bei Bedarf einzelne Eintrge auszuwhlen (z. B. bei groen Listen).
Klicken Sie auf Start, um das WLAN zu installieren und die Frequenzen automatisch zuordnen zu lassen.
93
bintec elmeg GmbH
Hinweis
Falls nicht gengend Lizenzen zur Verfgung stehen, erscheint die Meldung "Die maximale Anzahl der verwaltbaren Slave Access Points wird berschritten. Bitte berprfen Sie Ihre Lizenzen!" Wenn diese Meldung angezeigt wird, sollten Sie gegebenenfalls zustzliche
Lizenzen erwerben.
Whrend der Installation des WLANs und der Zuordnung der Frequenzen sehen Sie an den angezeigten Meldungen, wie weit die Installation fortgeschritten ist. Die Anzeige wird laufend aktualisiert.
Sobald fr alle Access Points berlappungsfreie Funkkanle gefunden sind, wird die Konfiguration, die
im Wizard festgelegt ist, an die Access Points bertragen.
Wenn die Installation abgeschlossen ist, sehen Sie eine Liste der Managed Access Points.
Klicken Sie unter Benachrichtigungsdienst fr WLAN-berwachung konfigurieren auf Start, um Ihre Managed APs berwachen zu lassen. Zur Konfiguration werden Sie in das Men Externe Berichterstellung->Benachrichtigungsdienst->Benachrichtigungsempfnger mit der Voreinstellung Ereignis
= -2 4 11 geleitet. Sie knnen festlegen, dass Sie mittels E-Mail informiert werden, wenn das Ereignis -2 4 11 eintritt.
Klicken Sie unter Benachbarte APs neu scannen auf Start, um benachbarte APs erneut zu scannen.
Sie erhalten eine Warnung, dass dazu die Funkmodule der Access Points fr eine bestimmte Zeitspanne deaktiviert werden mssen. Wenn Sie den Vorgang mit OK starten, wird ein Fortschrittsbalken angezeigt. Die Anzeige der gefundenen APs wird alle zehn Sekunden aktualisiert.
10.2 Controller-Konfiguration
In diesem Men nehmen Sie die Grundeinstellungen fr den Wireless LAN Controller vor.
10.2.1 Allgemein
Abb. 52: Wireless LAN Controller ->Controller-Konfiguration ->Allgemein
Das Men Wireless LAN Controller->Controller-Konfiguration ->Allgemein besteht aus folgenden

Feldern:
Feld
Beschreibung
Region
Whlen Sie das Land, in welchem der Wireless LAN Controller betrieben
werden soll.
Mgliche Werte sind alle auf dem Wirelessmodul des Gerts vorkonfigurierten Lnder.
94
bintec elmeg GmbH
Feld
Beschreibung
Der Bereich der verwendbaren Kanle variiert je nach Lndereinstellung.
Schnittstelle
Whlen Sie die Schnittstelle, die fr den Wireless Controller verwendet

werden soll.
DHCP-Server
Whlen Sie aus, ob ein externer DHCP-Server die IP-Adressen an die

APs vergeben soll bzw. ob Sie selbst feste IP-Adressen vergeben wollen.
Alternativ knnen Sie Ihr Gert als DHCP-Server verwenden. Bei diesem
internen DHCP-Server ist die CAPWAP Option 138 aktiv, um die Kommunikation zwischen Master und Slaves zu ermglichen.
Hinweis: Stellen Sie bei Nutzung eines externen DHCP-Servers sicher,
dass CAPWAP Option 138 aktiv ist.
Wenn Sie z. B. eine Digitalisierungsbox als DHCP-Server verwenden
wollen, klicken Sie im GUI Men dieses Gerts unter Lokale
Dienste->DHCP-Server->DHCP-Konfiguration->Neu->Erweiterte Einstellungen im Feld DHCP-Optionen auf die Schaltflche Hinzufgen.
Whlen Sie als Option $4=4 $ und tragen Sie im Feld
Wert die IP-Adresse des WLAN Controllers ein.
Wenn Sie in Ihrem Netzwerk statische IP-Adressen verwenden, mssen
Sie diese IP-Adressen auf allen APs von Hand eingeben. Die IP-Adresse
des Wireless LAN Controllers mssen Sie bei jedem AP im Men Systemverwaltung->Globale Einstellungen->System im Feld Manuelle
IP-Adresse des WLAN-Controller eintragen.
Mgliche Werte:
9 ,,+ (Standardwert): Ein externer DHCP-Server
mit aktiver CAPWAP Option 138 vergibt die IP-Adressen an die APs
oder Sie vergeben statische IP-Adressen an die APs.
: Ihr Gert, auf dem CAPWAP Option 138 aktiv ist, vergibt die
IP-Adressen an die APs.
IP-Adressbereich
Nur fr DHCP-Server =

Geben Sie die Anfangs-und End-IP-Adresse des Bereiches ein. Diese IPAdressen und Ihr Gert mssen aus demselben Netz stammen.
Slave-AP-Standort
Whlen Sie aus, ob sich die APs, die der Wireless LAN Controller verwalten soll, im LAN oder im WAN befinden.
Mgliche Werte:
# !#4;" (Standardwert)
1 !=4;"
Die Einstellung 1 !=4;" ist ntzlich, wenn zum Beispiel ein
Wireless LAN Controller in der Zentrale installiert ist und seine APs auf
verschiedene Filialen verteilt sind. Wenn die APs ber VPN angebunden
sind, kann es vorkommen, dass eine Verbindung unterbrochen wird. In
diesem Fall behlt der entsprechende AP mit der Einstellung 1
!=4;" seine Konfiguration bis die Verbindung wieder hergestellt ist. Danach bootet er und anschlieend synchronisieren sich Controller und AP
erneut.
Slave-AP-LED-Modus
Whlen Sie das Leuchtverhalten der Slave-AP-LEDs.

Mgliche Werte:
95
bintec elmeg GmbH
Feld
Beschreibung
(3, (Standardwert): Nur die Status-LED blinkt einmal in der Sekunde.
% : Die LEDs zeigen ihr Standardverhalten.
43,: Alle LEDs sind deaktiviert.
10.3 Slave-AP-Konfiguration
In diesem Men finden Sie alle Einstellungen, die Sie zur Verwaltung der Slave Access Points bentigen.
10.3.1 Slave Access Points
Abb. 53: Wireless LAN Controller ->Slave-AP-Konfiguration ->Slave Access Points
Im Men Wireless LAN Controller->Slave-AP-Konfiguration->Slave Access Points wird eine Liste

aller mit Hilfe des Wizards gefundenen APs angezeigt.
Fr jeden Access Point sehen Sie einen Eintrag mit einem Parametersatz ( Standort, Name, IPAdresse, LAN-MAC-Adresse, Kanal, Kanalsuche, Status, Aktion). Durch Klicken auf die
Schaltflche oder der
-Schaltflche in der Spalte Aktion whlen Sie aus, ob der gewhlte Access
Point vom WLAN Controller verwaltet werden soll.

Sie knnen den Access Point vom WLAN Controller trennen und ihn somit aus Ihrer WLAN-Infrastruktur
entfernen, indem Sie auf die
-Schaltflche klicken. Der Access Point bekommt dann den Status
13 , aber nicht mehr /& .
Klicken Sie unter Neue Kanalfestlegung auf die Schaltflche START , um die zugewiesenen Kanle erneut zuzuweisen, z. B. wenn ein neuer Access Point hinzugekommen ist.
96
Status
Bedeutung
Gefunden
Der AP hat sich beim Wireless LAN Controller gemeldet. Der Controller
hat die Systemparameter vom AP abgefragt.
Initialisiere
Der WLAN Controller und die APs "verstndigen sich" ber CAPWAP.
Die Konfiguration wird an die APs bertragen und aktiviert.
Managed
Der AP ist auf den Status Managed gesetzt. Der Controller hat eine Konfiguration zum AP geschickt und diese aktiviert. Der AP wird vom Controller zentral verwaltet und kann nicht ber das GUI konfiguriert werden.
Keine Lizenz vorhanden
Der WLAN Controller verfgt ber keine freie Lizenz fr diesen AP.
Aus
Der AP ist entweder administrativ deaktiviert oder ausgeschaltet bzw. ohne Stromversorgung o..
bintec elmeg GmbH
10.3.1.1 Bearbeiten
Mithilfe von
, um vorhandene Eintrge zu bearbeiten.
-Symbol knnen Sie Eintrge lschen. Wenn Sie APs gelscht haben, werden diese er-
neut gefunden, jedoch ohne Konfiguration.
Abb. 54: Wireless LAN Controller ->Slave-AP-Konfiguration ->Slave Access Points ->
Im Men Wireless LAN Controller->Slave-AP-Konfiguration->Slave Access Points->
werden die
Daten fr Funkmodul 1 und Funkmodul 2 angezeigt, wenn der entsprechende Access Point ber zwei
Funkmodule verfgt. Bei Gerten, die mit einem einzigen Funkmodul bestckt sind, werden die Daten
fr Funkmodul 1 angezeigt.
Das Men besteht aus folgenden Feldern:
Felder im Men Access-Point-Einstellungen
Feld
Beschreibung
Gert
Zeigt den Gertetyp des APs.
Standort
Zeigt den Standort des APs. Wenn kein Standort angegeben ist, werden
die Standorte nummeriert. Sie knnen einen anderen Standort eingeben.
Name
Zeigt den Namen des APs. Sie knnen den Namen ndern.
Beschreibung
Geben Sie eine eindeutige Bezeichnung fr den AP ein.
CAPWAP-Verschlsselung
Whlen Sie aus, ob die Kommunikation zwischen Master und Slaves verschlsselt werden soll.
97
Feld
bintec elmeg GmbH
Beschreibung
Sie knnen die Verschlsselung aufheben, um die Kommunikation zu
Debug-Zwecken einzusehen.
Felder im Men Funkmodul 1 oder im Men Funkmodul 2

Feld
Beschreibung
Betriebsmodus
Zeigt, in welchem Modus das Funkmodul betrieben werden soll. Sie knnen den Modus ndern.
Mgliche Werte:
(Standardwert): Das Funkmodul dient als Access Point in Ihrem
Netzwerk.
43,: Das Funkmodul ist nicht aktiv.
Aktives Funkmodulprofil
Zeigt das aktuell gewhlte Funkmodulprofil. Sie knnen ein anderes

Funkmodulprofil aus der Liste whlen, wenn mehrere Funkmodulprofile
angelegt sind.
Kanal
Zeigt den zugewiesenen Kanal. Sie knnen einen anderen Kanal whlen.
Access Point Modus
Durch das Einstellen des Netzwerknamens (SSID) im Access Point Modus werden Funknetze zwar logisch voneinander getrennt, knnen sich
aber physisch immer noch behindern, falls sie auf denselben bzw. zu nah
nebeneinander liegenden Funkkanlen arbeiten. Falls Sie also zwei oder
mehr Funknetze mit geringem Abstand betreiben, ist es ratsam, den Netzen verschiedene Kanle zuzuweisen. Diese sollten jeweils mindestens
vier Kanle auseinanderliegen, da ein Netz auch die benachbarten Kanle teilweise mitbelegt.
Im Falle der manuellen Kanalauswahl vergewissern Sie sich bitte vorher,
ob die entsprechenden APs diese Kanle auch untersttzen.
Mgliche Werte (entsprechend dem gewhlten Funkmodulprofil):
Fr Aktives Funkmodulprofil = J >8 ? 1
Mgliche Werte sind bis und 43 (Standardwert).
Fr Aktives Funkmodulprofil =
>8 ? 1
Mgliche Werte sind , , , und 43 (Standardwert)
Verwendeter Kanal
Nur fr Managed APs.

Zeigt den aktuell benutzten Kanal.
Sendeleistung
Zeigt die Sendeleistung. Sie knnen eine andere Sendeleistung whlen.

Mgliche Werte:
/9 (Standardwert): Die maximale Antennenleistung wird verwendet.

%
%
98
bintec elmeg GmbH
Feld
Beschreibung
%
%
%
) %
Zugewiesene Drahtlosnetzwerke (VSS)
Zeigt die aktuell zugewiesenen Drahtlosnetzwerke.
10.3.2 Funkmodulprofile
Abb. 55: Wireless LAN Controller ->Slave-AP-Konfiguration ->Funkmodulprofile
Im Men Wireless LAN Controller->Slave-AP-Konfiguration->Funkmodulprofile wird eine bersicht

aller angelegten Funkmodulprofile angezeigt. Ein Profil mit 2.4 GHz und ein Profil mit 5 GHz sind standardmig angelegt, das 2.4-GHz-Profil kann nicht gelscht werden.
Fr jedes Funkmodulprofil sehen Sie einen Eintrag mit einem Parametersatz ( Funkmodulprofile, Konfigurierte Funkmodule, Frequenzband, Drahtloser Modus).

um neue Funkmodulprofile anzulegen.
99
bintec elmeg GmbH
Abb. 56: Wireless LAN Controller ->Slave-AP-Konfiguration ->Funkmodulprofile ->Neu
Das Men Wireless LAN Controller->Slave-AP-Konfiguration->Funkmodulprofile->Neu besteht aus

folgenden Feldern:
Felder im Men Funkmodulprofil-Konfiguration
Feld
Beschreibung
Betriebsmodus
Beschreibung
Geben Sie eine beliebige Beschreibung des Funkmodulprofils ein.
Legen Sie fest, in welchem Modus das Funkmodulpofil betrieben werden
soll.
Mgliche Werte:
43, (Standardwert): Das Funkmodulprofil ist nicht aktiv.
4++,,: Ihr Gert dient als Access Point in Ihrem Netzwerk.
Frequenzband
Whlen Sie das Frequenzband des Funkmodulprofils aus.
Mgliche Werte:
J >8 7D3 (Standardwert): Ihr Gert wird mit 2,4 GHz
(Mode 802.11b, Mode 802.11g und Mode 802.11n) innerhalb oder auerhalb von Gebuden betrieben.

>8 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h und Mode
802.11n) innerhalb von Gebuden betrieben.

>8 D3 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h und Mode
802.11n) auerhalb von Gebuden betrieben.

>8 7D3 : Ihr Gert wird mit 5 GHz (Mode 802.11a/h und
Mode 802.11n) innerhalb oder auerhalb von Gebuden betrieben.

J >8 D3 : Nur fr so genannte Broadband Fixed Wireless
100
bintec elmeg GmbH
Feld
Beschreibung
Access (BFWA) Anwendungen. Die Frequenzen im Frequenzbereich
von 5 755 MHz bis 5 875 MHz drfen nur in Verbindung mit gewerblichen Angeboten fr ffentliche Netzzugnge genutzt werden und bedrfen einer Anmeldung bei der Bundesnetzagentur.
Bandbreite
Nicht fr Frequenzband = J >8 7D3

Whlen Sie aus, wieviele Kanle verwendet werden sollen.
Mgliche Werte:
/>8 (Standardwert): Ein Kanal mit 20 MHz Bandbreite wird verwendet.
/>8: Zwei Kanle mit je 20 MHz Bandbreite werden verwendet.
Dabei dient ein Kanal als Kontrollkanal und der andere als Erweiterungskanal.
Anzahl der Spatial Streams
Whlen Sie aus, wieviele Datenstrme parallel verwendet werden sollen.

Mgliche Werte:
: Drei Datenstrme werden verwendet.
: Zwei Datenstrme werden verwendet.
: Ein Datenstrom wird verwendet.
Felder im Men Performance-Einstellungen

Feld
Drahtloser Modus
Beschreibung
Whlen Sie die Wireless-Technologie aus, die der Access-Point anwenden soll.
Fr Frequenzband = J >8 7D3
Mgliche Werte:
&: Ihr Gert arbeitet ausschlielich nach 802.11g.
802.11b-Clients knnen nicht zugreifen.
:: Ihr Gert arbeitet ausschlielich nach 802.11b und zwingt
alle Clients dazu, sich anzupassen.
9 !:7&": Ihr Gert passt sich der Technologie der Clients an und arbeitet entweder nach 802.11b oder 802.11g.
9 & !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Nur
die Datenrate von 1 und 2 Mbit/s mssen von allen Clients untersttzt
werden (Basic Rates). Dieser Modus wird auch fr Centrino Clients bentigt, falls Verbindungsprobleme aufgetreten sind.
9 , !:7&": Ihr Gert passt sich der Technologie
der Clients an und arbeitet entweder nach 802.11b oder 802.11g. Fr
mixed-short gilt: Die Datenraten 5.5 und 11 Mbit/s mssen von allen
Clients untersttzt werden (Basic Rates).
:7&7: Ihr Gert arbeitet entweder nach 802.11b, 802.11g
oder 802.11n.
&7: Ihr Gert arbeitet entweder nach 802.11g oder 802.11n.
Fr Frequenzband =
>8 ,
>8 D3 ,
>8 7
D3 oder
J >8 D3
Mgliche Werte:
101
Feld
bintec elmeg GmbH
Beschreibung
: Ihr Gert arbeitet ausschlielich nach 802.11a.
7: Ihr Gert arbeitet entweder nach 802.11a oder 802.11n.
Max. bertragungsrate
Whlen Sie die bertragungsgeschwindigkeit aus.
Mgliche Werte:
43 (Standardwert): Die bertragungsgeschwindigkeit wird automatisch ermittelt.
A=B: Je nach Einstellung fr Frequenzband, Bandbreite, Anzahl
der Spatial Streams und Drahtloser Modus stehen verschiedene feste Werte in MBit/s zur Auswahl.
Burst-Mode
Aktivieren Sie diese Funktion, um die bertragungsgeschwindigkeit fr
802.11g durch Frame Bursting zu erhhen. Dabei werden mehrere Pakete nacheinander ohne Wartezeiten verschickt. Dies ist besonders effektiv
im 11b/g Mischbetrieb.
Falls Probleme mit lterer WLAN-Hardware auftreten, sollte diese Funktion nicht aktiv sein.
Airtime Fairness
Diese Funktion ist nicht fr alle Gerte verfgbar.

Mit der Airtime Fairness -Funktion wird gewhrleistet, dass Senderessourcen des Access Points intelligent auf die verbundenen Clients verteilt
werden. Dadurch lsst sich verhindern, dass ein leistungsfhiger Client
(z. B. ein 802.11n-Client) nur geringen Durchsatz erzielt, da ein weniger
leistungsfhiger Client (z. B. ein 802.11a-Client) bei der Zuteilung gleich
behandelt wird.
Diese Funktion wirkt sich lediglich auf nicht priorisierte Frames der
WMM-Klasse "Background" aus.

Feld
Kanalplan
Beschreibung
Whlen Sie den gewnschten Kanalplan aus.
Der Kanalplan trifft bei der Kanalwahl eine Vorauswahl. Dadurch wird sichergestellt, dass sich keine Kanle berlappen, d.h. dass zwischen den
verwendeten Kanlen ein Abstand von vier Kanlen eingehalten wird.
Dies ist ntzlich, wenn mehrere Access Points eingesetzt werden, deren
Funkzellen sich berlappen.
Mgliche Werte:
4: Alle Kanle knnen bei der Kanalwahl gewhlt werden.
43: Abhngig von der Region, vom Frequenzband, vom drahtlosen
Modus und von der Bandbreite werden diejenigen Kanle zur Verfgung gestellt, die vier Kanle Abstand haben.
%38 1: Sie knnen die gewnschten Kanle selbst
auswhlen.
102
bintec elmeg GmbH
Feld
Beschreibung
Benutzerdefinierter KanalNur fr Kanalplan = %38 1

plan
Hier werden die aktuell gewhlten Kanle angezeigt.
Mit Hinzufgen knnen Sie Kanle hinzufgen. Wenn alle verfgbaren
Kanle angezeigt werden, knnen Sie keine Eintrge hinzufgen.
Mithilfe von
Beacon Period
Geben Sie die Zeit in Millisekunden zwischen dem Senden zweier Beacons an.
Dieser Wert wird in Beacon und Probe Response Frames bermittelt.

.
DTIM Period
Geben Sie das Intervall fr die Delivery Traffic Indication Message
(DTIM) an.
Das DTIM Feld ist ein Datenfeld in den ausgesendeten Beacons, das Clients ber das Fenster zur nchsten Broadcast- oder Multicast-bertragung informiert. Wenn Clients im Stromsparmodus arbeiten, wachen
sie zum richtigen Zeitpunkt auf und empfangen die Daten.
.
RTS Threshold
Short Guard Interval
Short Retry Limit
Sie knnen hier den Schwellwert in Bytes (1..2346) angeben, ab welcher

Datenpaketlnge der RTS/CTS-Mechanismus verwendet werden soll.
Dies ist sinnvoll, wenn an einem Access Point mehrere Clients betrieben
werden, die sich gegenseitig nicht in Funkreichweite befinden.
Aktivieren Sie diese Funktion, um den Guard Interval (= Zeit zwischen
der bertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkrzen.
Geben Sie die maximale Anzahl von Sendeversuchen eines Frames ein,
dessen Lnge krzer oder gleich dem in RTS Threshold definierten Wert
ist. Nach dieser Anzahl an Fehlversuchen wird dieses Paket verworfen.
.
Der Standardwert ist ).
Long Retry Limit
Geben Sie die maximale Anzahl von Sendeversuchen eines Datenpakets
ein, dessen Lnge grer ist als der in RTS Threshold definierte Wert.
Nach dieser Anzahl an Fehlversuchen wird dieses Paket verworfen.
.
Fragmentation Threshold
Geben Sie die maximale Gre in Byte an, ab der Datenpakete fragmentiert (d.h. in kleinere Einheiten aufgeteilt) werden. Niedrige Werte in diesem Feld sind in Bereichen mit schlechtem Empfang und bei Funkstrungen empfehlenswert.
Mglich Werte sind
bis .
103
bintec elmeg GmbH
Feld
Beschreibung
Wiederkehrender Hintergrund-Scan

Um in regelmigen Abstnden automatisch nach benachbarten oder
Rogue Access Points im Netzwerk zu suchen, knnen Sie die Funktion
Wiederkehrender Hintergrund-Scan aktivieren. Diese Suche erfolgt ohne eine Beeintrchtigung der Funktion als Access Point.
Aktivieren oder deaktivieren Sie die Funktion Wiederkehrender Hintergrund-Scan.
Standardmig ist die Funktion deaktiviert.
Abb. 57: Wireless LAN Controller ->Slave-AP-Konfiguration ->Drahtlosnetzwerke (VSS)
Im Men Wireless LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS) wird eine

bersicht aller angelegten Drahtlosnetzwerke angezeigt. Ein Drahtlosnetzwerk ist standardmig angelegt.
Fr jedes Drahtlosnetzwerk (VSS) sehen Sie einen Eintrag mit einem Parametersatz ( VSSBeschreibung, Netzwerkname (SSID), Anzahl der zugeordneten Funkmodule, Sicherheit, Status,
Aktion).
Klicken Sie unter Nicht zugewiesenes VSS allen Funkmodulen zuweisen auf die Schaltflche Start,
um ein neu angelegtes VSS allen Funkmodulen zuzuweisen.

, um vorhandene Eintrge zu bearbeiten. Whlen Sie die Schaltfche Neu,
um weitere Drahtlosnetzwerke zu konfigurieren.
104
bintec elmeg GmbH
Abb. 58: Wireless LAN Controller ->Slave-AP-Konfiguration ->Drahtlosnetzwerke (VSS) ->Neu
Das Men Wireless LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS)->Neu besteht aus folgenden Feldern:
Felder im Men Service Set Parameter
Feld
Beschreibung
Netzwerkname (SSID)
Geben Sie den Namen des Drahtlosnetzwerks (SSID) ein.

Whlen Sie auerdem aus, ob der Netzwerkname (SSID) bertragen
werden soll.
Mit Auswahl von (+ : wird der Netzwerkname sichtbar bertragen.
Standardmig ist er sichtbar.
Intra-cell Repeating
Whlen Sie aus, ob die Kommunikation zwischen den WLAN-Clients innerhalb einer Funkzelle erlaubt sein soll.
ARP Processing
Whlen Sie aus, ob die Funktion ARP Processing aktiv sein soll. Dabei
wird das ARP-Datenaufkommen im Netzwerk reduziert, indem in ARPUnicasts umgewandelte ARP-Broadcasts an die intern bekannten IPAdressen weitergeleitet werden. Unicasts sind zudem schneller, und Clients mit aktivierter Power-Save-Funktion werden nicht angesprochen.
105
Feld
bintec elmeg GmbH
Beschreibung
Beachten Sie, dass ARP Processing nicht zusammen mit der Funktion
MAC-Bridge angewendet werden kann.
WMM
Whlen Sie aus, ob fr das Drahtslosnetzwerk Sprach- oder VideodatenPriorisierung mittels WMM (Wireless Multimedia) aktiviert sein soll, um
stets eine optimale bertragungsqualitt bei zeitkritischen Anwendungen
zu erreichen. Es wird Datenpriorisierung nach DSCP (Differentiated Services Code Point) oder IEEE802.1d untersttzt.
Felder im Men Sicherheitseinstellungen

Feld
Sicherheitsmodus
Beschreibung
Whlen Sie den Sicherheitsmodus (Verschlsselung und Authentifizierung) des Drahtlosnetzwerkes aus.
Mgliche Werte:
(Standardwert): Weder Verschlsselung noch Authentifizierung
= : WEP 40 Bit
= : WEP 104 Bit
=4(<: WPA Preshared Key
=4*,: 802.11x
bertragungsschlssel
Nur fr Sicherheitsmodus = = oder =

Whlen Sie einen der in WEP-Schlssel konfigurierten Schlssel als
Standardschlssel aus.
Der Standardwert ist (+ F,, .
WEP-Schlssel 1-4
Nur fr Sicherheitsmodus = = , =

Geben Sie den WEP-Schlssel ein.
Geben Sie eine Zeichenfolge mit der fr den gewhlten WEP-Modus
passenden Zeichenanzahl ein. Fr = bentigen Sie eine Zeichenfolge mit 5 Zeichen, fr = mit 13 Zeichen, z. B. fr =
, 2* fr = .
WPA-Modus
Nur fr Sicherheitsmodus = =4(< und =4*,

Whlen Sie aus, ob Sie WPA (mit TKIP-Verschlsselung) oder WPA 2
(mit AES-Verschlsselung) oder beides anwenden wollen.
Mgliche Werte:
=4 3 =4 (Standardwert): WPA und WPA 2 knnen angewendet werden.
=4: Nur WPA wird angewendet.
=4 : Nur WPA2 wird angewendet.
WPA Cipher

Whlen Sie aus, mit welcher Verschlsselung Sie WPA anwenden wollen.
106
bintec elmeg GmbH
Feld
Beschreibung
Mgliche Werte:
< (Standardwert): TKIP wird angewendet.
4(: AES wird angewendet.
4( 3 <: AES oder TKIP wird angewendet.
WPA2 Cipher

Whlen Sie aus, mit welcher Verschlsselung Sie WPA2 anwenden wollen.
Mgliche Werte:
4( (Standardwert): AES wird angewendet.
<: TKIP wird angewendet.
4( 3 <: AES oder TKIP wird angewendet.
Preshared Key
Nur fr Sicherheitsmodus = =4(<

Geben Sie das WPA-Passwort ein.
Geben Sie eine ASCII Zeichenfolge mit 8 - 63 Zeichen ein.
Beachten Sie: ndern Sie unbedingt den Standard Preshared Key! Solange der Key nicht gendert wurde, ist ihr Gert nicht gegen einen unautorisierten Zugriff geschtzt!
RADIUS-Server
Sie knnen den Zugang zu einem Drahtlosnetzwerk ber einen RADIUSServer regeln.
Mit Hinzufgen knnen Sie neue Eintrge anlegen. Geben Sie die IPAdresse und das Passwort des RADIUS-Servers ein.
EAPVorabauthentifizierung
Nur fr Sicherheitsmodus = =4*,

Whlen Sie aus, ob EAP-Vorabauthentifizierung aktiviert werden soll. Mit
dieser Funktion gibt ihr Gert bekannt, dass WLAN-Clients, die schon mit
einem anderen Access Point verbunden sind, vorab eine
802.1x-Authentifizierung mit Ihrem Gert durchfhren knnen, sobald sie
in Reichweite sind. Solche WLAN-Clients knnen sich anschlieend auf
vereinfachte Weise ber die bestehende Netzwerkverbindung mit Ihrem
Gert verbinden.
Felder im Men Client-Lastverteilung

Feld
Beschreibung
Max. Anzahl Clients - Hard

Geben Sie die maximale Anzahl an Clients ein, die sich mit diesem
Limit
Drahtlosnetzwerk (SSID) verbinden drfen.
Die Anzahl der Clients, die sich maximal an einem Funkmodul anmelden
knnen, ist abhngig von der Spezifikation des jeweiligen WLAN-Moduls.
Diese Anzahl verteilt sich auf alle auf diesem Radiomodul Drahtlosnetzwerke. Ist die maximale Anzahl an Clients erreicht, knnen keine neuen
Drahtlosnetzwerke mehr angelegt werden und es erscheint ein Warnhinweis.
Mgliche Werte sind ganze Zahlen von bis
.
107
Feld
bintec elmeg GmbH
Beschreibung
Max. Anzahl Clients - Soft

Limit

Um eine vollstndie Auslastung eines Radiomoduls zu vermeiden, knnen Sie hier eine "weiche" Begrenzung der Anzahl verbundener Clients
vornehmen. Wird diese Anzahl erreicht, werden neue Verbindungsanfragen zunchst abgelehent. Findet der Client kein anderes Drahtlosnetzwerk und wiederholt daher seine Anfrage, wird die Verbindung akzeptiert.
Erst bei Erreichen des Max. Anzahl Clients - Hard Limit werden Anfragen strikt abgelehnt.
Der Wert der Max. Anzahl Clients - Soft Limit muss gleich oder kleiner
sein als der Max. Anzahl Clients - Hard Limit.
Sie knnen diese Funktion deaktivieren, indem Sie Max. Anzahl Clients
- Soft Limit und Max. Anzahl Clients - Hard Limit auf den gleichen
Wert einstellen.
Auswahl des Client-Bands

Diese Funktion erfordert eine Konfiguration mit zwei Radiomodulen, bei
der das gleiche Drahtlosnetzwerk auf beiden Modulen, aber in unterschiedlichen Frequenzbndern konfiguriert ist.
Die Option Auswahl des Client-Bands ermglicht es, Clients von dem
urspnglich ausgewhlten in ein weniger ausgelastetes Frequenzband zu
verschieben, sofern dieses vom Client untersttzt wird. Dazu wird ein
Verbindungsversuch des Clients ggf. zunchst abgelehnt, damit dieser
sich in einem anderen Frequenzband erneut anzumelden versucht.
Mgliche Werte:
.J * 1F ', ?& (Standardwert):
Die Funktion wird fr dieses VSS nicht angewendet. Dies ist dann sinnvoll, wenn Clients zwischen unterschiedlichen Funkzellen mglichst
verzgerungsfrei wechseln sollen, z. B. bei Voice over WLAN.
J>8% :83&: Clients werden bevorzugt im
2,4-GHz-Band akzeptiert.

>8% :83&: Clients werden bevorzugt im 5-GHz-Band
akzeptiert.
Felder im Men MAC-Filter
Feld
Zugriffskontrolle
Beschreibung
Whlen Sie aus, ob fr dieses Drahtlosnetzwerk nur bestimmte Clients
zugelassen werden sollen.
Erlaubte Adressen
Dynamische Black List
108
Legen Sie Eintrge mit Hinzufgen an und geben Sie die MACAdressen der Clients (MAC-Adresse) ein, die zugelassen werden sollen.
Mithilfe der Funktion Dynamische Black List ist es mglich, Clients, die
sich mglicherweise unbefgut Zugriff auf das Netzwerk verschaffen wollen, zu erkennen und fr einen bestimmten Zeitraum zu sperren. Ein Client wird dann gesperrt, wenn die Anzahl erfolgloser Anmeldeversuche innerhalb einer definierten Zeit eine bestimmte Anzahl berschreitet. Diese
bintec elmeg GmbH
Feld
Beschreibung
Grenzwerte ebenso wie die Dauer der Sperrung knnen konfiguriert werden. Ein gesperrten Client wird auf allen vom Wireless LAN Controller
verwalteten APs fr das betroffene VSS gesperrt, kann sich also auch
nicht in einer anderen Funkzelle an diesem VSS anmelden. Soll ein Client permanent gesperrt bleiben, so kann dies im Men Wireless LAN
Controller->Monitoring->Rogue Clients erfolgen.
Standardmig ist die Funktion aktiviert.
Fehlversuche per Zeitraum
Geben Sie hier die Anzahl der Fehlversuche ein, die innerhalb einer bestimmten Zeit von einer MAC-Adresse ausgehen mssen, damit ein Eintrag in der dynamischen Black List angelegt wird.
Standardwerte sind Fehlversuche in Sekunden.
Sperrzeit fr Black List

Geben Sie die Zeit ein, fr die ein Eintrag in der dynamischen Black List
gelten soll.
Sekunden.
Felder im Men VLAN
Feld
Beschreibung
VLAN
Whlen Sie aus, ob fr dieses Drahtlosnetzwerk VLAN-Segmentierung

VLAN-ID
Geben Sie den Zahlenwert ein, der das VLAN identifiziert.

VLAN ID 1 ist nicht mglich, da sie bereits verwendet wird.
Felder im Men Bandbreitenbeschrnkung fr jeden WLAN-Client

Feld
Beschreibung
Rx Shaping
Whlen Sie die Begrenzung der Bandbreite in Empfangsrichtung.

Mgliche Werte sind

/:7,, /:7,, /:7,, /:7, und
/:7,.
Tx Shaping
Whlen Sie die Begrenzung der Bandbreite in Senderichtung.

Mgliche Werte sind

/:7,, /:7,, /:7,, /:7, und
/:7,.
10.4 Monitoring
Dieses Men dient zur berwachung Ihrer WLAN-Infrastruktur.
109
bintec elmeg GmbH
Hinweis
Um ein korrektes Timing zwischen dem WLAN Controller und den Slave APs sicher zu
stellen, sollte auf dem WLAN Controller der interne Zeitserver aktiviert werden.
10.4.1 WLAN Controller
Abb. 59: Wireless LAN Controller ->Monitoring ->WLAN Controller
Im Men Wireless LAN Controller->Monitoring->WLAN Controller wird eine bersicht der wichtigsten Parameter des Wireless LAN Controllers angezeigt. Die Anzeige wird alle 30 Sekunden aktualisiert.
Werte in der Liste bersicht
110
Status
Bedeutung
AP gefunden
Zeigt die Anzahl der gefundenen Access Points an.
AP offline
Zeigt die Anzahl der Access Points an, die nicht mit dem Wireless LAN
Controller verbunden sind.
AP verwaltet
Zeigt die Anzahl der verwalteten Access Points an.
WLAN Controller: VSSDurchsatz
Zeigt den empfangenen und den gesendeten Datenverkehr in Bytes pro

Sekunde zeitabhngig an.
CPU-Last [%]
Zeigt die CPU-Auslastung in Prozent zeitabhngig an.
Speicherverbrauch [%]
Zeigt den Speicherverbrauch in Prozent zeitabhngig an.
Verbundene Clients/VSS
Zeigt die Anzahl der verbundenen Clients pro Drahtlosnetzwerk (VSS)

zeitabhngig an.
bintec elmeg GmbH
10.4.2 Slave Access Points
Abb. 60: Wireless LAN Controller ->Monitoring ->Slave Access Points
Im Men Wireless LAN Controller->Monitoring->Slave Access Points wird eine bersicht aller erkannten Access Points angezeigt. Fr jeden Access Point sehen Sie einen Eintrag mit folgendem Parametersatz: Standort, Name, IP-Adresse, LAN-MAC-Adresse, Kanal, Tx-Bytes und Rx-Bytes. Auerdem sehen Sie, ob die Access Points /& oder 13 sind.
ber das
-Symbol ffnen Sie eine bersicht mit weiteren Details zu den Slave Access Points.
10.4.2.1 bersicht
Im Men bersicht werden zustzliche Informationen zum gewhlten Access Point angezeigt. Die Anzeige wird alle 30 Sekunden aktualisiert.
Abb. 61: Wireless LAN Controller ->Monitoring ->Slave Access Points ->bersicht
Werte in der Liste bersicht

Status
Bedeutung
Durchsatz
Zeigt den empfangenen und den gesendeten Datenverkehr pro Funkmodul zeitabhngig an.
Verbundene Clients
Zeigt die Anzahl der angeschlossenen Clients pro Funkmodul zeitabhn-
111
Status
bintec elmeg GmbH
Bedeutung
gig an.
10.4.2.2 Funkmodul 1
Im Men Funkmodul wird der empfangene und der gesendete Datenverkehr pro Client zeitabhngig
angezeigt. Jeder Graph in der Darstellung ist ber eine Farbe und eine MAC-Adresse eindeutig einem
Client zugeordnet.
Abb. 62: Wireless LAN Controller ->Monitoring ->Slave Access Points ->Funkmodul
Werte in der Liste Funkmodul

Status
Bedeutung
Durchsatz/Client
Zeigt den empfangenen und den gesendeten Datenverkehr pro Client

zeitabhngig an.
10.4.3 Aktive Clients
Abb. 63: Wireless LAN Controller ->Monitoring ->Aktive Clients
Im Men Wireless LAN Controller->Monitoring->Aktive Clients werden die aktuellen Werte aller aktiven Clients angezeigt.
Fr jeden Client sehen Sie einen Eintrag mit folgendem Parametersatz: Standort, Name des SlaveAPs, VSS, Client MAC, Client-IP-Adresse, Signal : Noise (dBm) , Tx-Bytes, Rx-Bytes, Tx Discards,
Rx Discards, Status und Uptime.
112
Status
Bedeutung
Keiner
Der Client befindet sich in keinem gltigen Zustand.
Angemeldet
Der Client meldet sich gerade beim WLAN an.
bintec elmeg GmbH
Status
Bedeutung
Zugeordnet
Der Client ist beim WLAN angemeldet.
Authentifizieren
Der Client wird gerade authentifiziert.
Authentifiziert
Der Client ist authentifiziert.
ber das
-Symbol ffnen Sie eine bersicht mit weiteren Details zu den Aktive Clients. Die Anzeige
wird alle 30 Sekunden aktualisiert.
Abb. 64: Wireless LAN Controller ->Monitoring ->Aktive Clients->
Werte in der Liste WLAN Client

Status
Bedeutung
Durchsatz
Zeigt den Datenverkehr getrennt nach empfangenen und gesendeten

Daten fr den gewhlten WLAN Client zeitabhngig an.
Signal
Zeigt die Signalstrke fr den gewhlten WLAN Client zeitabhngig an.
Abb. 65: Wireless LAN Controller ->Monitoring ->Drahtlosnetzwerke (VSS)
Im Men Wireless LAN Controller->Monitoring->Drahtlosnetzwerke (VSS) wird eine bersicht ber

die aktuell verwendeten AP angezeigt. Sie sehen, welches Funkmodul welchem Drahtlosnetzwerk zugeordnet ist. Fr jedes Funkmodul wird ein Parametersatz angezeigt ( Standort, Name des Slave-APs,
VSS, MAC-Adresse (VSS), Kanal, Status).
113
bintec elmeg GmbH
10.4.5 Client-Verwaltung
Abb. 66: Wireless LAN Controller ->Monitoring +Client-Verwaltung
Im Men Wireless LAN Controller->Monitoring->Client-Verwaltung zeigt die Verwaltung der Clients

durch die Access Points. Sie sehen u. a. die Anzahl der verbundenen Clients, die Anzahl der Clients, die
vom 2,4/5-GHz-bergang betroffen sind, sowie die Anzahl der abgewiesenen Clients.
Mithilfe des
-Symbols knnen Sie die Werte fr den gewnschten Eintrag lschen.
10.5 Umgebungs-Monitoring
Dieses Men dient zur berwachung entfernter Acces Points und Clients.
10.5.1 Benachbarte APs
Abb. 67: Wireless LAN Controller +Umgebungs-Monitoring ->Benachbarte APs
Im Men Wireless LAN Controller+Umgebungs-Monitoring->Benachbarte APs werden die benachbarten APs angezeigt, die whrend des Scannens gefunden wurden. Rogue APs, d.h. APs, die eine
vom WLAN-Controller verwaltete SSID verwenden, aber nicht vom WLAN-Controller administriert werden, sind rot hinterlegt.
Hinweis
berprfen Sie die angezeigten APs sorgfltig, denn ein Angreifer knnte versuchen, ber
einen Rogue AP Daten in Ihrem Netz auszusphen.
Jeder AP wird zwar mehrmals gefunden, aber nur einmal mit der grten Signalstrke angezeigt. Fr jeden AP sehen Sie folgende Parameter SSID, MAC-Adresse, Signal dBm, Kanal, Sicherheit, Zuletzt
gesehen, Strkstes Signal empfangen von , Summe der Erkennungen.
Die Eintrge werden alphabetisch nach SSID sortiert angezeigt. Sicherheit zeigt die Sicherheitseinstel-
114
bintec elmeg GmbH
lungen des AP. Unter Strkstes Signal empfangen von sehen Sie die Parameter Standort und Name
desjenigen AP, ber den der angezeigte AP gefunden wurde. Summe der Erkennungen zeigt an, wie
oft der entsprechende AP whrend des Scannens gefunden wurde.
10.5.2 Rogue APs
Abb. 68: Wireless LAN Controller +Umgebungs-Monitoring ->Rogue APs
Im Men Wireless LAN Controller+Umgebungs-Monitoring->Rogue APs werden die APs angezeigt,

die eine SSID des eigenen Netzes verwenden, aber nicht vom Wireless LAN Controller verwaltet werden. Rogue APs, die neu gefunden wurden, sind rot hinterlegt.
Fr jeden Rogue AP sehen Sie einen Eintrag mit folgendem Parametersatz: SSID, MAC-Adresse, Signal dBm, Kanal, Zuletzt gesehen, Gefunden durch AP, Angenommen.
Hinweis
berprfen Sie die angezeigten Rogue APs sorgfltig, denn ein Angreifer knnte versuchen, ber einen Rogue AP Daten in Ihrem Netz auszusphen.
Sie knnen einen Rogue AP als vertrauenswrdig einstufen, indem Sie die Checkbox in der Spalte Angenommen aktivieren. Ein eventuell konfigurierter Alarm wird dadurch gelscht und ab sofort nicht
mehr gesendet. Der rote Hintergrund verschwindet.
10.5.3 Rogue Clients
Abb. 69: Wireless LAN Controller +Umgebungs-Monitoring ->Rogue Clients
Im Men Wireless LAN Controller+Umgebungs-Monitoring->Rogue Clients werden die Clients anDigitalisierungsbox Standard
115
bintec elmeg GmbH
gezeigt, die versucht haben, unbefugten Zugang zum Netzwerk herzustellen und sich daher auf der
Blacklist befinden. Die Konfiguration der Blacklist erfolgt fr jedes VSS im Men Wireless LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS). Sie knnen ebenfalls Eintrge zur statischen Blacklist hinzufgen.
Mgliche Werte fr Rogue Clients
Status
Bedeutung
MAC-Adresse des Rogue

Clients
Zeigt die MAC-Adresse des Clients an, der sich auf der Blacklist befindet.
SSID
Zeigt die beteiligten SSID an.
Angegriffener Access
Point
Zeigt den betroffenen AP an.
Signal dBm
Zeigt die Signalstrke des Clients whrend des Zugriffsversuchs an.
Art des Angriffs
Hier wird die Art des mglichen Angriffs angezeigt, z. B. eine fehlerhafte
Authentifizierung.
Zuerst gesehen
Zeigt die Zeit des ersten registrierten Zugriffsversuchs an.
Zuletzt gesehen
Zeigt die Zeit des letzten registrierten Zugriffsversuchs an.
Statische Black List
Sie knnen einen Rogue Client als nicht vertrauenswrdig einstufen, indem Sie die Checkbox in der Spalte Statische Black List aktivieren. Die
Sperrung des Clients endet dann nicht automatisch, sondern muss von
Ihnen manuell wieder aufgehoben werden.
Lschen
Mithilfe des
-Symbols knnen Sie Eintrge lschen.
10.5.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Eintrge anzulegen.
Abb. 70: Wireless LAN Controller +Umgebungs-Monitoring ->Rogue Clients->Neu
Das Men besteht aus folgenden Feldern:

Felder im Men Neuer Eintrag in die Blacklist
Feld
Beschreibung
MAC-Adresse des Rogue

Clients
Geben SIe die MAC-Adresse des Clients ein, der der statischen Blacklist
hinzugefgt werden soll.
Netzwerkname (SSID)
Whlen Sie das Drahtlosnetzwerk aus, von dem der Rogue Client ausgeschlossen werden soll.
10.6 Wartung
Dieses Men dient zur Wartung Ihrer managed Access Points.
116
bintec elmeg GmbH
10.6.1 Firmware-Wartung
Abb. 71: Wireless LAN Controller ->Wartung ->Firmware-Wartung
Im Men Wireless LAN Controller->Wartung->Firmware-Wartung wird eine Liste aller Managed Access Points angezeigt.
Fr jeden managed AP sehen Sie einen Eintrag mit folgendem Parametersatz: Firmware aktualisieren ,
Standort, Gert, IP-Adresse, LAN-MAC-Adresse, Firmware-Version , Status.
Klicken Sie auf die Schaltflche Alle auswhlen, um alle Eintrge fr eine Aktualisierung der Firmware
auswhlen. Klicken Sie auf die Schaltflche Alle deaktivieren, um alle Eintrge zu deaktivieren und danach bei Bedarf einzelne Eintrge auszuwhlen (z. B. wenn bei vielen Eintrgen nur die Software einzelner APs aktualisiert werden soll).
Status
Bedeutung
Image bereits vorhanden.
Das Software Image ist bereits vorhanden, es ist kein Update ntig.
Fehler
Es ist ein Fehler aufgetreten..
Wird ausgefhrt
Das Update wird gerade ausgefhrt.
Fertig
Das Update ist beendet.
Das Men Wireless LAN Controller->Wartung->Firmware-Wartung besteht aus folgenden Feldern:

Felder im Men Firmware-Wartung
Feld
Aktion
Beschreibung
Whlen Sie die Aktion aus, die Sie ausfhren wollen.
Nach Durchfhrung der jeweiligen Aufgabe erhalten Sie ein Fenster, in
dem Sie auf die weiteren ntigen Schritte hingewiesen werden.
Mgliche Werte:
(0,,12 3,: Sie knnen eine Aktualisierung
der Systemsoftware initiieren.
<1&3 (3,1 ,+ : Sie knnen eine Konfiguration sichern, welche Statusinformationen der APs
enthlt.
Quelle
Whlen Sie die Quelle fr die Aktion aus.
Mgliche Werte:
>( (Standardwert): Die Datei ist bzw. wird auf dem entfernten Server gespeichert, der in der URL angegeben wird.
117
Feld
bintec elmeg GmbH
Beschreibung
43 (12 5* (: Die Datei liegt auf
dem offiziellen Update-Server. (Nur fr Aktion = (0,,12
3,)
'(: Die Datei ist bzw. wird auf dem TFTP-Server gespeichert, der in der URL angegeben wird.
URL
118
Nur fr Quelle = >( oder '(

Geben Sie die URL des Servers ein, von dem die Systemsoftware-Datei
geladen werden soll bzw. auf dem die Konfigurationsdatei gespeichert
werden soll.
11 Netzwerk
bintec elmeg GmbH
Kapitel 11 Netzwerk
11.1 Routen
Standard-Route (Default Route)
Bei einer Standard-Route werden automatisch alle Daten auf eine Verbindung geleitet, wenn keine andere passende Route verfgbar ist. Wenn Sie einen Zugang zum Internet einrichten, dann tragen Sie
die Route zu Ihrem Internet-Service-Provider (ISP) als Standard-Route ein. Wenn Sie z. B. eine Firmennetzanbindung durchfhren, dann tragen Sie die Route zur Zentrale bzw. zur Filiale nur dann als Standard-Route ein, wenn Sie keinen Internetzugang ber Ihr Gert einrichten. Wenn Sie z. B. sowohl einen
Zugang zum Internet, als auch eine Firmennetzanbindung einrichten, dann tragen Sie zum ISP eine
Standard-Route und zur Firmenzentrale eine Netzwerk-Route ein. Sie knnen auf Ihrem Gert mehrere
Standard-Routen eintragen, nur eine einzige aber kann jeweils wirksam sein. Achten Sie daher auf unterschiedliche Werte fr die Metrik, wenn Sie mehrere Standard-Routen eintragen.
11.1.1 Konfiguration von IPv4-Routen

Im Men Netzwerk->Routen->Konfiguration von IPv4-Routen wird eine Liste aller konfigurierten Routen angezeigt.
Im Auslieferungszustand wird ein vordefinierter Eintrag mit den Parametern Ziel-IP-Adresse =
, Netzmaske =

,Gateway = , Schnittstelle =

#4;K;, Routentyp = ;823 (+ , angezeigt,

um weitere Routen anzulegen.
Abb. 72: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu mit Routenklasse = Standard.
Wird die Option 2 fr die Routenklasse ausgewhlt, ffnet sich ein weiterer Konfigurationsabschnitt.
119
11 Netzwerk
bintec elmeg GmbH
Abb. 73: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu mit Routenklasse Erweitert = 4

Das Men Netzwerk->Routen->Konfiguration von IPv4-Routen ->Neu besteht aus folgenden Feldern:
Feld
Beschreibung
Routentyp
Whlen Sie die Art der Route aus.

Mgliche Werte:
( 3 F: (+ ,: Route ber eine spezifische Schnittstelle, die verwendet wird, wenn keine andere passende
Route verfgbar ist.
( 3 F: 20: Route ber ein spezifisches Gateway, die verwendet wird, wenn keine andere passende Route verfgbar ist.
>,?3 F: (+ ,: Route zu einem einzelnen
Host ber eine spezifische Schnittstelle.
>,?3 20: Route zu einem einzelnen Host ber ein
spezifisches Gateway.
;823 (+ , (Standardwert): Route zu einem Netzwerk ber eine spezifische Schnittstelle.
;823 20: Route zu einem Netzwerk ber ein
spzifisches Gateway.
Nur fr Schnittstellen, die im DHCP-Client-Modus betrieben werden:
Auch wenn eine Schnittstelle fr den DHCP-Client-Betrieb konfiguriert ist,
ist es mglich, Routen fr den Datenverkehr ber diese Schnittstelle zu
konfigurieren. Die vom DHCP-Server erhaltenen Einstellungen werden
dann mit den hier konfigurierten gemeinsam in die aktive Routing-Tabelle
bernommen. Dadurch ist es z. B. mglich, bei dynamisch wechselnden
Gateway-Adressen bestimmte Routen aufrecht zu erhalten oder Routen
mit unterschiedlicher Metrik (d. h. unteschiedlicher Prioritt) festzulegen.
120
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Wenn der DHCP-Server allerdings statische Routen (sog. Classless Static Routes) bermittelt, werden die hier konfigurierten Einstellungen nicht
ins Routing bernommen.
-& 1F ( 3 * .>$: Die Information, welches Gateway verwendet werden soll, wird per DHCP empfangen und
in die Route bernommen.
-& 1F >,?3 * .>$: Die per DHCP empfangenen Einstellungen werden um Routing-Informationen zu einem bestimmten Host ergnzt.
-& 1F ;823 * .>$: Die per DHCP empfangenen Einstellungen werden um Routing-Informationen zu einem bestimmten Netzwerk ergnzt.
Hinweis
Durch dem Ablauf des DHCP Leases oder durch einen
Neustart des Gerts werden die Routen, die aus der Kombination von DHCP- und hier vorgenommenen Einstellungen entstehen, zunchst wieder aus dem aktiven Routing
gelscht. Mit einer erneuten DHCP-Konfiguration werden
sie dann neu generiert und wieder aktiviert.
Schnittstelle
Whlen Sie die Schnittstelle aus, welche fr diese Route verwendet werden soll.
Routenklasse
Whlen Sie die Art der Routenklasse aus.

Mgliche Werte:
( (Standardwert): Definiert eine Route mit den Standardparametern.
2: Whlen Sie aus, ob die Route mit erweiterten Parametern
definiert werden soll. Ist die Funktion aktiv, wird eine Route mit erweiterten Routing-Parametern wie Quell-Schnittstelle und QuellIP-Adresse sowie Protokoll, Quell- und Ziel-Port, Art des Dienstes
(Type of Service, TOS) und der Status der Gerte-Schnittstelle angelegt.
Felder im Men Routenparameter

Feld
Beschreibung
Lokale IP-Adresse
Nur fr Routentyp = ( 3 F: (+ ,, >,

?3 F: (+ , oder ;823
(+ ,
Geben Sie die eigene IP-Adresse des Routers auf der ausgewhlten
Schnittstelle ein.
ZielIP-Adresse/Netzmaske
Nur fr Routentyp >,?3 F: (+ , oder ;8

23 (+ ,
Geben Sie die IP-Adresse des Ziel-Hosts bzw. Zielnetzes ein.
Bei Routentyp = ;823 (+ ,
Geben Sie in das zweite Feld zustzlich die entsprechende Netzmaske
ein.
121
11 Netzwerk
bintec elmeg GmbH
Feld
Gateway-IP-Adresse
Beschreibung
Nur fr Routentyp = ( 3 F: 20, >,?3
20 oder ;823 20
Geben Sie die IP-Adresse des Gateways ein, an den Ihr Gert die IPPakete weitergeben soll.
Metrik
Whlen Sie die Prioritt der Route aus.

Je niedriger Sie den Wert setzen, desto hhere Prioritt besitzt die Route.
Wertebereich von bis
, der Standardwert ist .
Felder im Men Erweiterte Routenparameter

Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung fr die IP-Route ein.
Quellschnittstelle
Whlen Sie die Schnittstelle aus, ber welche die Datenpakete das Gert
erreichen sollen.
Der Standardwert ist <.
QuellIP-Adresse/Netzmaske
Geben Sie die IP-Adresse und Netzmaske des Quell-Hosts bzw. QuellNetzwerks ein.
Layer 4-Protokoll
Whlen Sie ein Protokoll aus.

Mgliche Werte: 4>, %:& ,
(, ?,
$/, /, #, D(', /, $, 5..
Der Standardwert ist %:&.
Quell-Port
Nur fr Layer 4-Protokoll = $ oder 5.

Geben Sie den Quellport an.
Whlen Sie zunchst den Portnummernbereich aus.
Mgliche Werte:
%:& (Standardwert): Die Route gilt fr alle Port-Nummern.
8: Ermglicht Eingabe einer Port-Nummer.
%+ : Ermglicht Eingabe eines Bereiches von Port- Nummern.
&: Eingabe von privilegierten Port-Nummern: 0 ... 1023.
(: Eingabe von Server Port-Nummern: 5000 ... 32767.
$, : Eingabe von Client Port-Nummern: 1024 ... 4999.
;+ *&: Eingabe von unprivilegierten Port-Nummern:
1024 ... 65535.
Geben Sie entsprechend der Auswahl des Port-Nummern-Bereichs in
Port (einzelner bzw. Anfangsport) und ggf. in bis Port (Endport) die entsprechenden Werte ein.
Zielport
Nur fr Layer 4-Protokoll = $ oder 5.

Geben Sie den Zielport an.
122
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Whlen Sie zunchst den Portnummernbereich aus.
Mgliche Werte:
%:& (Standardwert): Die Route gilt fr alle Port-Nummern.
8: Ermglicht Eingabe einer Port-Nummer.
%+ : Ermglicht Eingabe eines Bereiches von Port- Nummern.
&: Eingabe von privilegierten Port-Nummern: 0 ... 1023.
(: Eingabe von Server Port-Nummern: 5000 ... 32767.
;+ *&: Eingabe von unprivilegierten Port-Nummern:
1024 ... 65535.
Geben Sie entsprechend der Auswahl des Port-Nummern-Bereichs in
Port (einzelner bzw. Anfangsport) und ggf. in bis Port (Endport) die entsprechenden Werte ein.
DSCP-/TOS-Wert
Whlen Sie die Art des Dienstes aus (TOS, Type of Service).
Mgliche Werte:
;+ :+ (Standardwert): Die Art des Dienstes wird nicht bercksichtigt.
.($%@2: Differentiated Services Code Point nach RFC 3260
wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe
in binrem Format).
.($.82: Differentiated Services Code Point nach RFC
3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in dezimalem Format).
.($>9 82: Differentiated Services Code Point nach
RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet
(Angabe in hexadezimalem Format).
D(%@2: Der TOS-Wert wird im binren Format angegeben,
z. B. 00111111.
D(.82: Der TOS-Wert wird im dezimalen Format angegeben, z. B. 63.
D(>9 82: Der TOS-Wert wird im hexadezimalen Format angegeben, z. B. 3F.
Geben Sie fr .($%@2, .($.82, .($
>9 82, D(%@2, D(.82 und D(
>9 82 den entsprechenden Wert ein.
Modus
Whlen Sie aus, wann die in Routenparameter->Schnittstelle definierte

Schnittstelle benutzt werden soll.
Mgliche Werte:
=@ 3 2 (Standardwert): Die Route ist benutzbar, wenn
die Schnittstelle "aktiv" ist. Ist die Schnittstelle "ruhend", dann whlen
und warten, bis die Schnittstelle "aktiv" ist.
-: + : Die Route ist immer benutzbar.
=@ 3 11 : Die Route ist benutzbar, wenn die
Schnittstelle "aktiv" ist. Ist die Schnittstelle "ruhend", dann whlen und
solange die Alternative Route benutzen (rerouting), bis die Schnittstelle
"aktiv" ist.
123
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
; 2@ : Die Route ist benutzbar, wenn die Schnittstelle "aktiv" ist.
2@ : Die Route ist benutzbar, wenn die Schnittstelle "aktiv"
ist. Ist die Schnittstelle "ruhend", dann whlen und warten, bis die
Schnittstelle "aktiv" ist. In diesem Fall wird ber eine alternative Schnittstelle mit schlechterer Metrik geroutet, bis die Schnittstelle "aktiv" ist.
11.1.2 IPv6-Routenkonfiguration
Im Men Netzwerk->Routen->IPv6-Routenkonfiguration wird eine Liste aller konfigurierten
IPv6-Routen angezeigt.

um weitere Routen anzulegen.

Routen, die ber kein
-Symbol verfgen, wurden vom Router automatisch erstellt und knnen nicht
bearbeitet werden.
Abb. 74: Netzwerk ->Routen ->IPv6-Routenkonfiguration ->Neu
Das Men Netzwerk->Routen->IPv6-Routenkonfiguration->Neu besteht aus folgenden Feldern:

Felder im Men Routenparameter
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung fr die IPv6-Route an.
Route aktiv
Whlen Sie, ob die Route aktiv oder inaktiv sein soll.

Mit 4 wird die Route auf den Status aktiv gesetzt.
Routentyp
Whlen Sie die Art der Route aus.

Mgliche Werte:
( 3 F: (+ , : Route ber eine spezifische Schnittstelle, die verwendet wird, wenn keine andere passende
Route verfgbar ist.
( 3 F: 20 : Route ber ein spezifisches Gateway, die verwendet wird, wenn keine andere passende Route verfg-
124
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
bar ist.
>,?3 F: (+ ,: Route zu einem einzelnen
Host ber eine spezifische Schnittstelle.
>,?3 20: Route zu einem einzelnen Host ber ein
spezifisches Gateway.
;823 (+ ,: Route zu einem Netzwerk
ber eine spezifische Schnittstelle.
;823 20 (Standardwert): Route zu einem
Netzwerk ber ein spzifisches Gateway.
Zielschnittstelle
Whlen Sie die IPv6-Schnittstelle aus, welche fr diese Route verwendet

werden soll.
Sie knnen unter den Schnittstellen whlen, die unter LAN->IPKonfiguration->Schnittstellen->Neu angelegt sind und fr welche die
Nutzung von IPv6 aktiviert ist.
Quelladresse/Lnge
Geben Sie die IPv6-Quelladresse mit der entsprechenden Prfixlnge

ein.
Die Eingabe 66 beschreibt eine unspezifische Adresse.
Standardmig ist eine Prfixlnge von vorgegeben.
Zieladresse/Lnge
Geben Sie die IPv6-Zieladresse mit der entsprechenden Prfixlnge ein.

Die Eingabe 66 beschreibt eine unspezifische Adresse.
Standardmig ist eine Prfixlnge von vorgegeben.
Gateway-Adresse
Geben Sie die IPv6-Adresse fr den nchsten Hop ein.
11.1.3 IPv4-Routing-Tabelle
Im Men Netzwerk->Routen->IPv4-Routing-Tabelle wird eine Liste aller im System aktiven
Im Auslieferungszustand wird ein vordefinierter Eintrag mit den Parametern Ziel-IP-Adresse =
, Netzmaske =

,Gateway = , Schnittstelle =

#4;K;, Routentyp = ;823 (+ ,, Protokoll = # angezeigt,
Abb. 75: Netzwerk ->Routen ->IPv4-Routing-Tabelle
Felder im Men IPv4-Routing-Tabelle

Feld
Ziel-IP-Adresse
Beschreibung
Zeigt die IP-Adresse des Ziel-Hosts bzw. Zielnetzes an.
125
11 Netzwerk
bintec elmeg GmbH
Feld
Netzmaske
Gateway
Schnittstelle
Metrik
Beschreibung
Zeigt die Netzmaske des Ziel-Hosts bzw. Zielnetzes an.
Zeigt die Gateway IP-Adresse an. Im Falle von per DHCP erhaltenen
Routen wird hier nichts angezeigt.
Zeigt die Schnittstelle an, welche fr diese Route verwendet wird.
Zeigt die Prioritt der Route an.
Je niedriger der Wert, desto hhere Prioritt besitzt die Route.
Routentyp
Erweiterte Route
Protokoll
Lschen
Zeigt den Routentyp an.

Zeigt an, ob eine Route mit erweiterten Parametern konfiguriert worden
ist.
Zeigt an, wie der Eintrag erzeugt wurde, z. B. manuell ( #) oder
ber eins der verfgbaren Protokolle.
Mithilfe des
-Symbols knnen Sie Eintrge lschen.
11.1.4 IPv6-Routingtabelle
Im Men Netzwerk->Routen->IPv6-Routingtabelle wird eine Liste aller im System aktiven
Abb. 76: Netzwerk ->Routen ->IPv6-Routingtabelle
Felder im Men IPv6-Routingtabelle

Feld
Beschreibung
Route
Zeigt die Quell- und die Zieladresse, die fr diese Route verwendet wird
an, sowie die Gateway IP-Adresse. Im Falle von per DHCP erhaltenen
Routen wird hier nichts angezeigt.
Schnittstelle
Metrik
Zeigt die Schnittstelle an, welche fr diese Route verwendet wird.

Zeigt die Prioritt der Route an.
Je niedriger der Wert, desto hhere Prioritt besitzt die Route.
Protokoll
Zeigt an, wie der Eintrag erzeugt wurde, z. B. manuell ( #) oder
ber eins der verfgbaren Protokolle.
11.1.5 Optionen
berprfung der Rckroute
Hinter dem Begriff "berprfung der Rckroute" (engl. "Back Route Verify") versteckt sich eine einfache,
aber sehr leistungsfhige Funktion. Wenn die berprfung bei einer Schnittstelle aktiviert ist, werden
126
11 Netzwerk
bintec elmeg GmbH
ber diese eingehende Datenpakete nur akzeptiert, wenn ausgehende Antwortpakete ber die gleiche
Schnittstelle geroutet wrden. Dadurch knnen Sie - auch ohne Filter - die Akzeptanz von Paketen mit
geflschten IP-Adressen verhindern.
Abb. 77: Netzwerk ->Routen ->Optionen
Im Auslieferungszustand werden mit der Standardeinstellung 'F :, (+ ,

die beiden Eintrge und

angezeigt.
Das Men Netzwerk->Routen->Optionen besteht aus folgenden Feldern:
Felder im Men berprfung der Rckroute
Feld
Beschreibung
Modus
Whlen Sie hier aus, wie die Schnittstellen spezifiziert werden sollen, fr
die eine berprfung der Rckroute aktiviert wird.
Mgliche Werte:
'F (+ , : berprfung der Rckroute wird fr alle Schnittstellen aktiviert.
'F :, (+ , (Standardwert):
Eine Liste aller Schnittstellen wird angezeigt, in der berprfung der
Rckroute nur fr spezifische Schnittstellen aktiviert wird.
'F (+ , : berprfung der
Rckroute wird fr alle Schnittstellen deaktiviert.
Nr.
Nur fr Modus = 'F :, (+ ,

Zeigt die laufende Nummer des Listeneintrags an.
Schnittstelle
Nur fr Modus = 'F :, (+ ,

berprfung der Rckrou- Nur fr Modus = 'F :, (+ ,

te
Whlen Sie aus, ob L:*F13& ?F+3 fr diese Schnittstelle aktiviert werden soll.
Standardmig ist die Funktion fr alle Schnittstellen deaktiviert.
127
11 Netzwerk
bintec elmeg GmbH
11.2 Allgemeine IPv6-Prfixe

Allgemeine IPv6-Prfixe werden in der Regel von IPv6-Providern vergeben. Sie knnen statisch zugewiesen oder ber DHCP bezogen werden. Meist handelt es sich um /48- oder /56-Netze. Aus diesen Allgemeinen Prfixen knnen Sie /64-Subnetze erzeugen und in Ihrem Netz weiterverteilen lassen.
Das Konzept der Allgemeinen Prfixe hat zwei entscheidende Vorteile:
Zwischen Provider und Kunde gengt eine einzige Route.
Wenn der Provider einen neuen Allgemeinen Prfix per DHCP zuteilt oder einen statisch zugeteilten
Allgemeinen Prfix ndern muss, haben Sie als Kunde keinen oder wenig Konfigurationsaufwand:
ber DHCP erhalten Sie den neuen Allgemeinen Prfix automatisch. Im Falle des statisch zugeteilten
Allgemeinen Prfixes mssen Sie diesen einmal in Ihr System eingeben. Alle aus diesem Allgemeinen
Prfix abgeleiteten Subnetze und IPv6-Adressen ndern sich bei einem Update des Allgemeinen Prfixes automatisch.
Um IPv6 zu verwenden, mssen Sie konfigurieren, wie Sie Subnetze und IPv6-Adressen festlegen und
verteilen lassen wollen (siehe "IPv6-Adressen konfigurieren unter Schnittstellen auf Seite 61 sowie die
fr IPv6 relevanten Parameter im Men LAN->IP-Konfiguration->Schnittstellen.
11.2.1 Konfiguration eines Allgemeinen Prfixes

Im Men Netzwerk->Allgemeine IPv6-Prfixe->Konfiguration eines Allgemeinen Prfixes wird eine
Liste aller konfigurierten IPv6-Prfixe angezeigt.

um weitere Prfixe zu konfigurieren.
Abb. 78: Netzwerk ->Allgemeine IPv6-Prfixe ->Konfiguration eines Allgemeinen Prfixes ->Neu
Optionen im Men Basisparameter

Feld
Beschreibung
Aktiver Allgemeiner Prfix Whlen Sie, ob das Prfix aktiv oder inaktiv sein soll.
Mit 4 wird das Prfix auf den Status aktiv gesetzt.
Standardmig ist das Prfix aktiv.
Name
Geben Sie einen Namen fr das Allgemeine Prfix ein.
Ein sprechender Name dient dazu, das Allgemeine Prfix aus einer Prfixliste leichter auswhlen zu knnen.
Typ
Whlen Sie, wie der Adressraum zugewiesen werden soll.
Mgliche Werte:
128
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
.0,+ (Standardwert): Der Allgemeine Prfix wird dynamisch
mittels einer DHCP-bertragung festgesetzt, z. B. von einem Provider.
(,+ : Das Prfix wird fest vorgegeben, z. B. durch einen Provider.
Von Schnittstelle
Nur bei Typ = .0,+

Whlen Sie die IPv6-Schnittstelle aus, von welcher ein Allgemeiner Prfix bezogen werden soll.
Sie knnen unter den Schnittstellen whlen, die unter LAN->IPKonfiguration->Schnittstellen->Neu angelegt sind und die folgende
Bedingungen erfllen:
IPv6 ist 4.
IPv6-Modus = >,
DHCP-Client ist 4.
Benutzter Prfix/Lnge
Nur bei Typ = (,+

Geben Sie das Prfix ein, das verwendet werden soll. Geben Sie die zugehrige Lnge ein. Dieser Prfix muss mit :: enden.
Standardmig ist eine Lnge von vorgegeben.
11.3 NAT
Network Address Translation (NAT) ist eine Funktion Ihres Gerts, um Quell- und Zieladressen von IPPaketen definiert umzusetzen. Mit aktiviertem NAT werden weiterhin IP-Verbindungen standardmig
nur noch in einer Richtung, ausgehend (forward) zugelassen (=Schutzfunktion). Ausnahmeregeln knnen konfiguriert werden (in NAT-Konfiguration auf Seite 130).
Konkrete Hinweise fr die Konfiguration von NAT finden Sie am Ende des Kapitels unter NAT - Konfigurationsbeispiel auf Seite 135.
11.3.1 NAT-Schnittstellen
Im Men Netzwerk->NAT->NAT-Schnittstellen wird eine Liste aller NAT-Schnittstellen angezeigt.
Abb. 79: Netzwerk ->NAT ->NAT-Schnittstellen
Fr jede NAT-Schnittstelle sind die Optionen ;4 , #*:+ , -21
?F+ 3& und ,, 3& auswhlbar.
Auerdem wird in 23& angezeigt, wie viele Portweiterleitungsregeln fr diese
Schnittstelle konfiguriert wurden.
129
11 Netzwerk
bintec elmeg GmbH
Optionen im Men NAT-Schnittstellen

Feld
Beschreibung
NAT aktiv
Whlen Sie aus, ob NAT fr die Schnittstelle aktiviert werden soll.

Loopback aktiv
Mithilfe der NAT-Loopback-Funktion ist Network Address Translation

auch bei Anschlssen mglich, auf denen NAT nicht aktiv ist. Dies wird
verwendet, um Anfragen aus dem LAN so zu interpretieren, als ob sie
aus dem WAN kmen. Sie knnen damit Server Services testen.
Verwerfen ohne Rckmeldung
Whlen Sie aus, ob IP-Pakete stillschweigend durch NAT abgelehnt werden sollen. Ist diese Funktion deaktiviert, wird der Absender der abgelehnten IP-Pakete mit einer entsprechenden ICMP- oder TCPRST-Nachricht informiert.
PPTP-Passthrough
Whlen Sie aus, ob auch bei aktiviertem NAT der Aufbau und Betrieb
mehrerer gleichzeitiger ausgehender PPTP-Verbindungen von Hosts im
Netzwerk erlaubt sein soll.
Wenn PPTP-Passthrough aktiviert ist, darf Ihr Gert selber nicht als
Tunnel-Endpunkt konfiguriert werden.
Portweiterleitungen
Zeigt die Anzahl der in Netzwerk->NAT->NAT-Konfiguration konfigurierten Portweiterleitungsregeln an.
11.3.2 NAT-Konfiguration
Im Men Netzwerk->NAT->NAT-Konfiguration knnen Sie neben dem Umsetzen von Adressen und
Ports einfach und komfortabel Daten von NAT ausnehmen. Fr ausgehenden Datenverkehr knnen Sie
verschiedene NAT-Methoden konfigurieren, d. h. Sie knnen festlegen, wie ein externer Host eine Verbindung zu einem internen Host herstellen darf.
11.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um NAT einzurichten.
130
11 Netzwerk
bintec elmeg GmbH
Abb. 80: Netzwerk ->NAT ->NAT-Konfiguration ->Neu
Das Men Netzwerk->NAT->NAT-Konfiguration ->Neu besteht aus folgenden Feldern:

Feld im Men Basisparameter
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung fr die NAT-Konfiguration ein.
Schnittstelle
Whlen Sie die Schnittstelle, fr die NAT konfiguriert werden soll.

Mgliche Werte:
%:& (Standardwert): NAT wird fr alle Schnittstellen konfiguriert.
A(+ ,B: Whlen Sie eine der Schnittstellen aus der
Liste aus.
Art des Datenverkehrs

Whlen Sie, fr welche Art von Datenverkehr NAT konfiguriert werden
soll.
Mgliche Werte:
& !E;4" (Standardwert): Der Datenverkehr, der von
auen kommt.
3,& !G3;4": Der Datenverkehr, der nach auen geht.
93, ! ;4": Der Datenverkehr, der von NAT ausgenommen ist.
NAT-Methode
Nur fr Art des Datenverkehrs = 3,& !G3;4"

Whlen Sie die NAT-Methode fr ausgehenden Datenverkehr. Ausgangspunkt fr die Wahl der NAT-Methode ist ein NAT-Szenario, bei
dem ein "interner" Quell-Host ber die NAT-Schnittstelle eine IPVerbindung zu einem "externen" Ziel-Host initiiert hat und bei der eine intern gltige Quelladresse und ein intern gltiger Quellport auf eine extern
gltige Quelladresse und einen extern gltigen Quellport umgesetzt werden.
Mgliche Werte:
13+ (nur UDP): Jeder beliebige externe Host darf IP-Pakete
ber die externe Adresse und den externen Port an die initiierende
Quelladresse und den initialen Quellport senden.
,+ + (nur UDP): Wie full-cone NAT; als externer Host
ist jedoch ausschlielich der initiale "externe" Ziel-Host zugelassen.
131
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
*,+ + (nur UDP): Wie restricted-cone NAT; es
sind jedoch ausschlielich Daten vom initialen Ziel-Port zugelassen.
,0,+ (Standardwert) Fr beliebige Protokolle: In ausgehender Richtung werden eine extern gltige Quelladresse und ein extern
gltiger Quell-Port administrativ festgelegt. In eingehender Richtung
sind nur Antwortpakete innerhalb der bestehenden Verbindung zugelassen.
Im Men NAT-Konfiguration ->Ursprnglichen Datenverkehr angeben knnen Sie konfigurieren, fr

welchen Datenverkehr NAT verwendet werden soll.
Felder im Men Ursprnglichen Datenverkehr angeben
Feld
Beschreibung
Dienst
Nicht fr Art des Datenverkehrs = 3,& !G3;4" und

NAT-Methode = 13+, ,+ + oder *
,+ +.
Whlen Sie einen der vorkonfigurierten Dienste aus.
Mgliche Werte:
%38 1 (Standardwert)
A.,B
Aktion
Nur fr Art des Datenverkehrs = 93, ! ;4"

Whlen Sie, welche Datenpakete von NAT ausgenommen werden.
Mgliche Werte:
43,,+ M (Standardwert): Alle Datenpakete, die mit den nachfolgend zu konfigurierenden Parametern (Protokoll, QuellIP-Adresse/Netzmaske, Ziel-IP-Adresse/Netzmaske, usw.) bereinstimmen, werden von NAT ausgenommen.
;+ 3,,+ M: Alle Datenpakete, die mit den nachfolgend zu
konfigurierenden Parametern (Protokoll, Quell-IP-Adresse/Netzmaske,
Ziel-IP-Adresse/Netzmaske, usw.) nicht bereinstimmen, werden von
NAT ausgenommen.
Protokoll
Nur fr bestimmte Dienste.

Nicht fr Art des Datenverkehrs = 3,& !G3;4" und
NAT-Methode = 13+, ,+ + oder *
,+ +. In diesem Fall wird UDP automatich festgelegt.
Whlen Sie ein Protokoll aus. Je nach ausgewhltem Dienst stehen verschiedene Protokolle zur Verfgung.
Mgliche Werte:
%:& (Standardwert)
4>
$ ,

(

?
>/
$/
132
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
/

?

C
(D
<0*
#
D('
5
?.
?(-
(<
$
#(
5.
-??
C;(.
Nur fr Art des Datenverkehrs = & !E;4" oder 9

3, ! ;4"
Geben Sie die Quell-IP-Adresse und gegebenenfalls die zugehrige
Netzmaske der ursprnglichen Datenpakete ein.
Original ZielIP-Adresse/Netzmaske
Nur fr Art des Datenverkehrs = & !E;4"
Original Ziel-Port/Bereich
Nur fr Art des Datenverkehrs = & !E;4", Dienst =

%38 1 und Protokoll = $, 5., $75.
Geben Sie die Ziel-IP-Adresse und gegebenenfalls die zugehrige Netzmaske der ursprnglichen Datenpakete ein.
Geben Sie den Ziel-Port bzw. den Ziel-Port-Bereich der ursprnglichen

Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass der
Port nicht nher spezifiziert ist.
Originale QuellIP-Adresse/Netzmaske
Nur fr Art des Datenverkehrs = 3,& !G3;4"
Original QuellPort/Bereich
Nur fr Art des Datenverkehrs = 3,& !G3;4", NATMethode = ,0,+ , Dienst = %38 1 und Protokoll = $, 5., $75.
Geben Sie die Quell-IP-Adresse und gegebenenfalls die zugehrige

Netzmaske der ursprnglichen Datenpakete ein.
Geben Sie den Quellport der ursprnglichen Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass der Port nicht nher spezifiziert
ist.
Wenn Sie &: whlen, knnen Sie einen einzelnen Port angeben, mit der Auswahl von :+ &: knnen Sie einen
zusammenhngenden Bereich von Ports definieren, der als Filter fr den
133
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
ausgehenden Datenverkehr verwendet wird.
Quell-Port/Bereich
Nur fr Art des Datenverkehrs = 93, ! ;4", Dienst =

%38 1 und Protokoll = $, 5., $75.
Geben Sie den Quell-Port bzw. den Quell-Port-Bereich der ursprnglichen Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass
der Port nicht nher spezifiziert ist.
Nur fr Art des Datenverkehrs = 93, ! ;4" bzw. 3,

& !G3;4" und NAT-Methode = ,0,+
Geben Sie die Ziel-IP-Adresse und gegebenenfalls die zugehrige Netzmaske der ursprnglichen Datenpakete ein.
Ziel-Port/Bereich
Nur fr Art des Datenverkehrs = 3,& !G3;4", NATMethode = ,0,+ , Dienst = %38 1 und Protokoll = $, 5., $75. oder Art des Datenverkehrs = 93,
! ;4", Dienst = %38 1 und Protokoll = $,
5., $75.
Geben Sie den Ziel-Port bzw. den Ziel-Port-Bereich der ursprnglichen
Datenpakete ein. Die Standardeinstellung 4 bedeutet, dass der
Port nicht nher spezifiziert ist.
Im Men NAT-Konfiguration ->Substitutionswerte knnen Sie, abhngig davon, ob es sich um eingehenden oder ausgehenden Datenverkehr handelt, neue Adressen und Ports definieren, auf welche bestimmte Adressen und Ports aus dem Men NAT-Konfiguration ->Ursprnglichen Datenverkehr angeben umgesetzt werden.
Felder im Men Substitutionswerte
Feld
Beschreibung
Neue ZielIP-Adresse/Netzmaske
Nur fr Art des Datenverkehrs = & !E;4"
Neuer Ziel-Port
Nur fr Art des Datenverkehrs = & !E;4", Dienst =

%38 1 und Protokoll = $, 5., $75.
Geben Sie diejenige Ziel-IP-Adresse und die zugehrige Netzmaske ein,

auf welche die ursprngliche Ziel-IP-Adresse umgesetzt werden soll.
Belassen Sie den Ziel-Port oder geben Sie denjenigen Ziel-Port ein, auf
den der ursprngliche Ziel-Port umgesetzt werden soll.
Mit Auswahl von D& belassen Sie den ursprnglichen Ziel-Port.
Wenn Sie D& deaktivieren, erscheint ein Eingabefeld und Sie
knnen einen neuen Ziel-Port eingeben.
Standardmig ist D& aktiv.
Neue QuellIP-Adresse/Netzmaske
Nur fr Art des Datenverkehrs = 3,& !G3;4" und NATMethode = ,0,+

Geben Sie diejenige Quell-IP-Adresse ein, auf welche die ursprngliche
Quell-IP-Adresse umgesetzt werden soll, gegebenenfalls mit zugehriger
Netzmaske.
Neuer Quell-Port
Nur fr Art des Datenverkehrs = 3,& !G3;4", NATMethode = ,0,+ , Dienst = %38 1, Protokoll
= $, 5., $75. und Original Quell-Port/Bereich= 4 oder
&:
Belassen Sie den Quell-Port oder geben Sie einen neuen Quell-Port ein,
134
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
auf den der ursprngliche Quell-Port umgesetzt werden soll.
Mit Auswahl von D& belassen Sie den ursprnglichen Quell-Port.
Wenn Sie D& deaktivieren, erscheint ein Eingabefeld und Sie
knnen einen neuen Quell-Port eingeben. Standardmig ist D&
aktiv.
Haben Sie fr Original Quell-Port/Bereich :+ &:
gewhlt, stehen folgende Auswahlmglichkeiten zur Verfgung:
D& G37%+ 2 : Der in Original
Quell-Port/Bereich angegebene Bereich wird nicht verndert, die Portnummern bleiben erhalten.
D& 7%+ :& : Es erscheint ein Eingabefeld, in das Sie die Portnummer eingeben knnen, bei der der Portbereich beginnen soll, durch den der ursprngliche Portbereich ersetzt
wird. Die Anzahl der Ports bleibt dabei gleich.
11.3.3 NAT - Konfigurationsbeispiel

Voraussetzungen
Grundkonfiguration des Gateways
Die Konfiguration erfordert einen funktionsfhigen Internetzugang, hier als Beispiel Company
Connect mit acht IP-Adressen.
Die Ethernet-Schnittstelle ETH Ihres Gerts ist an den Zugangsrouter zum Internet (IP-Adresse
7) angeschlossen.
Die IP-Adressen bis sind auf der Ethernet-Schnittstelle ETH eingetragen.
Beispielszenario
Konfigurationsziel
Sie konfigurieren NAT-Freigaben, damit Sie per HTTP auf Ihr Gateway zugreifen knnen.
Sie wollen auf Ihren Terminalserver und auf den Firmen-Webserver ber das Internet zugreifen knnen.
NAT einschalten
Feld
Men
Wert
NAT aktiv
Netzwerk -> NAT -> NAT-Schnittstellen
Aktiviert fr #4;K;

135
11 Netzwerk
bintec elmeg GmbH
Feld
Men
Wert
Netzwerk -> NAT -> NAT-Schnittstellen
Aktiviert fr #4;K;

NAT-Freigaben konfigurieren
Feld
Men
Wert
Beschreibung
Netzwerk -> NAT -> NAT-Konfiguration - z. B. 5

> Neu
Schnittstelle
Netzwerk -> NAT -> NAT-Konfiguration - #4;K;

> Neu
Netzwerk -> NAT -> NAT-Konfiguration - & !E;4"

> Neu
Dienst
Netzwerk -> NAT -> NAT-Konfiguration - %38 1

> Neu
Protokoll
Netzwerk -> NAT -> NAT-Konfiguration - $

> Neu
Netzwerk -> NAT -> NAT-Konfiguration - >,, z. B.

> Neu
Netzwerk -> NAT -> NAT-Konfiguration -

> Neu
Netzwerk -> NAT -> NAT-Konfiguration - )

> Neu
Neuer Ziel-Port
Netzwerk -> NAT -> NAT-Konfiguration - D& deaktiviert,

> Neu
Webserver
Feld
Men
Wert
Beschreibung
Netzwerk -> NAT -> NAT-Konfiguration - z. B. =:,

> Neu
Schnittstelle

> Neu

> Neu
Dienst
Netzwerk -> NAT -> NAT-Konfiguration > Neu
Netzwerk -> NAT -> NAT-Konfiguration >,, z. B.

> Neu

> Neu
Neuer Ziel-Port
Netzwerk -> NAT -> NAT-Konfiguration - D&

> Neu
*
Terminal Server
136
Feld
Men
Wert
Beschreibung
Netzwerk -> NAT -> NAT-Konfiguration - z. B. (

> Neu
Schnittstelle

> Neu

> Neu
Dienst
Netzwerk -> NAT -> NAT-Konfiguration - %38 1

> Neu
Protokoll
Netzwerk -> NAT -> NAT-Konfiguration - $

> Neu
11 Netzwerk
bintec elmeg GmbH
Feld
Men
Wert

> Neu

> Neu

> Neu
Neuer Ziel-Port
Netzwerk -> NAT -> NAT-Konfiguration - D&

> Neu
11.4 Lastverteilung
Zunehmender Datenverkehr ber das Internet erfordert die Mglichkeit, Daten ber unterschiedliche
Schnittstellen senden zu knnen, um die zur Verfgung stehende Gesamtbandbreite zu erhhen. IPLastverteilung ermglicht die geregelte Verteilung von Datenverkehr innerhalb einer bestimmten Gruppe
von Schnittstellen.
11.4.1 Lastverteilungsgruppen
Wenn Schnittstellen zu Gruppen zusammengefasst sind, wird der Datenverkehr innerhalb einer Gruppe
nach folgenden Prinzipien aufgeteilt:
Im Unterschied zu Multilink-PPP-basierten Lsungen funktioniert die Lastverteilung auch mit Accounts
zu unterschiedlichen Providern.
Session-based Load Balancing wird realisiert.
Zusammenhngende (abhngige) Sessions werden immer ber dieselbe Schnittstelle geroutet.
Eine Distributionsentscheidung fllt nur bei ausgehenden Sessions.
Im Men Netzwerk->Lastverteilung->Lastverteilungsgruppen wird eine Liste aller konfigurierten
Lastverteilungsgruppen angezeigt. Mit einem Klick auf das
-Symbol neben einem Listeneintrag gelangen Sie zu einer bersicht diese Gruppe betreffende Grundparameter.
Hinweis
Beachten Sie, dass die Schnittstellen, die zu einer Lastverteilungsgruppe zusammengefasst werden, Routen mit gleicher Metrik besitzen mssen. Gehen Sie ggf. in das Men
Netzwerk->Routen und berprfen Sie dort die Eintrge.
11.4.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Gruppen einzurichten.
Abb. 81: Netzwerk ->Lastverteilung->Lastverteilungsgruppen->Neu
137
11 Netzwerk
bintec elmeg GmbH
Das Men Netzwerk->Lastverteilung->Lastverteilungsgruppen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Gruppenbeschreibung
Geben Sie eine beliebige Beschreibung der Schnittstellen-Gruppe ein.
Verteilungsrichtlinie
Whlen Sie aus, auf welche Art der Datenverkehr auf die fr die Gruppe
konfigurierten Schnittstellen verteilt werden soll.
Mgliche Werte:
(83&,?3 ?: (Standardwert): Eine neu hinzukommende
Session wird je nach prozentualer Belegung der Schnittstellen mit Sessions einer der Gruppen-Schnittstellen zugewiesen. Die Anzahl der
Sessions ist mageblich.
#,: @&& % :: Eine neu hinzukommende Session
wird je nach Anteil der Schnittstellen an der Gesamtdatenrate einer der
Gruppen-Schnittstellen zugewiesen. Mageblich ist die aktuelle Datenrate, wobei der Datenverkehr sowohl in Sende- als auch in Empfangsrichtung bercksichtigt wird.
Bercksichtigen
Nur fr Verteilungsrichtlinie = #,: @&& % :

Whlen Sie aus, in welcher Richtung die aktuelle Datenrate bercksichtigt werden soll.
Optionen:
.2 : Nur die Datenrate in Empfangsrichtung wird bercksichtigt.
5* : Nur die Datenrate in Senderichtung wird bercksichtigt.
Standardmig sind die Optionen .2 und 5* deaktiviert.
Verteilungsmodus
Whlen Sie aus, welchen Zustand die Schnittstellen der Gruppe haben
drfen, damit sie in die Lastverteilung einbezogen werden.
Mgliche Werte:
(Standardwert): Auch Schnittstellen im Zustand ruhend werden
einbezogen.
;3 (+ , 2 : Es werden nur
Schnittstellen im Zustand aktiv bercksichtigt.
Im Bereich Schnittstelle fgen Sie Schnittstellen hinzu, die dem aktuellen Gruppenkontext entsprechen
und konfigurieren diese. Sie knnen auch Schnittstellen lschen.
138
11 Netzwerk
bintec elmeg GmbH
Abb. 82: Netzwerk ->Lastverteilung->Lastverteilungsgruppen->Hinzufgen

Feld
Gruppenbeschreibung
Beschreibung
Zeigt die Beschreibung der Schnittstellen-Gruppe an.
Zeigt die gewhlte Art des Datenverkehrs an.
Felder im Men Schnittstellenauswahl fr Verteilung

Feld
Beschreibung
Schnittstelle
Whlen Sie unter den zur Verfgung stehenden Schnittstellen diejenigen

aus, die der Gruppe angehren sollen.
Verteilungsverhltnis
Geben Sie an, welchen Prozentsatz des Datenverkehrs eine Schnittstelle

bernehmen soll.
Die Bedeutung unterscheidet sich je nach verwendetem Verteilungsverhltnis:
Fr (83&,?3 ?: wird die Anzahl verteilter Sessions zugrunde gelegt.
Fr #,: @&& % : ist die Datenrate mageblich.

Feld
Beschreibung
Routenselektor
Der Parameter Routenselektor ist ein zustzliches Kriterium zur genaueren Definition einer Lastverteilungsgruppen. Der Schnittstelleneintrag innerhalb einer Lastverteilungsgruppen wird hierbei um eine Routinginformation erweitert. Der Routenselektor ist in bestimmten Anwendungsfllen notwendig, um die vom Router verwalteten IP Sessions eindeutig je Loadbalancing -Gruppe bilanzieren zu knnen. Fr die Anwendung des Parameters gelten folgende Regeln:
Ist eine Schnittstelle nur einer Lastverteilungsgruppe zugewiesen, so
ist die Konfiguration des Routenselektors nicht notwendig.
Ist eine Schnittstelle mehreren Lastverteilungsgruppenn zugewiesen,
so ist die Konfiguration des Routenselektors zwingend erforderlich.
139
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Innerhalb einer Lastverteilungsgruppe muss der Routenselektor aller
Schnittstelleneintrge identisch konfiguriert sein.
Whlen Sie die Ziel-IP-Adresse der gewnschten Route aus.
Sie knnen unter allen Routen und allen erweiterten Routen whlen.
IP-Adresse zur Nachverfolgung
Mit dem Parameter IP-Adresse zur Nachverfolgung knnen Sie eine

bestimmte Route berwachen lassen.
Mithilfe dieses Parameters kann der Lastverteilungsstatus der Schnittstelle bzw. Status der mit der Schnittstelle verbundenen Routen beeinflusst werden. Das bedeutet, dass Routen unabhngig vom Operation
Status der Schnittstelle aktiviert bzw. deaktiviert werden knnen. Die
berwachung der Verbindung erfolgt hierbei ber die Hostberwachungsfunktion des Gateways. Zur Verwendung dieser Funktion
ist somit die Konfiguration von Host-berwachungseintrgen zwingend
erforderlich. Konfiguriert werden kann dies im Men Lokale
Dienste->berwachung->Hosts. Hierbei ist wichtig, dass im Lastverteilungskontext nur Host-berwachungseintrge mit der Aktion berwachen bercksichtigt werden. ber die Konfiguration der IP-Adresse zur
Nachverfolgung im Men
Lastverteilung->Lastverteilungsgruppen->Erweiterte Einstellungen
erfolgt die Verknpfung zwischen der Lastverteilungsfunktion und der
Host-berwachungsfunktion. Der Lastverteilungsstatus der Schnittstelle
wechselt nun in Abhngigkeit vom Status des zugewiesenen Hostberwachungseintrages.
Whlen Sie die IP-Adresse der Route, die berwacht werden soll.
Sie knnen unter den IP-Adressen whlen, die Sie im Men Lokale
Dienste->berwachung->Hosts->Neu unter berwachte IP-Adresse
eingegeben haben und die mit Hilfe des Feldes Auszufhrende Aktion
berwacht werden (Aktion = L:2+ ) .
11.4.2 Special Session Handling

Special Session Handling ermglicht Ihnen einen Teil des Datenverkehrs auf Ihrem Gert ber eine
bestimmte Schnittstelle zu leiten. Dieser Datenverkehr wird von der Funktion Lastverteilung ausgenommen.
Die Funktion Special Session Handling knnen Sie zum Beispiel beim Online Banking verwenden, um
sicherzustellen, dass der HTTPS-Datenverkehr auf einen bestimmten Link bertragen wird. Da beim
Online Banking geprft wird, ob der gesamte Datenverkehr aus derselben Quelle stammt , wrde ohne
Special Session Handling die Datenbertragung bei Verwendung von Lastverteilung unter Umstnden abgebrochen.
Im Men Netzwerk->Lastverteilung->Special Session Handling wird eine Liste mit Eintrgen angezeigt. Wenn Sie noch keine Eintrge konfiguriert haben, ist die Liste leer.
Jeder Eintrag enthlt u. a. Parameter, welche die Eigenschaften eines Datenpakets mehr oder weniger
detailliert beschreiben. Das erste Datenpaket, auf das die hier konfigurierten Eigenschaften zutreffen,
legt die Route fr bestimmte nachfolgende Datenpakete fest.
Welche Datenpakete danach ber diese Route geleitet werden, wird im Men Netzwerk->Lastverteilung->Special Session Handling->Neu->Erweiterte Einstellungen konfiguriert.
Wenn Sie zum Beispiel im Men Netzwerk->Lastverteilung->Special Session Handling->Neu den
Parameter Dienst = * !((#" whlen (und bei allen anderen Parametern die Standardwerte belassen), so legt das erste HTTPS-Paket die Zieladresse und den Zielport (d.h. Port 443 bei HTTPS) fr
spter gesendete Datenpakete fest.
140
11 Netzwerk
bintec elmeg GmbH
Wenn Sie unter Unvernderliche Parameter fr die beide Parameter Zieladresse und Zielport die
Standardeinstellung belassen, so werden die HTTPS-Pakete mit derselben QuellIP-Adresse wie das erste HTTPS-Paket ber Port 443 zur selben Zieladresse ber dieselbe Schnittstelle wie das erste HTTPS-Paket geroutet.

um neue Eintrge anzulegen.
Abb. 83: Netzwerk ->Lastverteilung->Special Session Handling->Neu
Das Men Netzwerk->Lastverteilung->Special Session Handling->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Admin-Status
Whlen Sie aus, ob Special Session Handling aktiv sein soll.

Beschreibung
Geben Sie eine Bezeichnung fr den Eintrag ein.
Dienst
Whlen Sie, falls gewnscht, einen der vorkonfigurierten Dienste aus.

Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
+0
**N
3
+ &
+,K
0
+*
,+
141
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Der Standardwert ist %38 1.
Protokoll
Whlen Sie, falls gewnscht, ein Protokoll aus. Die Option %:&
(Standardwert) passt auf jedes Protokoll.
Definieren Sie, falls gewnscht, die Ziel-IP-Adresse und die Netzmaske

der Datenpakete.
Mgliche Werte:
%:& (Standardwert)
>,: Geben Sie die IP-Adresse des Hosts ein.
;82: Geben Sie die Netzwerk-Adresse und die zugehrige Netzmaske ein.
Ziel-Port/Bereich
Geben Sie, falls gewnscht, eine Ziel-Port-Nummer bzw. einen Bereich

von Ziel-Port-Nummern ein.
Mgliche Werte:
4 (Standardwert): Der Zielport ist nicht nher spezifiziert.
&:: Geben Sie einen Ziel-Port ein.
:+
&:: Geben Sie einen Ziel-Port-Bereich ein.
Quellschnittstelle
Whlen Sie, falls gewnscht, die Quellschnittstelle Ihres Gerts aus.
Definieren Sie, falls gewnscht, die Quell-IP-Adresse und die Netzmaske

der Datenpakete.
Mgliche Werte:
%:& (Standardwert)
;82: Geben Sie die Netzwerk-Adresse und die zugehrige Netzmaske ein.
Quell-Port/Bereich
Geben Sie, falls gewnscht, eine Quell-Port-Nummer bzw. einen Bereich

von Quell-Port-Nummern ein.
Mgliche Werte:
4 (Standardwert): Der Quell-Port ist nicht nher spezifiziert.
&:: Geben Sie einen Quell-Port ein.
:+
Special Handling Timer
&:: Geben Sie einen Quell-Port-Bereich ein.
Geben Sie ein, whrend welcher Zeitspanne die spezifizierten Datenpakete ber den festgelegten Weg geroutet werden sollen.

142
Feld
Beschreibung
Unvernderliche Parameter
Legen Sie fest, ob die beiden Parameter Zieladresse und Zielport bei
spter gesendeten Datenpaketen denselben Wert haben mssen wie
beim ersten Datenpaket, d. h. ob die nachfolgenden Datenpakete ber
denselben Zielport zur selben Zieladresse geroutet werden mssen.
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Standardmig sind die beiden Parameter Zieladresse und Zielport aktiv.
Belassen Sie die Voreinstellung 4 bei einem oder bei beiden
Parametern, so muss der Wert des jeweiligen Parameters bei den spter
gesendeten Datenpaketen derselbe sein wie beim ersten Datenpaket.
Sie knnen, falls gewnscht, einen oder beide Parameter deaktivieren.
Der Parameter Quell-IP-Adresse muss bei spter gesendeten Datenpaketen immer denselben Wert haben wie beim ersten Datenpaket. Er kann
daher nicht deaktiviert werden.
11.4.3 Lastverteilung - Konfigurationsbeispiel

Voraussetzungen
Gateway mit integriertem DSL-Modem
Externes DSL-Modem
Zwei unabhngige DSL-Internetverbindungen
Beispielszenario
Konfigurationsziel
Der Datenverkehr wird auf Basis von IP-Sitzungen jeweils zur Hlfte auf die beiden DSL-Leitungen
verteilt.
Wie Verbindungsabbrche vermieden werden, welche durch die Verteilung auf verschiedene Internetzugnge auftreten knnen, zeigen wir Ihnen am Beispiel von verschlsselten HTTP-Verbindungen
(HTTPS).
Hinweis
Beim Aufbau der DSL-Verbindungen bezieht das Gateway neben der ffentlichen IPAdresse auch die IP-Adressen der DNS-Server zur Namensauflsung von dem konfigurierten Internet-Provider. Vor allem bei der Verwendung von unterschiedlichen InternetProvidern mssen die DNS-Server verbindungsspezifisch verwendet werden. Die Konfiguration der DNS-Server wird beim Anlegen der DSL-Verbindungen automatisch erstellt und
kann im Men Lokale Dienste->DNS->DNS-Server eingesehen werden.
Erste Internetverbindung einrichten
143
11 Netzwerk
bintec elmeg GmbH
Feld
Men
Wert
Verbindungstyp
Assistenten -> Internet -> Internetverbindun- , .(#/

gen -> Neu
Beschreibung
Assistenten -> Internet -> Internetverbindun- z. B. .(#

gen -> Neu -> Weiter
Typ
Assistenten -> Internet -> Internetverbindun- %38 1

F: ! F:
"
Benutzername
Assistenten -> Internet -> Internetverbindun- z. B. 1,

K*O*
Passwort
Assistenten -> Internet -> Internetverbindun- z. B. ,
Hinweis
Der Hinweis beim Anlegen der zweiten DSL-Verbindung kann ignoriert werden. Routingkonflikte aufgrund mehrerer Standardrouten werden durch IP-Lastverteilung verhindert.
Zweite Internetverbindung einrichten

Feld
Men
Wert
Verbindungstyp
Assistenten -> Internet -> Internetverbindun- 9, 207

gen -> Neu
<:
Beschreibung
Assistenten -> Internet -> Internetverbindun- z. B. .(#

Physischer EthernetPort
Assistenten -> Internet -> Internetverbindun- z. B. >
Typ
Assistenten -> Internet -> Internetverbindun- %38 1

Benutzername
Assistenten -> Internet -> Internetverbindun- z. B. PO

Passwort
Assistenten -> Internet -> Internetverbindun- z. B. ,
Lastverteilungsgruppe anlegen
Feld
Men
Wert
Gruppenbeschreibung
Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu
z. B. 83&&
(83&,?3 ?:
Verteilungsmodus

Schnittstelle
Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu -> Hinzufgen
=4;K.(#
Schnittstelle
=4;K.(#
Special Session Handling
144
Feld
Men
Wert
Beschreibung
Netzwerk -> Lastverteilung -> Special Sessi- z. B. >(

11 Netzwerk
bintec elmeg GmbH
Feld
Men
Wert
on Handling -> Neu

Dienst
Netzwerk -> Lastverteilung -> Special Session Handling -> Neu
* !((#"
Special Handling Timer Netzwerk -> Lastverteilung -> Special Sessi- Sekunden
on Handling -> Neu
11.5 QoS
QoS (Quality of Service) ermglicht es, verfgbare Bandbreiten effektiv und intelligent zu verteilen. Bestimmte Anwendungen knnen bevorzugt behandelt und Bandbreite fr diese reserviert werden. Vor allem fr zeitkritische Anwendungen wie z. B. Voice over IP ist das von Vorteil.
Die QoS-Konfiguration besteht aus drei Teilen:
IP-Filter anlegen
Daten klassifizieren
Daten priorisieren
11.5.1 IPv4/IPv6-Filter
Im Men Netzwerk->QoS->IPv4/IPv6-Filter werden IP-Filter konfiguriert.
Die Liste zeigt ebenfalls alle ggf. konfigurierten Eintrge aus Netzwerk->Zugriffsregeln->Regelketten.
11.5.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IP-Filter zu definieren.
Abb. 84: Netzwerk ->QoS->IPv4/IPv6-Filter ->Neu
Das Men Netzwerk->QoS->IPv4/IPv6-Filter->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie die Bezeichnung des Filters an.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus. Werkseitig ist eine
umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
+0
**N
145
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
3
+ &
+,K
0
+*
,+
Protokoll

Die Option %:& (Standardwert) passt auf jedes Protokoll.
Typ
Nur fr Protokoll = $/

Whlen Sie einen Typ aus.
Mgliche Werte: %:&, + *0, ., 3+
:, (3+ N3+ , ? +, + , 9+ ,
,*, ,* *0.
Siehe RFC 792.
Verbindungsstatus
Bei Protokoll = $ knnen Sie ein Filter definieren, das den Status von
TCP-Verbindungen bercksichtigt.
Mgliche Werte:
>&,: Das Filter passt auf diejenigen TCP-Pakete, die beim
Routing ber das Gateway keine neue TCP-Verbindung ffnen wrden.
%:& (Standardwert): Das Filter passt auf alle TCP-Pakete.
IPv4-Zieladresse/-netzmas Geben Sie die IPv4 Ziel-Adresse der Datenpakete und die zugehrige
ke
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Netzmaske sind nicht
nher spezifiziert.
>,: Geben Sie die Ziel-IP-Adresse des Hosts ein.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die zugehrige
Netzmaske ein.
IPv6-Zieladresse/-lnge
Geben Sie die IPv6 Ziel-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Lnge sind nicht nher
spezifiziert.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die Prfixlnge
ein.
Ziel-Port/Bereich
Nur fr Protokoll = $, 5. oder $75.

Geben Sie eine Zielport-Nummer bzw. einen Bereich von ZielportNummern ein.
Mgliche Werte:
146
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
4 (Standardwert): Der Zielport ist nicht nher spezifiziert.
&:: Geben Sie einen Zielport ein.
:+
&:: Geben Sie einen Zielport-Bereich ein.
IPv4-Quelladresse/-netzma Geben Sie die IPv4 Quell-Adresse der Datenpakete und die zugehrige
ske
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Netzmaske sind
nicht nher spezifiziert.
>,: Geben Sie die Quell-IP-Adresse des Hosts ein.
;82: Geben Sie die Quell-Netzwerk-Adresse und die Prfixlnge
ein.
IPv6-Quelladresse/-lnge
Geben Sie die IPv6 Quell-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Lnge ist nicht nher
spezifiziert.
ein.
Quell-Port/Bereich
Nur fr Protokoll = $, 5. oder $75.

Geben Sie eine Quellport-Nummer bzw. einen Bereich von QuellportNummern ein.
Mgliche Werte:
4 (Standardwert): Der Quellport ist nicht nher spezifiziert.
&:: Geben Sie einen Quellport ein.
:+
DSCP / Traffic Class Filter

(Layer 3)
&:: Geben Sie einen Quellport-Bereich ein.
Mgliche Werte:
in binrem Format, 6 Bit).
z. B. 00111111.
COS-Filter (802.1p/Layer
Tragen Sie die Serviceklasse der IP-Pakete ein (Class of Service, CoS).
147
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
2)
Mgliche Werte sind ganze Zahlen zwischen und ). Wertebereich bis

).
Der Standardwert ist ;+ :+ .
11.5.2 QoS-Klassifizierung
Im Men Netzwerk->QoS->QoS-Klassifizierung wird der Datenverkehr klassifiziert, d. h. der Datenverkehr wird mittels Klassen-ID verschiedenen Klassen zugeordnet. Sie erstellen dazu Klassenplne zur
Klassifizierung von IP-Paketen anhand zuvor definierter IP-Filter. Jeder Klassenplan wird ber seinen
ersten Filter mindestens einer Schnittstelle zugeordnet.
11.5.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Datenklassen einzurichten.
Abb. 85: Netzwerk ->QoS->QoS-Klassifizierung ->Neu
Das Men Netzwerk->QoS->QoS-Klassifizierung->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Klassenplan
Whlen Sie den Klassenplan, den Sie anlegen oder bearbeiten wollen.
Mgliche Werte:
;3 (Standardwert): Mit dieser Einstellung legen Sie einen neuen
Klassenplan an.
A; , <,,*,B: Zeigt einen bereits angelegten Klassenplan, den Sie auswhlen und bearbeiten knnen. Sie knnen neue
Filter hinzufgen.
Beschreibung
Nur fr Klassenplan = ;3

Geben Sie die Bezeichnung des Klassenplans ein.
Filter
Whlen Sie ein IP-Filter aus.

Bei einem neuen Klassenplan whlen Sie das Filter, das an die erste
Stelle des Klassenplans gesetzt werden soll.
148
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Bei einem bestehenden Klassenplan whlen Sie das Filter, das an den
Klassenplan angehngt werden soll.
Um ein Filter auswhlen zu knnen, muss mindestens ein Filter im Men
Netzwerk->QoS->IPv4/IPv6-Filter konfiguriert sein.
Richtung
Whlen Sie die Richtung der Datenpakete, die klassifiziert werden sollen.
Mgliche Werte:
& : Eingehende Datenpakete werden der im Folgenden zu
definierenden Klasse (Klassen-ID) zugeordnet.
43,& (Standardwert): Ausgehende Datenpakete werden der im
Folgenden zu definierenden Klasse (Klassen-ID) zugeordnet.
% : Eingehende und ausgehende Datenpakete werden der im Folgenden zu definierenden Klasse (Klassen-ID) zugeordnet.
High-Priority-Klasse
Aktivieren oder deaktivieren Sie die High-Priority-Klasse. Wenn die HighPriority-Klasse aktiv ist, werden die Datenpakete der Klasse mit der
hchsten Prioritt zugeordnet, die Prioritt 0 wird automatisch gesetzt.
Klassen-ID
Nur fr High-Priority-Klasse nicht aktiv.

Whlen Sie eine Zahl, welche die Datenpakete einer Klasse zuweist.
Hinweis
Die Klassen-ID ist ein Label, um Datenpakete bestimmten
Klassen zuzuordnen. (Die Klassen-ID legt keine Prioritt
fest.)
Mgliche Werte sind ganze Zahlen zwischen und
.
DSCP/Traffic-Class-Filter
setzen (Layer 3)
Hier knnen Sie den DSCP/TOS-Wert der IP-Datenpakete in Abhngigkeit zur definierten Klasse (Klassen-ID) setzen bzw. ndern.
Mgliche Werte:
(Standardwert): Der DSCP/TOS-Wert der IP-Datenpakete
bleibt unverndert.
in binrem Format).
z. B. 00111111.
149
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Setze COS Wert

(802.1p/Layer 2)
Im Header der Ethernet-Pakete, die vom ausgewhlten Filter erfasst werden, knnen Sie hier die Serviceklasse (Layer-2-Prioritt) setzen/ndern.
Mgliche Werte sind ganze Zahlen zwischen und ).
Schnittstellen
Nur fr Klassenplan = ;3

Whlen Sie beim Anlegen eines neuen Klassenplans diejenigen Schnittstellen, an die Sie den Klassenplan binden wollen. Ein Klassenplan kann
mehreren Schnittstellen zugeordnet werden.
11.5.3 QoS-Schnittstellen/Richtlinien
Im Men Netzwerk->QoS->QoS-Schnittstellen/Richtlinien legen Sie die Priorisierung der Daten fest.
Hinweis
Daten knnen nur ausgehend priorisiert werden.
Pakete der High-Priority-Klasse haben immer Vorrang vor Daten mit Klassen-ID 1 - 254.
Es ist mglich, jeder Queue und somit jeder Datenklasse einen bestimmten Anteil an der Gesamtbandbreite der Schnittstelle zuzuweisen bzw. zu garantieren. Darber hinaus knnen Sie die bertragung
von Sprachdaten (Real-Time-Daten) optimieren.
Abhngig von der jeweiligen Schnittstelle wird fr jede Klasse automatisch eine Queue (Warteschlange)
angelegt, jedoch nur fr ausgehend klassifizierten Datenverkehr sowie fr in beide Richtungen klassifizierten Datenverkehr. Den automatisch angelegten Queues wird hierbei eine Prioritt zugeordnet. Der
Wert der Prioritt ist dabei gleich dem Wert der Klassen-ID. Sie knnen diese standardmig gesetzte
Prioritt einer Queue ndern. Wenn Sie neue Queues hinzufgen, knnen Sie ber die Klassen-ID auch
Klassen anderer Klassenplne verwenden.
11.5.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Priorisierungen einzurichten.
Abb. 86: Netzwerk ->QoS->QoS-Schnittstellen/Richtlinien ->Neu
Das Men Netzwerk->QoS->QoS-Schnittstellen/Richtlinien->Neu besteht aus folgenden Feldern:

150
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, fr die QoS konfiguriert werden soll.
Priorisierungsalgorithmus Whlen Sie den Algorithmus aus, nach dem die Abarbeitung der Queues
erfolgen soll. Sie aktivieren bzw. deaktivieren damit QoS auf der ausgewhlten Schnittstelle.
Mgliche Werte:
0 G33&: QoS wird auf der Schnittstelle aktiviert. Die
verfgbare Bandbreite wird streng gem der Prioritt der Queues verteilt.
=& ?3 ?:: QoS wird auf der Schnittstelle aktiviert. Die
verfgbare Bandbreite wird gem der Gewichtung (weight) der Queues verteilt. Ausnahme: High-Priority-Pakete werden immer vorrangig
behandelt.
=& ' G33&: QoS wird auf der Schnittstelle aktiviert.
Die verfgbare Bandbreite wird mglichst "fair" unter den (automatisch
erkannten) Datenverbindungen (Traffic-Flows) innerhalb einer Queue
aufgeteilt. Ausnahme: High-Priority-Pakete werden immer vorrangig
bedient.
. (Standardwert): QoS wird auf der Schnittstelle deaktiviert. Die ggf. vorhandene Konfiguration wird nicht gelscht und kann
bei Bedarf wieder aktiviert werden.
Traffic Shaping
Aktivieren oder deaktivieren Sie eine Begrenzung der Datenrate in Senderichtung.

Maximale UploadGeschwindigkeit
Nur fr Traffic Shaping = aktiviert.

Geben Sie fr die ausgewhlte Schnittstelle eine maximale Datenrate in
kBit pro Sekunde in Senderichtung ein.
Der Standardwert ist , d. h. es erfolgt keine Begrenzung, die ausgewhlte Schnittstelle kann ihre maximale Bandbreite belegen.
Gre des Protokoll-Headers unterhalb Layer 3

Whlen Sie den Schnittstellentyp, um die Gre des jeweiligen Overheads eines Datagramms in die Berechnung der Bandbreite einzubeziehen.
Mgliche Werte:
%38 1 Wert in Byte.
5 1 !+ > D11,Q" (Standardwert)
Nur fr Ethernet-Schnittstellen auswhlbar

3 -#4;

3 -#4;
151
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Nur fr IPSec-Schnittstellen auswhlbar:
(+ F:
(+ F: 3 -#4;
(+
(+ 3 -#4;
Verschlsselungsmethode Nur wenn als Schnittstelle ein IPSec Peer gewhlt ist, Traffic Shaping
4 ist und die Gre des Protokoll-Headers unterhalb Layer
3 nicht 5 1 !+ > D11,Q" ist.
Whlen Sie die Verschlsselungsmethode, die fr die IPSec-Verbindung
genutzt wird. Der Verschlsselungsalgorithmus bestimmt die Lnge der
Blockchiffre, die bei der Bandbreitenkalkulation bercksichtigt wird.
Mgliche Werte:
.(J .(J %21, J $, !$* %+&RM Q
%"
4( J 4(J 4(
J 21,
Q %"
Real Time Jitter Control
!$* %+&RM
Nur fr Traffic Shaping = aktiviert

Real Time Jitter Control fhrt zu einer Optimierung des Latenzverhaltens
bei der Weiterleitung von Real-Time-Datagrammen. Die Funktion sorgt
fr eine Fragmentierung groer Datenpakete in Abhngigkeit von der
verfgbaren Upload-Bandbreite.
Real Time Jitter Control ist ntzlich bei geringen Upload-Bandbreiten (<
800 kBit/s).
Aktivieren oder deaktivieren Sie Real Time Jitter Control.
Kontrollmodus
Nur fr Real Time Jitter Control = aktiviert.

Whlen Sie den Modus fr die Optimierung der Sprachbertragung.
Mgliche Werte:
4 ?(,: Alle RTP-Streams werden optimiert. Die Funktion aktiviert den RTP-Stream-Detection-Mechanismus zum automatischen Erkennen von RTP-Streams. In diesem Modus wird der Real-Time-Jitter-Control-Mechanismus aktiv, sobald ein RTP-Stream erkannt
wurde.
: Die Optimierung fr die bertragung der Sprachdaten wird
nicht durchgefhrt.
;3 ?(,: Dieser Modus wird verwendet,
wenn entweder das VoIP Application Layer Gateway (ALG) oder das
VoIP Media Gateway (MGW) aktiv ist. Die Aktivierung des Real-Time-Jitter-Control-Mechanismus erfolgt ber die Kontrollinstanzen ALG
oder MGW.
: Der Real-Time-Jitter-Control-Mechanismus ist immer aktiv,
auch wenn keine Real-Time-Daten geroutet werden.
Queues/Richtlinien
152
Konfigurieren Sie die gewnschten QoS-Queues.
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Fr jede angelegte Klasse aus dem Klassenplan, die mit der gewhlten
Schnittstelle verbunden ist, wird automatisch eine Queue erzeugt und
hier angezeigt (nur fr ausgehend klassifizierten Datenverkehr sowie fr
in beide Richtungen klassifizierten Datenverkehr).
Fgen Sie mit Hinzufgen neue Eintrge hinzu. Das Men Queue/
Richtlinie bearbeiten ffnet sich.
Durch das Erstellen einer QoS-Richtlinie wird automatisch ein Standardeintrag DEFAULT mit der niedrigsten Prioritt 255 erstellt.
Das Men Queue/Richtlinie bearbeiten besteht aus folgenden Feldern:

Felder im Men Queue/Richtlinie bearbeiten
Feld
Beschreibung
Beschreibung
Geben Sie die Bezeichnung der Queue/Richtlinie an.
Ausgehende Schnittstelle
Zeigt die Schnittstelle an, fr die QoS-Queues konfiguriert werden.
Priorisierungsqueue
Whlen Sie den Typ fr die Priorisierung der Queue aus.

Mgliche Werte:
<,,:, (Standardwert): Queue fr "normal"-klassifizierte
Daten.
> @: Queue fr "high-priority"- klassifizierte Daten.
( : Queue fr Daten, die nicht klassifiziert wurden bzw. fr deren Klasse keine Queue angelegt worden ist.
Klassen-ID
Nur fr Priorisierungsqueue = <,,:,

Whlen Sie die QoS-Paketklasse, fr die diese Queue gelten soll.
Dazu muss vorher im Men Netzwerk->QoS->QoS-Klassifizierung mindestens eine Klassen-ID vergeben worden sein.
Prioritt
Nur fr Priorisierungsqueue = <,,:,

Whlen Sie die Prioritt der Queue. Mgliche Werte sind !
@" bis
! & @".
Gewichtung
Nur fr Priorisierungsalgorithmus = =& ?3 ?: oder

=& ' G33&
Whlen Sie die Gewichtung der Queue. Mgliche Werte sind bis
.
RTT-Modus
(Realtime-Traffic-Modus)
Aktivieren oder deaktivieren Sie die Echtzeitbertragung der Daten.

Der RTT-Modus sollte fr QoS-Klassen aktiviert werden, in denen Realtime-Daten priorisiert werden. Dieser Modus fhrt zu einer Verbesserung
des Latenzverhaltens bei der Weiterleitung von Realtime-Datagrammen.
Es ist mglich, mehrere Queues mit aktiviertem RTT-Modus zu konfigurieren. Queues mit aktiviertem RTT-Modus mssen immer eine hhere
153
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Prioritt als Queues mit inaktivem RTT-Modus haben.
Traffic Shaping
Aktivieren oder deaktivieren Sie eine Begrenzung der Datenrate (=Traffic

Shaping) in Senderichtung.
Die Begrenzung der Datenrate gilt fr die gewhlte Queue. (Es handelt
sich dabei nicht um die Begrenzung, die an der Schnittstelle festgelegt
werden kann.)

Geben Sie eine maximale Datenrate in kBit pro Sekunde fr die ausgewhlte Schnittstelle ein.
Der Standardwert ist , d. h. es erfolgt keine Begrenzung, die ausgewhlte Schnittstelle kann ihre maximale Bandbreite belegen.
berbuchen zugelassen

Aktivieren oder deaktivieren Sie die Funktion. Die Funktion steuert das
Bandbreitenbegrenzungsverhalten.
Bei aktiviertem berbuchen zugelassen kann die Bandbreitenbegrenzung berschritten werden, die fr die Queue eingestellt ist, sofern freie
Bandbreite auf der Schnittstelle vorhanden ist.
Bei deaktiviertem berbuchen zugelassen kann die Queue niemals
Bandbreite ber die eingestellte Bandbreitenbegrenzung hinaus belegen.
Burst-Gre

Geben Sie die maximale Anzahl an Bytes ein, die kurzfristig noch bertragen werden darf, wenn die fr diese Queue erlaubte Datenrate bereits
erreicht ist.

Feld
Beschreibung
Dropping-Algorithmus
Whlen Sie das Verfahren, nach dem Pakete in der QoS-Queue verworfen werden, wenn die maximale Gre der Queue berschritten wird.
Mgliche Werte:
.* (Standardwert): Das neu hinzugekommene Paket wird
verworfen.
> .*: Das lteste Paket in der Queue wird verworfen.
? .*: Ein zufllig ausgewhltes Paket aus der Queue wird
verworfen.
154
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
Vermeidung von Datenstau (RED)
Aktivieren oder deaktivieren Sie das prventive Lschen von Datenpaketen.

Pakete, deren Datengre zwischen Min. Queue-Gre und Max.
Queue-Gre liegt, werden vorbeugend verworfen, um einen Queueberlauf zu verhindern (RED=Random Early Detection). Dieses Verfahren sorgt bei TCP-basiertem Datenverkehr fr eine insgesamt kleinere
Queue, sodass selbst Traffic-Bursts meist ohne grere Paketverluste
bertragen werden knnen.
Min. Queue-Gre
Geben Sie den unteren Schwellwert fr das Verfahren Vermeidung von

Datenstau (RED) in Byte ein.
Max. Queue-Gre
Geben Sie den oberen Schwellwert fr das Verfahren Vermeidung von

Datenstau (RED) in Byte ein.
11.6 Zugriffsregeln
Mit Access-Listen werden Zugriffe auf Daten und Funktionen eingegrenzt (welcher Benutzer welche
Dienste und Dateien nutzen darf).
Sie definieren Filter fr IP-Pakete, um den Zugang von bzw. zu den verschiedenen Hosts in angeschlossenen Netzwerken zu erlauben oder zu sperren. So knnen Sie verhindern, dass ber das Gateway unzulssige Verbindungen aufgebaut werden. Access-Listen definieren die Art des IP-Traffics, den das
Gateway annehmen oder ablehnen soll. Die Zugangsentscheidung basiert auf Informationen, die in den
IP-Paketen enthalten sind, z. B.:
Quell- und/oder Ziel IP-Adresse
Protokoll des Pakets
Quell- und/oder Ziel-Port (Portbereiche werden untersttzt)
Mchten z. B. Standorte, deren LANs ber eine Digitalisierungsbox miteinander verbunden sind, alle
eingehenden FTP-Anfragen ablehnen, oder Telnet-Sitzungen nur zwischen bestimmten Hosts zulassen,
sind Access-Listen ein effektives Mittel.
Access-Filter auf dem Gateway basieren auf der Kombination von Filtern und Aktionen zu Filterregeln (=
rules) und der Verknpfung dieser Regeln zu sogenannten Regelketten. Sie wirken auf die eingehenden
Datenpakete und knnen so bestimmten Daten den Zutritt zum Gateway erlauben oder verbieten.
Ein Filter beschreibt einen bestimmten Teil des IP-Datenverkehrs, basierend auf Quell- und/oder ZielIP-Adresse, Netzmaske, Protokoll, Quell- und/ oder Ziel-Port.
Mit den Regeln, die Sie in Access Lists organisieren, teilen Sie dem Gateway mit, wie es mit gefilterten
Datenpaketen umgehen soll ob es sie annehmen oder abweisen soll. Sie knnen auch mehrere Regeln definieren, die Sie in Form einer Kette organisieren und ihnen damit eine bestimmte Reihenfolge
geben.
Fr die Definition von Regeln bzw. Regelketten gibt es verschiedene Anstze:
Nehme alle Pakete an, die nicht explizit verboten sind, d. h.:
155
11 Netzwerk
bintec elmeg GmbH
Weise alle Pakete ab, auf die Filter 1 zutrifft.

Weise alle Pakete ab, auf die Filter 2 zutrifft.
...
Lass den Rest durch.
oder
Nehme nur Pakete an, die explizit erlaubt sind, d. h.:
Nehme alle Pakete an, auf die Filter 1 zutrifft.
Nehme alle Pakete an, auf die Filter 2 zutrifft.
...
Weise den Rest ab.
oder
Kombination aus den beiden oben beschriebenen Mglichkeiten.
Es knnen mehrere getrennte Regelketten angelegt werden. Eine gemeinsame Nutzung von Filtern in
verschiedenen Regelketten ist dabei mglich.
Sie knnen jeder Schnittstelle individuell eine Regelkette zuweisen.
Achtung
Achten Sie darauf, dass Sie sich beim Konfigurieren der Filter nicht selbst aussperren.
Greifen Sie zur Filter-Konfiguration mglichst ber die serielle Konsolen-Schnittstelle (nicht
fr alle Gerte verfgbar) oder mit ISDN-Login auf Ihr Gateway zu.
11.6.1 Zugriffsfilter
In diesem Men werden die Access-Filter konfiguriert. Jedes Filter beschreibt einen bestimmten Teil des
IP-Traffic und definiert z. B. die IP-Adressen, das Protokoll, den Quell- oder Ziel-Port.
Im Men Netzwerk->Zugriffsregeln->Zugriffsfilter wird eine Liste aller Access Filter angezeigt.
Abb. 87: Netzwerk ->Zugriffsregeln ->Zugriffsfilter

um Access Filter zu konfigurieren.
156
11 Netzwerk
bintec elmeg GmbH
Abb. 88: Netzwerk ->Zugriffsregeln ->Zugriffsfilter ->Neu
Das Men Netzwerk->Zugriffsregeln->Zugriffsfilter ->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine Bezeichnung fr das Filter ein.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus. Werkseitig ist eine
umfangreiche Reihe von Diensten vorkonfiguriert, unter anderem:
+0
**N
3
+ &
+,K
0
+*
,+
Protokoll

Die Option %:& (Standardwert) passt auf jedes Protokoll.
Typ
Nur bei Protokoll = $/

Mgliche Werte:
%:&
+ *0
., 3+ :
(3+ N3+
? +
+
9+
,*
,* *0
Siehe RFC 792.
157
11 Netzwerk
bintec elmeg GmbH
Feld
Verbindungsstatus
Beschreibung
Nur bei Protokoll = $
Sie knnen ein Filter definieren, das den Status von TCP-Verbindung bercksichtigt.
Mgliche Werte:
%:& (Standardwert): Das Filter passt auf alle TCP-Pakete.
>&,: Das Filter passt auf diejenigen TCP-Pakete, die beim
Routing ber das Gateway keine neue TCP-Verbindung ffnen wrden.
IPv4-Zieladresse/-netzmas Geben Sie die IPv4 Ziel-Adresse der Datenpakete und die zugehrige
ke
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Netzmaske sind nicht
nher spezifiziert.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die zugehrige
Netzmaske ein.
IPv6-Zieladresse/-lnge
Geben Sie die IPv6 Ziel-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Ziel-IP-Adresse/Lnge sind nicht nher
spezifiziert.
;82: Geben Sie die Ziel-Netzwerk-Adresse und die Prfixlnge
ein.
Ziel-Port/Bereich
Nur bei Protokoll = $, 5.

Geben Sie eine Ziel-Port-Nummer bzw. einen Bereich von ZielPort-Nummern ein, auf den das Filter passt.
Mgliche Werte:
4 (Standardwert): Das Filter gilt fr alle Port-Nummern
&:: Ermglicht Eingabe einer Port-Nummer.
:+ &:: Ermglicht Eingabe eines Bereiches von
Port-Nummern.
IPv4-Quelladresse/-netzma Geben Sie die IPv4 Quell-Adresse der Datenpakete und die zugehrige
ske
Netzmaske ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Netzmaske sind
nicht nher spezifiziert.
ein.
IPv6-Quelladresse/-lnge
Geben Sie die IPv6 Quell-Adresse der Datenpakete und die Prfixlnge
ein.
Mgliche Werte:
%:& (Standardwert): Die Quell-IP-Adresse/Lnge ist nicht nher
spezifiziert.
158
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
ein.
Quell-Port/Bereich
Nur bei Protokoll = $, 5.

Geben Sie die Quell-Port-Nummer bzw. den Bereich von QuellPort-Nummern ein.
Mgliche Werte:
4 (Standardwert): Das Filter gilt fr alle Port-Nummern
&:: Ermglicht Eingabe einer Port-Nummer.
:+ &:: Ermglicht Eingabe eines Bereiches von
Port-Nummern.
DSCP / Traffic Class Filter

(Layer 3)
Mgliche Werte:
in binrem Format, 6 Bit).
z. B. 00111111.
COS-Filter (802.1p/Layer
2)
Tragen Sie die Serviceklasse der IP-Pakete ein (Class of Service, CoS).
Mgliche Werte sind ganze Zahlen zwischen und ).
Der Standardwert ist ;+ :+ .
11.6.2 Regelketten
Im Men Regelketten werden Regeln fr IP-Filter konfiguriert. Diese knnen separat angelegt oder in
Regelketten eingebunden werden.
Im Men Netzwerk->Zugriffsregeln->Regelketten werden alle angelegten Filterregeln aufgelistet.
159
11 Netzwerk
bintec elmeg GmbH
Abb. 89: Netzwerk ->Zugriffsregeln ->Regelketten

um Access Lists zu konfigurieren.
Abb. 90: Netzwerk ->Zugriffsregeln ->Regelketten ->Neu
Das Men Netzwerk->Zugriffsregeln->Regelketten->Neu besteht aus folgenden Feldern:

Feld
Regelkette
Beschreibung
Whlen Sie aus, ob Sie eine neue Regelkette anlegen oder eine bestehende bearbeiten wollen.
Mgliche Werte:
;3 (Standardwert): Mit dieser Einstellung legen Sie eine neue Regelkette an.
A; ?&B: Whlen Sie eine bereits angelegte Regelkette aus und fgen ihr somit eine weitere Regel hinzu.
Beschreibung
Zugriffsfilter
Geben Sie die Bezeichnung der Regelkette ein.

Whlen Sie ein IP-Filter aus.
Bei einer neuen Regelkette whlen Sie das Filter, das an die erste Stelle
der Regelkette gesetzt werden soll.
Bei einer bestehenden Regelkette whlen Sie das Filter, das an die Regelkette angehngt werden soll.
Aktion
Legen Sie fest, wie mit einem gefilterten Datenpaket verfahren wird.
Mgliche Werte:
E3,,J 2 ' *,, (Standardwert): Paket annehmen,
wenn das Filter passt.
E3,,J 2 ' + *,,: Paket annehmen, wenn
das Filter nicht passt.
-2&J 2 ' *,,: Paket abweisen, wenn das Fil160
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
ter passt.
-2&J 2 ' + *,,: Paket abweisen, wenn
das Filter nicht passt.
;+ :+ : Nchste Regel anwenden.
Um die Regeln einer Regelkette in eine andere Reihenfolge zu bringen, whlen Sie im Listenmen bei
dem Eintrag, der verschoben werden soll, die Schaltflche . Daraufhin ffnet sich ein Dialog, bei dem
Sie unter Verschieben entscheiden knnen, ob der Eintrag 3 (Standardwert) oder F: eine andere Regel dieser Regelkette verschoben wird.
11.6.3 Schnittstellenzuweisung
In diesem Men werden die konfigurierten Regelketten den einzelnen Schnittstellen zugeordnet und das
Verhalten des Gateways beim Abweisen von IP-Paketen festgelegt.
Im Men Netzwerk->Zugriffsregeln->Schnittstellenzuweisung wird eine Liste aller konfigurierten
Schnittstellenzuordnungen angezeigt.
Abb. 91: Netzwerk ->Zugriffsregeln ->Schnittstellenzuweisung

um weitere Zuordnungen zu konfigurieren.
Abb. 92: Netzwerk ->Zugriffsregeln ->Schnittstellenzuweisung ->Neu
Das Men Netzwerk->Zugriffsregeln->Schnittstellenzuweisung->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, der eine konfigurierte Regelkette zugeordnet werden soll.
Regelkette
Whlen Sie eine Regelkette aus.
Legen Sie fest, ob beim Abweisen eines IP-Paketes der Absender informiert werden soll.
161
11 Netzwerk
bintec elmeg GmbH
Feld
Beschreibung
4 (Standardwert) : Der Absender wird nicht informiert.
.: Der Absender erhlt eine ICMP-Nachricht.
Berichtsmethode
Legen Sie fest, ob bei Abweisung eines IP-Paketes eine Syslog-Meldung
erzeugt werden soll.
Mgliche Werte:
< %+ : Keine Syslog-Meldung.
1 (Standardwert): Eine Syslog-Meldung mit Angabe von Protokollnummer, Quell-IPAdresse und Quell-Port-Nummer wird generiert.
.3*: Eine Syslog-Meldung mit dem Inhalt der ersten 64 Bytes des abgewiesenen Pakets wird generiert.
162
12 Multicast
bintec elmeg GmbH
Kapitel 12 Multicast
Was ist Multicasting?
Viele jngere Kommunikations-Technologien basieren auf der Kommunikation von einem Sender zu
mehreren Empfngern. Daher liegt auf der Reduzierung des Datenverkehrs ein Hauptaugenmerk von
modernen Telekommunikationssystemen wie Voice-over-IP oder Video- und Audio-Streaming (z. B.
IPTV oder Webradio), z. B. im Rahmen von TriplePlay (Voice, Video, Daten). Multicast bietet eine kostengnstige Lsung zur effektiven Bandbreitennutzung, dadurch dass der Sender das Datenpaket, welches mehrere Empfnger empfangen knnen, nur einmal senden muss. Dabei wird an eine virtuelle
Adresse gesendet, die als Multicast-Gruppe bezeichnet wird. Interessierte Empfnger melden sich bei
diesen Gruppen an.
Weitere Anwendungsbereiche
Ein klassischer Einsatzbereich von Multicast sind Konferenzen (Audio/Video) mit mehreren Empfngern.
Allen voran drften die bekanntesten MBone Multimedia Audio Tool (VAT), Video Conferencing Tool
(VIC) und das Whiteboard (WB) sein. Mit Hilfe von VAT knnen Audiokonferenzen durchgefhrt werden.
Hierzu werden alle Gesprchspartner in einem Fenster sichtbar gemacht und der/die Sprecher mit einem schwarzen Kasten gekennzeichnet. Andere Anwendungsgebiete sind vor allem fr Firmen interessant. Hier bietet Multicasting die Mglichkeit, die Datenbanken mehrerer Server gleichzeitig zu synchronisieren, was fr multinationale oder auch fr Firmen mit nur wenigen Standorten lohnenswert ist.
Adressbereich fr Multicast
Fr IPv4 sind im Klasse-D-Netzwerk die IP-Adressen 224.0.0.0 bis 239.255.255.255 (224.0.0.0/4) fr
Multicast reserviert. Eine IP-Adresse aus diesem Bereich reprsentiert eine Multicast-Gruppe, fr die
sich mehrere Empfnger anmelden knnen. Der Multicast-Router leitet dann gewnschte Pakete in alle
Subnetze mit angemeldeten Empfngern weiter.
Multicast Grundlagen
Multicast ist verbindungslos, d. h. eine etwaige Fehlerkorrektur oder Flusskontrolle muss auf Applikationsebene gewhrleistet werden.
Auf der Transportebene kommt fast ausschlielich UDP zum Einsatz, da es im Gegensatz zu TCP nicht
an eine Punkt-zu-Punkt-Verbindung angelehnt ist.
Der wesentliche Unterschied besteht somit auf IP-Ebene darin, dass die Zieladresse keinen dedizierten
Host adressiert, sondern an eine Gruppe gerichtet ist, d. h. beim Routing von Multicast-Paketen ist allein
entscheidend, ob sich in einem angeschlossenen Subnetz ein Empfnger befindet.
Im lokalen Netzwerk sind alle Hosts angehalten, alle Multicast-Pakete zu akzeptieren. Das basiert bei
Ethernet oder FDD auf einem sogenannten MAC-Mapping, bei dem die jeweilige Gruppen-Adresse in
die Ziel-MAC-Adresse kodiert wird. Fr das Routing zwischen mehreren Netzen mssen sich bei den jeweiligen Routern vorerst alle potentiellen Empfnger im Subnetz bekannt machen. Dies geschieht durch
sog. Membership-Management-Protokolle wie IGMP bei IPv4 und MLP bei IPv6.
Membership-Management-Protokoll
IGMP (Internet Group Management Protocol) ist in IPv4 ein Protokoll, mit dem Hosts dem Router Multicast-Mitgliedsinformationen mitteilen knnen. Hierbei werden fr die Adressierung IP-Adressen des
Klasse-D-Adressraums verwendet. Eine IP-Adresse dieser Klasse reprsentiert eine Gruppe. Ein Sender (z. B. Internetradio) sendet an diese Gruppe. Die Adressen (IP) der verschiedenen Sender innerhalb
einer Gruppe werden als Quell(-Adressen) bezeichnet. Es knnen somit mehrere Sender (mit unterDigitalisierungsbox Standard
163
12 Multicast
bintec elmeg GmbH
schiedlichen IP-Adressen) an dieselbe Multicast-Gruppe senden. So kommt eine 1-zu-n-Beziehung zwischen Gruppen- und Quelladressen zustande. Diese Informationen werden an den Router ber Reports
weitergegeben. Ein Router kann bei eingehenden Multicast-Datenverkehr anhand dieser Informationen
entscheiden, ob ein Host in seinem Subnetz diesen empfangen will oder nicht. Ihr Gert untersttzt die
aktuelle Version IGMP V3, welche abwrtskompatibel ist, d. h. es knnen sowohl V3- als auch V1- und
V2-Hosts verwaltet werden.
Ihr Gert untersttzt folgende Multicast-Mechanismen:
Forwarding (Weiterleiten): Dabei handelt es sich um statisches Forwarding, d.h. eingehender Datenverkehr fr eine Gruppe wird auf jeden Fall weitergeleitet. Dies bietet sich an, wenn Multicast-Datenverkehr permanent weitergeleitet werden soll.
IGMP: Mittels IGMP werden Informationen ber die potentiellen Empfnger in einem Subnetz gesammelt. Bei einem Hop kann dadurch eingehender Multicast-Datenverkehr ausgesondert werden.
Tipp
Bei Multicast liegt das Hauptaugenmerk auf dem Ausschluss von Datenverkehr ungewnschter Multicast-Gruppen. Beachten Sie daher, dass bei einer etwaigen Kombination
von Forwarding mit IGMP die Pakete an die im Forwarding angegebenen Gruppen auf jeden Fall weitergeleitet werden knnen.
12.1 Allgemein
12.1.1 Allgemein
Im Men Multicast->Allgemein->Allgemein knnen Sie die Multicast-Funktionalitt aus- bzw. einschalten.
Abb. 93: Multicast->Allgemein->Allgemein
Das Men Multicast->Allgemein->Allgemein besteht aus den folgenden Feldern:

Feld
Beschreibung
Multicast-Routing
Whlen Sie aus, ob Multicast-Routing verwendet werden soll.

12.2 IGMP
Mit IGMP (Internet Group Management Protocol, siehe RFC 3376) werden die Informationen ber die
Gruppen (zugehrigkeit) in einem Subnetz signalisiert. Somit gelangen nur diejenigen Pakete in das
Subnetz, die explizit von einem Host gewnscht sind.
Spezielle Mechanismen sorgen fr die Vereinigung der Wnsche der einzelnen Clients. Derzeit gibt es
drei Versionen von IGMP (V1 - V3), wobei aktuelle Systeme meist V3, seltener V2, benutzen.
164
12 Multicast
bintec elmeg GmbH
Bei IGMP spielen zwei Paketarten die zentrale Rolle: Queries und Reports.
Queries werden ausschlielich von einem Router versendet. Sollten mehrere IGMP-Router in einem
Netzwerk existieren, so wird der Router mit der niedrigeren IP-Adresse der sogenannte Querier. Hierbei
unterscheidet man das General Query (versendet an 224.0.0.1), die Group-Specific Query (versendet
an jeweilige Gruppenadresse) und die Group-and-Source-Specific Query (versendet an jeweilige Gruppenadresse). Reports werden ausschlielich von Hosts versendet, um Queries zu beantworten.
12.2.1 IGMP
In diesem Men konfigurieren Sie die Schnittstellen, auf denen IGMP aktiv sein soll.

um IGMP auf weiteren Schnittstellen zu konfigurieren.
Abb. 94: Multicast->IGMP->IGMP->Neu
Das Men Multicast->IGMP->IGMP->Neu besteht aus den folgenden Feldern:

Felder im Men IGMP-Einstellungen
Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, auf der IGMP aktiviert werden soll, d.h.
Queries werden versendet und Antworten akzeptiert.
Abfrage Intervall
Geben Sie das Intervall in Sekunden ein, in dem IGMP Queries versendet werden sollen.
Mglich Werte sind bis .
.
Maximale Antwortzeit
Geben Sie fr das Senden von Queries an, in welchem Zeitintervall in

Sekunden Hosts auf jeden Fall antworten mssen. Die Hosts whlen aus
diesem Intervall zufllig eine Verzgerung, bis die Antwort gesendet wird.
Damit knnen Sie bei Netzen mit vielen Hosts eine Streuung und somit
eine Entlastung erreichen.
Mglich Werte sind J bis
J.
Der Standardwert ist J.
165
12 Multicast
bintec elmeg GmbH
Feld
Beschreibung
Robustheit
Whlen Sie den Multiplikator zur Steuerung interner Timer-Werte aus. Mit
einem hheren Wert kann z. B. in einem verlustreichen Netzwerk ein Paketverlust kompensiert werden. Durch einen zu hohen Wert kann sich
aber auch die Zeit zwischen dem Abmelden und dem Stopp des eingehenden Datenverkehrs erhhen (Leave Latency).
Mglich Werte sind bis .
Antwortintervall (Letztes
Mitglied)
Bestimmen Sie, wie lang der Router nach einer Query an eine Gruppe
auf Antwort wartet.
Wenn Sie den Wert verkleinern, wird schneller erkannt, ob das letzte Mitglied eine Gruppe verlassen hat und somit keine Pakete mehr fr diese
Gruppe an diese Schnittstelle weitergeleitet werden mssen.
Mglich Werte sind J bis
J.
Der Standardwert ist J.
Maximale Anzahl der

IGMP-Statusmeldungen
Limitieren Sie die Anzahl der Reports/Queries pro Sekunde fr die gewhlte Schnittstelle.
Modus
Whlen Sie aus, ob die hier definierte Schnittstelle nur im Host-Modus

oder auch im Routing Modus arbeitet.
Mgliche Werte:
?3& (Standardwert): Die Schnittstelle wird im Routing-Modus betrieben.
>,: Die Schnittstelle wird nur im Host-Modus betrieben.
IGMP Proxy
Mit IGMP Proxy knnen mehrere lokal angeschlossene Schnittstellen als ein Subnetz zu einem benachbarten Router simuliert werden. Auf der IGMP-Proxy-Schnittstelle eingehende Queries werden in die lokalen Subnetze weitergeleitet. Lokale Reports werden auf der IPGM-Proxy-Schnittstelle weitergeleitet.
Abb. 95: IGMP Proxy

Feld
Beschreibung
IGMP Proxy
Whlen Sie aus, ob Ihr Gert die IGMP-Meldungen der Hosts im Subnetz
ber seine definierte Proxy-Schnittstelle weiterleiten soll.
Proxy-Schnittstelle
Nur fr IGMP Proxy = aktiviert

Whlen Sie die Schnittstelle Ihres Gerts aus, ber die Queries angenommen und gesammelt werden sollen.
166
12 Multicast
bintec elmeg GmbH
12.2.2 Optionen
In diesem Men haben Sie die Mglichkeit, IGMP auf Ihrem System zu aktivieren bzw. zu deaktivieren.
Auerdem knnen Sie bestimmen, ob IGMP im Kompatibilittsmodus verwendet werden soll oder nur
IGMP V3-Hosts akzeptiert werden sollen.
Abb. 96: Multicast->IGMP->Optionen
Das Men Multicast->IGMP->Optionen besteht aus den folgenden Feldern:

Feld
Beschreibung
IGMP-Status
Whlen Sie den IGMP-Status aus.

Mgliche Werte:
43 (Standardwert): Multicast wird fr Hosts automatisch eingeschaltet, wenn diese Anwendungen ffnen, die Multicast verwenden.
4: Multicast ist immer aktiv.
: Multicast ist immer inaktiv.
Modus
Nur fr IGMP-Status = 4 oder 43

Whlen Sie den Multicast-Modus aus.
Mgliche Werte:
<*:@, 3, (Standardwert): Der Router verwendet
IGMP Version 3. Bemerkt er eine niedrigere Version im Netz, verwendet er die niedrigste Version, die er erkennen konnte.
;3 -, : Nur IGMP Version 3 wird verwendet.
Maximale Gruppen
Geben Sie ein, wie viele Gruppen sowohl intern als auch in Reports maximal mglich sein sollen.
Maximale Quellen
Geben Sie die maximale Anzahl der Quellen ein, die in den Reports der
Version 3 spezifiziert sind, als auch die maximale Anzahl der intern verwalteten Quellen pro Gruppe.
Maximale Anzahl der

IGMP-Statusmeldungen
Geben Sie die maximale Anzahl der insgesamt mglichen eingehenden

Queries bzw. Meldungen pro Sekunde ein.
Der Standardwert ist , d. h. die Anzahl der IGMP-Statusmeldungen ist
nicht begrenzt.
167
12 Multicast
bintec elmeg GmbH
12.3 Weiterleiten
12.3.1 Weiterleiten
In diesem Men legen Sie fest, welche Multicast-Gruppen zwischen den Schnittstellen Ihres Gerts immer weitergeleitet werden.
12.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um Weiterleitungsregeln fr neue Multicast-Gruppen zu erstellen.
Abb. 97: Multicast->Weiterleiten ->Weiterleiten ->Neu
Das Men Multicast->Weiterleiten->Weiterleiten->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Alle Multicast-Gruppen
Whlen Sie aus, ob alle Multicast-Gruppen, d. h. der komplette MulticastAdressraum 224.0.0.0/4, von der definierten Quellschnittstelle an die
definierte Zielschnittstelle weitergeleitet werden soll. Setzen Sie dazu
den Haken fr 4.
Mchten Sie nur eine definierte Multicast-Gruppe an eine bestimmte
Schnittstelle weiterleiten, deaktivieren Sie die Option.
Standardmig ist die Option nicht aktiv.
168
Multicast-Gruppen-Adresse
Nur fr Alle Multicast-Gruppen = nicht aktiv
Quellschnittstelle
Whlen Sie die Schnittstelle Ihres Gerts aus, an dem die gewnschte
Multicast-Gruppe eingeht.
Zielschnittstelle
Whlen Sie die Schnittstelle Ihres Gerts aus, zu der die gewnschte
Multicast-Gruppe weitergeleitet werden soll.
Geben Sie hier die Adresse der Multicast-Gruppe ein, die Sie von einer
definierten Quellschnittstelle an eine definierte Zielschnittstelle weiterleiten mchten.
13 WAN
bintec elmeg GmbH
Kapitel 13 WAN
Dieses Men stellt Ihnen verschiedene Mglichkeiten zur Verfgung, Zugnge bzw. Verbindungen aus
Ihrem LAN zum WAN zu konfigurieren. Auerdem knnen Sie hier die Sprachbertragung bei Telefongesprchen ber das Internet optimieren.
13.1 Internet + Einwhlen

In diesem Men knnen Sie Internetzugnge oder Einwahl-Verbindungen einrichten.
Darber hinaus knnen Sie Adress-Pools fr die dynamische Vergabe von IP-Adressen anlegen.
Um mit Ihrem Gert Verbindungen zu Netzwerken oder Hosts auerhalb Ihres LANs herstellen zu knnen, mssen Sie die gewnschten Verbindungspartner auf Ihrem Gert einrichten. Dies gilt sowohl fr
ausgehende Verbindungen (z. B. Ihr Gert whlt sich bei einem entfernten Partner ein), als auch fr eingehende Verbindungen (z. B. ein entfernter Partner whlt sich bei Ihrem Gert ein).
Wenn Sie einen Internetzugang herstellen wollen, mssen Sie eine Verbindung zu Ihrem Internet-Service-Provider (ISP) einrichten. Fr Breitband-Internetzugnge stellt Ihr Gert die Protokolle PPPover-Ethernet (PPPoE), PPP-over-PPTP und PPP-over-ATM (PPPoA) zur Verfgung. Ein Internetzugang mittels ISDN ist ebenfalls konfigurierbar.
Hinweis
Beachten Sie die Vorgaben Ihres Providers!
Einwahl-Verbindungen ber ISDN dienen dazu, zu Netzwerken oder Hosts auerhalb Ihres LANs eine
Verbindung herzustellen.
Alle eingetragenen Verbindungen werden in der entsprechenden Liste angezeigt, welche die Beschreibung, den Benutzernamen, die Authentifizierung und den aktuellen Status enthlt.
Das Feld Status kann folgende Werte annehmen:
Feld
Beschreibung
verbunden
nicht verbunden (Whlverbindung); Verbindungsaufbau mglich
nicht verbunden (z. B. ist aufgrund eines Fehlers beim Aufbau einer ausgehenden Verbindung ein erneuter Versuch erst nach einer definierten
Anzahl von Sekunden mglich)
administrativ auf inaktiv gesetzt (deaktiviert); Verbindungsaufbau nicht
mglich
Standard-Route (Default Route)

Bei einer Standard-Route werden automatisch alle Daten auf eine Verbindung geleitet, wenn keine andere passende Route verfgbar ist. Ein Zugang zum Internet sollte immer als Standard-Route zum Internet-Service-Provider (ISP) eingerichtet sein. Weitergehende Informationen zum mglichen Routentyp
finden Sie unter Netzwerk->Routen.
NAT aktivieren
Mit Network Address Translation (NAT) verbergen Sie Ihr gesamtes Netzwerk nach auen hinter nur einer IP-Adresse. Fr die Verbindung zum Internet Service Provider (ISP) sollten Sie dies auf jeden Fall
tun.
169
13 WAN
bintec elmeg GmbH
Bei aktiviertem NAT sind zunchst nur ausgehende Sessions zugelassen. Um bestimmte Verbindungen
von auen zu Hosts innerhalb des LANs zu erlauben, mssen diese explizit definiert und zugelassen
werden.
Timeout bei Inaktivitt festlegen

Der Timeout bei Inaktivitt wird festgelegt, um die Verbindung bei Nichtbenutzen, d.h. wenn keine Nutzdaten mehr gesendet werden, automatisch zu trennen und somit ggf. Gebhren zu sparen.
Blockieren nach Verbindungsfehler

Mit dieser Funktion richten Sie eine Wartezeit fr ausgehende Verbindungsversuche ein, nachdem ein
Verbindungsversuch durch Ihr Gert fehlgeschlagen ist.
Authentifizierung
Wenn bei ISDN-Verbindungen ein Ruf eingeht, wird ber den ISDN-D-Kanal die Nummer des Anrufers
mitgegeben. Anhand dieser Nummer kann Ihr Gert den Anrufer identifizieren (CLID), wenn dieser auf
Ihrem Gert eingetragen ist. Nach der Identifizierung mit CLID kann Ihr Gert zustzlich eine PPPAuthentisierung mit dem Verbindungspartner durchfhren, bevor der Ruf angenommen wird.
Fr alle PPP-Verbindungen bentigt Ihr Gert Vergleichsdaten, die Sie eintragen mssen. Legen Sie
fest, welche Authentisierungsverhandlung ausgefhrt werden soll und tragen Sie ein gemeinsames
Passwort und zwei Kennungen ein. Diese Daten erhalten Sie z. B. von Ihrem Internet Service Provider
oder dem Systemadministrator der Firmenzentrale. Stimmen die von Ihnen auf Ihrem Gert eingetragenen Daten mit den Daten des Anrufers berein, wird der Ruf angenommen. Stimmen die Daten nicht
berein, wird der Ruf abgewiesen.
Callback
Um zustzliche Sicherheit bezglich des Verbindungspartners zu erlangen oder die Kosten von Verbindungen eindeutig verteilen zu knnen, kann der Callback-Mechanismus fr jede Verbindung ber eine
ISDN- oder ber eine AUX-Schnittstelle verwendet werden. Damit kommt eine Verbindung erst durch
einen Rckruf zustande, nachdem der Anrufer eindeutig identifiziert wurde. Ihr Gert kann sowohl einen
eingehenden Ruf mit einem Rckruf beantworten, also auch von einem Verbindungspartner einen Rckruf anfordern. Die Identifizierung kann aufgrund der Calling Party Number oder aufgrund der PAP/
CHAP/MS-CHAP-Authentifizierung erfolgen. Im ersten Fall erfolgt die Identifikation ohne Rufannahme,
da die Calling Party Number ber den ISDN-D- Kanal bermittelt wird, im zweiten Fall mit Rufannahme.
Kanalbndelung
Ihr Gert untersttzt dynamische und statische Kanalbndelung fr Whlverbindungen. Kanalbndelung
kann nur bei ISDN-Verbindungen fr Bandbreitenerhhung bzw. als Backup angewendet werden. Bei
Aufbau einer Verbindung wird zunchst nur ein B-Kanal geffnet.
Dynamisch
Dynamische Kanalbndelung bedeutet, dass Ihr Gert bei Bedarf, also bei groen Datenraten, weitere
ISDN-B-Kanle fr Verbindungen zuschaltet, um den Durchsatz zu erhhen. Sinkt das Datenaufkommen, werden die zustzlichen B-Kanle wieder geschlossen.
Falls auf der Gegenstelle Gerte anderer Fabrikate verwendet werden, stellen Sie sicher, dass diese dynamische Kanalbndelung fr Bandbreitenerhhung bzw. als Backup untersttzen.
Statisch
Bei statischer Kanalbndelung legen Sie im Voraus fest, wie viele B-Kanle Ihr Gert fr Verbindungen
nutzen soll, unabhngig von der bertragenen Datenrate.
170
13 WAN
bintec elmeg GmbH
13.1.1 PPPoE
Im Men WAN->Internet + Einwhlen->PPPoE wird eine Liste aller PPPoE-Schnittstellen angezeigt.
PPP over Ethernet (PPPoE) ist die Verwendung des Netzwerkprotokolls Point-to-Point Protocol (PPP)
ber eine Ethernet-Verbindung. PPPoE wird heute bei ADSL-Anschlssen in Deutschland verwendet. In
sterreich wurde ursprnglich fr ADSL-Zugnge das Point To Point Tunneling Protocol (PPTP) verwendet. Mittlerweile wird allerdings PPPoE auch dort von einigen Providern angeboten.
13.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPPoE Schnittstellen einzurichten.
Abb. 98: WAN ->Internet + Einwhlen ->PPPoE ->Neu
Das Men WAN->Internet + Einwhlen->PPPoE->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um den PPPoE-Partner eindeutig zu benennen. In diesem Feld darf das erste Zeichen keine Zahl sein.
Sonderzeichen und Umlaute drfen ebenfalls nicht verwendet werden.
PPPoE-Modus
Whlen Sie aus, ob Sie eine Standard-Internetverbindung ber PPPoE (

( ) nutzen oder ob Ihr Internetzugang ber mehrere Schnittstellen aufgebaut werden soll ( / 1+ : 3&). Whlen Sie /
171
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
1+ : 3&, so knnen Sie mehrere DSL-Verbindungen eines
Providers ber PPP als statische Bndel koppeln, um mehr Bandbreite
zu erhalten. Jede dieser DSL-Verbindungen sollte dafr eine separate
Ethernet-Verbindung nutzen. Aktuell ist bei vielen Providern die Funktion
PPPoE Multilink erst in Vorbereitung.
Wir empfehlen Ihnen, fr PPPoE Multilink den Ethernet Switch Ihres Gerts im Split-Port-Modus zu betreiben und fr jede PPPoE-Verbindung eine eigene Ethernet-Schnittstelle zu benutzen, z. B. , .
Wenn Sie fr PPPoE Multilink zustzlich ein externes Modem benutzen
wollen, mssen Sie den Ethernet-Switch Ihres Gerts im SplitPort-Modus betreiben.
PPPoE-Ethernet-Schnittstelle
Nur fr PPPoE-Modus = (
Whlen Sie die Ethernet-Schnittstelle aus, die fr eine Standard-PPPoE-Verbindung vorgegeben wird.
Bei Verwendung eines externen DSL-Modems, whlen Sie hier den
Ethernet-Port aus, an dem das Modem angeschlossen ist.
Bei Verwendung des internen DSL-Modems, whlen Sie hier die in
WAN->ATM->Profile->Neu fr diese Verbindung konfigurierte EthoASchnittstelle aus.
Whlen Sie den Wert 43,+ um den automatischen VDSL/ADSL-Modus zu untersttzen. In diesem Modus wird die Schnittstelle fr
der Internetzugang automatisch gewhlt. Achten Sie darauf, dass fr
einen ADSL-Zugang im Men ATM eine Schnittstelle angelegt sein
muss, fr einen VDSL-Zugang ist dies nicht notwendig.
PPPoE-Schnittstelle fr
Mehrfachlink
Nur fr PPPoE-Modus= / 1+ : 3&
Benutzername
Geben Sie den Benutzernamen ein.
Passwort
Geben Sie das Passwort ein.
VLAN
Einige Internet Service Provider erfordern eine VLAN-ID. Aktivieren Sie

diese Funktion, um unter VLAN-ID einen Wert eingeben zu knnen.
VLAN-ID
Nur wenn VLAN aktiviert ist.
Whlen Sie alle Schnittstellen aus, die Sie fr Ihre Internetverbindung

nutzen wollen. Klicken Sie die Hinzufgen-Schaltflche, um weitere Eintrge anzulegen.
Geben Sie die VLAN-ID ein, die Sie von Ihrem Provider erhalten haben.
Immer aktiv
Whlen Sie aus, ob die Schnittstelle immer aktiv sein soll.

Aktivieren Sie diese Option nur, wenn Sie einen Internetzugang mit Flatrate-Tarif haben.
Timeout bei Inaktivitt
Nur wenn Immer aktiv deaktiviert ist.

Geben Sie das Inaktivittsintervall in Sekunden fr Statischen Short Hold
ein. Mit Statischem Short Hold legen Sie fest, wieviele Sekunden zwischen Senden des letzten Nutz-Datenpakets und Abbau der Verbindung
172
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
vergehen sollen.
Mgliche Werte von bis (Sekunden). deaktiviert den Shorthold.
Bsp. fr FTP-bertragungen, fr LAN-zu-LAN-bertragungen,
fr Internetverbindungen.
Felder im Men IPv4-Einstellungen

Feld
Beschreibung

werden soll.
Mgliche Werte:
-3,2F & : Es werden alle IP-Pakete durchgelassen, auer
denen, die explizit verboten sind.
;+ -3,2F & (Standardwert): Es werden nur diejenigen IP-Pakete durchgelassen, die einer Verbindung zugeordnet werden knnen, die aus einer vertrauenwrdigen Zone aufgebaut wurde.
IP-Adressmodus
Whlen Sie aus, ob Ihrem Gert eine statische IP-Adresse zugewiesen

werden soll oder ob es diese dynamisch erhalten soll.
Mgliche Werte:
4 ,, :31 (Standardwert): Ihr Gert erhlt dynamisch eine IP-Adresse.
(,+ : Sie geben eine statische IP-Adresse ein.
Standardroute
Whlen Sie aus, ob die Route zu diesem Verbindungspartner als Standard-Route festgelegt werden soll.
NAT-Eintrag erstellen
Whlen Sie aus, ob Network Address Translation (NAT) aktiviert werden

soll.
Lokale IP-Adresse
Nur bei IP-Adressmodus = (,+

Geben Sie die statische IP-Adresse des Verbindungspartners ein.
Routeneintrge

Definieren Sie weitere Routing-Eintrge fr diesen Verbindungspartner.
Fgen Sie mit Hinzufgen neue Eintrge hinzu.
1 4 ,,: IP-Adresse des Ziel-Hosts oder Netzwerkes.
;8,: Netzmaske zu Entfernte IP-Adresse. Wenn kein Eintrag
erfolgt, benutzt Ihr Gert eine Standardnetzmaske.
173
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
/: Je niedriger der Wert, desto hhere Prioritt besitzt die Route
(Wertebereich ...
). Der Standardwert ist .

Feld
Beschreibung
IPv6
Whlen Sie aus, ob die gewhlte PPPoE- Schnittstelle das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.

werden soll.
Mgliche Werte:
auerhalb Ihres LAN verwenden wollen.
-3,2F &: Es werden alle IP-Pakete durchgelassen, auer
IPv6-Modus
Nur fr IPv6 = 4

Die gewhlte PPPoE-Schnittstelle wird im Host-Modus betrieben.

Whlen Sie, ob Router Advertisements ber die Schnittstelle empfangen
werden sollen. Mithilfe der Router Advertisements wird die Default Router
List sowie die Prfix-Liste erstellt.
DHCP-Client

Legen Sie fest, ob Ihr Gert als DHCP-Client agieren soll.

174
Feld
Beschreibung
Blockieren nach Verbindungsfehler fr
Geben Sie ein, fr wie viele Sekunden nach fehlgeschlagenem Verbindungsaufbau kein erneuter Versuch durch Ihr Gert unternommen werden soll. Der Standardwert ist .
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
Maximale Anzahl der erneuten Einwhlversuche
Geben Sie die Anzahl der erfolglosen Versuche fr einen Verbindungsaufbau ein, nach denen die Schnittstelle blockiert wird.
.
Authentifizierung
Whlen Sie das Authentifizierungsprotokoll fr diesen Verbindungspartner aus. Whlen Sie die Authentifizierung, die von Ihrem Provider spezifiziert ist.
Mgliche Werte:
4 (Standardwert): Nur PAP (PPP Password Authentication Protocol)
ausfhren, Passwort wird unverschlsselt bertragen.
$>4: Nur CHAP (PPP Challenge Handshake Authentication Protocol
nach RFC 1994) ausfhren, Passwort wird verschlsselt bertragen.
47$>4: Vorrangig CHAP, sonst PAP ausfhren.
/($>4: Nur MS-CHAP Version 1 (PPP-Microsoft Challenge
Handshake Authentication Protocol) ausfhren.
47$>47/($>4: Vorrangig CHAP ausfhren, bei Ablehnung anschlieend das vom Verbindungspartner geforderte Authentifizierungsprotokoll ausfhren. (MSCHAP Version 1 oder 2 mglich.)
/($>4: Nur MS-CHAP Version 2 ausfhren.
<: Einige Provider verwenden keine Authentifizierung. Whlen
Sie in dem Fall diese Option.
DNS-Aushandlung
Whlen Sie aus, ob Ihr Gert IP-Adressen fr Primrer DNS-Server und

Sekundrer DNS-Server vom Verbindungspartner erhlt oder diese zum
Verbindungspartner schickt.
TCP-ACK-Pakete priorisie- Whlen Sie aus, ob der TCP-Download bei intensivem TCP-Upload optiren
miert werden soll. Diese Funktion kann speziell fr asymmetrische Bandbreiten (ADSL) angewendet werden.
LCPErreichbarkeitsprfung
Whlen Sie aus, ob die Erreichbarkeit der Gegenstelle durch Senden von
LCP Echo Requests bzw. Replies berprft werden soll. So ist es mglich, im Falle einer Leitungsstrung schneller auf eine Backup-Verbindung umzuschalten.

Feld
Beschreibung
MTU
Geben Sie die maximale Paketgre (Maximum Transfer Unit, MTU) in

Bytes an, die fr die Verbindung verwendet werden darf.
Mit dem Standardwert 43,+ wird der Wert beim Verbindungsaufbau durch das Link Control Protocol vorgegeben.
175
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
Wenn Sie 43,+
deaktivieren, knnen Sie einen Wert eingeben.

13.1.2 PPTP
Im Men WAN->Internet + Einwhlen->PPTP wird eine Liste aller PPTP-Schnittstellen angezeigt.
In diesem Men konfigurieren Sie eine Internet-Verbindung, die zum Verbindungsaufbau das Pointto-Point Tunneling Protocol (PPTP) verwendet. Dies ist z. B. in sterreich notwendig.
13.1.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPTP-Schnittstellen einzurichten.
Abb. 99: WAN ->Internet + Einwhlen ->PPTP->Neu
Das Men WAN->Internet + Einwhlen->PPTP->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um die Internetverbindung eindeutig zu benennen.
In diesem Feld darf das erste Zeichen keine Zahl sein. Sonderzeichen
176
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
und Umlaute drfen ebenfalls nicht verwendet werden.
PPTP-Ethernet-Schnittstelle
Whlen Sie die IP-Schnittstelle aus, ber die Pakete zur PPTP-Gegenstelle transportiert werden.
Bei Verwendung eines externen DSL-Modems, whlen Sie hier den
Ethernet-Port aus, an dem das Modem angeschlossen ist.
Bei Verwendung des internen DSL-Modems, whlen Sie hier die in Physikalische Schnittstellen->ATM->Profile->Neu fr diese Verbindung
konfigurierte EthoA-Schnittstelle z. B.
, aus.
Benutzername
Passwort
Geben Sie das Passwort ein.
Immer aktiv


Geben Sie das Inaktivittsintervall in Sekunden ein. Damit legen Sie fest,
wie viele Sekunden zwischen Senden des letzten Nutz-Datenpakets und
Abbau der Verbindung vergehen sollen.
Mgliche Werte sind bis (Sekunden). deaktiviert den Timeout.

Feld
Beschreibung

werden soll.
Mgliche Werte:
IP-Adressmodus
Whlen Sie aus, ob Ihrem Gert eine statische IP-Adresse zugewiesen

werden soll oder ob es diese dynamisch erhalten soll.
Mgliche Werte:
4 ,, :31 (Standardwert): Ihr Gert erhlt dynamisch eine temporr gltige IP-Adresse vom Provider.
177
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
Standardroute

soll.
Lokale IP-Adresse
Nur fr IP-Adressmodus = (,+

Weisen Sie der PPTP-Schnittstelle eine IP-Adresse aus Ihrem LAN zu,
die als interne Quelladresse Ihres Gerts verwendet werden soll.
Routeneintrge

Definieren Sie weitere Routing-Eintrge fr diesen PPTP-Partner.
(Wertebereich ...

Feld
Beschreibung
.
Authentifizierung
Whlen Sie das Authentifizierungsprotokoll fr diese Internetverbindung

aus. Whlen Sie die Authentifizierung, die von Ihrem Provider spezifiziert
ist.
Mgliche Werte:
178
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
DNS-Aushandlung

PPTP-Adressmodus
Zeigt den Adressmodus an. Der Wert kann nicht verndert werden.
Mgliche Werte:
(,+ : Die Lokale PPTP-IP-Adresse wird dem ausgewhlten
Ethernet-Port zugewiesen.
Lokale PPTP-IP-Adresse
Weisen Sie der PPTP-Schnittstelle eine IP-Adresse zu, die als Quelladresse verwendet wird.
Entfernte PPTPIP-Adresse
Geben Sie die IP-Adresse des PPTP-Partners ein.
LCP Echo Requests bzw. Replies berprft werden soll. So ist es mglich, im Falle einer Leitungsstrung schneller auf eine Backup-Verbindung umzuschalten.

13.1.3 PPPoA
Im Men WAN->Internet + Einwhlen->PPPoA wird eine Liste aller PPPoA-Schnittstellen angezeigt.
In diesem Men konfigurieren Sie eine xDSL-Verbindung, die zum Verbindungsaufbau PPPoA verwendet. Bei PPPoA wird die Verbindung so konfiguriert, dass ein PPP-Datenstrom direkt ber ein ATMNetzwerk transportiert wird (RFC 2364). Dieses ist bei manchen Providern erforderlich. Achten Sie bitte
auf die Spezifikationen Ihres Providers!
Bei Verwendung des internen DSL-Modems, muss in WAN->ATM->Profile->Neu fr diese Verbindung
eine PPPoA-Schnittstelle mit Client-Typ = 431 41 3& konfiguriert werden.
179
13 WAN
bintec elmeg GmbH
13.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere PPPoA-Schnittstellen einzurichten.
Abb. 100: WAN ->Internet + Einwhlen ->PPPoA ->Neu
Das Men WAN->Internet + Einwhlen->PPPoA->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie einen beliebigen Namen ein, um den Verbindungspartner eindeutig zu benennen. In diesem Feld darf das erste Zeichen keine Zahl
sein. Sonderzeichen und Umlaute drfen ebenfalls nicht verwendet werden.
ATM PVC
Whlen Sie ein im Men ATM->Profile angelegtes ATM-Profil, dargestellt durch die vom Provider vorgegebenen globalen ID VPI und VCI.
Benutzername
Passwort
Geben Sie das Passwort fr die PPPoA-Verbindung ein.
Immer aktiv

180
13 WAN
bintec elmeg GmbH
Feld
Beschreibung

Geben Sie das Inaktivittsintervall in Sekunden fr den Statischen Short
Hold ein. Mit dem Statischen Short Hold legen Sie fest, wieviele Sekunden zwischen Senden des letzten Nutz-Datenpakets und Abbau der Verbindung vergehen soll.
Mgliche Werte sind bis (Sekunden). deaktiviert den Shorthold.

Feld
Beschreibung

werden soll.
Mgliche Werte:
IP-Adressmodus
Whlen Sie aus, ob Ihr Gert eine statische IP-Adresse hat oder diese
dynamisch erhlt.
Mgliche Werte:
4 ,, :31 (Standardwert): Ihr Gert erhlt dynamisch eine IP-Adresse.
Standardroute

soll.
Lokale IP-Adresse
Nur fr IP-Adressmodus = (,+

Tragen Sie hier die statische IP-Adresse ein, die Sie von Ihrem Provider
erhalten haben.
Routeneintrge

Definieren Sie weitere Routing-Eintrge fr diesen Verbindungspartner.
181
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
(Wertebereich ...

Feld
Beschreibung
IPv6
Whlen Sie aus, ob das gewhlte ATM-Profil das Internet Protocol Version 6 (IPv6) fr die Datenbertragung verwenden soll.
Whlen Sie, mit welcher Sicherheitseinstellung das gewhlte ATM-Profil

betrieben werden soll.
Mgliche Werte:
-3,2F &: Es werden alle IP-Pakete durchgelassen, auer
IPv6-Modus
Nur fr IPv6 = 4

Das gewhlte ATM-Profil wird im Host-Modus betrieben.

Whlen Sie, ob Router Advertisements ber das ATM-Profil empfangen
werden sollen. Mithilfe der Router Advertisements wird die Default Router
List sowie die Prfix-Liste erstellt.
DHCP-Client

Legen Sie fest, ob Ihr Gert als DHCP-Client agieren soll.
182
13 WAN
bintec elmeg GmbH

Feld
Beschreibung
.
Authentifizierung
Whlen Sie das Authentifizierungsprotokoll fr diese Internetverbindung

aus. Whlen Sie die Authentifizierung, die von Ihrem Provider spezifiziert
ist.
Mgliche Werte:
DNS-Aushandlung

LCP Echo Requests bzw. Replies berprft werden soll. Diese ist empfehlenswert fr Fest-, PPTP- und L2TP-Verbindungen.
13.1.4 IP Pools
Im Men IP Pools wird eine Liste aller IP Pools angezeigt.
183
13 WAN
bintec elmeg GmbH
Ihr Gert kann als dynamischer IP-Adress-Server fr PPP-Verbindungen agieren. Dafr stellen Sie
einen oder mehrere Pools von IP-Adressen zur Verfgung. Diese IP-Adressen knnen fr die Dauer der
Verbindung an einwhlende Verbindungspartner vergeben werden.
Eingetragene Host-Routen haben immer Vorrang vor IP-Adressen aus den Adress-Pools. Wenn also ein
eingehender Ruf authentisiert wurde, berprft Ihr Gert zunchst, ob fr den Anrufer in der Routing-Tabelle eine Host-Route eingetragen ist. Wenn dies nicht der Fall ist, kann Ihr Gert eine IP-Adresse aus
einem Adress-Pool zuweisen (falls verfgbar). Bei Adress-Pools mit mehr als einer IP-Adresse knnen
Sie nicht festlegen, welcher Verbindungspartner welche Adresse bekommt. Die Adressen werden zunchst einfach der Reihe nach vergeben. Bei einer erneuten Einwahl innerhalb eines Intervalls von einer
Stunde wird aber versucht, wieder die zuletzt an diesen Partner vergebene IP-Adresse zuzuweisen.

Whlen Sie die Schaltflche Neu, um weitere IP-Adresspools einzurichten. Whlen Sie das Symbol
um vorhandene Eintrge zu bearbeiten.
Abb. 101: WAN ->Internet + Einwhlen ->IP Pools ->Neu

Feld
Beschreibung
IP-Poolname
Geben Sie eine beliebige Beschreibung ein, um den IP-Pool eindeutig zu

benennen.
IP-Adressbereich
Geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IPAdresse des IP-Adress-Pools ein.
DNS-Server
Primr: Geben Sie die IP-Adresse des DNS-Servers ein, der von Clients,
die eine Adresse aus diesem Pool beziehen, bevorzugt verwendet werden soll.
Sekundr: Geben Sie die IP-Adresse eines alternativen DNS-Servers
ein.
13.2 ATM
ATM (Asynchronous Transfer Mode) ist ein Datenbertragungsverfahren, das ursprnglich fr Breitband-ISDN konzipiert wurde.
Aktuell wird ATM u.a. in Hochgeschwindigkeitsnetzen verwendet. Sie bentigen ATM z. B., wenn Sie
ber das integrierte ADSL- bzw. SHDSL-Modem einen Hochgeschwindigkeitszugang ins Internet realisieren wollen.
In einem ATM-Netz knnen unterschiedliche Anwendungen wie z. B. Sprache, Video und Daten nebeneinander im asynchronen Zeitmultiplexverfahren bertragen werden. Jedem Sender werden dabei Zeitabschnitte zum bertragen seiner Daten zur Verfgung gestellt. Beim asynchronen Verfahren werden
ungenutzte Zeitabschnitte eines Senders von einem anderen Sender verwendet.
184
13 WAN
bintec elmeg GmbH
Bei ATM handelt es sich um ein verbindungsorientiertes Paketvermittlungsverfahren. Fr die Datenbertragung wird eine virtuelle Verbindung genutzt, die zwischen Sender und Empfnger ausgehandelt oder
auf beiden Seiten konfiguriert wird. Es wird z. B. der Weg festgelegt, den die Daten nehmen sollen. ber
eine einzige physikalische Schnittstelle knnen mehrere virtuelle Verbindungen eingerichtet werden.
Die Daten werden in sogenannten Zellen oder Slots konstanter Gre bermittelt. Jede Zelle besteht
aus 48 Byte Nutzdaten und 5 Byte Steuerinformation. Die Steuerinformation enthlt u.a. die ATMAdresse vergleichbar der Internetadresse. Die ATM-Adresse setzt sich aus den Bestandteilen Virtual
Path Identifier (VPI) und Virtual Connection Identifier (VCI) zusammen; sie identifiziert die virtuelle Verbindung.
ber ATM werden verschiedene Arten von Datenstrmen transportiert. Um den unterschiedlichen Ansprchen dieser Datenstrme an das Netz, z. B. bezglich Zellverlust und Verzgerungszeit, gerecht zu
werden, knnen mit Hilfe der Dienstkategorien dafr geeignete Werte festgelegt werden. Fr unkomprimierte Videodaten werden z. B. andere Parameter bentigt als fr zeitunkritische Daten.
In ATM-Netzen steht Quality of Service (QoS) zur Verfgung, d. h. die Gre verschiedener Netzparameter wie z. B. Bitrate, Delay und Jitter kann garantiert werden.
OAM (Operation, Administration and Maintenance) dient der berwachung der Datenbertragung bei
ATM. OAM umfasst Konfigurationsmanagement, Fehlermanagement und Leistungsmessung.
13.2.1 Profile
Im Men WAN->ATM->Profile wird eine Liste aller ATM-Profile angezeigt.
Wenn die Verbindung fr Ihren Internetzugang ber das interne Modem aufgebaut wird, mssen dafr
die ATM-Verbindungsparameter eingestellt werden. Ein ATM-Profil fasst einen Satz Parameter fr einen
bestimmten Provider zusammen.
Standardmig ist ein ATM-Profil mit der Beschreibung 45D$?4. vorkonfiguriert, dessen Werte
(VPI 1 und VCI 32) z. B. fr eine ATM-Verbindung der Telekom geeignet sind.
Hinweis
Die ATM-Enkapsulierungen sind in den RFCs 1483 und 2684 beschrieben. Sie finden die
RFCs auf den entsprechenden Seiten der IETF (www.ietf.org/rfc.html ).
13.2.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere ATM-Profile einzurichten.
185
13 WAN
bintec elmeg GmbH
Abb. 102: WAN ->ATM ->Profile ->Neu
Das Men WAN->ATM->Profile->Neu besteht aus folgenden Feldern:

Felder im Men ATM-Profilparameter
Feld
Beschreibung
Provider
Whlen Sie eines der vorkonfigurierten ATM-Profile fr Ihren Provider

aus der Liste aus oder definieren Sie mit %38 1
ein Profil.
Beschreibung
Nur fr Provider = %38 1

Geben Sie eine beliebige Beschreibung fr die Verbindung ein.
ATM-Schnittstelle
Nur, wenn mehrere ATM-Schnittstellen verfgbar sind, z. B. wenn bei

Gerten mit SHDSL mehrere Schnittstellen separat konfiguriert sind.
Whlen Sie die ATM-Schnittstelle, die Sie fr die Verbindung verwenden
wollen.
Typ

Whlen Sie das Protokoll fr die ATM-Verbindung aus.
Mgliche Werte:
F: 4/ (Standardwert): Fr die ATM-Verbindung
(Permanent Virtual Circuit, PVC) wird Ethernet ber ATM (EthoA) verwendet.
3 F: 4/: Fr die ATM-Verbindung
(Permanent Virtual Circuit, PVC) werden geroutete Protokolle ber
ATM (RPoA) verwendet.
F: 4/: Fr die ATM-Verbindung (Permanent Virtual Circuit,
PVC) wird PPP ber ATM (PPPoA) verwendet.
Virtual Path Identifier (VPI) Nur fr Provider = %38 1

Geben Sie den VPI-Wert der ATM-Verbindung ein. Der VPI ist die Identifikationsnummer des zu verwendenden virtuellen Pfades. Verwenden Sie
die Vorgaben Ihres Providers.
186
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
.
Virtual Channel Identifier

(VCI)

Geben Sie den VCI-Wert der ATM-Verbindung ein. Der VCI ist die Identifikationsnummer des virtuellen Kanals. Ein virtueller Kanal ist die logische Verbindung fr den Transport von ATM-Zellen zwischen zwei oder
mehreren Punkten. Verwenden Sie die Vorgaben Ihres Providers.

.
Enkapsulierung

Whlen Sie die zu verwendende Enkapsulierung aus. Verwenden Sie die
Vorgaben Ihres Providers.
Mgliche Werte (nach RFC 2684):
##$ % & '$( (Standardwert fr Ethernet ber ATM): Wird
nur fr Typ = F: 4/ angezeigt.
Bridged Ethernet mit LLC/SNAP-Enkapsulierung ohne Frame Check
Sequence (Prfsummen).
##$ % & '$(: Wird nur fr Typ = F:
4/ angezeigt.
Bridged Ethernet mit LLC/SNAP-Enkapsulierung mit Frame Check Sequence (Prfsummen).
;+ (D (Standardwert fr Geroutete Protokolle ber ATM): Wird
nur fr Typ = 3 F: 4/ angezeigt.
Enkapsulierung mit LLC/SNAP-Header, geeignet fr IP-Routing.
##$: Wird nur fr Typ = F: 4/ angezeigt.
Enkapsulierung mit LLC-Header.
-$/3*9& (Standardwert fr PPP ber ATM): Bridged Ethernet ohne zustzliche Enkapsulierung (Null Einkapselung) mit Frame
Check Sequence (Prfsummen).
Felder im Men Einstellungen fr Ethernet ber ATM (erscheint nur fr Typ = Ethernet ber
ATM)
Feld
Beschreibung
Standard-Ethernet fr PP- Nur fr Typ = F: 4/

PoE-Schnittstellen
Whlen Sie aus, ob diese Ethernet-over-ATM-Schnittstelle fr alle PPPoE-Verbindungen verwendet werden soll.
Adressmodus
Nur fr Typ = F: 4/

Whlen Sie aus, auf welche Weise der Schnittstelle eine IP-Adresse zugewiesen werden soll.
Mgliche Werte:
187
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
(,+ (Standardwert): Der Schnittstelle wird eine statische IPAdresse in IP-Adresse / Netzmaske zugewiesen.
.>$: Die Schnittstelle erhlt dynamisch per DHCP eine IP-Adresse.
IP-Adresse/Netzmaske
Nur fr Adressmodus = (,+

Geben Sie die IP-Adressen (IP-Adresse) und die entsprechenden Netzmasken (Netzmaske) der ATM-Schnittstellen ein. Fgen Sie weitere Eintrge mit Hinzufgen hinzu.
MAC-Adresse
Geben Sie der routerinternen Schnittstelle der ATM-Verbindung eine

MAC-Adresse, z. B. 66166:16. Ein Eintrag wird nur in speziellen Fllen bentigt.
Fr Internetverbindungen ist es ausreichend, die Option Voreingestellte
verwenden (Standardeinstellung) auszuwhlen. Es wird eine Adresse
verwendet, die von der MAC-Adresse des abgeleitet ist.
DHCP-MAC-Adresse

Geben Sie die MAC-Adresse der routerinternen Schnittstelle der ATMVerbindung ein, z. B. 66166:16.
Sollte Ihnen Ihr Provider eine MAC-Adresse fr DHCP zugewiesen haben, so tragen Sie diese hier ein.
Sie haben auch die Mglichkeit, die Option Voreingestellte verwenden
(Standardeinstellung) auszuwhlen. Es wird eine Adresse verwendet, die
von der MAC-Adresse des abgeleitet ist.
DHCP-Hostname

Geben Sie ggf. den beim Provider registrierten Host-Namen an, der von
Ihrem Gert fr DHCP-Anfragen verwendet werden soll.
Die maximale Lnge des Eintrags betrgt 45 Zeichen.
Felder im Men Einstellungen fr geroutete Protokolle ber ATM (erscheint nur fr Typ = Geroutete Protokolle ber ATM)
Feld
Beschreibung
Geben Sie die IP-Adressen (IP-Adresse) und die entsprechenden Netzmasken (Netzmaske) der ATM-Schnittstelle ein. Fgen Sie weitere Eintrge mit Hinzufgen hinzu.
Feld im Men Einstellungen fr PPP ber ATM (erscheint nur fr Typ = PPP ber ATM)
Feld
Beschreibung
Client-Typ
Whlen Sie aus, ob die PPPoA-Verbindung permanent oder bei Bedarf

aufgebaut werden soll.
Mgliche Werte:
431 41 3& (Standardwert): Die PPPoA wird nur bei Bedarf
188
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
aufgebaut, z. B. fr den Internetzugang.
Zustzliche Informationen zu PPP ber ATM finden Sie unter PPPoA auf
Seite 179.
13.2.2 Dienstkategorien
Im Men WAN->ATM->Dienstkategorien wird eine Liste aller bereits konfigurierten ATM-Verbindungen
(PVC, Permanent Virtual Circuit) angezeigt, denen spezifische Datenverkehrsparameter zugewiesen
wurden.
Ihr Gert untersttzt QoS (Quality of Service) fr ATM-Schnittstellen.
Achtung
ATM QoS ist nur anzuwenden, wenn Ihr Provider eine Liste an Datenverkehrsparametern
(Traffic Contract) vorgibt.
Die Konfiguration von ATM QoS erfordert umfangreiches Wissen ber die ATMTechnologie und die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration
kann zu erheblichen Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B. auf Ihrem PC.
13.2.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Kategorien einzurichten.
Abb. 103: WAN ->ATM ->Dienstkategorien ->Neu
Das Men WAN->ATM->Dienstkategorien->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Virtual Channel Connection (VCC)
Whlen Sie die bereits konfigurierte ATM-Verbindung (angezeigt durch

die Kombination von VPI und VCI) aus, fr welche die Dienstkategorie
festgelegt werden soll.
ATM-Dienstkategorie
Whlen Sie aus, auf welche Art der Datenverkehr der ATM-Verbindung
geregelt werden soll.
Durch die Auswahl der ATM-Dienstkategorie wird implizit eine Prioritt
zugeordnet: von CBR (hchste Prioritt) ber VBR.1 /VBR.3 bis VBR
(niedrigste Prioritt).
5,*+1 % ? !5%?" (Standardwert): Der Verbindung
189
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
wird keine bestimmte Datenrate garantiert. Die Peak Cell Rate (PCR)
legt die Grenze fest, bei deren berschreiten Daten verworfen werden.
Diese Kategorie eignet sich fr nicht-kritische Anwendungen.
$, % ? !$%?": Der Verbindung wird eine garantierte
Datenrate zugewiesen, die von der Peak Cell Rate (PCR) bestimmt
wird. Diese Kategorie eignet sich fr kritische Anwendungen
(Real-Time), die eine garantierte Datenrate voraussetzen.
-: % ? - !-%?": Der Verbindung wird eine garantierte Datenrate zugewiesen - Sustained Cell Rate (SCR). Diese
darf insgesamt um das in Maximale Burst-Gre (MBS) konfigurierte
Volumen berschritten werden. Jeglicher weiterer ATM-Traffic wird verworfen. Die Peak Cell Rate (PCR) bildet dabei die maximal mgliche
Datenrate. Die Kategorie eignet sich fr nicht-kritische Anwendungen
mit stoweisem Datenaufkommen.
-: % ? - !-%?": Der Verbindung wird eine garantierte Datenrate zugewiesen - Sustained Cell Rate (SCR). Diese
darf insgesamt um das in Maximale Burst-Gre (MBS) konfigurierte
Volumen berschritten werden. Weiterer ATM-Traffic wird markiert und
je nach Auslastung des Zielnetzes mit niedriger Prioritt behandelt, d.
h. wird bei Bedarf verworfen. Die Peak Cell Rate (PCR) bildet dabei
die maximal mgliche Datenrate. Diese Kategorie eignet sich fr kritische Anwendungen mit stoweisem Datenaufkommen.
Peak Cell Rate (PCR)
Geben Sie einen Wert fr die maximale Datenrate in Bits pro Sekunde
ein.
Mgliche Werte: bis .
Sustained Cell Rate (SCR) Nur fr ATM-Dienstkategorie = -: % ? -

!-%?" oder -: % ? - !-%?"
Geben Sie einen Wert fr die mindestens zur Verfgung stehende, garantierte Datenrate in Bits pro Sekunde ein.
Maximale Burst-Gre
(MBS)
Nur fr ATM-Dienstkategorie = -: % ? -

!-%?" oder -: % ? - !-%?"
Geben Sie hier einen Wert fr die maximale Anzahl in Bits pro Sekunde
ein, um welche die PCR kurzzeitig berschritten werden darf.
13.2.3 OAM-Regelung
OAM ist ein Dienst zur berwachung von ATM-Verbindungen. In OAM sind insgesamt fnf Hierarchien
(Flow Level F1 bis F5) fr den Informationsfluss definiert. Fr eine ATM-Verbindung sind die wichtigsten
Informationsflsse F4 und F5. Der F4-Informationsfluss betrifft den virtuellen Pfad (VP), der
F5-Informationsfluss den virtuellen Kanal (VC). Der VP wird durch den VPI-Wert definiert, der VC durch
VPI und VCI.
190
13 WAN
bintec elmeg GmbH
Hinweis
Im Allgemeinen geht die berwachung nicht vom Endgert aus, sondern wird seitens des
ISP initiiert. Ihr Gert muss dann lediglich korrekt auf die empfangenen Signale reagieren.
Dies ist auch ohne eine spezifische OAM-Konfiguration sowohl auf den Flow Level 4 als
auch dem Flow Level 5 gewhrleistet.
Zur berwachung der ATM-Verbindung stehen zwei Mechanismen zur Verfgung: Loopback-Tests und
OAM Continuity Check (OAM CC). Sie knnen unabhngig voneinander konfiguriert werden.
Achtung
Die Konfiguration von OAM erfordert umfangreiches Wissen ber die ATM-Technologie
und die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration kann zu erheblichen Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B.
auf Ihrem PC.
Im Men WAN->ATM->OAM-Regelung wird eine Liste aller berwachten OAM-Fluss-Levels angezeigt.
13.2.3.1 Neu
Whlen Sie die Schaltflche Neu, um die berwachung weiterer Fluss-Levels einzurichten.
Abb. 104: WAN ->ATM ->OAM-Regelung ->Neu
Das Men WAN->ATM->OAM-Regelung->Neu besteht aus folgenden Feldern:

Felder im Men OAM-Flusskonfiguration
Feld
Beschreibung
OAM-Fluss-Level
Whlen Sie den zu berwachenden OAM-Fluss-Level.

Mgliche Werte:
'
: (Virtual Channel Level) Die OAM-Einstellungen werden auf den virtuellen Kanal angewendet (Standardwert).
': (Virtual Path Level) Die OAM-Einstellungen werden auf den virtuellen Pfad angewendet.
Virtual Channel Connection (VCC)
Nur fr OAM-Fluss-Level = '
Virtual Path Connection
Nur fr OAM-Fluss-Level = '
Whlen Sie die zu berwachende bereits konfigurierte ATM-Verbindung

(angezeigt durch die Kombination von VPI und VCI) aus.
191
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
(VPC)
Whlen Sie die zu berwachende bereits konfigurierte Virtual Path

Connection (angezeigt durch den VPI) aus.
Felder im Men Loopback

Feld
Beschreibung
Loopback Ende-zu-Ende
Whlen Sie aus, ob Sie den Loopback-Test fr die Verbindung zwischen

den Endpunkten der VCC bzw. VPC aktivieren wollen.
Endezu-Ende-Sendeintervall
Nur wenn Loopback Ende-zu-Ende aktiviert ist.

Geben Sie das Zeitintervall in Sekunden an, nach dem jeweils eine Loopback-Zelle gesendet werden soll.
.
Ausstehende Endezu-Ende-Anforderungen
Nur wenn Loopback Ende-zu-Ende aktiviert ist.

Geben Sie ein, wie viele direkt aufeinanderfolgende Loopback-Zellen
ausbleiben drfen, bevor die Verbindung als unterbrochen ("inaktiv") angesehen wird. Mgliche Werte sind bis .
.
Loopback-Segment
Whlen Sie aus, ob Sie den Loopback-Test fr die Segment-Verbindung

(Segment = Verbindung des lokalen Endpunkts bis zum nchsten Verbindungspunkt) der VCC bzw. VPC aktivieren wollen.
Segment-Sendeintervall
Nur wenn Loopback-Segment aktiviert ist.

Geben Sie das Zeitintervall in Sekunden an, nach dem jeweils eine Loopback-Zelle gesendet wird.
.
Ausstehende SegmentAnforderungen
Nur wenn Loopback-Segment aktiviert ist.

Geben Sie ein, wie viele direkt aufeinanderfolgende Loopback-Zellen
ausbleiben drfen, bevor die Verbindung als unterbrochen ("inaktiv") angesehen wird.
.
Felder im Men CC-Aktivierung

Feld
Beschreibung
Continuity Check (CC) En- Whlen Sie aus, ob Sie den OAM-CC-Test fr die Verbindung zwischen
de-zu-Ende
den Endpunkten der VCC bzw. VPC aktivieren wollen.
Mgliche Werte:
192
13 WAN
bintec elmeg GmbH
Feld
Beschreibung
,, (Standardwert): OAM CC Requests werden nach der CCAushandlung (CC activation negotiation) beantwortet.
4: OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet.
% : OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet und beantwortet.
< 43, 3&: Je nach Einstellung im Feld Richtung werden
OAM CC Requests entweder gesendet und/oder beantwortet. Es findet
keine CC-Aushandlung statt.
,,: Die Funktion ist nicht aktiv.
Whlen Sie auerdem aus, ob die Testzellen des OAM CC gesendet
bzw. empfangen werden sollen.
Mgliche Werte:
% (Standardwert): CC-Daten werden sowohl empfangen als auch
generiert.
(: CC-Daten werden empfangen.
G3: CC-Daten werden generiert.
Continuity Check (CC)

Segment
Whlen Sie aus, ob Sie den OAM-CC-Test fr die Segment-Verbindung

(Segment=Verbindung des lokalen Endpunkts bis zum nchsten Verbindungspunkt) der VCC bzw. VPC aktivieren wollen.
Mgliche Werte:
,, (Standardwert): OAM CC Requests werden nach der CCAushandlung (CC activation negotiation) beantwortet.
4: OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet.
% : OAM CC Requests werden nach der CC-Aushandlung (CC activation negotiation) gesendet und beantwortet.
< 43, 3&: Je nach Einstellung im Feld Richtung werden
OAM CC Requests entweder gesendet und/oder beantwortet, es findet
keine CC-Aushandlung statt.
<: Die Funktion ist nicht aktiv.
Whlen Sie weiterhin aus, ob die Testzellen des OAM CC gesendet bzw.
empfangen werden sollen.
% (Standardwert): CC-Daten werden sowohl empfangen als auch
generiert.
(: CC-Daten werden empfangen.
G3: CC-Daten werden generiert.
13.3 Real Time Jitter Control

Bei Telefongesprchen ber das Internet haben Spachdaten-Pakete normalerweise hchste Prioritt.
Trotzdem knnen bei geringer Bandbreite der Upload Verbindung whrend eines Telefongesprchs
merkbare Verzgerungen bei der Sprachbertragung auftreten, wenn gleichzeitig andere Datenpakete
geroutet werden.
Die Funktion Real Time Jitter Control lst dieses Problem. Um die "Leitung" fr die Sprachdaten-Pakete
nicht zu lange zu blockieren, wird die Gre der brigen Datenpakete whrend eines Telefongesprchs
bei Bedarf reduziert.
193
13 WAN
bintec elmeg GmbH
13.3.1 Regulierte Schnittstellen

Im Men WAN->Real Time Jitter Control->Regulierte Schnittstellen wird eine Liste der Schnittstellen
angezeigt, fr welche die Funktion Real Time Jitter Control konfiguriert ist.
13.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um fr weitere Schnittstellen die Sprachbertragung zu optimieren.
Abb. 105: WAN ->Real Time Jitter Control ->Regulierte Schnittstellen ->Neu
Das Men WAN->Real Time Jitter Control->Regulierte Schnittstellen->Neu besteht aus folgenden
Feldern:
Feld
Beschreibung
Schnittstelle
Legen Sie fest, fr welche Schnittstellen die Sprachbertragung optimiert

werden soll.
Kontrollmodus
Whlen Sie den Modus fr die Optimierung aus.

Mgliche Werte:
;3 ?(, (Standardwert): Anhand der
Daten, die ber das Media Gateway geroutet werden, erkennt das System Sprachdaten-Verkehr und optimiert die Sprachbertragung.
4 ?(,: Alle RTP-Streams werden optimiert.
: Die Optimierung fr die bertragung der Sprachdaten wird
nicht durchgefhrt.
: Die Optimierung fr die bertragung der Sprachdaten wird immer durchgefhrt.
194
Geben Sie die maximal zur Verfgung stehende Bandbreite in UploadRichtung in kbit/s fr die gewhlte Schnittstelle ein.
14 VPN
bintec elmeg GmbH
Kapitel 14 VPN
Als VPN (Virtual Private Network) wird eine Verbindung bezeichnet, die das Internet als "Transportmedium" nutzt, aber nicht ffentlich zugnglich ist. Nur berechtigte Benutzer haben Zugang zu einem solchen
VPN, das anschaulich auch als VPN-Tunnel bezeichnet wird. blicherweise werden die ber ein VPN
transportierten Daten verschlsselt.
ber ein VPN kann z. B. ein Auendienstmitarbeiter oder ein Mitarbeiter im Home Office auf die Daten
im Firmennetz zugreifen. Filialen knnen ebenfalls ber VPN an die Zentrale angebunden werden.
Zum Aufbau eines VPN-Tunnels stehen verschiedene Protokolle zur Verfgung, wie z. B. IPSec oder
PPTP.
Die Authentifizierung der Verbindungspartner erfolgt ber ein Passwort, mithilfe von Preshared Keys
oder ber Zertifikate.
Bei IPSec wird die Verschlsselung der Daten z. B. mit Hilfe von AES oder 3DES erledigt, bei PPTP
kann MPPE benutzt werden.
14.1 IPSec
IPSec ermglicht den Aufbau von gesicherten Verbindungen zwischen zwei Standorten (VPN). Hierdurch lassen sich sensible Unternehmensdaten auch ber ein unsicheres Medium wie z. B. das Internet
bertragen. Die eingesetzten Gerte agieren hierbei als Endpunkte des VPN Tunnels. Bei IPSec handelt es sich um eine Reihe von Internet-Engineering-Task-Force-(IETF)-Standards, die Mechanismen
zum Schutz und zur Authentifizierung von IP-Paketen spezifizieren. IPSec bietet Mechanismen, um die
in den IP-Paketen bermittelten Daten zu verschlsseln und zu entschlsseln. Darber hinaus kann die
IPSec Implementierung nahtlos in eine Public-Key-Umgebung (PKI, siehe Zertifikate auf Seite 45) integriert werden. Die IPSec-Implementierung erreicht dieses Ziel zum einen durch die Benutzung des Authentication-Header-(AH)-Protokolls und des Encapsulated-Security-Payload-(ESP)-Protokolls. Zum anderen werden kryptografische Schlsselverwaltungsmechanismen wie das InternetKey-Exchange-(IKE)-Protokoll verwendet.
Zustzlicher Filter des IPv4-Datenverkehrs

Digitalisierungsbox untersttzt zwei verschiedene Methoden zum Aufbau von IPSec-Verbindungen:
eine Richtlinien-basierte Methode und
eine Routing-basierte Methode.
Die Richtlinien-basierte Methode nutzt Filter fr den Datenverkehr zur Aushandlung der IPSec-Phase-2-SAs. Damit ist eine sehr "feinkrnige" Filterung der IP-Pakete bis auf Protokoll- und Portebene
mglich.
Die Routing-basierte Methode bietet gegenber der Richtlinien-basierte Methode verschiedene Vorteile,
wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Routing-Protokollen und Realisierung von VPN-Backup-Szenarien. Bei der Routing-basierten Methode werden zur Aushandlung der IPSec-Phase-2-SAs die konfigurierten oder dynamisch gelernten Routen genutzt. Diese Methode vereinfacht zwar viele Konfigurationen, gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen
oder wegen der "grberen" Filterung des Datenverkehrs kommen.
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs behebt dieses Problem. Sie knnen "feiner" filtern, d.h. Sie knnen z. B. die Quell-IP-Adresse oder den Quell-Port angeben. Ist ein Zustzlicher Filter des IPv4-Datenverkehrs konfiguriert, so wird er zur Aushandlung der IPSec-Phase-2-SAs
herangezogen, die Route bestimmt nur noch, welcher Datenverkehr geroutet werden soll.
Passt ein IP-Paket nicht zum definierten Zustzlicher Filter des IPv4-Datenverkehrs , so wird es verworfen.
Erfllt ein IP-Paket die Anforderungen in einem Zustzlicher Filter des IPv4-Datenverkehrs , so startet
195
14 VPN
bintec elmeg GmbH
die IPSec-Phase-2-Aushandlung und der Datenverkehr wird ber den Tunnel bertragen.
Hinweis
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs ist ausschlielich fr den Initiator der IPSec-Verbindung relevant, er gilt nur fr ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tunnel-Endpunkten identisch sein muss.
14.1.1 IPSec-Peers
Als Peer wird ein Endpunkt einer Kommunikation in einem Computernetzwerk bezeichnet. Jeder Peer
bietet dabei seine Dienste an und nutzt die Dienste der anderen Peers.
Im Men VPN->IPSec->IPSec-Peers wird eine Liste aller konfigurierter IPSec-Peers nach Prioritt sortiert angezeigt.
Abb. 106: VPN->IPSec->IPSec-Peers
Peer berwachung
Das berwachungsmen eines Peers wird durch Auswahl der
-Schaltflche beim entsprechenden
Peer in der Peerliste aufgerufen. Siehe Werte in der Liste IPSec-Tunnel auf Seite 326.
14.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IPSec-Peers einzurichten.
196
14 VPN
bintec elmeg GmbH
Abb. 107: VPN->IPSec->IPSec-Peers ->Neu
Das Men VPN->IPSec->IPSec-Peers->Neu besteht aus folgenden Feldern:

Felder im Men Peer-Parameter
Feld
Beschreibung
Administrativer Status
Whlen Sie den Zustand aus, in den Sie den Peer nach dem Speichern
der Peer-Konfiguration versetzen wollen.
Mgliche Werte:
4 (Standardwert): Der Peer steht nach dem Speichern der Konfiguration sofort fr den Aufbau eines Tunnels zur Verfgung.
: Der Peer steht nach dem Speichern der Konfiguration zunchst nicht zur Verfgung.
197
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung des Peers ein, die diesen identifiziert.
Die maximal mgliche Lnge des Eintrags betrgt 255 Zeichen.
Peer-Adresse
Whlen Sie die IP-Version aus. Sie knnen whlen, ob IPv4 oder IPv6
bevorzugt verwendet werden soll oder ob nur eine der beiden IPVersionen erlaubt sein soll.
Hinweis
Diese Auswahl ist nur relevant, wenn ein Host-Name als
Peer-Adresse eingegeben wird.
Mgliche Werte:
:83&
:83&
;3
;3
Geben Sie die offizielle IP-Adresse des Peers bzw. seinen auflsbaren
Host-Namen ein.
Die Eingabe kann in bestimmten Konfigurationen entfallen, wobei Ihr Gert dann keine IPSec-Verbindung initiieren kann.
Peer-ID
Whlen Sie den ID-Typ aus und geben Sie die ID des Peers ein.
Die Eingabe kann in bestimmten Konfigurationen entfallen.
Mgliche ID-Typen:
'30 G31 . ; !'G.;": Beliebige Zeichenkette
/4 ,,
-4 ,,
4(;.; !.,&3, ;"
(+ F,,.: Beliebige Zeichenkette
Auf dem Peer-Gert entspricht diese ID dem Parameter Lokaler
ID-Wert.
IKE (Internet Key Exchange)
Whlen Sie die Version des Internet-Key-Exchange-Protokolls, die verwendet werden soll.
Mgliche Werte:
< (Standardwert): Internet Key Exchange Protocol Version 1
<: Internet Key Exchange Protocol Version 2
Authentifizierungsmethode
Nur fr IKE (Internet Key Exchange) = <

Whlen Sie die Authentifizierungsmethode aus.
Mgliche Werte:
, <0, (Standardwert): Falls Sie fr die Authentifizierung
keine Zertifikate verwenden, knnen Sie Preshared Keys whlen. Diese werden bei der Peerkonfiguration im Men IPSec-Peers konfigu-
198
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
riert. Der Preshared Key ist das gemeinsame Passwort.
?(4(&3: Phase-1-Schlsselberechnungen werden unter Nutzung des RSA-Algorithmus authentifiziert.
Lokaler ID-Typ

Whlen Sie den Typ der lokalen ID aus.
Mgliche ID-Typen:
'30 G31 . ; !'G.;"
/4 ,,
-4 ,,
4(;.; !.,&3, ;"
(+ F,,.: Beliebige Zeichenkette
Lokale ID

Geben Sie die ID Ihres Gerts ein.
Fr Authentifizierungsmethode = .(4(&3 oder ?(4
(&3 wird die Option Subjektname aus Zertifikat verwenden angezeigt.
Wenn Sie die Option Subjektname aus Zertifikat verwenden aktivieren,
wird der erste im Zertifikat angegebene Subjekt-Alternativname oder,
falls keiner angegeben ist, der Subjektname des Zertifikats verwendet.
Beachten Sie: Falls Sie Zertifikate fr die Authentifizierung nutzen und Ihr
Zertifikat Subjekt-Alternativnamen enthlt (siehe Zertifikate auf Seite 45),
mssen Sie hier achtgeben, da Ihr Gert per Standard den ersten Subjekt-Alternativnamen whlt. Stellen Sie sicher, dass Sie und Ihr Peer beide den gleichen Namen nutzen, d. h. dass Ihre lokale ID und die Peer-ID,
die Ihr Partner fr Sie konfiguriert, identisch sind.
Preshared Key
Geben Sie das mit dem Peer vereinbarte Passwort ein.

Die maximal mgliche Lnge des Eintrags betrgt 50 Zeichen. Alle Zeichen sind mglich auer 9 am Anfang des Eintrags.
IP-Version des Tunnelnetzwerks
Whlen Sie aus, ob IPv4 oder IPv6 oder beide Versionen fr den VPNTunnel verwendbar sein sollen.
Mgliche Werte:

3
Felder im Men IPv4-Schnittstellenrouten

Feld
Beschreibung

werden soll.
Mgliche Werte:
199
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
IPv4-Adressvergabe
Whlen Sie den Konfigurationsmodus der Schnittstelle aus.
Mgliche Werte:
(,+ (Standardwert): Geben Sie eine statische IP-Adresse ein.
$ <<1&3, 3,: Nur fr IKEv1 auswhlbar. Whlen Sie diese Option, wenn Ihr Gateway als IPSec-Client vom
Server eine IP-Adresse erhalten soll.
( <<1&3, 3,: Whlen Sie diese Option,
wenn Ihr Gateway als Server sich verbindenden Clients eine IPAdresse vergeben soll. Diese wird aus dem gewhlten IPZuordnungspool entnommen.
Konfigurationsmodus
Nur bei IPv4-Adressvergabe = ( <

<1&3, 3, oder $ <
<1&3, 3,
Mgliche Werte:
3 (Standardwert): Der Client erfragt die IP-Adresse und das Gateway beantwortet die Anfrage.
3, : Das Gateway schlgt dem Client eine IP-Adresse vor und der
Client muss diese akzeptieren oder zurckweisen.
Dieser Wert muss fr beide Seiten des Tunnels identisch sein.
IP-Zuordnungspool
Nur bei IPv4-Adressvergabe = ( <

<1&3, 3,
Whlen Sie einen im Men VPN->IPSec->IP Pools konfigurierten IPPool aus. Falls hier noch kein IP-Pool konfiguriert wurde, erscheint in diesem Feld die Meldung ;+ + 1.
Standardroute
Nur fr IPv4-Adressvergabe = (,+ oder $ <

<1&3, 3,
Whlen Sie aus, ob die Route zu diesem IPSec-Peer als Standardroute
festgelegt wird.
Lokale IP-Adresse
Nur fr IPv4-Adressvergabe = (,+ oder ( <

<1&3, 3,
Geben Sie die WAN IP-Adresse Ihrer IPSec-Verbindung an. Es kann die
gleiche IP-Adresse sein, die als LAN IP-Adresse an Ihrem Router konfiguriert ist.
Metrik

<1&3, 3, und Standardroute = 4
Whlen Sie die Prioritt der Route aus.
Je niedriger Sie den Wert setzen, desto hhere Prioritt besitzt die Route.
200
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Wertebereich von bis
. der Standardwert ist .
Routeneintrge

<1&3, 3,
Definieren Sie Routing-Eintrge fr diesen Verbindungspartner.
1 4 ,,: IP-Adresse des Ziel-Hosts oder -LANs.
;8,: Netzmaske zu 1 4 ,,.
(Wertebereich
). der Standardwert ist .
Felder im Men Zustzlicher Filter des IPv4-Datenverkehrs

Feld
Beschreibung
Zustzlicher Filter des

IPv4-Datenverkehrs

Legen Sie mithilfe von Hinzufgen einen neuen Filter an.
Felder im Men IPv6-Schnittstellenrouten

Feld
Beschreibung

werden soll.
Mgliche Werte:
;+ -3,2F & : Es werden nur diejenigen IP-Pakete
-3,2F & (Standardwert): Es werden alle IP-Pakete durchgelassen, auer denen, die explizit verboten sind.
Lokales IPv6-Netzwerk
Whlen Sie ein Netzwerk aus. Sie knnen unter den Link-Prfixen whlen, die unter LAN->IP-Konfiguration->Schnittstellen->Neu angelegt
sind.
Geben Sie die Lokale IPv6-Adresse mit der entsprechenden Prfixlnge
ein. Dieser Prfix muss mit :: enden. Standardmig ist eine Prfixlnge
von /64 vorgegeben.
Entferntes IPv6-Netzwerk
Fgen Sie mit Hinzufgen einen neuen Prfix hinzu. Geben Sie die
Adresse der Tunnelgegenstelle ein. Standardmig ist eine Lnge von
und eine Prioritt von vorgegeben. Je niederiger der Wert der Prioritt ist, desto hhere Prioritt besitzt die Route.
Zustzlicher Filter des Datenverkehrs

Digitalisierungsbox untersttzt zwei verschiedene Methoden zum Aufbau von IPSec-Verbindungen:
eine Richtlinien-basierte Methode und
eine Routing-basierte Methode.
201
14 VPN
bintec elmeg GmbH
Die Richtlinien-basierte Methode nutzt Filter fr den Datenverkehr zur Aushandlung der IPSec-Phase-2-SAs. Damit ist eine sehr "feinkrnige" Filterung der IP-Pakete bis auf Protokoll- und Portebene
mglich.
Die Routing-basierte Methode bietet gegenber der Richtlinien-basierte Methode verschiedene Vorteile,
wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Routing-Protokollen und Realisierung von VPN-Backup-Szenarien. Bei der Routing-basierten Methode werden zur Aushandlung der IPSec-Phase-2-SAs die konfigurierten oder dynamisch gelernten Routen genutzt. Diese Methode vereinfacht zwar viele Konfigurationen, gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen
oder wegen der "grberen" Filterung des Datenverkehrs kommen.
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs behebt dieses Problem. Sie knnen "feiner" filtern, d.h. Sie knnen z. B. die Quell-IP-Adresse oder den Quell-Port angeben. Ist ein Zustzlicher Filter des IPv4-Datenverkehrs konfiguriert, so wird er zur Aushandlung der IPSec-Phase-2-SAs
herangezogen, die Route bestimmt nur noch, welcher Datenverkehr geroutet werden soll.
Passt ein IP-Paket nicht zum definierten Zustzlicher Filter des IPv4-Datenverkehrs , so wird es verworfen.
Erfllt ein IP-Paket die Anforderungen in einem Zustzlicher Filter des IPv4-Datenverkehrs , so startet
die IPSec-Phase-2-Aushandlung und der Datenverkehr wird ber den Tunnel bertragen.
Hinweis
Der Parameter Zustzlicher Filter des IPv4-Datenverkehrs ist ausschlielich fr den Initiator der IPSec-Verbindung relevant, er gilt nur fr ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tunnel-Endpunkten identisch sein muss.
Fgen Sie weitere Filter mit Hinzufgen hinzu.
202
14 VPN
bintec elmeg GmbH
Abb. 108: VPN->IPSec->IPSec-Peers ->Neu->Hinzufgen

Feld
Beschreibung
Beschreibung
Geben Sie eine Bezeichnung fr das Filter ein.
Protokoll
Whlen Sie ein Protokoll aus. Die Option %:& (Standardwert)

passt auf jedes Protokoll.
Definieren Sie, falls gewnscht, die Quell-IP-Adresse und die Netzmaske

der Datenpakete.
Mgliche Werte:
%:&
;82 (Standardwert): Geben Sie die Netzwerk-Adresse und die
zugehrige Netzmaske ein.
Quell-Port
Nur fr Protokoll = $ oder 5.

Geben Sie den Quell-Port der Datenpakete ein. Die Standardeinstellung
4 (= -1) bedeutet, dass der Port nicht nher spezifiziert ist.
Geben Sie die Ziel-IP-Adresse und die zugehrige Netzmaske der Datenpakete ein.
Ziel-Port
Nur fr Protokoll = $ oder 5.

Geben Sie den Ziel-Port der Datenpakete ein. Die Standardeinstellung
4 (= -1) bedeutet, dass der Port nicht nher spezifiziert ist.
203
14 VPN
bintec elmeg GmbH

Felder im Men Erweiterte IPSec-Optionen
Feld
Phase-1-Profile
Beschreibung
Whlen Sie ein Profil fr die Phase 1 aus. Neben den benutzerdefinierten
Profilen stehen vordefinierte Profile zur Verfgung.
Mgliche Werte:
<, !( *1 2 ": Verwendet das Profil,
das in VPN->IPSec->Phase-1-Profile als Standard markiert ist
/3*,: Verwendet ein spezielles Profil, das fr Phase 1
die Proposals 3DES/MD5, AES/MD5 und Blowfish/MD5 enthlt ungeachtet der Proposalauswahl im Men .
A1B: Verwendet ein Profil, das im Men
VPN->IPSec->Phase-1-Profile fr Phase 1 konfiguriert wurde.
Phase-2-Profil
Whlen Sie ein Profil fr die Phase 2 aus. Neben den benutzerdefinierten
Profilen stehen vordefinierte Profile zur Verfgung.
Mgliche Werte:
<, !( *1 2 ": Verwendet das Profil,
das in VPN->IPSec->Phase-2-Profile als Standard markiert ist
S/3*,: Verwendet ein spezielles Profil, das fr Phase 2
die Proposals 3DES/MD5, AES-128/MD5 und Blowfish/MD5 enthlt ungeachtet der Proposalauswahl im Men VPN->IPSec->Phase2-Profile.
A1B: Verwendet ein Profil, das im Men
VPN->IPSec->Phase-2-Profile fr Phase 2 konfiguriert wurde.
XAUTH-Profil
Whlen Sie ein in VPN->IPSec->XAUTH-Profile angelegtes Profil aus,

wenn Sie zur Authentifizierung dieses IPSec-Peers XAuth verwenden
mchten.
Wenn XAuth zusammen mit dem IKE-Konfigurationsmodus verwendet
wird, werden zuerst die Transaktionen fr XAuth und dann diejenigen fr
den IKE-Konfigurationsmodus durchgefhrt.
Anzahl erlaubter Verbindungen
Whlen Sie aus, wieviele Benutzer sich mit diesem Peer-Profil verbinden
drfen.
Mgliche Werte:
%38 (Standardwert): Es kann sich nur ein Peer mit den in
diesem Profil definierten Daten verbinden.
/ %38: Es knnen sich mehrere Peers mit den in diesem Profil definierten Daten verbinden. Bei jeder Verbindungsanfrage
mit den in diesem Profil definierten Daten, wird der Peer-Eintrag dupliziert.
Die Konfiguration des dynamischen Peers darf keine Peer ID und keine
Peer-IP-Adresse enthalten. Die CLients, die sich mit dem Gateway verbinden, mssen jedoch ber eine Peer ID verfgen, da diese verwendet wird, um die durch dynamische Peers erstellten IPSec-Tunnel voneinander zu trennen.
Der resultierende Peer auf dem Gateway wrde nun auf alle eingehenden Tunnel-Requests zutreffen. Daher ist es notwendig, ihn an das Ende der IPSec-Peer-Liste zu stellen. Andernfalls wren alle in der Listen
folgenden Peers inaktiv.
204
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Startmodus
Whlen Sie aus, wie der Peer in den aktiven Zustand versetzt werden
soll.
Mgliche Werte:
431 41 3& (Standardwert): Der Peer wird durch einen Trigger in den aktiven Zustand versetzt.
: Der Peer ist immer aktiv.
Felder im Men Erweiterte IP-Optionen

Feld
Beschreibung
ffentliche Schnittstelle
Legen Sie diejenige ffentliche (oder WAN-) Schnittstelle fest, ber die
dieser Peer sich mit seinem VPN-Partner verbinden soll. Wenn Sie -
?3& 3,&2@ auswhlen, wird die Entscheidung, ber welche
Schnittstelle der Datenverkehr geleitet wird, gem der aktuellen Routingtabelle getroffen. Wenn Sie eine Schnittstelle auswhlen, wird unter
Beachtung der Einstellung unter ffentlicher Schnittstellenmodus diese Schnittstelle verwendet.
ffentlicher Schnittstellenmodus
Legen Sie fest, wie strikt die Einstellung unter ffentliche Schnittstelle
gehandhabt wird. Mgliche Werte:
82&: Unabhngig von den Prioritten der aktuellen Routingtabelle wird nur die ausgewhlte Schnittstelle verwendet.
%83&: Die Prioritten der aktuellen Routingtabelle werden verwendet. Nur wenn mehrere gleichwertige Routen zur Verfgung stehen, wird die Route ber die gewhlte Schnittstelle verwendet.
ffentliche
IPv4-Quelladresse
Wenn Sie mehrere Internetanschlsse parallel betreiben, knnen Sie hier

diejenige ffentliche IP-Adresse angeben, die fr den Datenverkehr des
Peers als Quelladresse verwendet werden soll. Whlen Sie aus, ob die
ffentliche IPv4-Quelladresse aktiviert werden soll.
Geben Sie in das Eingabefeld die ffentliche IP-Adresse ein, die als Absendeadresse verwendet werden soll.
berprfung der
IPv4-Rckroute
Whlen Sie aus, ob fr die Schnittstelle zum Verbindungspartner eine

berprfung der Rckroute aktiviert werden soll.
MobIKE
Nur fr Peers mit IKEv2.
MobIKE ermglicht es, bei wechselnden ffentlichen IP-Adressen lediglich diese Adressen in den SAs zu aktualisieren, ohne die SAs selbst neu
aushandeln zu mssen.
Beachten Sie, dass MobIKE einen aktuellen IPSec Client voraussetzt, z.
B. den aktuellen Windows-7- oder Windows-8-Client oder die neuste Version des bintec elmeg IPSec Clients.
IPv4 Proxy ARP
Whlen Sie aus, ob Ihr Gert ARP-Requests aus dem eigenen LAN stellvertretend fr den spezifischen Verbindungspartner beantworten soll.
Mgliche Werte:
205
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
(Standardwert): Deaktiviert Proxy-ARP fr diesen IPSecPeer.
4 ?3 : Ihr Gert beantwortet einen ARP-Request nur,
wenn der Status der Verbindung zum IPSec Peer (aktiv) oder
?3 (ruhend) ist. Bei ?3 beantwortet Ihr Gert lediglich den
ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tatschlich die Route nutzen will.
;3 : Ihr Gert beantwortet einen ARP-Request nur, wenn der
Status der Verbindung zum IPSec-Peer (aktiv) ist, wenn also
bereits eine Verbindung zum IPSec Peer besteht.
IPSec-Callback
Um Hosts, die nicht ber feste IP-Adressen verfgen, eine sichere Verbindung ber das Internet zu ermglichen, untersttzen Digitalisierungsbox-Gerte den DynDNS-Dienst. Dieser Dienst ermglicht die
Identifikation eines Peers anhand eines durch DNS auflsbaren Host-Namens. Die Konfiguration der IPAdresse des Peers ist nicht notwendig.
Der DynDNS-Dienst signalisiert aber nicht, ob ein Peer wirklich online ist, und kann einen Peer nicht
veranlassen, eine Internetverbindung aufzubauen, um einen IPSec-Tunnel ber das Internet zu ermglichen. Diese Mglichkeit wird mit IPSec-Callback geschaffen: Mithilfe eines direkten ISDN-Rufs bei einem Peer kann diesem signalisiert werden, dass man online ist und den Aufbau eines IPSec-Tunnels
ber das Internet erwartet. Sollte der gerufene Peer derzeit keine Verbindung zum Internet haben, wird
er durch den ISDN-Ruf veranlasst, eine Verbindung aufzubauen. Dieser ISDN-Ruf verursacht (je nach
Einsatzland) keine Kosten, da der ISDN-Ruf von Ihrem Gert nicht angenommen werden muss. Die
Identifikation des Anrufers durch dessen ISDN-Rufnummer gengt als Information, um einen Tunnelaufbau zu initiieren.
Um diesen Dienst einzurichten, muss zunchst auf der passiven Seite im Men Physikalische Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu eine Rufnummer fr den IPSec-Callback konfiguriert
werden. Dazu steht fr das Feld Dienst der Wert (+ zur Verfgung. Dieser Eintrag sorgt dafr, dass
auf dieser Nummer eingehende Rufe an den IPSec-Dienst geleitet werden.
Bei aktivem Callback wird, sobald ein IPSec-Tunnel bentigt wird, der Peer durch einen ISDN-Ruf veranlasst, diesen zu initiieren. Bei passivem Callback wird immer dann ein Tunnelaufbau zum Peer initiiert, wenn ein ISDN-Ruf auf der entsprechenden Nummer (MSN im Men Physikalische
Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu fr Dienst (+) eingeht. Auf diese Weise
wird sichergestellt, dass beide Peers erreichbar sind und die Verbindung ber das Internet zustande
kommen kann. Es wird lediglich dann kein Callback ausgefhrt, wenn bereits SAs (Security Associations) vorhanden sind, der Tunnel zum Peer also bereits besteht.
Hinweis
Wenn ein Tunnel zu einem Peer aufgebaut werden soll, wird vom IPSec-Daemon zunchst die Schnittstelle aktiviert, ber die der Tunnel realisiert werden soll. Sofern auf dem
lokalen Gert IPSec mit DynDNS konfiguriert ist, wird die eigene IP-Adresse propagiert
und erst dann der ISDN-Ruf an das entfernte Gert abgesetzt. Auf diese Art ist sichergestellt, dass das entfernte Gert das lokale auch tatschlich erreichen kann, wenn es den
Tunnelaufbau initiiert.
bermittlung der IP-Adresse ber ISDN

Mittels der bertragung der IP-Adresse eines Gerts ber ISDN (im D-Kanal und/oder im B-Kanal) erffnen sich neue Mglichkeiten zur Konfiguration von IPSec-VPNs. Einschrnkungen, die bei der IPSecKonfiguration mit dynamischen IP-Adressen auftreten, knnen so umgangen werden.
206
14 VPN
bintec elmeg GmbH
Hinweis
Um die Funktion IP-Adressbermittlung ber ISDN nutzen zu knnen, mssen Sie eine
kostenfreie Zusatzlizenz erwerben.
Die Lizenzdaten der Zusatzlizenzen erhalten Sie ber die Online-Lizenzierungs-Seiten im
Support-Bereich auf www.bintec-elmeg.com . Bitte folgen Sie den Anweisungen der Online-Lizenzierung.
Vor Systemsoftware Release 7.1.4 untersttzte der IPSec ISDN Callback einen Tunnelaufbau nur dann,
wenn die aktuelle IP-Adresse des Auslsers auf indirektem Wege (z. B. ber DynDNS) ermittelt werden
konnte. DynDNS hat aber gravierende Nachteile, wie z. B. die Latenzzeit, bis die IP-Adresse in der Datenbank wirklich aktualisiert ist. Dadurch kann es dazu kommen, dass die ber DynDNS propagierte IPAdresse nicht korrekt ist. Dieses Problem wird durch die bertragung der IP-Adresse ber ISDN umgangen. Darber hinaus ermglicht es diese Art der bermittlung dynamischer IP-Adressen, den sichereren
ID-Protect-Modus (Haupt Modus) fr den Tunnelaufbau zu verwenden.
Funktionsweise: Um die eigene IP-Adresse an den Peer bermitteln zu knnen, stehen unterschiedliche
Modi zur Verfgung: Die Adresse kann im D-Kanal kostenfrei bertragen werden oder im B-Kanal, wobei der Ruf von der Gegenstelle angenommen werden muss und daher Kosten verursacht. Wenn ein
Peer, dessen IP-Adresse dynamisch zugewiesen worden ist, einen anderen Peer zum Aufbau eines IPSec-Tunnels veranlassen will, so kann er seine eigene IP-Adresse gem der in Felder im Men IPv4
IPSec Callback auf Seite 208 beschriebenen Einstellungen bertragen. Nicht alle bertragungsmodi werden von allen Telefongesellschaften untersttzt. Sollte diesbezglich Unsicherheit bestehen, kann mittels der automatischen Auswahl durch das Gert sichergestellt werden, dass alle zur Verfgung stehenden Mglichkeiten genutzt werden.
Hinweis
Damit Ihr Gert die Informationen des gerufenen Peers ber die IP-Adresse identifizieren
kann, sollte die Callback-Konfiguration auf den beteiligten Gerten analog vorgenommen
werden.
Folgende Rollenverteilungen sind mglich:
Eine Seite bernimmt die aktive, die andere die passive Rolle.
Beide Seiten knnen beide Rollen (Beide) bernehmen.
Die bertragung der IP-Adresse und der Beginn der IKE-Phase-1-Aushandlung verlaufen in folgenden
Schritten:
(1)
Peer A (der Auslser des Callbacks) stellt eine Verbindung zum Internet her, um eine dynamische
IP-Adresse zugewiesen zu bekommen und um fr Peer B ber das Internet erreichbar zu sein.
(2)
Ihr Gert erstellt ein begrenzt gltiges Token und speichert es zusammen mit der aktuellen IPAdresse im zu Peer B gehrenden MIB-Eintrag.
(3)
Ihr Gert setzt den initialen ISDN-Ruf an Peer B ab. Dabei werden die IP-Adresse von Peer A sowie das Token gem der Callback-Konfiguration bermittelt.
(4)
Peer B extrahiert die IP-Adresse von Peer A sowie das Token aus dem ISDN-Ruf und ordnet sie
Peer A aufgrund der konfigurierten Calling Party Number (der ISDN-Nummer, die Peer A verwendet, um den initialen Ruf an Peer B abzusetzen) zu.
(5)
Der IPSec-Daemon auf Ihrem Gert von Peer B kann die bermittelte IP-Adresse verwenden, um
eine Phase-1-Aushandlung mit Peer A zu initiieren. Dabei wird der Token in einem Teil des Payload innerhalb der IKE-Aushandlung an Peer A zurckgesendet.
(6)
Peer A ist nun in der Lage, das von Peer B zurckgesendete Token mit den Eintrgen in der MIB
zu vergleichen und so den Peer zu identifizieren, auch ohne dessen IP-Adresse zu kennen.
Da Peer A und Peer B sich wechselseitig identifizieren knnen, knnen auch unter Verwendung von
Preshared Keys Aushandlungen im ID-Protect-Modus durchgefhrt werden.
207
14 VPN
bintec elmeg GmbH
Hinweis
In manchen Lndern (z. B. in der Schweiz) kann auch der Ruf im D-Kanal Kosten verursachen. Eine falsche Konfiguration der angerufenen Seite kann dazu fhren, dass die angerufene Seite den B-Kanal ffnet und somit Kosten fr die anrufende Seite verursacht werden.
Die folgenden Optionen sind nur auf Gerten mit ISDN-Anschluss verfgbar:
Felder im Men IPv4 IPSec Callback
Feld
Beschreibung
Modus
Whlen Sie den Callback-Modus aus.

Mgliche Werte:
(Standardwert): IPSec-Callback ist deaktiviert. Das lokale
Gert reagiert weder auf eingehende ISDN-Rufe noch initiiert es ISDNRufe zum entfernten Gert.
,,: Das lokale Gert reagiert lediglich auf eingehende ISDN-Rufe
und initiiert ggf. den Aufbau eines IPSec-Tunnels zum Peer. Es werden
keine ISDN-Rufe an das entfernte Gert abgesetzt, um dieses zum
Aufbau eines IPSec-Tunnels zu veranlassen.
4: Das lokale Gert setzt einen ISDN-Ruf an das entfernte Gert
ab, um dieses zum Aufbau eines IPSec-Tunnels zu veranlassen. Auf
eingehende ISDN-Rufe reagiert das Gert nicht.
% : Ihr Gert kann auf eingehende ISDN-Rufe reagieren und
ISDN-Rufe an das entfernte Gert absetzen. Der Aufbau eines IPSecTunnels wird sowohl ausgefhrt (nach einem eingehenden ISDN-Ruf)
als auch veranlasst (durch einen ausgehenden ISDN-Ruf).
Ankommende Rufnummer Nur fr Modus = ,, oder %

Geben Sie die ISDN-Nummer an, von der aus das entfernte Gert das lokale Gert ruft (Calling Party Number). Es knnen auch Wildcards verwendet werden.
Ausgehende Rufnummer
Nur fr Modus = 4 oder %

Geben Sie die ISDN-Nummer an, unter der das lokale Gert das entfernte Gert ruft (Called Party Number). Es knnen auch Wildcards verwendet werden.
Eigene IP-Adresse per

ISDN/GSM bertragen
Whlen Sie aus, ob fr den IPSec-Callback die IP-Adresse des eigenen

Gerts ber ISDN bertragen werden soll.
bertragungsmodus
Nur fr Eigene IP-Adresse per ISDN/GSM bertragen = aktiviert

Whlen Sie aus, in welchem Modus Ihr Gert versuchen soll, seine IPAdresse an den Peer zu bertragen.
Mgliche Werte:
43,+ 3& , :, / 3,: Ihr Gert bestimmt automatisch den gnstigsten Modus. Dabei werden zunchst alle D-Kanal-Modi versucht, bevor der B-Kanal verwendet wird. (Die Verwendung des B-Kanals verursacht Kosten.)
;3 .< 3,+
208
: Ihr Gert bestimmt

14 VPN
bintec elmeg GmbH
Feld
Beschreibung
automatisch den gnstigsten D-Kanal-Modus. Der B-Kanal ist von der
Verwendung ausgeschlossen.
(*81,+ .< 3, 2 : Ihr Gert versucht, die
IP-Adresse in dem im Feld Modus eingestellten Modus zu bertragen.
(*81,+ .< 3, ,3+ J 31 %< 83
F+& : Ihr Gert versucht, die IP-Adresse in dem im Feld Modus
eingestellten Modus zu bertragen. Gelingt das nicht, wird die IPAdresse im B-Kanal betragen. (Dies verursacht Kosten.)
;3 %< 3, 2 : Ihr Gert bertrgt die IP-Adresse
im B-Kanal. Dies verursacht Kosten.
Modus des D-Kanals
Nur fr bertragungsmodus = (*81,+ .< 3,

2 oder (*81,+ .< 3, ,3+ J 31 %
< 83F+&
Whlen Sie aus, in welchem D-Kanal-Modus Ihr Gert versuchen soll,
die IP-Adresse zu bertragen.
Mgliche Werte:
##$ (Standardwert): Die IP-Adresse wird in den "LLC Information Elements" des D-Kanals bertragen.
(5%4..?: Die IP-Adresse wird in den Subaddress "Information Elements" des D-Kanals bertragen.
##$ 3 (5%4..?: Die IP-Adresse wird sowohl in den "LLC-" als
auch in den "Subaddress Information Elements" bertragen.
14.1.2 Phase-1-Profile
Im Men VPN->IPSec->Phase-1-Profile wird eine Liste aller konfigurierter IPSec-Phase-1-Profile angezeigt.
Abb. 109: VPN->IPSec->Phase-1-Profile
In der Spalte Standard knnen Sie das Profil markieren, das als Standard-Profil verwendet werden soll.
14.1.2.1 Neu
Whlen Sie die Schaltflche Neu (bei Neues IKEv1-Profil erstellen bzw. Neues IKEv2-Profil
erstellen), um weitere Profile einzurichten.
209
14 VPN
bintec elmeg GmbH
Abb. 110: VPN->IPSec->Phase-1-Profile ->Neu
Das Men VPN->IPSec->Phase-1-Profile ->Neu besteht aus folgenden Feldern:

Felder im Men Phase-1-Parameter (IKE) / Phase-1-Parameter (IKEv2)
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung ein, welche die Art der Regel eindeutig
identifiziert.
Proposals
In diesem Feld knnen Sie auf Ihrem Gert jede Kombination aus Verschlsselungs- und Nachrichten-Hash-Algorithmen fr IKE Phase 1 auswhlen. Die Kombination von sechs Verschlsselungsalgorithmen und
vier Nachrichten-Hash-Algorithmen ergibt 24 mgliche Werte in diesem
Feld. Mindestens ein Proposal muss vorhanden sein. Daher kann die
erste Zeile der Tabelle nicht deaktiviert werden.
Verschlsselungsalgorithmen (Verschlsselung):
.( (Standardwert): 3DES ist eine Erweiterung des DES Algorithmus
mit einer effektiven Schlssellnge von 112 Bit, was als sicher eingestuft wird. Es ist der langsamste Algorithmus, der derzeit untersttzt
wird.
21, : Twofish war ein finaler Kandidat fr den AES (Advanced Encryption Standard). Er wird als genauso sicher eingestuft wie Rijndael
(AES), ist aber langsamer.
%21, : Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus. Twofish kann als Nachfolger von Blowfish angesehen werden.
$4(: CAST ist ebenfalls ein sehr sicherer Algorithmus, etwas langsamer als Blowfish, aber schneller als 3DES.
.(: DES ist ein lterer Verschlsselungsalgorithmus, der aufgrund
seiner kleinen effektiven Lnge von 56 Bit als schwach eingestuft wird.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der
geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe
und der allgemeinen Geschwindigkeit zum AES ernannt. Hier wird die
210
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
AES-Schlssellnge des Partners verwendet. Hat dieser ebenfalls den
Parameter 4( gewhlt, wird eine Schlssellnge von 128 Bit verwendet.
4( : Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hier wird er mit einer Schlssellnge von 128 Bits angewendet.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
4(
: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
Hash-Algorithmen (Authentifizierung):
/.
(Standardwert): MD5 (Message Digest #5) ist ein lterer Hash Algorithmus. Wird mit 96 Bit Digest Length fr IPSec verwendet.
(>4: SHA 1 (Secure Hash Algorithmus #1) ist ein Hash Algorithmus,
der von der NSA (United States National Security Association) entwickelt wurde. Er wird als sicher eingestuft, ist aber langsamer als MD5.
Wird mit 96 Bit Digest Length fr IPSec verwendet.
?*/. : RipeMD 160 ist ein 160 Bit Hash-Algorithmus. Er wird
als sicherer Ersatz fr MD5 und RipeMD angewandt.
&: Tiger 192 ist ein relativ neuer und sehr schneller Algorithmus.
Beachten Sie, dass die Beschreibung der Verschlsselung und Authentifizierung oder der Hash-Algorithmen auf dem Kenntnisstand und der Meinung des Autors zum Zeitpunkt der Erstellung dieses Handbuchs basiert.
Die Qualitt der Algorithmen im besonderen unterliegt relativen Gesichtpunkten und kann sich aufgrund von mathematischen oder kryptographischen Weiterentwicklungen ndern.
DH-Gruppe
Nur fr Phase-1-Parameter (IKE)

Die Diffie-Hellmann-Gruppe definiert den Parametersatz, der fr die
Schlsselberechnung whrend der Phase 1 zugrunde gelegt wird.
"MODP", wie es von Digitalisierungsbox untersttzt wird, steht fr "modular exponentiation".
Mgliche Werte:
!) %": Whrend der Diffie-Hellman-Schlsselberechnung wird
die modulare Exponentiation mit 768 Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.
! %": Whrend der Diffie-Hellman-Schlsselberechnung
wird die modulare Exponentiation mit 1024 Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.

!
%": Whrend der Diffie-Hellman-Schlsselberechnung
Lebensdauer
Legen Sie die Lebensdauer fr Phase-1-Schlssel fest.

Folgende Optionen stehen fr die Definition der Lebensdauer zur Verfgung:
211
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Eingabe in Sekunden: Geben Sie die Lebensdauer fr Phase-1Schlssel in Sekunden ein. Der Wert darf jeder ganzzahlige Wert von 0
bis 2147483647 sein. Der Standardwert ist , das bedeutet, dass
die Schlssel erneuert werden, wenn vier Stunden abgelaufen sind.
Eingabe in kBytes: Geben Sie die Lebensdauer fr Phase-1- Schlssel
als Menge der verarbeiteten Daten in KBytes ein. Der Wert darf jeder
ganzzahlige Wert von 0 bis 2147483647 sein. Der Standardwert ist ;
das bedeutet, dass die Anzahl der gesendeten kBytes keine Rolle
spielt.

Whlen Sie die Authentifizierungsmethode aus.
Mgliche Werte:
, <0, (Standardwert): Falls Sie fr die Authentifizierung
keine Zertifikate verwenden, knnen Sie Pre Shared Keys whlen. Diese werden bei der Peerkonfiguration im Men VPN->IPSec->IPSecPeers konfiguriert. Der Preshared Key ist das gemeinsame Passwort.
.(4(&3: Phase-1-Schlsselberechnungen werden unter Nutzung des DSA-Algorithmus authentifiziert.
?(4(&3: Phase-1-Schlsselberechnungen werden unter Nutzung des RSA-Algorithmus authentifiziert.
?(4-,+ F,,3&: Mit RSA-Verschlsselung werden als erweiterte Sicherheit zustzlich die ID-Nutzdaten verschlsselt.
Lokales Zertifikat

Nur fr Authentifizierungsmethode = .(4(&3,
?(4(&3 oder ?(4-,+ F,,3&
Dieses Feld ermglicht Ihnen, eines Ihrer eigenen Zertifikate fr die Authentifizierung zu whlen. Es zeigt die Indexnummer dieses Zertifikats
und den Namen an, unter dem es gespeichert ist. Dieses Feld wird nur
bei Authentifizierungseinstellungen auf Zertifikatbasis angezeigt und
weist darauf hin, dass ein Zertifikat zwingend erforderlich ist.
Modus

Whlen Sie den Phase-1-Modus aus.
Mgliche Werte:
4&&,, (Standardwert): Der Aggressive Modus ist erforderlich,
falls einer der Peers keine statische IP-Adresse hat und Preshared
Keys fr die Authentifizierung genutzt werden. Er erfordert nur drei Meldungen fr die Einrichtung eines sicheren Kanals.
/ / 3, !. +": Dieser Modus (auch als Main Mode
bezeichnet) erfordert sechs Meldungen fr eine Diffie-Hellman-Schlsselberechnung und damit fr die Einrichtung eines sicheren
Kanals, ber den die IPSec-SAs ausgehandelt werden. Er setzt voraus,
dass beide Peers statische IP-Adressen haben, falls fr die Authentifizierung Preshared Keys genutzt werden.
Whlen Sie weiterhin aus, ob der gewhlte Modus ausschlielich verwendet werden darf (Strikt) oder der Peer auch einen anderen Modus
vorschlagen kann.
Lokaler ID-Typ
212
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Whlen Sie den Typ der lokalen ID aus.
Mgliche Werte:
'30 G31 . ; !'G.;"
/4 ,,
-4 ,,
4(;.; !.,&3, ;"
Lokaler ID-Wert

Geben Sie die ID Ihres Gerts ein.
Fr Authentifizierungsmethode = .(4(&3, ?(4(&3
oder ?(4-,+ F,,3& wird die Option Subjektname aus Zertifikat verwenden angezeigt.
Wenn Sie die Option Subjektname aus Zertifikat verwenden aktivieren,
wird der erste im Zertifikat angegebene Subjekt-Alternativname oder,
falls keiner angegeben ist, der Subjektname des Zertifikats verwendet.
Beachten Sie: Falls Sie Zertifikate fr die Authentifizierung nutzen und Ihr
Zertifikat Subjekt-Alternativnamen enthlt (siehe Zertifikate auf Seite 45),
mssen Sie hier achtgeben, da Ihr Gert per Standard den ersten Subjekt-Alternativnamen whlt. Stellen Sie sicher, dass Sie und Ihr Peer beide den gleichen Namen nutzen, d. h. dass Ihre lokale ID und die Peer-ID,
die Ihr Partner fr Sie konfiguriert, identisch sind.
In der Kommunikation zweier IPSec-Peers kann es dazu kommen, dass einer der beiden z. B. aufgrund
von Routing-Problemen oder aufgrund eines Neustarts nicht erreichbar ist. Dies ist aber erst dann feststellbar, wenn das Ende der Lebensdauer der Sicherheitsverbindung erreicht ist. Bis zu diesem Zeitpunkt gehen die Datenpakete verloren. Um dies zu verhindern, gibt es verschiedene Mechanismen einer Erreichbarkeitsprfung. Im Feld Erreichbarkeitsprfung whlen Sie aus, ob ein Mechanismus angewendet werden soll, um die Erreichbarkeit eines Peers zu berprfen.
Hierbei stehen zwei Mechanismen zur Verfgung: Heartbeats und Dead Peer Detection.
Feld
Beschreibung

Whlen Sie die Methode aus, mit der die Funktionalitt der IPSecVerbindung berprft werden soll.
Neben dem Standardverfahren Dead Peer Detection (DPD) ist auch das
(proprietre) Heartbeat-Verfahren implementiert. Dieses sendet bzw.
empfngt je nach Konfiguration alle 5 Sekunden Signale, bei deren Ausbleiben die SA nach 20 Sekunden als ungltig verworfen wird
Mgliche Werte:
43,+ 3& (Standardwert): Ihr Gert erkennt und
verwendet den Modus, den die Gegenstelle untersttzt.
: Ihr Gert sendet und erwartet keinen Heartbeat. Wenn Sie
Gerte anderer Hersteller verwenden, setzen Sie diese Option.
>:, !;3 2": Ihr Gert erwartet einen Heartbeat
vom Peer, sendet selbst aber keinen.
213
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
>:, !;3 , ": Ihr Gert erwartet keinen Heartbeat
vom Peer, sendet aber einen.
>:, !( T2": Ihr Gert erwartet einen Heartbeat vom Peer und sendet selbst einen.
. .+: DPD (Dead Peer Detection) gem RFC
3706 verwenden. DPD benutzt ein Request-Reply-Protokoll um die Erreichbarkeit der Gegenstelle zu berprfen, und kann auf beiden Seiten unabhngig konfiguriert werden. Mit dieser Option wird die Erreichbarkeit des Peers nur berprft, wenn tatschlich Daten an ihn gesendet werden sollen.
. .+ ! ": DPD (Dead Peer Detection) gem RFC 3706 verwenden. DPD benutzt ein Request-Reply-Protokoll
um die Erreichbarkeit der Gegenstelle zu berprfen, und kann auf beiden Seiten unabhngig konfiguriert werden. Mit dieser Option wird die
berprfung in bestimmten Intervallen unabhngig von anstehenden
Datentransfers vorgenommen.
Nur fr Phase-1-Parameter (IKEv2)
Aktivieren oder deaktivieren Sie die Erreichbarkeitsprfung.
Blockzeit
Legen Sie fest, wie lange ein Peer fr Tunnelaufbauten blockiert wird,
nachdem ein Phase-1-Tunnelaufbau fehlgeschlagen ist. Dies betrifft nur
lokal initiierte Aufbauversuche.
Zur Verfgung stehen Werte von bis (Sekunden), der Wert
bedeutet die bernahme des Wertes im Standardprofil, der Wert ,
dass der Peer in keinem Fall blockiert wird.
NAT-Traversal
NAT-Traversal (NAT-T) ermglicht es, IPSec-Tunnel auch ber ein oder

mehrere Gerte zu ffnen, auf denen Network Address Translation (NAT)
aktiviert ist.
Ohne NAT-T kann es zwischen IPSec und NAT zu Inkompatibilitten
kommen (siehe RFC 3715, Abschnitt 2). Diese behindern vor allem den
Aufbau eines IPSec-Tunnels von einem Host innerhalb eines LANs und
hinter einem NAT-Gert zu einem anderen Host bzw. Gert. NAT-T ermglicht derartige Tunnel ohne Konflikte mit NAT-Gerten, aktiviertes
NAT wird vom IPSec-Daemon automatisch erkannt und NAT-T wird verwendet.
Nur fr <1
Mgliche Werte:
4 (Standardwert): NAT-Traversal ist aktiv.
.: NAT-Traversal ist deaktiviert.
82&: Das Gert verhlt sich in jedem Fall so, als ob NAT eingesetzt wrde.
Nur fr <1
CA-Zertifikate
214
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Nur fr Authentifizierungsmethode = .(4(&3,
?(4(&3 oder ?(4-,+ F,,3&
Wenn Sie die Option Folgenden CA-Zertifikaten vertrauen aktivieren,
knnen Sie bis zu drei CA-Zertifikate auswhlen, die fr dieses Profil akzeptiert werden sollen.
Die Option ist nur konfigurierbar, wenn Zertifikate geladen sind.
14.1.3 Phase-2-Profile
Ebenso wie fr Phase 1 knnen Sie Profile fr die Phase 2 des Tunnelaufbaus definieren.
Im Men VPN->IPSec->Phase-2-Profile wird eine Liste aller konfigurierten IPSec-Phase-2-Profile angezeigt.
Abb. 111: VPN->IPSec->Phase-2-Profile
In der Spalte Standard knnen Sie das Profil markieren, das als Standardprofil verwendet werden soll.
14.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Profile einzurichten.
Abb. 112: VPN->IPSec->Phase-2-Profile ->Neu
Das Men VPN->IPSec->Phase-2-Profile->Neu besteht aus folgenden Feldern:

Felder im Men Phase-2-Parameter (IPSEC)
215
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung ein, die das Profil eindeutig identifiziert.
Proposals
In diesem Feld knnen Sie auf Ihrem Gert jede Kombination aus Verschlsselungs- und Message-Hash-Algorithmen fr IKE Phase 2 auswhlen. Die Kombination von sechs Verschlsselungsalgorithmen und
zwei Nachrichten-Hash-Algorithmen ergibt 12 mgliche Werte in diesem
Feld.
Verschlsselungsalgorithmen (Verschlsselung):
.( (Standardwert): 3DES ist eine Erweiterung des DES Algorithmus mit einer effektiven Schlssellnge von 112 Bit, was als sicher
eingestuft wird. Es ist der langsamste Algorithmus, der derzeit untersttzt wird.
4## : Alle Optionen knnen verwendet werden.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der
geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt. Hier wird
die AES-Schlssellnge des Partners verwendet. Hat dieser ebenfalls
den Parameter 4( gewhlt, wird eine Schlssellnge von 128 Bit
verwendet.
4( : Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
4(: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
4(
: Rijndael wurde aufgrund seines schnellen Schlsselaufbaus, der geringen Speicheranforderungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt.
21, : Twofish war ein finaler Kandidat fr den AES (Advanced
Encryption Standard). Er wird als genauso sicher eingestuft wie Rijndael (AES), ist aber langsamer.
%21, : Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus. Twofish kann als Nachfolger von Blowfish angesehen werden.
$4(: CAST ist ebenfalls ein sehr sicherer Algorithmus, etwas langsamer als Blowfish, aber schneller als 3DES.
.(: DES ist ein lterer Verschlsselungsalgorithmus, der aufgrund
seiner kleinen effektiven Lnge von 56 Bit als schwach eingestuft
wird.
Hash-Algorithmen (Authentifizierung):
/.
(Standardwert): MD5 (Message Digest #5) ist ein lterer Hash Algorithmus. Wird mit 96 Bit Digest Length fr IPSec verwendet.
4## : Alle Optionen knnen verwendet werden.
(>4: SHA 1 (Secure Hash Algorithmus #1) ist ein Hash Algorithmus,
der von der NSA (United States National Security Association) entwickelt wurde. Er wird als sicher eingestuft, ist aber langsamer als MD5.
Wird mit 96 Bit Digest Length fr IPSec verwendet.
Beachten Sie, dass RipeMD 160 und Tiger 192 fr Nachricht-Hashing in
216
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Phase 2 nicht zur Verfgung stehen.
PFS-Gruppe verwenden
Da PFS (Perfect Forward Secrecy) eine weitere Diffie-Hellman-Schlsselberechnung erfordert, um neues Verschlsselungsmaterial zu erzeugen, mssen Sie die Merkmale der Exponentiation whlen.
Wenn Sie PFS aktivieren ( 4), sind die Optionen die gleichen,
wie bei der Konfiguration von DH-Gruppe im Men VPN->IPSec->Phase-1-Profile . PFS wird genutzt, um die Schlssel einer erneuerten Phase-2-SA zu schtzen, auch wenn die Schlssel der Phase-1-SA bekannt geworden sind.
Das Feld hat folgende Optionen:
!) %": Whrend der Diffie-Hellman-Schlsselberechnung
! %" (Standardwert): Whrend der Diffie-Hellman-Schlsselberechnung wird die modulare Exponentiation mit 1024
Bit genutzt, um das Verschlsselungsmaterial zu erzeugen.

!
%": Whrend der Diffie-Hellman-Schlsselberechnung
Lebensdauer
Legen Sie fest, wie die Lebensdauer festgelegt wird, die ablaufen darf,
bevor die Phase-2-SAs erneuert werden mssen.
Die neuen SAs werden bereits kurz vor dem Ablauf der aktuellen SAs
ausgehandelt. Der Standardwert betrgt gem RFC 2407 acht Stunden, das bedeutet, dass die Schlssel erneuert werden, wenn acht
Stunden abgelaufen sind.
Folgende Optionen stehen fr die Definition der Lebensdauer zur Verfgung:
Eingabe in Sekunden: Geben Sie die Lebensdauer fr Phase-2Schlssel in Sekunden ein. Der Wert darf jeder ganzzahlige Wert von
bis ) ) sein. Der Standardwert ist )
Eingabe in kBytes: Geben Sie die Lebensdauer fr Phase-2- Schlssel als Menge der verarbeiteten Daten in kBytes ein. Der Wert darf jeder ganzzahlige Wert von bis ) ) sein. Der Standardwert
ist .
Schlssel erneut erstellen nach: Legen Sie fest, bei welchem Prozentsatz des Ablaufes der Lebensdauer die Schlssel der Phase 2 neu
erstellt werden.
Die eingegebene Prozentzahl wird sowohl auf die Lebensdauer in Sekunden als auch auf die Lebensdauer in kBytes angewendet.
Der Standardwert ist %.

Feld
Beschreibung
IP-Komprimierung
Whlen Sie aus, ob eine Kompression vor der Datenverschlsselung eingeschaltet wird. Das kann bei gut komprimierbaren Daten zu einer hheren Performance und geringerem zu bertragenden Datenvolumen fhren. Bei schnellen Leitungen oder nicht komprimierbaren Daten wird von
der Option abgeraten, da die Performance durch den erhhten Aufwand
217
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
bei der Kompression erheblich beeintrchtigt werden kann.
Whlen Sie, ob und in welcher Weise IPSec Heartbeats verwendet werden.

Um feststellen zu knnen, ob eine Security Association (SA) noch gltig
ist oder nicht, ist ein IPSec-Heartbeat implementiert worden. Dieser sendet bzw. empfngt je nach Konfiguration alle 5 Sekunden Signale, bei deren Ausbleiben die SA nach 20 Sekunden als ungltig verworfen werden
sollen.
Mgliche Werte:
43,+ 3& (Standardwert): Automatische Erkennung, ob die Gegenstelle eine Digitalisierungsbox ist. Wenn ja, wird
>:, !( T2" (bei Gegenstelle mit Digitalisierungsbox) oder (bei Gegenstelle ohne Digitalisierungsbox) gesetzt.
: Ihr Gert sendet und erwartet keinen Heartbeat. Wenn Sie
Gerte anderer Hersteller verwenden, setzen Sie diese Option.
>:, !;3 2": Ihr Gert erwartet einen Heartbeat
vom Peer, sendet selbst aber keinen.
>:, !;3 , ": Ihr Gert erwartet keinen Heartbeat
vom Peer, sendet aber einen.
>:, !( T2": Ihr Gert erwartet einen Heartbeat vom Peer und sendet selbst einen.
PMTU propagieren
Whlen Sie aus, ob whrend der Phase 2 die PMTU (Path Maximum
Transfer Unit) propagiert werden soll.
14.1.4 XAUTH-Profile
Im Men XAUTH-Profile wird eine Liste aller XAuth-Profile angezeigt.
Extended Authentication fr IPSec (XAuth) ist eine zustzliche Authentifizierungsmethode fr Benutzer
eines IPSec-Tunnels.
Das Gateway kann bei Nutzung von XAuth zwei verschiedene Rollen bernehmen, es kann als Server
oder als Client dienen:
Das Gateway fordert als Server einen Berechtigungsnachweis an.
Das Gateway weist als Client seine Berechtigung nach.
Im Server-Modus knnen sich mehrere Benutzer ber XAuth authentifizieren, z. B. Nutzer von Apple
iPhones. Die Berechtigung wird entweder anhand einer Liste oder ber einen RADIUS Server geprft.
Bei Verwendung eines Einmalpassworts (One Time Password, OTP) kann die Passwortberprfung von
einem Token-Server bernommen werden (z. B. beim Produkt SecOVID von Kobil), der hinter dem RADIUS-Server installiert ist. Wenn ber IPSec eine Firmenzentrale mit mehreren Filialen verbunden ist,
knnen mehrere Peers konfiguriert werden. Je nach Zuordnung verschiedener Profile kann ein bestimmter Benutzer den IPSec-Tunnel ber verschiedene Peers nutzen. Das ist zum Beispiel ntzlich,
wenn ein Angestellter abwechselnd in verschiedenen Filialen arbeitet, jeder Peer eine Filiale reprsentiert und der Angestellte jeweils vor Ort Zugriff auf den Tunnel haben will.
218
14 VPN
bintec elmeg GmbH
Nachdem IPSec IKE (Phase 1) erfolgreich beendet ist und bevor IKE (Phase 2) beginnt, wird XAuth realisiert.
Wenn XAuth zusammen mit dem IKE-Konfigurationsmodus verwendet wird, werden zuerst die Transaktionen fr XAuth und dann diejenigen fr den IKE-Konfigurationsmodus durchgefhrt.
14.1.4.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Profile einzurichten.
Abb. 113: VPN->IPSec->XAUTH-Profile ->Neu
Das Men VPN->IPSec->XAUTH-Profile ->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine Beschreibung fr dieses XAuth-Profil ein.
Rolle
Whlen Sie die Rolle des Gateways bei der XAuth-Authentifizierung aus.
Mgliche Werte:
( (Standardwert): Das Gateway fordert einen Berechtigungsnachweis an.
$: Das Gateway weist seine Berechtigung nach.
Modus
Nur fr Rolle = (

Whlen Sie aus, wie die Authentifizierung durchgefhrt wird.
Mgliche Werte:
?4.5( (Standardwert): Die Authentifizierung wird ber einen RADIUS-Server durchgefhrt. Dieser wird im Men
Systemverwaltung ->Remote Authentifizierung ->RADIUS konfiguriert und im Feld RADIUS-Server Gruppen-ID ausgewhlt.
#: Die Authentifizierung wird ber eine lokal angelegte Liste
durchgefhrt.
Name
Nur fr Rolle = $

Geben Sie den Authentifizierungsnamen des Clients ein.
Passwort
Nur fr Rolle = $

Geben Sie das Authentifizierungspasswort ein.
RADIUS-Server GruppenID
Nur fr Rolle = (

Whlen Sie die gewnschte in Systemverwaltung ->Remote Authentifi219
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
zierung->RADIUS konfigurierte RADIUS-Gruppe aus.
Benutzer
Nur fr Rolle = ( und Modus = #

Ist Ihr Gateway als XAuth-Server konfiguriert, knnen die Clients ber eine lokal konfigurierte Benutzerliste authentifiziert werden. Definieren Sie
hier die Mitglieder der Benutzergruppe dieses XAUTH-Profils, indem Sie
den Authentifizierungsnamen des Clients (Name) und das Authentifizierungspasswort (Passwort) eingeben. Fgen Sie weitere Mitglieder mit
Hinzufgen hinzu.
14.1.5 IP Pools
Im Men IP Pools wird eine Liste aller IP Pools fr Ihre konfigurierten IPSec-Verbindungen angezeigt.
Wenn Sie bei einem IPSec-Peer fr IPv4-Adressvergabe (
<<1&3, 3, eingestellt haben, mssen Sie hier die IP-Pools, aus denen die IPAdressen vergeben werden, definieren.

Abb. 114: VPN->IPSec->IP Pools ->Neu

Feld
Beschreibung
IP-Poolname

benennen.
IP-Adressbereich
DNS-Server
ein.
220
14 VPN
bintec elmeg GmbH
14.1.6 Optionen
Abb. 115: VPN->IPSec->Optionen
Das Men VPN->IPSec->Optionen besteht aus folgenden Feldern:

Felder im Men Globale Optionen
Feld
Beschreibung
IPSec aktivieren
Whlen Sie, ob Sie IPSec aktivieren wollen.

Sobald ein IPSec Peer konfiguriert wird, ist die Funktion aktiv.
Vollstndige IPSecKonfiguration lschen
Wenn Sie das
-Symbol klicken, lschen Sie die vollstndige IPSec-
Konfiguration Ihres Gerts.

Dieses macht alle Einstellungen rckgngig, die whrend der IPSecKonfiguration vorgenommen worden sind. Nachdem die Konfiguration
gelscht worden ist, knnen Sie mit einer komplett neuen IPSecKonfiguration beginnen.
Das Lschen der Konfiguration ist nur mglich mit IPSec aktivieren =
nicht aktiviert.
IPSec-Debug-Level
Whlen Sie die Prioritt der intern aufzuzeichnenden Systemprotokoll-Nachrichten des IPSec Subsystems.
Mgliche Werte:
;1 (hchste Prioritt)
4
<,+
'
=3&
221
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
%+ + &3&
1
.:3& (Standardwert, niedrigste Prioritt)
Nur Systemprotokoll-Nachrichten mit gleicher oder hherer Prioritt als
angegeben werden intern aufgezeichnet, d. h. dass beim Syslog-Level
"Debug" smtliche erzeugten Meldungen aufgezeichnet werden.
Im Men Erweiterte Einstellungen knnen Sie bestimmte Funktionen und Merkmale an die besonderen Erfordernisse Ihrer Umgebung anpassen, d. h. grtenteils werden Interoperabilitts-Flags gesetzt.
Die Standardwerte sind global gltig und ermglichen es, dass Ihr System einwandfrei mit anderen Digitalisierungsbox-Gerten zusammenarbeitet, so dass Sie diese Werte nur ndern mssen, wenn die
Gegenseite ein Fremdprodukt ist oder Ihnen bekannt ist, dass sie besondere Einstellungen bentigt.
Dies kann beispielsweise notwendig sein, wenn die entfernte Seite mit lteren IPSec-Implementierungen arbeitet.
Feld
Beschreibung
IPSec ber TCP
Whlen Sie aus, ob IPSec ber TCP verwendet werden soll.

IPSec ber TCP basiert auf der NCP-Path-Finder-Technologie. Diese
Technologie sorgt dafr, dass der Datenverkehr (IKE, ESP, AH) zwischen den Peers in eine Pseudo-HTTPS-Session eingebettet wird.
Initial Contact Message

senden
Whlen Sie aus, ob bei IKE (Phase 1) IKE-Initial-Contact-Meldungen gesandt werden sollen, wenn keine SAs mit einem Peer bestehen.
SAs mit dem Status der

Whlen Sie aus, ob alle SAs gelscht werden sollen, deren Datenverkehr
ISP-Schnittstelle synchro- ber eine Schnittstelle geroutet wurde, an der sich der Status von
nisieren
4 zu , ?3 oder %+ gendert hat.
Zero Cookies verwenden
Whlen Sie aus, ob auf Null gesetzte ISAKMP Cookies gesendet werden
sollen.
Diese sind dem SPI (Security Parameter Index) in IKE-Proposals quivalent; da sie redundant sind, werden sie normalerweise auf den Wert der
laufenden Aushandlung gesetzt. Alternativ kann Ihr Gert Nullen fr alle
Werte des Cookies nutzen. Whlen Sie in diesem Fall 4.
Gre der Zero Cookies
Nur fr Zero Cookies verwenden = aktiviert.

Geben Sie die Lnge der in IKE-Proposals benutzten und auf Null gesetzten SPI in Bytes ein.
Dynamische RADIUSAuthentifizierung
222
Whlen Sie aus, ob die RADIUS-Authentifizierung ber IPSec aktiviert

werden soll.
14 VPN
bintec elmeg GmbH
Feld
Beschreibung
Felder im Men PKI-Verarbeitungsoptionen

Feld
Beschreibung
Zertifikatsanforderungs-Pay-Whlen Sie aus, ob Zertifikatanforderungen, die whrend IKE (Phase 1)

loads nicht beachten
von der entfernten Seite empfangen wurden, ignoriert werden sollen.
Zertifikatsanforderungs-Pay-Whlen Sie aus, ob whrend der IKE (Phase 1) Zertifikatanforderungen
loads senden
gesendet werden sollen.
Zertifikatsketten senden
Whlen Sie aus, ob whrend IKE (Phase 1) komplette Zertifikatsketten

gesandt werden sollen.
Deaktivieren Sie diese Funktion, falls Sie nicht die Zertifikate aller Stufen
(von Ihrem bis zu dem der CA) an den Peer senden mchten.
CRLs senden
Whlen Sie aus, ob whrend IKE (Phase 1) CRLs gesandt werden sollen.
Key Hash Payloads senden
Whlen Sie aus, ob whrend IKE (Phase 1) Schlssel-Hash-Nutzdaten

gesandt werden sollen.
Als Standard wird der Hash des Public Key (ffentlichen Schlssels) der
entfernten Seite zusammen mit den anderen Authentifizierungsdaten gesandt. Gilt nur fr RSA-Verschlsselung. Aktivieren Sie diese Funktion
mit 4, um dieses Verhalten zu unterdrcken.
223
15 Firewall
bintec elmeg GmbH
Kapitel 15 Firewall
Mit einer Stateful Inspection Firewall (SIF) verfgt die Digitalisierungsbox ber eine leistungsfhige Sicherheitsfunktion.
Zustzlich zur sogenannten statischen Paketfilterung hat eine SIF durch dynamische Paketfilterung
einen entscheidenden Vorteil: Die Entscheidung, ob ein Paket weitergeleitet wird, kann nicht nur aufgrund von Quell- und Zieladressen oder Ports, sondern auch mittels dynamischer Paketfilterung aufgrund des Zustands (Status) der Verbindung zu einem Partner gefllt werden.
Es knnen also auch solche Pakete weitergeleitet werden, die zu einer bereits aktiven Verbindung gehren. Dabei akzeptiert die SIF auch Pakete, die zu einer "Tochterverbindung" gehren. Die Aushandlung einer FTP-Verbindung findet zum Beispiel ber den Port 21 statt, der eigentliche Datenaustausch
kann aber ber einen vllig anderen Port erfolgen.
SIF und andere Sicherheitsfunktionen

Die Stateful Inspection Firewall fgt sich wegen ihrer einfachen Konfiguration gut in die bestehende Sicherheitsarchitektur der Digitalisierungsbox ein. Systemen wie Network Address Translation (NAT)
und IP-Zugriffs-Listen (IPAL) gegenber ist der Konfigurationsaufwand der SIF vergleichbar einfach.
Da SIF, NAT und IPAL gleichzeitig im System aktiv sind, muss man auf mgliche Wechselwirkungen
achten: Wenn ein beliebiges Paket von einer der Sicherheitsinstanzen verworfen wird, so geschieht dies
unmittelbar, d. h. es ist irrelevant, ob es von einer anderen Instanz zugelassen werden wrde. Daher
sollte man den eigenen Bedarf an Sicherheitsfunktionen genau analysieren.
Der wesentliche Unterschied zwischen SIF und NAT/IPAL besteht darin, dass die Regeln der SIF generell global angewendet werden, d. h. nicht auf eine Schnittstelle beschrnkt sind.
Grundstzlich werden aber dieselben Filterkriterien auf den Datenverkehr angewendet wie bei NAT und
IPAL:
Quell- und Zieladresse des Pakets (mit einer zugehrigen Netzmaske)
Dienst (vorkonfiguriert, z. B. Echo, FTP, HTTP)
Protokoll
Portnummer(n)
Um die Unterschiede in der Paketfilterung zu verdeutlichen, folgt eine Aufstellung der einzelnen Sicherheitsinstanzen und ihrer Funktionsweise.
NAT
Eine der Grundfunktionen von NAT ist die Umsetzung lokaler IP-Adressen Ihres LANs in die globalen
IP-Adressen, die Ihnen von Ihrem ISP zugewiesen werden, und umgekehrt. Dabei werden zunchst alle
von auen initiierten Verbindungen abgeblockt, d. h. jedes Paket, welches Ihr Gert nicht einer bereits
bestehenden Verbindung zuordnen kann, wird abgewiesen. Auf diese Art kann eine Verbindung lediglich von innen nach auen aufgebaut werden. Ohne explizite Genehmigungen wehrt NAT jeden Zugriff
aus dem WAN auf das LAN ab.
IP Access Listen
Hier werden Pakete ausschlielich aufgrund der oben aufgefhrten Kriterien zugelassen oder abgewiesen, d. h. der Zustand der Verbindung wird nicht bercksichtigt (auer bei Dienste = $).
SIF
Die SIF sondert alle Pakete aus, die nicht explizit oder implizit zugelassen werden. Dabei gibt es sowohl
224
15 Firewall
bintec elmeg GmbH
ein "Verweigern", bei dem keine Fehlermeldung an den Sender des zurckgewiesenen Pakets ausgegeben wird, als auch ein "Ablehnen", bei dem der Sender ber die Ablehnung des Pakets informiert wird.
Die eingehenden Pakete werden folgendermaen bearbeitet:
Zunchst berprft die SIF, ob ein eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann. Ist dies der Fall, wird es weitergeleitet. Kann das Paket keiner bestehenden Verbindung zugeordnet werden, wird berprft, ob eine entsprechende Verbindung zu erwarten ist (z. B.
als Tochterverbindung einer bereits bestehenden). Ist dies der Fall, wird das Paket ebenfalls akzeptiert.
Wenn das Paket keiner bestehenden und auch keiner zu erwartenden Verbindung zugeordnet werden
kann, werden die SIF-Filterregeln angewendet: Trifft auf das Paket eine Deny-Regel zu, wird es abgewiesen, ohne dass eine Fehlermeldung an den Sender des Pakets geschickt wird; trifft eine Reject-Regel zu, wird das Paket abgewiesen und eine ICMPHost-Unreachable-Meldung an den Sender des
Paktes ausgegeben. Nur wenn auf das Paket eine Accept-Regel zutrifft, wird es weitergeleitet.
Alle Pakete, auf die keine Regel zutrifft, werden nach Kontrolle aller vorhandenen Regeln ohne Fehlermeldung an den Sender abgewiesen (= Standardverhalten).
Konkrete Hinweise fr die Konfiguration einer Stateful Inspection Firewall (SIF) finden Sie am Ende des
Kapitels unter SIF - Konfigurationsbeispiel auf Seite 238.
15.1 Richtlinien
15.1.1 IPv4-Filterregeln
Das Standard-Verhalten mit der Aktion = E3&11 besteht aus zwei impliziten Filterregeln: wenn ein
eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine entsprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird
das Paket zugelassen.
Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes
Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu berschneidungen, d. h. trifft fr ein Paket
mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgefhrt. Wenn also die erste Filterregel ein Paket zurckweist, whrend eine sptere Regel es zulsst, so wird es abgewiesen. Ebenso
bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen
Filterregel zugelassen wird.
Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswrdigen
und nicht vertrauenswrdigen Zonen besteht. Die beiden Sicherheitsrichtlinien -3,2F &
bzw. ;+ -3,2F & beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln
Vertrauenswrdige Schnittstelle und Nicht vertrauenswrdige Schnittstellen , die standardmig
angelegt sind und nicht gelscht werden knnen.
Falls Sie die Sicherheitsrichtlinie -3,2F & verwenden, werden alle Datenpakete akzeptiert. Sie knnen nun zustzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die gleiche Weise knnen Sie fr die Einstellung ;+ -3,2F & ausgewhlte Datenpakete freigeben.
Im Men Firewall->Richtlinien->IPv4-Filterregeln wird eine Liste aller konfigurierten IPv4-Filterregeln
angezeigt.
225
15 Firewall
bintec elmeg GmbH
Abb. 116: Firewall ->Richtlinien->IPv4-Filterregeln
Mit der Schaltflche
in der Zeile Vertrauenswrdige Schnittstelle knnen Sie festlegen, welche
Schnittstellen Vertrauenswrdig sind. Es ffnet sich ein neues Fenster mit einer Schnittstellenliste. Sie
knnen die einzelnen Schnittstellen als vertrauenswrdig markieren.
Mit der Schaltflche
knnen Sie vor dem Listeneintrag eine weitere Richtlinie einfgen. Es ffnet sich
das Konfigurationsmen zum Erstellen einer neuen Richtlinie.

Mit der Schaltflche
knnen Sie den Listeneintrag verschieben. Es ffnet sich ein Dialog, in dem Sie
auswhlen knnen, an welche Position die Richtlinie verschoben werden soll.
15.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Parameter einzurichten.
Abb. 117: Firewall ->Richtlinien->IPv4-Filterregeln ->Neu
Das Men Firewall->Richtlinien->IPv4-Filterregeln->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Quelle
Whlen Sie einen der vorkonfigurierten Aliase fr die Quelle des Pakets
aus.
In der die Liste stehen alle WAN-/LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall->Schnittstellen->Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl.
Der Wert %:& bedeutet, dass weder Quell-Schnittstelle noch
Quell-Adresse berprft werden.
Ziel
226
Whlen Sie einen der vorkonfigurierten Aliase fr das Ziel des Pakets
15 Firewall
bintec elmeg GmbH
Feld
Beschreibung
aus.
In der die Liste stehen alle WAN-/LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall->Schnittstellen->Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl.
Der Wert %:& bedeutet, dass weder Ziel-Schnittstelle noch ZielAdresse berprft werden.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus, dem das zu filternde
Paket zugeordnet sein muss.
1*

,*
,
*
*

;&
Weitere Dienste werden in Firewall->Dienste->Diensteliste angelegt.
Auerdem stehen die in Firewall->Dienste->Gruppen konfigurierten
Dienstegruppen zur Auswahl.
Aktion
Whlen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
Mglichen Werte:
E3&11 (Standardwert): Die Pakete werden entsprechend den Angaben weitergeleitet.
-2&: Die Pakete werden abgewiesen.
E3F+2,: Die Pakete werden abgewiesen. Eine Fehlermeldung
wird an den Sender des Pakets ausgegeben.
15.1.2 IPv6-Filterregeln
Das Standard-Verhalten mit der Aktion = E3&11 besteht aus zwei impliziten Filterregeln: wenn ein
eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine entsprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird
das Paket zugelassen.
Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes
Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu berschneidungen, d. h. trifft fr ein Paket
mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgefhrt. Wenn also die erste Filterregel ein Paket zurckweist, whrend eine sptere Regel es zulsst, so wird es abgewiesen. Ebenso
bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen
Filterregel zugelassen wird.
Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswrdigen
und nicht vertrauenswrdigen Zonen besteht. Die beiden Sicherheitsrichtlinien -3,2F &
bzw. ;+ -3,2F & beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln
Vertrauenswrdige Schnittstelle und Nicht vertrauenswrdige Schnittstellen , die standardmig
angelegt sind und nicht gelscht werden knnen.
227
15 Firewall
bintec elmeg GmbH
Falls Sie die Sicherheitsrichtlinie -3,2F & verwenden, werden alle Datenpakete akzeptiert. Sie knnen nun zustzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die gleiche Weise knnen Sie fr die Einstellung ;+ -3,2F & ausgewhlte Datenpakete freigeben.
Datenpakete, die das Neighbour Discovery Protocol verwenden, sind grundstzlich erlaubt, auch fr die
Filterregel ;+ -3,2F &.
Im Men Firewall->Richtlinien->IPv6-Filterregeln wird eine Liste aller konfigurierter IPv6-Filterregeln
angezeigt.
Abb. 118: Firewall ->Richtlinien->IPv6-Filterregeln
Mit der Schaltflche
in der Zeile Vertrauenswrdige Schnittstelle knnen Sie festlegen, welche
Schnittstellen Vertrauenswrdig sind. Es ffnet sich ein neues Fenster mit einer Schnittstellenliste. Sie
knnen die einzelnen Schnittstellen als vertrauenswrdig markieren.
Hinweis
Beachten Sie, dass die Schnittstellenliste fr IPv6 leer ist, solange IPv6 fr keine Schnittstelle aktiviert ist.
Mit der Schaltflche
knnen Sie vor dem Listeneintrag eine weitere Richtlinie einfgen. Es ffnet sich
das Konfigurationsmen zum Erstellen einer neuen Richtlinie.

Mit der Schaltflche
knnen Sie den Listeneintrag verschieben. Es ffnet sich ein Dialog, in dem Sie
auswhlen knnen, an welche Position die Richtlinie verschoben werden soll.
15.1.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Parameter einzurichten.
Abb. 119: Firewall ->Richtlinien->IPv6-Filterregeln ->Neu
228
15 Firewall
bintec elmeg GmbH
Das Men Firewall->Richtlinien->IPv6-Filterregeln->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Quelle
Whlen Sie einen der vorkonfigurierten Aliase fr die Quelle des Pakets
aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen
(siehe Firewall->Schnittstellen->IPv6-Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl, fr die IPv6 aktiviert ist.
Ziel
Whlen Sie einen der vorkonfigurierten Aliase fr das Ziel des Pakets
aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen
(siehe Firewall->Schnittstellen->IPv6-Gruppen), Adressen (siehe Firewall->Adressen->Adressliste) und Adressgruppen (siehe
Firewall->Adressen->Gruppen) zur Auswahl, fr die IPv6 aktiviert ist.
Dienst
Whlen Sie einen der vorkonfigurierten Dienste aus, dem das zu filternde
Paket zugeordnet sein muss.
1*

,*
,
*
*
Weitere Dienste werden in Firewall->Dienste->Diensteliste angelegt.
Auerdem stehen die in Firewall->Dienste->Gruppen konfigurierten
Dienstegruppen zur Auswahl.
Aktion
Whlen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
Mgliche Werte:
E3&11 (Standardwert): Die Pakete werden entsprechend den Angaben weitergeleitet.
-2& : Die Pakete werden abgewiesen.
E3F+2, : Die Pakete werden abgewiesen. Eine Fehlermeldung
wird an den Sender des Pakets ausgegeben.
15.1.3 Optionen
In diesem Men knnen Sie die IPv4-Firewall aus- bzw. einschalten und Sie knnen ihre Aktivitten protokollieren lassen. Darber hinaus knnen Sie festlegen, nach wie vielen Sekunden Inaktivitt eine Sitzung beendet werden soll.
Hinweis
Beachten Sie, dass die IPv6-Firewall immer eingeschaltet ist und nicht ausgeschaltet werden kann.
229
15 Firewall
bintec elmeg GmbH
Abb. 120: Firewall ->Richtlinien->Optionen
Das Men Firewall->Richtlinien->Optionen besteht aus folgenden Feldern:

Felder im Men Globale Firewall-Optionen
Feld
Beschreibung
Status der IPv4-Firewall
Aktivieren oder deaktivieren Sie die IPv4-Firewall-Funktion.

Mit 4 wird die Funktion aktiviert.
Protokollierte Aktionen
Whlen Sie den Firewall-Syslog-Level aus.

Die Ausgabe der Meldungen erfolgt zusammen mit den Meldungen der
anderen Subsysteme.
Mgliche Werte:
4 (Standardwert): Alle Firewall-Aktivitten werden angezeigt.
-2&: Nur Reject- und Deny-Ereignisse werden angezeigt, vgl.
"Aktion".
4 : Nur Accept-Ereignisse werden angezeigt.
<: Systemprotokoll-Nachrichten werden nicht erzeugt.
Vollstndige
IPv4-Filterung
Bei TCP-Sessions berwacht die SIF im ersten Schritt, ob eine Session

korrekt und vollstndig aufgebaut wird. Im zweiten Schritt erfolgt die eigentliche Filterung. Fr diesen "Normalfall" ist die Standardeinstellung
Vollstndige IPv4-Filterung 4 vorgesehen.
Wenn bei zweiseitiger Kommunikation eine Richtung des Datenverkehrs
ber den Router luft, die Datenpakete der entgegengesetzten Richtung
aber einen anderen Weg nehmen, wird der Datenverkehr vom Router
nicht zugelassen, weil die Session aus Sicht der SIF unvollstndig ist.
Dies gilt auch, wenn es eine Regel gibt, die denselben Datenverkehr bei
vollstndiger Session durchlassen wrde.
Um den Datenverkehr bei solchen unvollstndigen Sessions durchzulassen, mssen Sie Vollstndige IPv4-Filterung deaktivieren.
Felder im Men Sitzungstimer
230
15 Firewall
bintec elmeg GmbH
Feld
Beschreibung
UDP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine UDP -Session als
abgelaufen betrachtet werden soll (in Sekunden).
Zur Verfgung stehen Werte von bis .
TCP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine TCP -Session als
PPTP-Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine PPTP-Session als
Andere Inaktivitt
Geben Sie ein, nach welcher Zeit der Inaktivitt eine Session eines anderen Typs als abgelaufen betrachtet werden soll (in Sekunden).
Felder im Men Firewall auf Werkseinstellungen zurcksetzen

Feld
Beschreibung
Firewall auf Werkseinstellungen zurcksetzen
Klicken Sie auf Zurcksetzen um die Firewall auf Werkseinstellungen

zurckzusetzen.
15.2 Schnittstellen
15.2.1 IPv4-Gruppen
Im Men Firewall->Schnittstellen->IPv4-Gruppen wird eine Liste aller konfigurierter Schnittstellen-Gruppen angezeigt.
Sie knnen die Schnittstellen Ihres Gerts zu Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von Firewall-Regeln.
15.2.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Schnittstellen-Gruppen einzurichten.
231
15 Firewall
bintec elmeg GmbH
Abb. 121: Firewall ->Schnittstellen ->IPv4-Gruppen->Neu
Das Men Firewall->Schnittstellen->IPv4-Gruppen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine beliebige Beschreibung der Schnittstellen-Gruppe ein.
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Schnittstellen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.2.2 IPv6-Gruppen
Im Men Firewall->Schnittstellen->IPv6-Gruppen wird eine Liste aller konfigurierter
IPv6-Schnittstellen-Gruppen angezeigt.
Sie knnen die Schnittstellen Ihres Gerts zu Gruppen zusammenfassen. Dies vereinfacht die Konfiguration von Firewall-Regeln.
15.2.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IPv6-Schnittstellen-Gruppen einzurichten.
Abb. 122: Firewall ->Schnittstellen ->IPv6-Gruppen->Neu
Das Men Firewall->Schnittstellen->IPv6-Gruppen->Neu besteht aus folgenden Feldern:

232
Feld
Beschreibung
Beschreibung
Geben Sie eine beliebige Beschreibung der IPv6-Schnittstellen-Gruppe

ein.
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Schnittstellen die MitglieDigitalisierungsbox Standard
15 Firewall
bintec elmeg GmbH
Feld
Beschreibung
der der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.3 Adressen
15.3.1 Adressliste
Im Men Firewall->Adressen->Adressliste wird eine Liste aller konfigurierter Adressen angezeigt.
15.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Adressen einzurichten.
Abb. 123: Firewall ->Adressen ->Adressliste ->Neu
Das Men Firewall->Adressen->Adressliste->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine beliebige Beschreibung der Adresse ein.
IPv4
Erlaubt die Konfiguration von IPv4-Adresslisten.

Adresstyp
Nur fr IPv4 = 4

Whlen Sie aus, welche Art von Adresse Sie angeben wollen.
Mgliche Werte:
4 ,,7(3:8 (Standardwert): Sie geben eine IP-Adresse mit
Subnetzmaske ein.
4 ,,:+ : Sie geben einen IP-Adressbereich mit Anfangs- und
Endadresse ein.
Adresse/Subnetz
Nur fr IPv4 = 4 und Adresstyp = 4 ,,7(3:8

Geben Sie die IP-Adresse des Hosts oder eine Netzwerk-Adresse und
die zugehrige Netzmaske ein.
Standardwert ist jeweils .
Adressbereich
Nur fr IPv4 = 4 und Adresstyp = 4 ,,:+
233
15 Firewall
bintec elmeg GmbH
Feld
Beschreibung
Geben Sie die Anfangs- und End-IP-Adresse des Bereiches ein.
IPv6
Erlaubt die Konfiguration von IPv6-Adresslisten.

Adresse/Prfix
Nur fr IPv6 = 4

Geben Sie die IPv6-Adresse und das zugehrige Prfix ein.
15.3.2 Gruppen
Im Men Firewall->Adressen->Gruppen wird eine Liste aller konfigurierter Adressgruppen angezeigt.
Sie knnen Adressen zu Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von FirewallRegeln.
15.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Adressgruppen einzurichten.
Abb. 124: Firewall ->Adressen ->Gruppen->Neu
Das Men Firewall->Adressen->Gruppen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine beliebige Beschreibung der Adressgruppe ein.
IP-Version
Whlen Sie die verwendete IP-Version aus.

Mgliche Werte:

Standardmig ist ausgewhlt.
Auswahl
Whlen Sie aus den zur Verfgung stehenden Adressen die Mitglieder
der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.4 Dienste
234
15 Firewall
bintec elmeg GmbH
15.4.1 Diensteliste
Im Men Firewall->Dienste->Diensteliste wird eine Liste aller zur Verfgung stehender Dienste angezeigt.
15.4.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Dienste einzurichten.
Abb. 125: Firewall ->Dienste->Diensteliste ->Neu
Das Men Firewall->Dienste->Diensteliste->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie einen Alias fr den Dienst ein, den Sie konfigurieren wollen.
Protokoll
Whlen Sie das Protokoll aus, auf dem der Dienst basieren soll. Es stehen die wichtigsten Protokolle zur Auswahl.
Zielportbereich
Nur fr Protokoll = $, 5.7$ oder 5.

Geben Sie im ersten Feld den Ziel-Port an, ber den der Dienst laufen
soll.
Soll ein Port-Nummern-Bereich angegeben werden, geben Sie im zweiten Feld ggf. den letzten Port eines Port-Bereichs ein. Standardmig
enthlt das Feld keinen Eintrag. Wird ein Wert angezeigt, bedeutet das,
dass die zuvor angegebene Portnummer verifiziert wird. Soll ein Portbereich berprft werden, ist hier die Obergrenze einzutragen.

.
Quellportbereich
Nur fr Protokoll = $, 5.7$ oder 5.

Geben Sie im ersten Feld den ggf. zu berprfenden Quell-Port an.
Soll ein Portnummernbereich angegeben werden, geben Sie im zweiten
Feld ggf. den letzten Port eines Portbereichs ein. Standardmig enthlt
das Feld keinen Eintrag. Wird ein Wert angezeigt, bedeutet das, dass die
zuvor angegebene Portnummer verifiziert wird. Soll ein Portbereich berprft werden, ist hier die Obergrenze einzutragen.

.
Typ
Nur fr Protokoll = $/

Das Feld Typ gibt die Klasse der ICMP-Nachrichten an, das Feld Code
spezifiziert die Art der Nachricht genauer.
Mgliche Werte:
%:& (Standardwert)
235
15 Firewall
bintec elmeg GmbH
Feld
Beschreibung
+ ?*0
., 5+ :
(3+ G3+
? +
+
9+
:
,*
,* ?*0
1 ?N3,
1 ?*0
4 ,, /, ?N3,
4 ,, /, ?*0
Code
Nur fr Typ = ., 5+ : stehen Ihnen Auswahlmglichkeiten fr den ICMP Code zur Verfgung.
Mgliche Werte:
%:& (Standardwert)
; 5+ :
>, 5+ :
+ 5+ :
5+ :
'& ;
$3+ 2 ., ;2 , 4 ,
0 :
$3+ 2
0 :
., >, , 4 ,
15.4.2 Gruppen
Im Men Firewall->Dienste->Gruppen wird eine Liste aller konfigurierter Service-Gruppen angezeigt.
Sie knnen Dienste in Gruppen zusammenfassen. Dieses vereinfacht die Konfiguration von Firewall-Regeln.
15.4.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Service-Gruppen einzurichten.
236
15 Firewall
bintec elmeg GmbH
Abb. 126: Firewall ->Dienste->Gruppen->Neu
Das Men Firewall->Dienste->Gruppen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie eine beliebige Beschreibung der Service-Gruppe ein.
Mitglieder
Whlen Sie aus den zur Verfgung stehenden Service-Aliasen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl.
15.5 Konfiguration
237
15 Firewall
bintec elmeg GmbH
15.5.1 SIF - Konfigurationsbeispiel

Voraussetzungen
Verbindung zum Internet
Ihr LAN muss mit dem Port 1, 2, 3 oder 4 Ihrer Digitalisierungsbox verbunden sein
Beispielszenario
Konfigurationsziel
Den Mitarbeitern eines Unternehmens sollen nur bestimmte Dienste im Internet zur Verfgung stehen
(HTTP, HTTPS, FTP, DNS).
Die Digitalisierungsbox soll als DNS-Proxy arbeiten, das heit, die Clients verwenden die Digitalisierungsbox als DNS-Server.
Nur der Systemadministrator und der Geschftsfhrer sollen eine HTTP- und eine Telnetverbindung
zur Digitalisierungsbox herstellen knnen.
Der Geschftsfhrer soll alle Dienste im Internet nutzen knnen.
Jeglicher anderer Datenverkehr soll geblockt werden.
Wichtig
Bei einer Fehlkonfiguration der Firewall kann die Funktionalitt der Digitalisierungsbox
bzw. der Verbindungen mitunter stark beeintrchtigt oder sogar unterbrochen werden.
Es gilt der bei Firewalls bliche Grundsatz: Was nicht explizit erlaubt ist, ist verboten.
Daher ist eine genaue Planung der Filterregeln und der Filterregelkette erforderlich um eine korrekte Arbeitsweise sicherzustellen.
Aliasnamen fr IP-Adressen und Netzadressen
238
Feld
Men
Wert
Beschreibung
Firewall -> Adressen ->

Adressliste -> Neu
z. B. 4 ,
Adresstyp

Adressliste -> Neu
4 ,,7(3:8
Adresse/Subnetz

Adressliste -> Neu
z. B.
Beschreibung

Adressliste -> Neu
z. B. ,+ @1,1F
Adresstyp
4 ,,7(3:8
mit

15 Firewall
bintec elmeg GmbH
Feld
Men
Wert
Adressliste -> Neu

Adressliste -> Neu
z. B.
Beschreibung

Adressliste -> Neu
z. B. .&,3&,:9
Adresstyp

Adressliste -> Neu
4 ,,7(3:8
Adresse/Subnetz

Adressliste -> Neu
z. B.

Beschreibung

Adressliste -> Neu
z. B. ;82
Adresstyp

Adressliste -> Neu
4 ,,7(3:8
Adresse/Subnetz

Adressliste -> Neu
z. B.
Feld
Men
Wert
Beschreibung
Firewall -> Adressen -> Gruppen -> Neu
z. B. .&,3&,:9
IP-Version

Auswahl
z. B. 4 , und

,+ @1,1F
Feld
Men
Wert
Beschreibung
Firewall -> Dienste -> Gruppen z. B. *,

-> Neu
Mitglieder
Firewall -> Dienste -> Gruppen z. B. *, * !((#" und

-> Neu
1*
Beschreibung
Firewall -> Dienste -> Gruppen z. B. 4 ,,*,

-> Neu
Mitglieder
Firewall -> Dienste -> Gruppen z. B. * und

-> Neu
Adresse/Subnetz
mit

mit

mit

Adressgruppen
Dienstgruppen
Filterregel 1: Digitalisierungsbox verwalten (Systemadministrator)

Feld
Men
Wert
Quelle

.&,3&,:9
Ziel

.&,3&,:9
Dienst

4 ,,*,
Aktion

E3&11
Filterregel 2: Digitalisierungsbox als DNS-Proxy verwenden

Feld
Men
Wert
Quelle

#D$4#
239
15 Firewall
bintec elmeg GmbH
Feld
Men
Wert
Ziel

4;U
Dienst

,
Aktion

E3&11
Quelle

;82K
Ziel

.&,3&,:9
Dienst

,
Aktion

E3&11
Filterregel 3: Zugriff von auen auf die Digitalisierungsbox verweigern

Feld
Men
Wert
Quelle

4;U
Ziel

.&,3&,:9
Dienst

0
Aktion

-2&
Filterregel 4: Zugriff auf alle Dienste im Internet erlauben (Geschftsfhrer)

Feld
Men
Wert
Quelle

,+ @1,1F
Ziel

4;U
Dienst

0
Aktion

E3&11
Filterregel 5: Zugriff auf das Internet erlauben (Mitarbeiter)
240
Feld
Men
Wert
Quelle

;82K
Ziel

4;U
Dienst

*,
Aktion

E3&11
16 VoIP
bintec elmeg GmbH
Kapitel 16 VoIP
Voice over IP (VoIP) nutzt das IP-Protokoll fr Sprach- und Bildbertragung.
Der wesentliche Unterschied zur herkmmlichen Telefonie besteht darin, dass die Sprachinformationen
nicht ber eine geschaltete Verbindung in einem Telefonnetz bertragen werden, sondern durch das Internet-Protokoll in Datenpakete aufgeteilt, die auf nicht festgelegten Wegen in einem Netzwerk zum Ziel
gelangen. Diese Technologie macht sich so fr die Sprachbertragung die Infrastruktur eines bestehenden Netzwerks zu Nutze und teilt sich dieses mit anderen Kommunikationsdiensten.
Das Session Initiation Protocol (SIP) dient dabei zum Aufbau, zum Abbau und zur Steuerung einer Kommunikationssitzung.
16.1 Application Level Gateway

Um IP-Telefonen die Verbindung ber SIP mit einem VoIP Provider zu ermglichen, verfgt Ihr Gert
ber ein Application Level Gateway (ALG), d.h. einen entsprechenden Proxy, der die notwendigen
NAPT- und Firewall-Freigaben vornimmt.
Hinweis
Das Application Level Gateway muss immer dann genutzt werden, wenn auf der Schnittstelle, welche die Verbindung zum Internet herstellt, NAT aktiviert ist.
16.1.1 SIP-Proxys
Sie sehen hier eine Liste der bereits konfigurierten Application Level Gateway Eintrge. Diese Eintrge
aktivieren das ALG. Jeder Eintrag definiert einen bestimmten TCP oder UDP Zielport, der vom ALG
berwacht werden soll. Standardmig sind im Auslieferungszustand zwei Eintrge fr die SIP Ports
TCP 5060 und UDP 5060 entsprechend der IANA Definition angelegt.

um Application Level Gateway Eintrge zu erstellen.
Abb. 127: VoIP ->Application Level Gateway ->SIP-Proxys ->
Das Men VoIP->Application Level Gateway->SIP-Proxys->
->Neu
->Neu besteht aus folgenden Fel-
dern:
Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Application Level Gateways ein.
241
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Whlen Sie aus, ob der SIP Proxy aktiv sein soll.

Protokoll
Whlen Sie das Protokoll aus, welches verwendet werden soll.

Mgliche Werte: 5. (Standardwert) oder $.
Geben Sie als Zielport den Port ein, der vom Proxy berwacht werden
soll.
Pro Destination Port, zu dem sich VoIP Clients aus dem LAN verbinden
knnen, mssen Sie einen Proxy anlegen.
Die Ports knnen Provider-spezifisch sein.
Timeout der Sitzung
Geben Sie die Zeit in Sekunden ein, welche eine Session bestehen bleiben soll, wenn keine Datenpakete gesendet oder empfangen werden.
Dieser Wert muss grer sein als die SIP Expire Time des angeschlossenen SIP Clients (SIP Telefone, Terminaladapter usw.)
Low Latency Transmission
Whlen Sie aus, ob ein Mechanismus zur Minimierung der Laufzeit, die
VoIP-Datenpakete fr den "Weg" zwischen zwei Gesprchspartnern bentigen, verwendet werden soll. Das garantiert eine gute Sprachqualitt
bei hoher Leitungsauslastung.
Beachten Sie, dass Low Latency Transmission nur fr Rufe eingeschaltet
werden muss, die nicht ber die in VoIP->Media Gateway konfigurierten
Verbindungen hergestellt werden.
16.1.2 SIP-Endpunkte
Hier wird eine Liste aller SIP-Sessions angezeigt, welche vom ALG verwaltet werden.
Dazu gehren statische Eintrge, um interne SIP-Server/-Proxies (z. B. interne Asterisk-Server) vom
WAN aus (Internet) durch NAPT hindurch erreichbar zu machen. Weiterhin knnen interne SIP-Clients
ohne Registrierung durch einen statischen Eintrag errreichbar gemacht werden. Auerdem werden dynamisch alle aktiven SIP-Sitzungen erkannt, die von internen SIP-Terminals aus initiiert wurden, und
hier aufgelistet. Diese werden nur fr Monitoring und Administration angezeigt und knnen nicht bearbeitet werden.
Hinweis
Alle automatisch generierten Eintrge, die lnger als 24 Stunden nicht verwendet wurden,
werden automatisch aus der Tabelle gelscht.

Whlen Sie die Schaltflche Neu, um statische Eintrge fr SIP-Terminals innerhalb des LAN hinzuzufgen, welche von Terminals aus dem WAN ber die NAPT-Barriere erreichbar sein sollen. Whlen Sie
das Symbol
, um vorhandene statische Eintrge zu bearbeiten.
242
16 VoIP
bintec elmeg GmbH
Hinweis
Dynamisch erstellte Eintrge aktiver Sitzungen knnen nicht bearbeitet werden. Diese Eintrge knnen nur entfernt werden, mit der Folge, dass die entsprechende SIP-Verbindung
sofort beendet wird.
Abb. 128: VoIP ->Application Level Gateway ->SIP-Endpunkte->
Das Men VoIP->Application Level Gateway->SIP-Endpunkte->
->Neu
->Neu besteht aus folgenden
Feldern:
Feld
Beschreibung
Endpunkttyp
Whlen Sie die Rolle des SIP-Endpunktes im LAN aus.

Mgliche Werte:
$ (Standardwert): Der interne SIP-Endpunkt ist ein SIP-Client
(z. B. Telefone).
(: Der interne SIP-Endpunkt ist ein SIP-Server, an dem sich
SIP-Endpunkt von extern anmelden knnen.
Protokoll
Whlen Sie das Protokoll aus, welches fr die Datenbertragung verwendet werden soll.
Mgliche Werte:
5. (Standardwert)
$
Wenn ein Protokoll automatisch erkannt wurde, sollte es nicht gendert
werden.
Interne IP-Adresse
Geben Sie die IP-Adresse des internen SIP-Endpunktes im LAN an.
Entfernter Port
Nur fr Endpunkttyp = $

Geben Sie den Port des entfernten SIP-Terminals (im WAN) an.
Interner Port
Nur fr Endpunkttyp = (

Geben Sie den Port des internen SIP-Endpunktes im LAN an.
Externer Port
Geben Sie den Port auf der WAN-Seite des Gateways an, der fr den
Zugang durch die NAPT-Barriere zu einem SIP-Endpunkt im LAN genutzt
wird.
Bei Clients wird der externe Port automatisch erkannt und sollte nicht ge-
243
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
ndert werden.
16.2 Einstellungen
16.2.1 Teilnehmer
Hier knnen Sie die Rufnummern der Endgerte (=Teilnehmer) konfigurieren, die an das Media Gateway angebunden sind, d.h. die Rufnummern der SIP-Endgerte sowie der angeschalteten ISDNEndgerte abhngig von den verfgbaren Schnittstellen.
Im Men VoIP->Einstellungen->Teilnehmer wird eine Liste aller vorhandenen Teilnehmer angezeigt.

um neue Teilnehmer hinzuzufgen.
Abb. 129: VoIP ->Einstellungen->Teilnehmer ->
Das Men VoIP->Einstellungen->Teilnehmer->
->Neu
->Neu besteht aus folgenden Feldern:
244
Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Teilnehmers ein.
Teilnehmer / Benutzerna-
ISDN-Endgerte: Geben Sie die Rufnummer des Teilnehmers.

16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
me
SIP-Endgerte: Geben Sie den Benutzernamen ein.

Maximal knnen 40 Zeichen eingegeben werden.
Schnittstellentyp
Whlen Sie den Schnittstellentyp aus, welcher verwendet werden soll.

Die Auswahl ist von den verfgbaren Schnittstellen abhngig.
Mgliche Werte:
(: Ein SIP-Endgert wird fr den Ruf verwendet.
(.;: Ein ISDN-Endgert wird fr den Ruf verwendet.
4&: Ein analoges Endgert wird fr den Ruf verwendet.
Analoge Schnittstelle ausNur fr Schnittstellentyp = 4&

whlen
Whlen Sie eine analoge Schnittstelle aus.
Mgliche Werte:
fxs4-0 (Standardwert)
fxs4-1
fxs4-2
fxs4-3
ISDN-Schnittstelle auswhlen
Nur fr Schnittstellentyp = (.;

Whlen Sie eine ISDN-Schnittstelle aus. Welche ISDN-Schnittstellen Sie
auswhlen knnen, hngt vom verwendeten Gert ab.
Registrierung
Nur fr Schnittstellentyp = (

Whlen Sie, ob der Registrierungsmechanismus per SIP REGISTER
Meldung benutzt werden soll. Dazu meldet jeder SIP Client (Benutzer)
seine aktuelle Position an einen REGISTRAR Server mittels einer REGISTER Meldung. Diese Information ber den Benutzer und seine aktuelle Adresse wird vom REGISTRAR auf einem Server gespeichert, der
von anderen Proxies benutzt wird, um den Benutzer zu finden.
Abgesehen von diesem Standard-Vorgehen knnen die relevanten Daten
auch an eine bestimmte IP-Adresse geschickt werden, die den Verbindungspartnern bereits bekannt ist. Dann entfallen Registrierung und Authentisierung, in diesem Fall muss die Funktion Registrierung deaktiviert
sein. Ein Beispiel fr diese Vorgehensweise ist Microsoft Exchange SIP.
Gltigkeit
Nur wenn Registrierung aktiviert ist.

Geben Sie die Zeit in Sekunden ein, nach der die aktuelle Registrierung
ungltig wird und daher eine neue Registrierungsanfrage geschickt wird.
Bei Clients wird der externe Port automatisch erkannt und sollte nicht gendert werden.
SIP-Endpunkt-IP-Adresse
Nur wenn Registrierung deaktiviert ist.

245
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Fr Konfigurationen, bei denen keine Registrierung vorgesehen ist (z. B.
Anbindung an einen Microsoft Exchange Communication Server), kann
die Verbindung als statischer Host eingerichtet werden. Hierzu ist es ntig, die statische IP-Adresse des Endgerts anzugegeben.
Authentifizierungs-ID

Tragen Sie einen Namen ein, der zur Authentifizierung verwendet wird.
Den hier vergebenen Namen mssen Sie auch auf dem SIP-Telefon eingeben.
Wenn Sie keinen Namen eingeben, wird der Name im Feld Teilnehmer /
Benutzername verwendet.
Passwort

Geben Sie hier ein Passwort ein.
Das hier vergebene Passwort mssen Sie auch auf dem SIP-Telefon eingeben.
Protokoll
Whlen Sie das Protokoll aus, welches fr die Datenbertragung verwendet werden soll.
Mgliche Werte: 5. (Standardwert), $ oder #(.
Wenn ein Protokoll automatisch erkannt wurde, sollte es nicht gendert
werden.
Port
Geben Sie die Nummer des UDP, TCP bzw. TLS Ports, der fr die Verbindung zum Server bzw. Proxy benutzt werden soll.

.
.
Felder im Men Codec-Einstellungen
Feld
Beschreibung
Codec-Reihenfolge
Whlen Sie die Reihenfolge der Codecs, wie sie vom Media Gateway zur
Benutzung vorgeschlagen werden. Kann der erste Codec nicht angewendet werden, wird versucht den zweiten zu benutzen usw.
Mgliche Werte:
( (Standardwert): Der Codec, welcher im Men an erster
Stelle steht, wird verwendet, wenn mglich.
G3@: Die Codecs werden nach Qualitt sortiert. Der Codec mit
der besten Qualitt wird verwendet, wenn mglich.
; &,: Die Codecs werden nach bentigter Bandbreite sortiert.
Der Codec, welcher die niedrigste Bandbreite bentigt, wird verwendet,
wenn mglich.
>R+ ,: Die Codecs werden nach bentigter Bandbreite sortiert. Der
Codec, welcher die hchste Bandbreite bentigt, wird verwendet, wenn
mglich.
Sortierreihenfolge
246
Whlen Sie die Codecs aus, die fr die Verbindung vorgeschlagen werDigitalisierungsbox Standard
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
den sollen. Abhngig von der Einstellung im Feld Codec-Reihenfolge
werden die hier ausgewhlten Codecs in einer bestimmten Reihenfolge
vorgeschlagen.
Mgliche Werte:
) 3#2: ISDN Codec nach US Kennlinie
) #2: ISDN Codec nach EU Kennlinie
): Komprimiert von 31 auf 8 KBit/s; gute Sprachqualitt
): Komprimiert von 63 auf 40 KBit/s
'9: Ermglicht den Versand von Faxmitteilungen ber Datennetzwerke.
(?: SRTP ist eine verschlsselte Variante des Real-Time Transport
Protokolls (RTP).
. !?'$ ": Ermglicht den Transport eines
64-kbit/s-Datenstroms in RTP-Paketen.
(1: Ermglicht DTMF-Signalisierung ber SIP
Standardmig sind ) 3#2, ) #2 und ) aktiviert.
Die tatschlich verwendeten Codecs sind die Schnittmenge der hier festgelegten und der vom Provider signalisierten Codecs. Von diesen Codecs fallen bei ausgehenden Rufen noch diejenigen weg, welche mehr
als die verfgbare Bandbreite bentigen wrden.
Felder im Men Sprachqualittseinstellungen

Feld
Beschreibung
Echounterdrckung
Whlen Sie aus, ob Echounterdrckung verwendet werden soll.

Bei der Echounterdrckung handelt es sich um ein Verfahren, das bei
Sprachkommunikation auf Voll-Duplex-Leitungen Echo-Rckkopplungen
unterdrckt.
Comfort Noise Generation Whlen Sie aus, ob Comfort Noise Generation (CNG) verwendet werden
(CNG)
soll.
Bei digitaler Sprachbertragung sorgt dieses Verfahren durch das Erzeugen eines leichten Hintergrundrauschens dafr, dass whrend Gesprchspausen beim Gesprchspartner der Eindruck vermieden wird, die
Verbindung sei unterbrochen.
Paketgre
Geben Sie an, wieviel Millisekunden Sprache ein RTP-Datenpaket enthlt.

Zur Verfgung stehen Werte von
bis
.
247
16 VoIP
bintec elmeg GmbH
16.2.2 SIP-Konten
Wenn Sie Ihr Gert an andere SIP-Server (z. B. Server von Internet SIP Service Providern) anbinden
wollen, knnen Sie hier die notwendigen Eintrge konfigurieren. In diesem Fall fungiert das Media Gateway als SIP-Client.
Auerdem knnen Sie hier die Eintrge fr SIP-Trunking-Szenarios konfigurieren. In diesem Fall fungiert das Media Gateway als SIP-Server fr andere SIP-Server. Ein Beispiel hierfr ist die Anbindung einer SIP-PBX (z. B. Asterisk) an das Media Gateway.
Das bedeutet, dass sowohl alle SIP-Provider-Accounts hier konfiguriert werden als auch mit dem Media
Gateway verbundene durchwahlfhige Telefonanlagen (Direct Dial-in).
Hinweis
Verwenden Sie dieses Men auf keinen Fall zur Konfiguration von SIP-Nebenstellen, d.h.
fr SIP-Clients oder PSTN-Clients wie z. B. SIP-Telefone, Terminal Adapter oder ISDNTelefone!
SIP-Nebenstellen knnen Sie im Men VoIP->Teilnehmer konfigurieren.
Im Men VoIP->Einstellungen->SIP-Konten wird eine Liste aller vorhandenen SIP-Konten (SIP Client
Modus und SIP Server Modus) angezeigt.

Whlen Sie die Schaltflche Neu, um neue SIP-Konten hinzuzufgen. Whlen Sie das Symbol
, um
vorhandene Eintrge zu bearbeiten. In diesem Men werden sowohl SIP-Konten im SIP Client Modus
als auch im SIP Server Modus konfiguriert.
248
16 VoIP
bintec elmeg GmbH
Abb. 130: VoIP ->Einstellungen->SIP-Konten ->
Das Men VoIP->Einstellungen->SIP-Konten->
->Neu

Feld
Beschreibung
Beschreibung
Geben Sie den Namen des SIP-Kontos ein.
Whlen Sie aus, ob das SIP-Konto aktiv sein soll.

Trunk-Modus
Whlen Sie aus, ob und in welchem Trunk-Modus das SIP-Konto betrieben werden soll.
Durch den Trunk-Modus (DDI, Direct Dial In) wird ermglicht, dass ein
eingehender Ruf genau einem Endgert zugeordnet werden kann
(Durchwahl). Bei einem ausgehenden Ruf kann der Anrufer dem Angerufenen angezeigt werden.
Welche Einstellung verwendet werden kann, hngt vom Provider ab.
Mgliche Werte:
43, (Standardwert): Der Trunk-Modus wird nicht verwendet. Das SIPKonto hat nur eine Nummer.
249
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
$: Das Media Gateway wird als DDI-Client betrieben. Es erhlt
eine Durchwahl.
(: Das Media Gateway wird als DDI-Server betrieben, so da
sich DDI-Clients verbinden knnen.
&23: Das Media Gateway wird als DDI-Client betrieben, aber als
Trunk verwendet. Diese Einstellung dient zum Anschluss einer softwarebasierten IP-Telefonanlage von Swyx.
Registrar
Nur fr Trunk-Modus = 43,, $ und &23. Tragen Sie die IPAdresse oder den Domnennamen (FQDN) des SIP Registrars ein. Maximale Zeichenzahl ist 40.
Eintrge mit Leerzeichen sind nicht erlaubt.
SIP-Endpunkt-IP-Adresse
Nur fr Trunk-Modus = ( und Registrierung deaktiviert

Tragen Sie die IP-Adresse oder den Domnennamen (FQDN) des SIP
Proxy Servers ein.
Ausgehender Proxy
Nur fr Trunk-Modus = 43,, $ oder &23

Geben Sie den Namen oder die IP-Adresse des SIP Outbound Proxy
Servers ein.
Hier mssen Sie nur dann einen Eintrag vornehmen, wenn bei allen SIP
Sessions die Kommunikation nicht direkt sondern ber einen weiteren
Proxy erfolgen soll.
Im SIP Client Modus: Tragen Sie nur dann einen Namen oder eine IPAdresse ein, wenn dies explizit vom Provider vorgegeben wird.
Realm
Tragen Sie einen weiteren Domnennamen oder eine weitere IP-Adresse

des SIP Proxy Servers ein.
Wenn Sie keine Angaben machen, wird der Eintrag im Feld Registrar
verwendet.
Im SIP Client Modus: Tragen Sie nur dann einen Namen oder eine IPAdresse ein, wenn dieser explizit vom Provider vorgegeben wird.
Protokoll
Whlen Sie das Protokoll aus, welches zum Datentransport verwendet

werden soll.
Mgliche Werte: 5. (Standardwert) oder $
Geben Sie den Port ein, ber den die Daten transportiert werden sollen.
.
Im SIP Client Modus: Die Ports knnen Provider-spezifisch sein.
Benutzername
Im SIP Client Modus: Tragen Sie hier den Benutzernamen fr die Authentifizierung ein, wenn Ihnen Ihr VoIP-Provider einen solchen zugewiesen hat.
Im SIP Server Modus: Sie mssen den Benutzernamen festlegen.
Authentifizierungs-ID
250
Tragen Sie einen Namen ein, der zur Authentifizierung beim Outbound
Proxy verwendet wird.
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Wenn Sie keinen Namen eingeben, wird der Name im Feld Benutzername verwendet.
Im SIP Client Modus: Tragen Sie nur dann einen Namen ein, wenn dieser explizit vom Provider vorgegeben wird.
Passwort
Im SIP Client Modus: Der VoIP-Provider weist Ihnen eine PIN bzw. Passwort fr die Authentifizierung zu. Diesen Wert mssen Sie hier eingeben.
Im SIP Server Modus: Legen Sie eine PIN bzw. ein Passwort fest.
Registrierung
Whlen Sie aus, ob der Registrierungsmechanismus per SIP REGISTER

Meldung benutzt werden soll. Dazu meldet jeder SIP Client (Benutzer)
seine aktuelle Position an einen REGISTRAR Server mittels einer REGISTER Meldung. Diese Information ber den Benutzer und seine aktuelle Adresse wird vom REGISTRAR auf einem Server gespeichert, der
von anderen Proxies benutzt wird, um den Benutzer zu finden.
Abgesehen von diesem Standard-Vorgehen knnen die relevanten Daten
auch an eine bestimmte IP-Adresse geschickt werden, die den Verbindungspartnern bereits bekannt ist. Dann entfallen Registrierung und Authentisierung, in diesem Fall muss die Funktion Registrierung deaktiviert
sein. Ein Beispiel fr diese Vorgehensweise ist Microsoft Exchange SIP.
Gltigkeit
Nur wenn Registrierung aktiviert ist.

Geben Sie die Zeit in Sekunden ein, nach der die aktuelle Registrierung
ungltig wird und daher eine neue Registrierungsanfrage geschickt wird.
Ein Server kann in seiner Antwort auf eine REGISTER Anfrage eine andere Gltigkeit festlegen, welche die hier festgelegte berschreibt.
Angerufene Adresse
Legt fest, aus welchem Parameter der angerufenen Adresse die Rufnummer extrahiert wird.
Die angerufene Adresse hat folgendes Format: Adresse = "Anzeige"
<Benutzer>, z. B. "+49911987543" <sip:+49911987543@tel.telekom.de>
Mgliche Werte:
43 (Standardwert): Extrahiert die Rufnummer aus dem ersten Teil
der Adresse. Wenn dies fehlschlgt, wird die Rufnummer aus dem
zweiten Teil der Adresse extrahiert.
%38: Extrahiert die Rufnummer aus dem zweiten Teil der Adresse, z. B. aus <sip:+49911987543@tel.telekom.de>.
48&: Extrahiert die Rufnummer aus dem ersten Teil der Adresse,
z. B. aus "+49911987543".
Felder im Men Trunk-Einstellungen
Feld
Beschreibung
SIP-Header-Feld(er) fr
Nur fr Trunk-Modus = $, ( oder &23
251
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Anruferadresse
Whlen Sie fr ausgehende Rufe die Position der Absender-ID (z.B. Rufnummer) im SIP-Header aus. (Bei eingehenden Rufen wird automatisch
die Rufnummer aus dem SIP Header ermittelt.)
Mgliche Werte:
. (Standardwert): Die Absender-ID wird nicht bertragen.
48& 3 %38: Die Absender-ID wird im SIP Header
im Feld "Display" und im Feld "User" bertragen.
;3 48&: Die Absender-ID wird im SIP Header im Feld "Display"
bertragen.
;3 %38: Die Absender-ID wird im SIP Header im Feld "User"
bertragen.
1 : Der SIP Header wird durch das sogenannte "ppreferred-identity" Feld erweitert, um dort die Absender-ID zu bertragen.
4,, : Der SIP Header wird durch das sogenannte "passerted-identity" Feld erweitert, um dort die Absender-ID zu bertragen.
Rufnummer
Nur fr Trunk-Modus = (

Sie knnen eine Nummer setzen, die bei ausgehenden Rufen der Absenderrufnummer als Prefix vorangestellt wird und bei eingehenden Rufen
von den fhrenden Stellen der Zielrufnummer abgeschnitten wird. Das
entspricht der Rumpfnummer einer TK-Anlage.
Felder im Men Codec-Einstellungen

Feld
Beschreibung
Codec-Reihenfolge
Whlen Sie die Reihenfolge der Codecs, wie sie vom Media Gateway zur
Benutzung vorgeschlagen werden. Kann der erste Codec nicht angewendet werden, wird versucht den zweiten zu benutzen usw.
Mgliche Werte:
( (Standardwert): Der Codec, welcher im Men an erster
Stelle steht, wird verwendet, wenn mglich.
G3@: Die Codecs werden nach Qualitt sortiert. Der Codec mit
der besten Qualitt wird verwendet, wenn mglich.
& % :: Die Codecs werden nach bentigter Bandbreite sortiert. Der Codec, welcher die niedrigste Bandbreite bentigt,
wird verwendet, wenn mglich.
> % :: Die Codecs werden nach bentigter Bandbreite
sortiert. Der Codec, welcher die hchste Bandbreite bentigt, wird verwendet, wenn mglich.
Sortierreihenfolge
Whlen sie die Codecs aus, die fr die Verbindung vorgeschlagen werden sollen. Abhngig von der Einstellung im Feld Codec-Reihenfolge
werden die hier ausgewhlten Codecs in einer bestimmten Reihenfolge
vorgeschlagen.
Mgliche Werte:
) 3#2: ISDN Codec nach US Kennlinie
) #2: ISDN Codec nach EU Kennlinie
): Komprimiert von 31 auf 8 KBit/s; gute Sprachqualitt
252
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
'9: Ermglicht den Versand von Faxmitteilungen ber Datennetzwerke.
?'$ : Ernglicht DTMF-Signalisierung im Sprachkanal
(?: SRTP ist eine verschlsselte Variante des Real-Time Transport
Protokolls (RTP).
. !?'$ ": Ermglicht den Transport eines
64-kbit/s-Datenstroms in RTP-Paketen.
(1: Ermglicht DTMF-Signalisierung ber SIP
Standardmig sind ) 3#2, ) #2 und ) aktiviert.
Die tatschlich verwendeten Codecs sind die Schnittmenge der hier festgelegten und der vom Provider signalisierten Codecs. Von diesen Codecs fallen bei ausgehenden Rufen noch diejenigen weg, welche mehr
als die verfgbare Bandbreite bentigen wrden.
Felder im Men Sprachqualittseinstellungen

Feld
Beschreibung
Echounterdrckung
Whlen Sie aus, ob Echounterdrckung verwendet werden soll.

Bei der Echounterdrckung handelt es sich um ein Verfahren, das bei
Sprachkommunikation auf Voll-Duplex-Leitungen Echo-Rckkopplungen
unterdrckt.
Comfort Noise Generation Whlen Sie aus, ob Comfort Noise Generation (CNG) verwendet werden
(CNG)
soll.
Bei digitaler Sprachbertragung sorgt dieses Verfahren durch das Erzeugen eines leichten Hintergrundrauschens dafr, dass whrend Gesprchspausen beim Gesprchspartner der Eindruck vermieden wird, die
Verbindung sei unterbrochen.
Paketgre
Geben Sie an, wieviel Millisekunden Sprache ein RTP-Datenpaket enthlt.

Zur Verfgung stehen Werte von
bis
.
16.2.3 Standorte
Im Men VoIP->Einstellungen->Standorte konfigurieren Sie die Standorte der VoIP-Teilnehmer, die
auf Ihrem System konfiguriert sind, und definieren das Bandbreitenmanagement fr den VoIP-Traffic.
Zur Verwendung des Bandbreitenmanagements knnen einzelne Standorte eingerichtet werden. Ein
Standort wird anhand seiner festen IP-Adresse bzw. DynDNS-Adresse oder mittels der Schnittstelle, an
der das Gert angeschlossen ist, identifiziert. Fr jeden Standort kann die verfgbare VoIP-Bandbreite
(Up- und Downstream) eingestellt werden.
253
16 VoIP
bintec elmeg GmbH
Nur fr Kompaktsysteme: Ein vordefinierter Eintrag mit den Parametern Beschreibung = #4;, Beinhalteter Standort (Parent) = <, Typ = (+ ,, Schnittstellen = #4;K; wird angezeigt.
Abb. 131: VoIP ->Einstellungen->Standorte
Felder im Men Registrierungsverhalten fr VoIP-Teilnehmer ohne definierten Standort

Feld
Beschreibung
Standardverhalten
Legen Sie fest, wie das System bei der Registrierung von VoIPTeilnehmern verfahren soll, fr die kein Standort definiert wurde.
Mgliche Werte:
?&,3& 3 * ;82 (Standardwert):
Der VoIP-Teilnehmer wird nur registriert, wenn er sich innerhalb des
privaten Netzwerks befindet.
;+ 3:: Der VoIP-Teilnehmer wird nie registriert.
5&,+ @ ?&,3&: Der VoIP-Teilnehmer wird
immer registriert.

um neue Eintrge hinzuzufgen.
Abb. 132: VoIP ->Einstellungen->Standorte->Neu
Das Men VoIP->Einstellungen->Standorte->Neu besteht aus folgenden Feldern:

254
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Beschreibung
Geben Sie die Beschreibung des Eintrags ein.
Beinhalteter Standort
(Parent)
Sie knnen die SIP-Standorte beliebig kaskadieren. Definieren Sie hier,

welcher schon definierte SIP-Standort fr den hier zu konfigurierenden
SIP-Standort den bergeordneten Knoten bildet.
Typ
Whlen Sie aus, ob der Standort mittels IP-Adressen/DNS-Namen oder

Schnittstellen definiert werden soll.
Mgliche Werte:
4 ,, (Standardwert): Der SIP-Standort wird ber IP-Adressen
bzw. DNS-Namen definiert.
(+ ,: Der SIP-Standort wird ber die verfgbaren
Schnittstellen definiert.
Adressen
Nur fr Typ = 4 ,,

Geben Sie die IP-Adressen der Gerte an den SIP-Standorten ein.
Klicken Sie auf Hinzufgen um neue Adressen zu konfigurieren.
Geben Sie unter IP-Adresse/DNS-Name die gewnschte IP-Adresse
bzw. den DNS-Namen ein.
Geben Sie ebenfalls die erforderliche Netzmaske ein.
Schnittstellen
Nur fr Typ = (+ ,

Geben Sie die Schnittstellen an, an denen die Gerte eines SIPStandorts angeschlossen sind.
Klicken Sie auf Hinzufgen, um neue Schnittstelle auszuwhlen.
Whlen Sie unter Schnittstelle die gewnschte Schnittstelle aus.
Bandbreitenbegrenzung
Upstream
Legen Sie fest, ob die Upstream-Bandbreite begrenzt werden soll.

Mit 4 wird die Bandbreite reduziert.
Maximale UpstreamBandbreite
Geben Sie die maximale Datenrate in Senderichtung in kBits pro Sekunde ein.
Bandbreitenbegrenzung
Downstream
Legen Sie fest, ob die Downstream-Bandbreite begrenzt werden soll.

Mit 4 wird die Bandbreite reduziert.
Maximale DownstreamBandbreite
Geben Sie die maximale Datenrate in Empfangsrichtung in kBits pro Sekunde ein.

Feld
Beschreibung
DSCP-Einstellungen fr
RTP-Daten
Whlen Sie die Art des Dienstes fr RTP-Daten aus (TOS, Type of Service).
Mgliche Werte:
255
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
.($%@2 (Standardwert): Differentiated Services Code Point
nach RFC 3260 wird zur Signalisierung der Prioritt der IP-Pakete verwendet (Angabe in binrem Format, 6 Bit). Der vorkonfigurierte Wert ist

z. B. 00111111.
16.2.4 ISDN-Trunks
Fr die Konfiguration im Men ISDN-Trunks muss Ihr Gert ber mindestens zwei ISDN-Anschlsse im
Punkt-zu-Punkt-Modus (BRI oder PRI) verfgen, die als TE (Sammelanschluss) oder NT konfiguriert
sind.
Hinweis
Beachten Sie, dass bei BRI-Anschlssen der Anschlussmodus (NT Mode oder TE Mode)
per Jumper im Gert umgeschaltet werden muss.
In diesem Men werden ISDN-Sammelanschlsse (Bundles) festgelegt.

um einen neuen Sammelanschluss hinzuzufgen.
Abb. 133: VoIP ->Einstellungen->ISDN-Trunks
Das Men VoIP->Einstellungen->ISDN-Trunks besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Sammelanschlusses ein.
Maximale Zeichenzahl ist 40.
256
16 VoIP
bintec elmeg GmbH
Feld
ISDN-Modus
Beschreibung
Whlen Sie den Modus aus, in welchem der Sammelanschluss betrieben
wird.
Mgliche Werte:
9 (Standardwert): Punkt-zu-Punkt TE-Anschluss (Telekom
Sammelanschluss)
3: Punkt-zu-Punkt NT-Anschluss (fr den Anschluss einer TKAnlage).
Mitglieder
Whlen Sie die gewnschten ISDN-Schnittstellen aus, die zu diesem

Sammelanschluss gehren sollen.
Sie knnen diejenigen ISDN-Schnittstellen auswhlen, die im Punktzu-Punkt-Modus konfiguriert sind.
16.2.5 Optionen
Im Men VoIP->Einstellungen->Optionen knnen Sie globale Einstellungen fr das Media Gateway
vornehmen.
Abb. 134: VoIP ->Einstellungen->Optionen
Das Men VoIP->Einstellungen->Optionen besteht aus folgenden Feldern:

Feld
Beschreibung
Status des Media Gateways
Whlen Sie aus, ob die Funktion Media Gateway aktiviert sein soll.
Session Border Controller Whlen Sie aus, wie sich das Media Gateway in Verbindung mit einem
Modus
Session Border Controller verhalten soll.
Mgliche Werte:
43 (Standardwert): Die Anrufkontrolle wird fr alle Nebenstellen, die
mit einem existierenden SIP-Konto exakt bereinstimmen, vom Session Border Controller durchgefhrt, d.h. alle SIP-Meldungen, die fr das
entsprechende SIP-Konto konfiguriert sind, werden an den Session
257
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Border Controller weitergeleitet. Fr alle anderen Nebenstellen wird die
Anrufkontrolle vom Media Gateway entsprechend der unter Anrufkontrolle konfigurierten Eintrge durchgefhrt. Beachten Sie, dass das
Routing vom Media Gateway durchgefhrt wird, wenn der Provider
nicht verfgbar ist (Backup).
43,: Die Anrufkontrolle wird ausschlielich vom Media Gateway entsprechend der unter Anrufkontrolle konfigurierten Eintrge und der lokalen Nebenstellen durchgefhrt. Fr Rufe, die ber einen bestimmten
Provider (SIP-Konto) geroutet werden sollen, mssen Sie einen entsprechenden Anrufkontrolle-Eintrag konfigurieren. Interne Rufe (von interner Nebenstelle zu interner Nebenstelle), die nur lokal geroutet werden mssen, bentigen keinen zustzlichen Anrufkontrolle-Eintrag.
A( 3B: Whlen Sie ein unter VoIP->Media Gateway->SIPKonten konfiguriertes SIP Trunk Konto aus. Die Anrufkontolle wird in
diesem Fall fr alle Nebenstellen vom Session Border Controller ausgefhrt, alle SIP-Meldungen werden an den Session Border Controller
weitergeleitet. Beachten Sie, dass das Routing vom Media Gateway
durchgefhrt wird, wenn der Provider nicht verfgbar ist (Backup).
Hinweis: Eintrge in Anrufkontrolle haben Vorrang vor der Session Border Controller Konfiguration!
Anrufkontrolle fr lokale
Nummern
Legen Sie fest, ob Routing-Eintrge vor Durchwahlnummern favorisiert

werden sollen.
Media Stream Termination Whlen Sie aus, wie RTP-Sessions vom System kontrolliert werden sollen.
Wenn die Funktion aktiv ist, werden die RTP-Sessions auf dem Media
Gateway terminiert, d.h. alle RTP Streams werden vom Media Gateway
kontrolliert und ber das Media Gateway geroutet. Die beteiligten Endgerte (z. B. SIP-Telefone) sind nicht direkt miteinander verbunden. Beachten Sie, dass das Media Gateway bei VoIP-zu-VoIP-Verbindungen unterschiedliche Codecs der beteiligten VoIP-Endgerte nicht bersetzt. Daher mssen die Codecs von Media Gateway und VoIP-Endgerten bereinstimmen.
Wenn die Funktion nicht aktiv ist, werden die RTP-Sessions nicht auf
dem Media Gateway terminiert, d.h. alle RTP Streams werden ohne Terminierung vom Media Gateway geroutet. Die RTP-Datenpakete knnen
in komplexen Netzen somit auch ber andere Gateways gerouted werden.
Standard-Abwurfnebenstelle
Sie knnen eine Nebenstelle angeben, zu der eingehende Telefonate geleitet werden, die keiner Extension oder angeschlossenen TK-Anlage zugeordnet werden knnen.
Wahlpause
Geben Sie die maximale Verzgerungszeit ein bis das System die eingegebene Telefonnummer als vollstndig wertet und der SIP-Whlvorgang
(Senden der SIP INVITE Message) startet. Diese Zeitspanne wird mit jedem Tastendruck zurckgesetzt.
.
258
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
.
Wenn Sie die Rufnummer mit # abschlieen, wird sofort gewhlt.

Feld
Beschreibung
Kurzwahl
Definieren Sie kurze Ziffernfolgen, die anstatt der kompletten Nummer

gewhlt werden knnen.
Klicken Sie auf Hinzufgen um neue Kurzwahlen zu konfigurieren.
Geben Sie unter Abkrzung die gewnschte Kurzwahl fr den Benutzer
ein, z. B. .
Geben Sie unter Ersetzen durch die Rufnummer ein, welche anstelle
der Kurzwahl gewhlt werden soll, z. B. ).
Wenn in obigem Beispiel ein Benutzer S eintippt, whlt das Gert
).
Mchte der Benutzer die Nebenstelle erreichen, so tippt er
S ein. Das Gert whlt ).
Ein Punkt am Ende der Nummer zeigt eine komplette Nummer an. Diese
wird nach dem Einsetzen sofort gewhlt.
Wenn Sie eine Kurzwahl aus dieser Liste nutzen wollen, mssen Sie * und dann die Kurzwahl whlen.
16.3 Media Gateway

Ein Media Gateway dient als bersetzungsinstanz zwischen verschiedenen Telekommunikationsnetzen
wie z. B. zwischen dem herkmmlichen Telefonnetz und den Next Generation Networks
(IP-Netzwerken).
Mit der Digitalisierungsbox Media Gateway kann ein Unternehmen, das mit einer durchwahlfhigen
Telefonanlage an einem leitungsvermittelten Telefonnetz ausgestattet ist, mit einem SIP Trunking Service Provider im Internet verbunden werden und somit IP-Telefonie nutzen.
Die Digitalisierungsbox Media Gateway untersttzt die Anbindung mehrerer SIP Provider Accounts.
Sie knnen mit diesem Gateway Nebenstellen einrichten, einen Rufnummernplan anlegen und Telefonanlagen-Funktionen konfigurieren sowie die Sprachdaten-bertragung bei geringer Bandbreite der
Upload-Verbindung optimieren.
Hinweis
Ihr Gert muss mit einem DSP-Modul ausgestattet sein, um die Media Gateway Funktionen nutzen zu knnen. Informationen zum Einbau des DSP-Moduls finden Sie in der Einbauanleitung, die dem Modul beiliegt.
16.3.1 Anrufkontrolle
Hier knnen Sie die Bedingungen fr das Weiterleiten von Anrufen (Routing) festlegen. Sie legen hier
eine Liste mit Regeln oder Regelketten fest, die dazu dienen, die signalisierte Zielrufnummer zu manipulieren.
Im Men VoIP->Media Gateway->Anrufkontrolle wird eine Liste aller vorhandenen Eintrge angezeigt.
259
16 VoIP
bintec elmeg GmbH

um neue Eintrge hinzuzufgen.
Abb. 135: VoIP ->Media Gateway ->Anrufkontrolle ->
Das Men VoIP->Media Gateway->Anrufkontrolle->
->Neu

Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Eintrags ein.
Whlen Sie aus, ob derEintrag aktiv sein soll.

Typ
Whlen Sie aus, wie der Ruf weitergeleitet werden soll.

Mgliche Werte:
3:: Fr Rufe, die vom Media Gateway an eine Telefonanlage
oder einen ISDN-TE-Anschluss oder einen SIP DDI Client weitergeleitet werden sollen. Dazu knnen verwendet werden: PRI-Schnittstellen
im NT-Modus, BRI-Schnittstellen im NT-Modus, SIP-Konten im TrunkModus (Server Modus) .
-2&: Fr Rufe, die nicht weitergeleitet (gesperrt) werden sollen.
Anrufende Leitung
Sie knnen die Anwendung des Eintrags auf die Leitung begrenzen, auf
welcher der Ruf ankommt.
Die Auswahl hngt von den verfgbaren Schnittstellen und den angelegten SIP-Konten ab.
260
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Mgliche Werte:
19,A(+ , 9B: Begrenzt den Eintrag auf die gewhlte analoge Schnittstelle.
:A(+ , 9B: Begrenzt den Eintrag auf die gewhlte BRI-Schnittstelle.
A(<B: Begrenzt den Eintrag auf das gewhlte SIP-Konto.
%:&: Keine Begrenzung des Eintrags.
Anrufende Adresse
Sie knnen die Anwendung des Eintrags auf einen bestimmten Anrufer
begrenzen. Dazu mssen Sie die Rufnummer exakt angeben (keine
Wildcards).
Angerufene Adresse
Geben Sie die angerufene Adresse ein, auf die die Regel angewendet
werden soll.
Dazu geben Sie eine Adresse numerisch (z. B. eine Rufnummer) oder alphanumerisch (z. B. fr einen Trunk) ein, die mit der gewhlten Adresse
verglichen wird.
Dabei knnen Sie folgende Wildcards verwenden:
* bedeutet, dass am Ende einer Zeichenfolge beliebige weitere Zeichen
folgen knnen.
? dient als Platzhalter fr ein beliebiges Zeichen.
Wenn die konfigurierte Adresse mit der signalisierten Adresse bereinstimmt, wird der Eintrag angewandt.
Im Bereich Routing-Regeln definieren Sie Regeln, die bestimmen, wie die Rufnummer manipuliert wird,
bevor sie fr den Wahlvorgang verwendet wird.
Felder im Men Routing-Regeln (Nur fr Typ = Erlauben )
Feld
Beschreibung
Prioritt
Geben Sie eine ganze Zahl beginnend mit 1 in aufsteigender Reihenfolge

ein, um die Reihenfolge der Filterregeln festzulegen.
Die Regeln werden in der Liste in der angegebenen Reihenfolge "abgearbeitet".
Ist eine Leitung bzw. ein SIP-Konto nicht verfgbar, wird automatisch die
nchste Regel verwendet.
Whlen Sie aus, ob die Regel aktiv sein soll.

Mit 4 wird die Regel aktiv.
Standardmig ist die Regel aktiv.
Leitung
Whlen Sie die Leitung fr den ausgehenden Ruf aus.
Transformation der gerufenen Adresse
Geben Sie ein, wie die Rufnummer manipuliert werden soll, bevor sie fr
den Wahlvorgang verwendet wird.
Notation: <a:b>; d.h. a wird durch b ersetzt. Jede Regel muss durch
einen Strichpunkt abgeschlossen sein. Mehrere Regeln knnen zu einer
Regelkette zusammengefasst werden, indem die einzelnen Regeln durch
Strichpunkte voneinander getrennt werden, z. B. <a:b>;<c:d>;<e:f>;. Die
Regelkette wird nach Besttigung der Eingabe automatisch nach der
261
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
"best match" Methode sortiert.
Numerische und alphanumerische Werte sind zulssig.
? dient als Platzhalter fr ein beliebiges Zeichen.
Beispiel 16.1. Beispiel fr eine Regel
Regel: <:+49911>;
gewhlte Rufnummer: 96731234
manipulierte Nummer: +4991196731234
16.3.2 CLID-Umwandlung
Hier legen Sie die Bearbeitung der Rufnummer des Anrufers (Calling Party Number) bei eingehenden
Anrufen fest. Sie knnen z. B. zu einer empfangenen Telefonnummer einen Prefix hinzufgen, um entsprechende ausgehende Gesprche ber ein bestimmtes SIP-Konto zu routen.
Im Men VoIP->Media Gateway->CLID-Umwandlung wird eine Liste aller vorhandenen Eintrge angezeigt, bei denen die empfangene Rufnummer bearbeitet wird.

um Eintrge fr CLID-Umwandlung hinzuzufgen.
Abb. 136: VoIP ->Media Gateway ->CLID-Umwandlung->
Das Men VoIP->Media Gateway->CLID-Umwandlung->
->Neu

Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Eintrags ein.
Rufnummer
Whlen Sie die ISDN-Leitung oder das SIP-Konto, von welcher bzw. von
welchem der Anruf kommt.
Die Auswahl hngt von den verfgbaren Schnittstellen und den angelegten SIP-Konten ab.
Mgliche Werte:
19,A(+ , 9B: Begrenzt den Eintrag auf die gewhlte analoge Schnittstelle.
:A(+ , 9B: Begrenzt den Eintrag auf die ge-
262
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
whlte BRI-Schnittstelle.
Angerufene Leitung
Sie knnen optional die Zielleitung des Anrufs angeben.

Mgliche Werte:
19,A(+ , 9B: Begrenzt denEintrag auf die gewhlte analoge Schnittstelle.
:A(+ , 9B: Begrenzt den Eintrag auf die gewhlte BRI-Schnittstelle.
Geben Sie entweder Angerufene Leitung oder Angerufene Adresse
ein.
Wird ein Wert gewhlt, der nicht %:& ist, so sollte Angerufene
Adresse nicht benutzt werden. Ist Angerufene Leitung =
%:& gesetzt und wird Angerufene Adresse nicht benutzt, so werden alle Anrufe fr Angerufene Leitung behandelt.
Angerufene Adresse
Sie knnen optional die Zieladresse des Anrufs angeben.

Geben Sie entweder Angerufene Leitung oder Angerufene Adresse
ein. Wird Angerufene Adresse benutzt, so sollte Angerufene Leitung =
%:& gesetzt sein.
Transformation der rufenden Adresse
Geben Sie die Transformationsregel an, die auf die Rufnummer angewendet werden soll.
Notation: <a:b>; d.h. a wird durch b ersetzt. Jede Regel muss durch
einen Strichpunkt abgeschlossen werden. Mehrere Regeln knnen zu einer Regelkette zusammengefat werden, indem die einzelnen Regeln
durch Strichpunkte voneinander getrennt werden, z. B.
<a:b>;<c:d>;<e:f>;. Die Regelkette wird nach Besttigung der Eingabe
automatisch nach der "best match" Methode sortiert.
? dient als Platzhalter fr eine beliebige Ziffer.
Beispiel 16.2. Beispiel fr eine Regel
Regel: <:+49911>;
gewhlte Rufnummer: 96731234
manipulierte Nummer: +4991196731234
16.3.3 Rufnummerntransformation
Hier knnen Sie eine Liste zum Umsetzen von Rufnummern erstellen, d.h. in dieser Liste werden externe und interne Nummern einander zugeordnet.
Hinweis
Welche Rufnummer (Called Party Number oder Calling Party Number) umgesetzt wird,
hngt von der Richtung (eingehend oder ausgehend) des jeweiligen Rufs ab. Bei eingehenden Rufen wird die Called Party Number, bei ausgehenden Rufen die Calling Party
Number umgesetzt.
263
16 VoIP
bintec elmeg GmbH
Sie knnen z. B. die interne Rufnummer 340 nach auen als 09119673900 darstellen oder einen Ruf
von auen, der an die Nummer 09119673200 gehen soll, intern an die Nummer 340 weiterleiten.
Im Men VoIP->Media Gateway->Rufnummerntransformation wird eine Liste vorhandenen Transformationen angezeigt.

um Eintrge fr Rufnummerntransformation hinzuzufgen.
Abb. 137: VoIP ->Media Gateway ->Rufnummerntransformation ->
Das Men VoIP->Media Gateway->Rufnummerntransformation->
->Neu
->Neu besteht aus folgenden
Feldern:
Feld
Beschreibung
Beschreibung
Geben Sie den Namen der Rufnummerntransformation ein.
Richtung
Whlen Sie die Rufrichtung fr den Eintrag.

Mgliche Werte:
% (Standardwert): Fr eingehende und ausgehende Rufe
(bidirektional).
& : Fr eingehende Rufe.
43,& : Fr ausgehende Rufe.
Zugeordnete Leitung
Whlen Sie die ISDN-Leitung oder das SIP-Konto, ber die bzw. ber
das Rufe geleitet werden sollen.
Mgliche Werte:
19,A(+ , 9B: Begrenzt den Ruf auf die gewhlte
analoge Schnittstelle.
:A(+ , 9B: Begrenzt den Ruf auf die gewhlte
BRI-Schnittstelle.
A(<B: Begrenzt den Ruf auf das gewhlte SIP-Konto.
Lokale Adresse
264
Geben Sie die interne Rufnummer (z. B. Nummer einer Nebenstelle oder
TK-Anlage) an. Bei eingehenden Rufen wird die signalisierte Called Party
Number (entspricht im Men dem Feld Externe Adresse) auf die Lokale
Adresse umgesetzt. Bei ausgehenden Rufen wird die signalisierte Calling Party Number (entspricht im Men dem Feld Lokale Adresse) auf
die Externe Adresse umgesetzt.
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
Numerische und alphanumerische Zeichen sind zulssig.
V dient als Platzhalter fr eine beliebige Ziffer.
Beachten Sie, dass Lokale Adresse und Externe Adresse dieselbe Anzahl von Wildcards enthalten mssen.
Externe Adresse
Geben Sie die externe Rufnummer (z. B. ISDN MSN oder die Rufnummer des SIP-Kontos) an. Bei eingehenden Rufen wird die signalisierte
Called Party Number (entspricht im Men dem Feld Externe Adresse)
auf die Lokale Adresse umgesetzt. Bei ausgehenden Rufen wird die signalisierte Calling Party Number (entspricht im Men dem Feld Lokale
Adresse) auf die Externe Adresse umgesetzt.
Das Feld Externe Adresse ist nicht sichtbar, wenn das Feld Zugeordnete Leitung = A(<B gesetzt ist. Als Externe Adresse wird in diesem Fall wird der Benutzername des gewhlten SIP-Kontos verwendet.
16.4 RTSP
In diesem Men konfigurieren Sie die Verwendung des Real-Time Streaming Protokolls (RTSP).
RTSP ist ein Netzwerkprotokoll zur Steuerung von Multimedia-Datenstrmen in IP-basierten Netzwerken. Mittels RTSP werden keine Nutzdaten bertragen. Vielmehr wird damit eine Multimedia-Session
zwischen Sender und Empfnger gesteuert.
Wenn Sie RTSP nutzen mchten, mssen Firewall und NAT entsprechend konfiguriert werden. Im Men VoIP->RTSP knnen Sie den RTSP-Proxy aktivieren, um bei Bedarf angefragte RTSP-Sessions
ber den definierten Port zu ermglichen.
16.4.1 RTSP-Proxy
Im Men VoIP->RTSP->RTSP-Proxy konfigurieren Sie die Verwendung des Real-Time Streaming Protokolls.
Abb. 138: VoIP ->RTSP->RTSP-Proxy
Das Men VoIP->RTSP->RTSP-Proxy besteht aus den folgenden Feldern:

Feld
Beschreibung
RTSP-Proxy
Whlen Sie aus, ob Sie RTSP-Sessions zulassen mchten.

RTSP-Port
Whlen Sie den Port aus, ber den RTSP-Nachrichten ein- bzw. ausgehen sollen.

.
265
16 VoIP
bintec elmeg GmbH
Feld
Beschreibung
.
266
17 Lokale Dienste
bintec elmeg GmbH
Kapitel 17 Lokale Dienste

Dieses Men stellt Ihnen Dienste zu folgenden Themenkreisen zur Verfgung:
Namensauflsung (DNS)
Konfiguration ber einen Web-Browser (HTTPS)
Auffinden dynamischer IP-Adressen mit Hilfe eines DynDNS-Providers
Konfiguration des Gateways als DHCP-Server (Vergabe von IP-Adressen)
Automatisieren von Aufgaben nach einem Zeitplan (Scheduling)
Erreichbarkeitsprfungen von Hosts oder Schnittstellen, Ping-Test
Realtime-Video/Audiokonferenzen (Messenger-Dienste, Universal Plug and Play)
17.1 DNS
Jedes Gert in einem TCP/IP-Netz wird normalerweise durch seine IP-Adresse angesprochen. Da in
Netzwerken oft Host-Namen benutzt werden, um verschiedene Gerte anzusprechen, muss die zugehrige IP-Adresse bekanntgegeben werden. Diese Aufgabe bernimmt z. B. ein DNS-Server. Er lst die
Host-Namen in IP-Adressen auf. Eine Namensauflsung kann alternativ auch ber die sogenannte
HOSTS-Datei erfolgen, die auf jedem Rechner zur Verfgung steht.
Ihr Gert bietet zur Namensauflsung folgende Mglichkeiten:
DNS-Proxy, um DNS-Anfragen, die an Ihr Gert gestellt werden, an einen geeigneten DNS-Server
weiterzuleiten. Dieses schliet auch spezifisches Forwarding definierter Domains
(Domnenweiterleitung) ein.
DNS Cache, um die positiven und negativen Ergebnisse von DNS-Anfragen zu speichern.
Statische Eintrge (Statische Hosts), um Zuordnungen von IP-Adressen zu Namen manuell festzulegen oder zu verhindern.
DNS-Monitoring (Statistik), um einen berblick ber DNS-Anfragen auf Ihrem Gert zu ermglichen.
Name-Server
Unter Lokale Dienste->DNS->Globale Einstellungen->Basisparameter werden die IP-Adressen von
Name-Servern eingetragen, die befragt werden, wenn Ihr Gert Anfragen nicht selbst oder durch Forwarding-Eintrge beantworten kann. Es knnen sowohl globale Name-Server eingetragen werden als
auch Name-Server, die an eine Schnittstelle gebunden sind.
Die Adressen der globalen Name-Server kann Ihr Gert auch dynamisch via PPP oder DHCP erhalten
bzw. diese ggf. bermitteln.
Strategie zur Namensauflsung auf Ihrem Gert

Eine DNS-Anfrage wird von Ihrem Gert folgendermaen behandelt:
(1)
Falls mglich, wird die Anfrage aus dem statischen oder dynamischen Cache direkt mit IP-Adresse
oder negativer Antwort beantwortet.
(2)
Ansonsten wird, falls ein passender Forwarding-Eintrag vorhanden ist, der entsprechende DNSServer befragt, je nach Konfiguration von Internet- oder Einwhlverbindungen ggf. unter Aufbau einer kostenpflichtigen WAN-Verbindung. Falls der DNS-Server den Namen auflsen kann, wird die
Information weitergeleitet und ein dynamischer Eintrag im Cache erzeugt.
(3)
Ansonsten werden, falls Name-Server eingetragen sind, unter Bercksichtigung der konfigurierten
Prioritt und wenn der entsprechende Schnittstellenstatus "up" ist, der primre DNS-Server, danach der sekundre DNS-Server befragt. Falls einer der DNS-Server den Namen auflsen kann,
wird die Information weitergeleitet und ein dynamischer Eintrag im Cache erzeugt.
(4)
Ansonsten werden, falls eine Internet- oder Einwhlverbindung als Standard-Schnittstelle ausgewhlt ist, die dazugehrigen DNS-Server befragt, je nach Konfiguration von Internet- oder Einwhl-
267
17 Lokale Dienste
bintec elmeg GmbH
verbindungen ggf. unter Aufbau einer kostenpflichtigen WAN-Verbindung. Falls einer der DNSServer den Namen auflsen kann, wird die Information weitergeleitet und ein dynamischer Eintrag
im Cache erzeugt.
(5)
Ansonsten wird, falls im Men WAN->Internet + Einwhlen ein Eintrag angelegt wurde und das
berschreiben der Adressen der globalen Name-Server zulssig ist (Schnittstellenmodus = .0
,+ ), eine Verbindung zur ersten Internet- bzw. Einwhlverbindung ggf. kostenpflichtig aufgebaut, die so konfiguriert ist, dass DNS-Server-Adressen von DNS-Servern angefordert werden knnen (DNS-Aushandlung = 4) - soweit dies vorher noch nicht versucht wurde. Bei erfolgreicher Name-Server-Aushandlung stehen diese Name-Server somit fr weitere Anfragen zur Verfgung.
(6)
Ansonsten wird die initiale Anfrage mit Serverfehler beantwortet.
Wenn einer der DNS-Server mit

antwortet, wird die initiale Anfrage sofort dementsprechend beantwortet und ein entsprechender Negativ-Eintrag in den DNS-Cache Ihres Gerts
aufgenommen.
17.1.1 Globale Einstellungen
Abb. 139: Lokale Dienste->DNS->Globale Einstellungen
Das Men Lokale Dienste->DNS->Globale Einstellungen besteht aus folgenden Feldern:

Feld
Beschreibung
Domnenname
Geben Sie den Standard-Domain-Namen Ihres Gerts ein.
WINS-Server
Geben Sie die IP-Adresse des ersten und, falls erforderlich, des alternativen globalen Windows Internet Name Servers (=WINS) oder NetBIOS
Name Servers (=NBNS) ein.
Primr
Sekundr

268
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Positiver Cache
Whlen Sie aus, ob der positive dynamische Cache aktiviert werden soll,
d. h. ob erfolgreich aufgelste Namen und IP-Adressen im Cache gespeichert werden sollen.
Negativer Cache
Whlen Sie aus, ob der negative dynamische Cache aktiviert werden

soll, d. h. ob angefragte Namen, zu denen ein DNS-Server eine negative
Antwort geschickt hat, als negative Eintrge im Cache gespeichert werden sollen.
Cache-Gre
Geben Sie die maximale Gesamtzahl der statischen und dynamischen

Eintrge ein.
Wird dieser Wert erreicht, wird bei einem neu hinzukommenden Eintrag
derjenige dynamische Eintrag gelscht, der am lngsten nicht angefragt
wurde. Wird Cache-Gre vom Benutzer heruntergesetzt, werden gegebenenfalls dynamische Eintrge gelscht. Statische Eintrge werden
nicht gelscht. Cache-Gre kann nicht kleiner als die aktuell vorhandene Anzahl von statischen Eintrgen gesetzt werden.
Mgliche Werte: .. .
Maximale TTL fr positive Geben Sie den Wert ein, auf den die TTL fr einen positiven dynamiCacheeintrge
schen DNS-Eintrag im Cache gesetzt werden soll, wenn dessen TTL
ist oder dessen TTL den Wert fr Maximale TTL fr positive Cacheeintrge berschreitet.
Maximale TTL fr negative Geben Sie den Wert ein, auf den die TTL bei einem negativen dynamiCacheeintrge
schen Eintrag im Cache gesetzt werden soll.
Alternative Schnittstelle,
um DNS-Server zu erhalten
Whlen Sie die Schnittstelle aus, zu der eine Verbindung zur Name-Server-Verhandlung aufgebaut wird, wenn andere Versuche zur Namensauflsung nicht erfolgreich waren.
Der Standardwert ist 43,+ , d. h. es wird einmalig eine Verbindung zum ersten geeigneten Verbindungspartner aufgebaut, der im System konfiguriert ist.
Felder im Men Fr DNS-/WINS-Serverzuordnung zu verwendende IP-Adresse

Feld
Als DHCP-Server
Beschreibung
Whlen Sie aus, welche Name-Server-Adressen dem DHCP-Client bermittelt werden, wenn Ihr Gert als DHCP-Server genutzt wird.
Mgliche Werte:
<: Es wird keine Name-Server-Adresse bermittelt.
& 4 ,, (Standardwert): Es wird die Adresse Ihres Gerts als Name-Server-Adresse bermittelt.
269
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
.;(,3&: Es werden die Adressen der auf Ihrem Gert eingetragenen globalen Name-Server bermittelt.
Als IPCP-Server
Whlen Sie aus, welche Name-Server-Adressen von Ihrem Gert bei einer dynamischen Name-Server-Aushandlung bermittelt werden, wenn
Ihr Gert als IPCP-Server fr PPP-Verbindungen genutzt wird.
Mgliche Werte:
<: Es wird keine Name-Server-Adresse bermittelt.
& 4 ,,: Es wird die Adresse Ihres Gerts als NameServer-Adresse bermittelt.
.;(,3& (Standardwert): Es werden die Adressen der auf
Ihrem Gert eingetragenen globalen Name-Server bermittelt.
17.1.2 DNS-Server
Im Men Lokale Dienste->DNS->DNS-Server wird eine Liste aller konfigurierten DNS-Server angezeigt.

um weitere DNS-Server einzurichten.

Sie knnen hier sowohl globale DNS-Server konfigurieren als auch DNS-Server, die einer bestimmten
Schnittstelle zugewiesen werden sollen.
Einen DNS-Server fr eine bestimmte Schnittstelle zu konfigurieren ist zum Beispiel ntzlich, wenn Accounts zu verschiedenen Providern ber unterschiedliche Schnittstellen eingerichtet sind und Lastverteilung verwendet wird.
Abb. 140: Lokale Dienste->DNS->DNS-Server->Neu
Das Men Lokale Dienste->DNS->DNS-Server->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Admin-Status
Whlen Sie aus, ob der DNS-Server aktiv sein soll.

Beschreibung
270
Geben Sie eine Beschreibung fr den DNS-Server ein.
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Prioritt
Weisen Sie dem DNS-Server eine Prioritt zu.

Sie knnen einer Schnittstelle (d.h. zum Beispiel einem Ethernet-Port
oder einem PPPoE-WAN-Partner) mehrere Paare von DNS-Servern ( Primrer DNS-Server und Sekundrer DNS-Server) zuweisen. Verwendet
wird das Paar mit der hchsten Prioritt, wenn die Schnittstelle im Zustand "up" ist.
Mgliche Werte von (hchste Prioritt) bis (niedrigste Prioritt).
.
Schnittstellenmodus
Whlen Sie aus, ob die IP-Adressen von Name-Servern fr die Namensauflsung von Internet-Adressen automatisch bezogen oder ob abhngig von der Prioritt bis zu zwei feste DNS-Server-Adressen eingetragen werden sollen.
Mgliche Werte:
(,+
.0,+
Schnittstelle
(Standardwert)
Whlen Sie diejenige Schnittstelle, welcher das DNS-Server-Paar zugewiesen werden soll.
Bei Schnittstellenmodus = .0,+
Mit der Einstellung < wird ein globaler DNS-Server angelegt.
Bei Schnittstellenmodus = (,+
Mit der Einstellung %:& wird ein DNS-Server fr alle Schnittstellen
konfiguriert.
IP-Version
Whlen Sie die verwendete IP-Version aus.
Mgliche Werte:

Standardmig ist ausgewhlt.
Primrer IPv4-DNS-Server Nur bei Schnittstellenmodus = (,+
Geben Sie die IPv4-Adresse des ersten Name-Servers fr die Namensauflsung von Internet-Adressen ein.
Sekundrer
IPv4-DNS-Server
Nur bei Schnittstellenmodus = (,+

Geben Sie optional die IPv4-Adresse eines alternativen Name-Servers
ein.
Primrer IPv6-DNS-Server Nur bei Schnittstellenmodus = (,+

Geben Sie die IPv6-Adresse des ersten Name-Servers fr die Namensauflsung von Internet-Adressen ein.
Sekundrer
IPv6-DNS-Server
Nur bei Schnittstellenmodus = (,+

Geben Sie optional die IPv6-Adresse eines alternativen Name-Servers
ein.
271
17 Lokale Dienste
bintec elmeg GmbH
17.1.3 Statische Hosts

Im Men Lokale Dienste->DNS->Statische Hosts wird eine Liste aller konfigurierten statischen Hosts
angezeigt.
17.1.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere statische Hosts einzurichten.
Abb. 141: Lokale Dienste->DNS->Statische Hosts->Neu
Das Men Lokale Dienste->DNS->Statische Hosts->Neu besteht aus folgenden Feldern:

Felder im Men BasisparameterStandarddomne
Feld
Beschreibung
DNS-Hostname
Geben Sie den Host-Namen ein, dem die in diesem Men definierte IPAdresse zugeordnet werden soll, wenn eine DNS-Anfrage positiv beantwortet wird. Wenn eine DNS-Anfrage negativ beantwortet wird, wird keine Adresse mitgeteilt.
Der Eintrag kann auch mit der Wildcard * beginnen, z. B.
*.bintec-elmeg.com.
Bei Eingabe eines Namens ohne Punkt wird nach Besttigung mit OK
"<Name.> " ergnzt.
Eintrge mit Leerzeichen sind nicht erlaubt.
Antwort
Whlen Sie die Art der Antwort auf DNS-Anfragen zu diesem Eintrag
aus.
Mgliche Werte:
;&: Eine DNS-Anfrage nach DNS-Hostname wird negativ beantwortet.
, (Standardwert): Eine DNS-Anfrage nach DNS-Hostname
wird mit der dazugehrigen IP-Adresse beantwortet.
<: Ein DNS-Request wird ignoriert, es wird keine Antwort gegeben.
IPV4-Adresse
Nur bei Antwort = ,

Geben Sie die IPv4-Adresse ein, die nach DNS-Hostname zugeordnet
wird.
272
17 Lokale Dienste
bintec elmeg GmbH
Feld
IPv6-Adresse
Beschreibung
Nur bei Antwort = ,
Geben Sie die IPv6-Adresse ein, die nach DNS-Hostname zugeordnet
wird.
17.1.4 Domnenweiterleitung
Im Men Lokale Dienste->DNS->Domnenweiterleitung wird eine Liste aller konfigurierter Weiterleitungen fr definierte Domnen angezeigt.
17.1.4.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Weiterleitungen einzurichten.
Abb. 142: Lokale Dienste->DNS->Domnenweiterleitung ->Neu
Das Men Lokale Dienste->DNS->Domnenweiterleitung->Neu besteht aus folgenden Feldern:

Felder im Men Weiterleitungsparameter
Feld
Beschreibung
Weiterleiten
Whlen Sie aus, ob Anfragen bezglich eines Hosts oder einer Domne
weitergeleitet werden soll.
Mgliche Werte:
>, (Standardwert)
.@
Host
Nur fr Weiterleiten = >,

und Weiterleiten an = .;((
Geben Sie den Namen des Hosts ein, fr den Anfragen weitergeleitet
werden sollen.
Bei Eingabe eines Namens ohne "." wird nach Besttigung mit OK der
Eintrag mit dem im Men Lokale Dienste->DNS->Globale Einstellungen unter Domnenname eingetragenen Namen ergnzt.
Domne
Nur fr Weiterleiten = .@

und Weiterleiten an = .;((
Geben Sie den Namen der Domne ein, fr die Anfragen weitergeleitet
werden sollen.
Der Eintrag kann mit der Wildcard "*" beginnen, z. B. "*.mustermann.lan".
Bei Eingabe eines Namens ohne fhrende Wildcard "*" wird nach Best-
273
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
tigung mit OK automatisch eine fhrende Wildcard "*" eingefgt.
Weiterleiten an
Whlen Sie aus, ob zutreffende DNS-Anfragen an den DNS-Server einer

Schnittstelle oder an einen manuell konfigurierten DNS-Server weitergeleitet werden sollen.
Mgliche Werte:
(+ , (Standardwert): Anfragen werden an den DNSServer entweder einer automatisch gewhlten oder einer manuell konifgurierten Schnittstelle weitergeleitet.
.;((: Anfragen werden an den definierten DNS-Server weitergeleitet.
Schnittstelle
Nur fr Weiterleiten an = (+ ,

Whlen Sie die Schnittstelle aus, an deren DNS-Server Anfragen weitergeleitet werden sollen.
IPv4-DNS-Server
Nur fr Weiterleiten an = .;((

Geben Sie IPv4-Adresse des primren und sekundren DNS-Servers
ein.
IPv6-DNS-Server
Nur fr Weiterleiten an = .;((

Geben Sie IPv6-Adresse des primren und sekundren DNS-Servers
ein.
17.1.5 Cache
Im Men Lokale Dienste->DNS->Cache wird eine Liste aller vorhandenen Cache-Eintrge angezeigt.
Abb. 143: Lokale Dienste->DNS->Cache
Sie knnen einzelne Eintrge ber das Kstchen in der jeweiligen Zeile oder alle gleichzeitig mit der
Schaltflche Alle auswhlen markieren.
Durch Markieren eines Eintrags und Besttigen mit Als statisch festlegen wird ein dynamischer Eintrag in einen statischen umgewandelt. Der entsprechende Eintrag verschwindet aus dieser Liste und
wird in der Liste im Men Statische Hosts angezeigt. Die TTL wird bernommen.
274
17 Lokale Dienste
bintec elmeg GmbH
17.1.6 Statistik
Abb. 144: Lokale Dienste->DNS->Statistik
Im Men Lokale Dienste->DNS->Statistik werden folgende statistische Werte angezeigt:

Felder im Men DNS-Statistiken
Feld
Beschreibung
Empfangene DNS-Pakete
Zeigt die Anzahl der empfangenen und direkt an Ihr Gert adressierten
DNS-Pakete an, einschlielich der Antwortpakete auf weitergeleitete Anfragen.
Ungltige DNS-Pakete
Zeigt die Anzahl der ungltigen empfangenen und direkt an Ihr Gert
adressierten DNS-Pakete an.
DNS-Anfragen
Zeigt die Anzahl der gltigen empfangenen und direkt an Ihr Gert adressierten DNS-Requests an.
Cache-Treffer
Zeigt die Anzahl der Anfragen an, die mittels der statischen Eintrge oder
der dynamischen Eintrge aus dem Cache beantwortet werden konnten.
Weitergeleitete Anfragen
Zeigt die Anzahl der Anfragen an, die an andere Name-Server weitergeleitet wurden.
Cache-Trefferrate (%)
Zeigt die Anzahl der Cache-Treffer pro DNS-Anfrage in Prozent an.
Erfolgreich beantwortete
Anfragen
Zeigt die Anzahl der erfolgreich (positiv und negativ) beantworteten Anfragen an.
Serverfehler
Zeigt die Anzahl der Anfragen an, die kein Name-Server (weder positiv
noch negativ) beantworten konnte.
17.2 HTTPS
Die Benutzeroberflche Ihres Gerts knnen Sie von jedem PC aus mit einem aktuellen Web-Browser
auch ber eine HTTPS-Verbindung bedienen.
HTTPS (HyperText Transfer Protocol Secure) ist hierbei das Verfahren, um zwischen dem Browser, der
zur Konfiguration verwendet wird, und dem Gert eine verschlsselte und authentifizierte Verbindung
mittels SSL aufzubauen.
17.2.1 HTTPS-Server
Im Men Lokale Dienste->HTTPS->HTTPS-Server konfigurieren Sie die Parameter der gesicherten
Konfigurationsverbindung ber HTTPS.
275
17 Lokale Dienste
bintec elmeg GmbH
Abb. 145: Lokale Dienste->HTTPS->HTTPS-Server
Das Men Lokale Dienste->HTTPS->HTTPS-Server besteht aus folgenden Feldern:

Felder im Men HTTPS-Parameter
Feld
Beschreibung
HTTPS-TCP-Port
Geben Sie den Port ein, ber den die HTTPS-Verbindung aufgebaut werden soll.
Mglich sind Werte von bis

.
Lokales Zertifikat
Whlen Sie ein Zertifikat aus, das fr die HTTPS-Verbindung verwendet

werden soll.
Mgliche Werte:
(Standardwert): Whlen Sie diese Option, wenn Sie das auf
dem Gert voreingestellte Zertifikat verwenden mchten.
AE1,B: Whlen Sie ein unter
Systemverwaltung ->Zertifikate->Zertifikatsliste eingetragenes Zertifikat aus.
17.3 DynDNS-Client
Die Nutzung dynamischer IP-Adressen hat den Nachteil, dass ein Host im Netz nicht mehr aufgefunden
werden kann, sobald sich seine IP-Adresse gendert hat. DynDNS sorgt dafr, dass Ihr Gert auch
nach einem Wechsel der IP-Adresse noch erreichbar ist.
Folgende Schritte sind zur Einrichtung notwendig:
Registrierung eines Hostnamens bei einem DynDNS-Provider
Konfiguration Ihres Gerts
Registrierung
Bei der Registrierung des Hostnamens legen Sie einen individuellen Benutzernamen fr den DynDNSDienst fest, z. B. 0K+. Dazu bieten die Service Provider unterschiedliche Domainnamen an, so
dass sich ein eindeutiger Hostname fr Ihr Gert ergibt, z. B. 0K+* +. Der
DynDNS-Provider bernimmt fr Sie die Aufgabe, alle DNS-Anfragen bezglich des Hosts
0K+* + mit der dynamischen IP-Adresse Ihres Gerts zu beantworten.
Damit der Provider stets ber die aktuelle IP-Adresse Ihres Gerts informiert ist, kontaktiert Ihr Gert
beim Aufbau einer neuen Verbindung den Provider und propagiert seine derzeitige IP-Adresse.
17.3.1 DynDNS-Aktualisierung
Im Men Lokale Dienste->DynDNS-Client->DynDNS-Aktualisierung wird eine Liste aller konfigurierten DynDNS-Registrierungen angezeigt, die aktualisiert werden sollen.
276
17 Lokale Dienste
bintec elmeg GmbH
17.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere zu aktualisierende DynDNS-Registrierungen einzurichten.
Abb. 146: Lokale Dienste->DynDNS-Client->DynDNS-Aktualisierung ->Neu
Das Men Lokale Dienste->DynDNS-Client->DynDNS-Aktualisierung->Neu besteht aus folgenden

Feldern:
Feld
Beschreibung
Hostname
Geben Sie den vollstndigen Hostnamen ein, wie er beim DynDNS-Provider registriert ist.
Schnittstelle
Whlen Sie die WAN-Schnittstelle aus, deren IP-Adresse ber den

DynDNS-Service propagiert werden soll (z. B. die Schnittstelle des Internet Service Providers).
Benutzername
Geben Sie den Benutzernamen ein, wie er beim DynDNS-Provider registriert ist.
Passwort
Geben Sie das Passwort ein, wie es beim DynDNS-Provider registriert

ist.
Provider
Whlen Sie den DynDNS-Provider aus, bei dem oben genannte Daten
registriert sind.
Im unkonfigurierten Zustand stehen Ihnen bereits DynDNS-Provider zur
Auswahl, deren Protokolle untersttzt werden.
Weitere DynDNS-Provider knnen im Men Lokale Dienste->DynDNS-Client->DynDNS-Provider konfiguriert werden.
Der Standardwert ist .0.;( .
Aktualisierung aktivieren
Whlen Sie aus, ob der hier konfigurierte DynDNS-Eintrag aktiviert werden soll.

277
17 Lokale Dienste
bintec elmeg GmbH

Feld
Beschreibung
Mail-Exchanger (MX)
Geben Sie den vollstndigen Hostnamen eines Mailservers ein, an den

E-Mails weitergeleitet werden sollen, wenn der hier konfigurierte Host
keine Mail empfangen soll.
Erkundigen Sie sich bei Ihrem Provider nach diesem Weiterleitungsdienst
und stellen Sie sicher, dass E-Mails von dem als MX eingetragenen Host
angenommen werden knnen.
Wildcard
Whlen Sie aus, ob die Weiterleitung aller Unterdomnen von Hostname

zur aktuellen IP-Adresse von Schnittstelle aktiviert werden soll
(Erweiterte Namensauflsung).
17.3.2 DynDNS-Provider
Im Men Lokale Dienste->DynDNS-Client->DynDNS-Provider wird eine Liste aller konfigurierten
DynDNS-Provider angezeigt.
17.3.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere DynDNS-Provider einzurichten.
Abb. 147: Lokale Dienste->DynDNS-Client->DynDNS-Provider ->Neu
Das Men Lokale Dienste->DynDNS-Client->DynDNS-Provider->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Providername
Tragen Sie einen Namen fr diesen Eintrag ein.
Server
Geben Sie den Host-Namen oder die IP-Adresse des Servers ein, auf
dem der DynDNS-Service des Providers luft.
Aktualisierungspfad
Geben Sie den Pfad auf dem Server des Providers ein, auf dem das
Skript zur Verwaltung der IP-Adresse Ihres Gerts zu finden ist.
Fragen Sie Ihren Provider nach dem zu verwendenden Pfad.
Port
278
Geben Sie den Port ein, auf dem Ihr Gert den Server Ihres Providers
ansprechen soll.
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Erfragen Sie den entsprechenden Port bei Ihrem Provider.
Protokoll
Whlen Sie eines der implementierten Protokolle aus.

Mgliche Werte:
.0.;( (Standardwert)
(+ .0.;(
D.(
>;
.U;(
3.>/#
3.$
$3, .0.;(
.,9
Aktualisierungsintervall
Geben Sie die Zeitdauer (in Sekunden) an, die Ihr Gert mindestens warten muss, bevor es seine aktuelle IP-Adresse erneut beim DynDNS-Provider propagieren darf.
17.4 DHCP-Server
Sie knnen Ihr Gert als DHCP-Server (DHCP = Dynamic Host Configuration Protocol) konfigurieren.
Jeder Rechner in Ihrem LAN bentigt, wie auch Ihr Gert, eine eigene IP-Adresse. Eine Mglichkeit, IPAdressen in Ihrem LAN zuzuweisen, bietet das Dynamic Host Configuration Protocol (DHCP). Wenn Sie
Ihr Gert als DHCP-Server einrichten, vergibt es anfragenden Rechnern im LAN automatisch IPAdressen aus einem definierten IP-Adress-Pool.
Wenn ein Client erstmals eine IP-Adresse bentigt, schickt er eine DHCP-Anfrage (mit seiner MACAdresse) als Netzwerk-Broadcast an die verfgbaren DHCP-Server. Daraufhin erhlt der Client (im Zuge einer kurzen Kommunikation) vom bintec elmeg seine IP-Adresse.
Sie mssen so den Rechnern keine festen IP-Adressen zuweisen, der Konfigurationsaufwand fr Ihr
Netzwerk verringert sich. Dazu richten Sie einen Pool an IP-Adressen ein, aus dem Ihr Gert jeweils fr
einen definierten Zeitraum IP-Adressen an Hosts im LAN vergibt. Ein DHCP-Server bermittelt auch die
Adressen des statisch oder per PPP-Aushandlung eingetragenen Domain-Name-Servers (DNS), des
NetBIOS Name Servers (WINS) und des Standard-Gateways.
Konkrete Hinweise fr die Konfiguration eines DHCP-Servers, eines DHCP-Clients oder eines DHCPRelay-Servers (siehe auch DHCP-Relay-Einstellungen auf Seite 285) finden Sie am Ende des Kapitels
unter DHCP - Konfigurationsbeispiel auf Seite 285.
17.4.1 IP-Pool-Konfiguration
Im Men Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration wird eine Liste aller konfigurierten
IP-Pools angezeigt. Diese Liste ist global und zeigt auch in anderen Mens konfigurierte Pools an.

279
17 Lokale Dienste
bintec elmeg GmbH
Abb. 148: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu

Feld
Beschreibung
IP-Poolname

benennen.
IP-Adressbereich
DNS-Server
ein.
17.4.2 DHCP-Konfiguration
Um Ihr Gert als DHCP-Server zu aktivieren, mssen Sie zunchst IP-Adress-Pools definieren, aus denen die IP-Adressen an die anfragenden Clients verteilt werden.
Im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration wird eine Liste aller konfigurierter DHCP-Pools angezeigt.
In der Liste haben Sie zu jedem Eintrag unter Status die Mglichkeit, die angelegten DHCP-Pools zu
aktivieren bzw. deaktivieren.
Hinweis
Im Auslieferungszustand ist der DHCP-Pool mit den IP-Adressen 192.168.2.100 bis
192.168.2.199 vorkonfiguriert, und wird verwendet, wenn kein anderer DHCP-Server im
Netzwerk verfgbar ist.

Whlen Sie die Schaltflche Neu, um weitere DHCP-Pools einzurichten. Whlen Sie das Symbol
280
17 Lokale Dienste
bintec elmeg GmbH
Abb. 149: Lokale Dienste->DHCP-Server->DHCP-Konfiguration ->Neu
Das Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Schnittstelle
Whlen Sie die Schnittstelle aus, ber welche die in IP-Adressbereich

definierten Adressen an anfragende DHCP-Clients vergeben werden.
Wenn eine DHCP-Anfrage ber diese Schnittstelle eingeht, wird eine
der Adressen aus dem Adress-Pool zugeteilt.
IP-Poolname
Whlen Sie einen im Men Lokale Dienste->DHCP-Server->IPPool-Konfiguration konfigurierten IP-Poolnamen aus.
Pool-Verwendung
Whlen Sie aus, ob der DHCP-Pool fr Anfragen von DHCP-Clients in einem direkt an Schnittstelle angeschlossenen Ethernet verwendet werden
soll oder fr DHCP-Anfragen, die aus einem abgesetzt liegenden Ethernet stammen und ber eine DHCP-Relaisstation an Ihr Gert weitergeleitet wurden.
In letzterem Fall ist es mglich, einen IP-Adresspool fr ein entfernt liegendes Netz zu verwenden.
Mgliche Werte:
# (Standardwert): Der DHCP-Pool wird nur fr DHCP-Anfragen
aus einem direkt an Schnittstelle angeschlossenen Ethernet verwendet.
?,: Der DHCP-Pool wird nur fr weitergeleitete DHCP-Anfragen
aus einem abgesetzt liegenden Ethernet verwendet.
#7?,: Der DHCP-Pool kann fr lokale und fr weitergeleitete DHCP-Anfragen aus direkt angeschlossenen bzw. abgesetzt liegenden Ethernets verwendet werden.

Feld
Beschreibung
Gateway
Whlen Sie aus, welche IP-Adresse dem DHCP-Client als Gateway bermittelt werden soll.
Mgliche Werte:
281
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
?3 , 20 2 (Standardwert): Hier wird die fr
die Schnittstelle definierte IP-Adresse bertragen.
< 20: Hier wird keine IP-Adresse bermittelt.
4&:: Geben Sie die entsprechende IP-Adresse ein.
Lease Time
Geben Sie ein, wie lange (in Minuten) eine Adresse aus dem Pool einem
Host zugewiesen werden soll.
Nachdem Lease Time abgelaufen ist, kann die Adresse durch den Server neu vergeben werden.
DHCP-Optionen
Geben Sie an, welche zustzlichen Daten dem DHCP Client weitergegeben werden sollen.
Mgliche Werte fr Option:
E, (Standardwert): Geben Sie die IP-Adresse des Zeitservers ein, die dem Client bermittelt werden soll.
.;((: Geben Sie die IP-Adresse des DNS-Servers ein, die
dem Client bermittelt werden soll.
.;(.@: Geben Sie die DNS Domain ein, die dem Client
bermittelt werden soll.
=;(7;%;((: Geben Sie die IP-Adresse des WINS/
NBNS-Servers ein, die dem Client bermittelt werden soll.
=;(7;% ; 0*: Whlen Sie den Typ des WINS/NBT Nodes,
der dem Client bermittelt werden soll.
'(: Geben Sie die IP-Adresse des TFTP-Servers ein, die
dem Client bermittelt werden soll.
$4=4 $: Geben Sie die IP-Adresse des CAPWAP Controllers ein, die dem Client bermittelt werden soll.
5?# !,3&,,": Mit dieser Option knnen Sie einem Client eine beliebige URL bermitteln.
Verwenden Sie diese Option, um anfragenden IP1x0-Telefonen die
URL des Provisionierungsservers zu bermitteln, wenn eine automatische Provisionierung der Telefone vorgenommen werden soll. Die URL
muss dann die Form *677A4 ,, , ,
3&,,,B7&K* haben.
>,&3** (Vendor Specific Information): Mit dieser Option
knnen Sie dem Client in einem beliebigen Text-String ggf. herstellerspezifische Informationen bermitteln.
- (&: Mit dieser Option knnen die Konfigurationsparameter (z. B. PIN und Access Point Name (APN) der SIM-Karte) bertragen
werden.
Es sind mehrere Eintrge mglich. Fgen Sie weitere Eintrge mit der
Schaltflche Hinzufgen ein.
Herstellergruppe
Im Men Lokale Dienste -> DHCP-Server ->DHCP-Konfiguration->Erweiterte Einstellungen knnen
Sie einen Eintrag im Feld DHCP-Optionen bearbeiten, wenn Option = >,&3** gewhlt
ist.
, um einen vorhandenen Eintrag zu bearbeiten. Im Popup-Men konfigurie-
ren Sie herstellerspezifische Einstellungen im DHCP-Server zum Beispiel fr bestimmte Telefone.

282
17 Lokale Dienste
bintec elmeg GmbH

Feld
Beschreibung
Hersteller auswhlen
Sie knnen hier auswhlen, fr welchen Hersteller spezifische Werte fr

den DHCP-Server bermittelt werden sollen.
Mgliche Werte:
(, (Standardwert)
(,&
Provisioning-Server
Nur fr Hersteller auswhlen = (,

Geben Sie ein, welcher herstellerspezifische Wert bermittelt werden
soll.
Fr die Einstellung Hersteller auswhlen = (, wird der Standardwert , * angezeigt.
Sie knnen die IP-Adresse des gewnschten Servers ergnzen.
Herstellerbeschreibung
Nur fr Hersteller auswhlen = (,&

Geben Sie den Namen des Herstellers ein, fr den Sie spezifische Werte
fr den DHCP-Server bermitteln wollen.
Benutzerdefinierte DHCPOptionen

Fgen Sie mit Hinzufgen weitere Eintrge hinzu.
Sie knnen DHCP-Optionen hinzufgen.
Vendor String
Gehen Sie im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Erweiterte Einstellungen folgendermaen vor, um die entsprechenden Parameter einzugeben:
Klicken Sie im Feld DHCP-Optionen auf die Schaltflche Hinzufgen und whlen Sie Option = -
(& . Klicken Sie auf die Schaltflche
, um den Eintrag zu bearbeiten.
Feld
Beschreibung
Hersteller auswhlen
Sie knnen hier auswhlen, fr welchen Hersteller spezifische Werte fr

den DHCP-Server bermittelt werden sollen.
Mgliche Werte:
(,& (Standardwert)
:+
APN
Nur fr Hersteller auswhlen = :+

Geben Sie den Access Point Namen (APN) der SIM-Karte ein.
PIN
Nur fr Hersteller auswhlen = :+

Geben Sie die PIN der SIM-Karte ein.
Herstellerbeschreibung

Geben Sie den Namen des Herstellers ein, fr den Sie spezifische Werte
fr den DHCP-Server bermitteln wollen.
283
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Vendor Option String

Geben Sie die Hersteller spezifischen Konfigurationsparameter ein.
17.4.3 IP/MAC-Bindung
Im Men Lokale Dienste->DHCP-Server->IP/MAC-Bindung wird eine Liste aller Clients angezeigt, die
per DHCP eine IP-Adresse von Ihrem Gert erhalten haben.
Sie haben die Mglichkeit, bestimmten MAC-Adressen eine gewnschte IP-Adresse aus einem definierten IP-Adress-Pool zuzuweisen. Dazu knnen Sie in der Liste die Option Statische Bindung whlen,
um einen Listeneintrag als feste Bindung zu bernehmen, oder Sie legen manuell eine feste IP/
MAC-Bindung an, indem Sie diese im Untermen Neu konfigurieren.
Hinweis
Neue statische IP/MAC-Bindungen knnen erst angelegt werden, wenn in Lokale
Dienste->DHCP-Server->IP-Pool-Konfiguration IP-Adressbereiche konfiguriert wurden,
und im Men Lokale Dienste->DHCP-Server->DHCP-Konfiguration ein gltiger IP-Pool
zugewiesen ist.
17.4.3.1 Neu
Whlen Sie die Schaltflche Neu, um weitere IP/MAC-Bindungen einzurichten.
Abb. 150: Lokale Dienste->DHCP-Server->IP/MAC-Bindung ->Neu
Das Men Lokale Dienste->DHCP-Server->IP/MAC-Bindung->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Beschreibung
Geben Sie den Namen des Hosts ein, an dessen MAC-Adresse die IPAdresse gebunden wird.
Mglich ist eine Zeichenkette mit bis zu 256 Zeichen.
284
IP-Adresse
Geben Sie die IP-Adresse ein, die der in MAC-Adresse angegebenen

MAC-Adresse zugewiesen werden soll.
MAC-Adresse
Geben Sie die MAC-Adresse ein, der die in IP-Adresse angegebene IPAdresse zugewiesen werden soll.
17 Lokale Dienste
bintec elmeg GmbH
17.4.4 DHCP-Relay-Einstellungen
Wenn Ihr Gert fr das lokale Netz keine IP-Adressen per DHCP an die Clients verteilt, kann es dennoch die DHCP-Anforderungen aus dem lokalen Netzwerk stellvertretend an einen entfernten DHCPServer weiterleiten. Der DHCP-Server vergibt Ihrem Gert dann eine IP-Adresse aus seinem Pool, die
dieser wiederum an den Client ins lokale Netzwerk schickt.
Abb. 151: Lokale Dienste->DHCP-Server->DHCP-Relay-Einstellungen
Das Men Lokale Dienste->DHCP-Server->DHCP-Relay-Einstellungen besteht aus folgenden Feldern:

Feld
Beschreibung
Primrer DHCP-Server
Geben Sie die IP-Adresse eines Servers ein, an den BootP- oder DHCPAnfragen weitergeleitet werden sollen.
Sekundrer DHCP-Server
Geben Sie die IP-Adresse eines alternativen BootP- oder DHCP-Servers

ein.
17.4.5 DHCP - Konfigurationsbeispiel

Voraussetzungen
Optional ein DHCP-Server
Beispiel-Szenarien
285
17 Lokale Dienste
bintec elmeg GmbH
Beispielszenario als DHCP-Server
Beispielszenario als DHCP-Client
286
17 Lokale Dienste
bintec elmeg GmbH
Beispielszenario als DHCP-Relay-Server
Konfigurationsziel
Sie knnen Ihr Gert als DHCP-Server, als DHCP-Client oder als DHCP-Relay-Server einsetzen.
DHCP-Server
Feld
Men
Wert
IP-Poolname
z. B.
IP-Adressbereich
z. B. und

Schnittstelle
Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration-> Neu
z. B.
IP-Poolname
Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration-> Neu

Pool-Verwendung
Lokale Dienste -> DHCP-Server -> DHCP #

Pool -> Neu
Gateway
Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration-> Neu -> Erweiterte

Einstellungen
?3 , 20
2
Lease Time
Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration-> Neu -> Erweiterte

Einstellungen
z. B.
Fr DNS/WINS-Serverzuordnung zu
verwendende IP-Adresse:
Als DHCP-Server
Lokale Dienste -> DNS -> Globale Einstellungen -> Erweiterte Einstellungen
z. B. & 4 ,,
Feld
Men
Wert
Adressmodus
LAN -> IP-Konfiguration -> Schnittstellen -> <en1-4> ->
.>$
DHCP-Client
287
17 Lokale Dienste
bintec elmeg GmbH
Feld
Men
Wert
DHCP-MAC-Adresse
(optional)
LAN -> IP-Konfiguration -> Schnittstellen -> <en1-4> ->

-> Erweiterte Ein-
MAC-Adresse eines bestimmten DHCP-Servers
stellungen
DHCP-Relay-Server
Feld
Men
Wert
Primrer DHCP-Server
Lokale Dienste -> DHCP-Server -> DHCP-Relay-Einstellungen
z. B.
Sekundrer DHCP-Server
(optional)
Lokale Dienste -> DHCP-Server -> DHCP-Relay-Einstellungen
falls vorhanden
17.5 Scheduling
Ihr Gert verfgt ber einen Aufgabenplaner, mit dem bestimmte Standardaktionen (beispielsweise Aktivierung bzw. Deaktivierung von Schnittstellen) durchgefhrt werden knnen. Auerdem ist jede vorhandene MIB-Variable mit jedem beliebigen Wert konfigurierbar.
Sie legen die gewnschten Aktionen fest und definieren die Auslser, die steuern, wann bzw. unter
welchen Bedingungen die Aktionen durchgefhrt werden sollen. Ein Auslser kann ein einzelnes Ereignis sein oder eine Folge von Ereignissen, die in einer Ereignisliste zusammengefasst sind. Fr ein
einzelnes Ereignis legen Sie ebenfalls eine Ereignisliste an, die jedoch nur ein Element enthlt.
Es ist mglich, zeitgesteuert Aktionen auszulsen. Auerdem kann der Status oder die Erreichbarkeit
von Schnittstellen oder deren Datenverkehr zur Ausfhrung der konfigurierten Aktionen fhren, oder
aber auch die Gltigkeit von Lizenzen. Auch hier ist es mglich, jede beliebige MIB-Variable mit jedem
beliebigen Wert als Auslser einzurichten.
Um den Aufgabenplaner in Betrieb zu nehmen, aktivieren Sie das Schedule-Intervall unter Optionen.
Dieses Intervall gibt den Zeitabstand vor, in dem das System prft, ob mindestens ein Ereignis eingetreten ist. Dieses Ereignis dient als Auslser fr eine konfigurierte Aktion.
Konkrete Hinweise fr die Konfiguration des Aufgabenplaners finden Sie am Ende des Kapitels unter
Konfigurationsbeispiel - Zeitgesteuerte Aufgaben (Scheduling) auf Seite 301.
Achtung
Die Konfiguration der nicht voreingestellten Aktionen erfordert umfangreiches Wissen ber
die Funktionsweise der Digitalisierungsbox. Eine Fehlkonfiguration kann zu erheblichen
Strungen im Betrieb fhren. Sichern Sie ggf. die ursprngliche Konfiguration z. B. auf Ihrem PC.
Hinweis
Voraussetzung fr den Betrieb des Aufgabenplaners ist ein auf Ihrem Gert eingestelltes
Datum ab dem 1.1.2000.
17.5.1 Auslser
Im Men Lokale Dienste->Scheduling-> Auslser werden alle konfigurierten Ereignislisten angezeigt.
Jede Ereignisliste enthlt mindestens ein Ereignis, das als Auslser fr eine Aktion vorgesehen ist.
17.5.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Ereignislisten anzulegen.
288
17 Lokale Dienste
bintec elmeg GmbH
Abb. 152: Lokale Dienste->Scheduling->Auslser ->Neu
Das Men Lokale Dienste->Scheduling->Auslser->Neu besteht aus folgenden Feldern:

Feld
Ereignisliste
Beschreibung
Mit ;3 (Standardwert) knnen Sie eine neue Ereignisliste anlegen. Mit
Beschreibung geben Sie dieser Liste einen Namen. Mit Hilfe der brigen Parameter legen Sie das erste Ereignis in der Liste an.
Wenn Sie eine bestehende Ereignisliste erweitern wollen, whlen Sie die
gewnschte Ereignisliste aus und fgen ihr mindestens ein Ereignis hinzu.
ber Ereignislisten knnen auch komplexe Bedingungen fr das Auslsen einer Aktion erstellt werden. Die Ereignisse werden in derseben Reihenfolge abgearbeitet wie sie in der Liste angelegt sind.
Beschreibung
Nur fr Ereignisliste = ;3

Geben Sie eine beliebige Bezeichnung fr die Ereignisliste ein.
Ereignistyp
Whlen Sie den Typ des Ereignisses aus.
Mgliche Werte:
E (Standardwert): Die in Aktionen konfigurierten und zugewiesenene Aktionen werden zu bestimmten Zeitpunkten ausgelst.
/%7(;/: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die definierten MIB-Variablen die angegebenen Werte annehmen.
(+ ,,3,: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die definierten Schnittstellen einen bestimmten Status annehmen.
(+ , : Die in Aktionen konfigurierten und zugewiesenenen Aktionen werden ausgelst, wenn der Datenverkehr auf
den angegebenen Schnittstellen den definierten Wert unter- oder berschreitet.
&,: Die in Aktionen konfigurierten und zugewiesenene Aktionen werden ausgelst, wenn die angegebene IP-Adresse erreichbar
bzw. nicht erreichbar ist.
#:, 3 , E1,: Die in Aktionen konfigurierten
und zugewiesenene Aktionen werden ausgelst, wenn die definierte
289
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Gltigkeitsdauer erreicht ist.
'3,, : (nicht fr alle Gerte verfgbar): Mit der Option
'3,, legen Sie fest, dass das Drcken der Funktionstaste am Gert als Auslser fr konfigurierte Aktionen dienen kann. Durch
einen Druck von gut einer Sekunde (aber weniger als drei Sekunden)
auf die Taste wird der Zustand der Taste auf 4 gesetzt, durch
einen Druck von mehr als drei Sekunden wird er auf gesetzt.
Aktionen, die vom Zustand der Taste abhngen, werden dann bei der
nchsten zyklischen Abfrage gem dem Schedule-Intervall ausgelst. Es kann also z. B. eine WLAN-Schnittstelle aktiviert werden, wenn
die Funktionstaste eine Sekunde lang gedrckt wird. Bei einem Druck
auf die Taste vom mehr als drei Sekunden wird die Schnittstelle wieder
deaktiviert.
berwachte Variable
Nur fr Ereignistyp /%7(;/

Whlen Sie die MIB-Variable aus, deren definierter Wert als Auslser
konfiguriert werden soll. Whlen Sie zunchst das System aus, in dem
die MIB-Variable gespeichert ist, dann die MIB-Tabelle und dann die
MIB-Variable selber. Es werden nur die MIB-Tabellen und MIB-Variablen
angezeigt, die im jeweiligen Bereich vorhanden sind.
Vergleichsbedingung

Whlen Sie aus, ob die MIB-Variable RM (Standardwert), + ,
<, 5&+ dem in -&+ ,2 angegebenen Wert sein
oder innerhalb von %+ liegen muss, um die Aktion auszulsen.
Vergleichswert

Geben Sie den Wert der MIB-Variable ein.
Indexvariablen

Whlen Sie bei Bedarf MIB-Variablen aus, um einen bestimmten Datensatz in der MIB-Tabelle eindeutig zu kennzeichnen, z.B. $1 9.
Aus der Kombination von Indexvariable (in der Regel eine Indexvariable,
die mit * gekennzeichnet ist) und Indexwert ergibt sich die eindeutige
Identifikation eines bestimmten Tabelleneintrags.
Legen Sie weitere Indexvariablen mit Hinzufgen an.
berwachte Schnittstelle
Nur fr Ereignistyp (+ ,,3, und (+ ,

Whlen Sie die Schnittstelle aus, deren definierter Status ein Ereignis
auslsen soll.
Schnittstellenstatus
Nur fr Ereignistyp (+ ,,3,

Whlen Sie den Status aus, den die Schnittstelle einnehmen muss, um
die gewnschte Aktion auszulsen.
Mgliche Werte:
4 (Standardwert): Die Schnittstelle ist aktiv.
: Die Schnittstelle ist inaktiv.
Richtung des Datenverkehrs
Nur fr Ereignistyp (+ ,

Whlen Sie die Richtung des Datenverkehrs aus, deren Werte fr das
Auslsen einer Aktion beobachtet werden sollen.
290
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Mgliche Werte:
?C (Standardwert): Der eingehende Datenverkehr wird berwacht.
C: Der ausgehende Datenverkehr wird berwacht.
Bedingung des Schnittstellenverkehrs

Whlen Sie aus, ob der Wert fr Datenverkehr RM (Standardwert)
oder < dem in L:& . angegebenen
Wert sein muss, um die Aktion auszulsen.
bertragener Datenverkehr

Geben Sie den gewnschten Wert fr den Datenverkehr, mit dem verglichen werden soll, in kBytes ein.
Ziel-IP-Adresse
Nur fr Ereignistyp &,

Geben Sie die IP-Adresse ein, deren Erreichbarkeit berprft werden
soll.
Quell-IP-Adresse

Geben Sie die IP-Adresse ein, die als Absendeadresse fr den Ping-Test
Mgliche Werte:
43,+ (Standardwert): Die IP-Adresse der Schnittstelle, ber
die der Ping versendet wird, wird automatisch als Absendeadresse eingetragen.
(*81,+ : Geben Sie die gewnschte IP-Adresse in das Eingabefeld ein.
Status

Whlen Sie aus, ob Ziel-IP-Adresse + : (Standardwert) oder
;+ + : sein muss, um die Aktion auszulsen.
Intervall

Geben Sie die Zeit in Sekunden ein, nach der erneut ein Ping gesendet
werden soll.
Versuche

Geben Sie die Anzahl der Ping-Tests ein, die durchgefhrt werden soll,
bis Ziel-IP-Adresse als ;+ + : gilt.
berwachtes Zertifikat
Nur fr Ereignistyp #:, 3 , E1,

Whlen Sie das Zertifikat aus, dessen Gltigkeit berprft werden soll.
Verbleibende Gltigkeitsdauer
Nur fr Ereignistyp #:, 3 , E1,

Geben Sie den gewnschten Wert fr die noch verbleibende Gltigkeit
des Zertifikats in Prozent ein.
291
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Status der Funktionstaste
Nur fr Ereignistyp'3,,

Beim Anlegen des Auslsers knnen Sie ber die Auswahl des Status
der Funktionstaste festlegen, bei welchem Zustand der Funktionstaste
der Auslser aktiv sein soll. Setzen Sie den Status auf 4, so wird der
Auslser aktiv, wenn der Zustand der Funktionstaste 4 ist, und inaktiv, wenn der Zustand der Funktionstaste ist. Setzen Sie ihn auf
43,, so wird der Auslser aktiv, wenn der Zustand der Funktionstaste
ist, und inaktiv, wenn der Zustand der Funktionstaste 4
ist. Die Zustandsprfung erfolgt zyklisch im Abstand des konfigurierten
Schedule-Intervalls.
Felder im Men Zeitintervall auswhlen

Feld
Beschreibung
Zeitbedingung
Nur fr Ereignistyp E

Whlen Sie zunchst die Art der Zeitangabe in Bedingungstyp aus.
Mgliche Werte:
=+ &: Whlen Sie in Bedingungseinstellungen einen Wochentag aus.
(Standardwert): Whlen Sie in Bedingungseinstellungen
einen bestimmten Turnus aus.
& , /,: Whlen Sie in Bedingungseinstellungen einen
bestimmten Tag im Monat aus.
Mgliche Werte fr Bedingungseinstellungen bei Bedingungstyp =
=+ &:
/& (Standardwert) ... (&.
:
@&+ : Der Auslser wird tglich aktiv (Standardwert).
/&W'&: Der Auslser wird tglich von Montag bis Freitag
aktiv.
/&W(,& : Der Auslser wird tglich von Montag bis Samstag
aktiv.
(,&W(& : Der Auslser wird Samstag und Sonntag aktiv.
& , /,:
... .
292
Startzeit
Geben Sie den Zeitpunkt ein, ab dem der Auslser aktiviert werden soll.
Die Aktivierung erfolgt mit dem nchsten Scheduling-Intervall. Der Standardwert dieses Intervalls ist 55 Sekunden.
Stoppzeit
Geben Sie den Zeitpunkt ein, ab dem der Auslser deaktiviert werden
soll. Die Deaktivierung erfolgt mit dem nchsten Scheduling-Intervall.
Wenn Sie keine Stoppzeit eingeben oder Stoppzeit = Startzeit setzen,
wird der Auslser aktiviert und nach 10 Sekunden deaktiviert.
17 Lokale Dienste
bintec elmeg GmbH
17.5.2 Aktionen
Im Men Lokale Dienste->Scheduling->Aktionen wird eine Liste aller Aktionen angezeigt, die durch
die in Lokale Dienste->Scheduling->Auslser konfigurierten Ereignisse oder Ereignissketten ausgelst werden sollen.
17.5.2.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Aktionen zu konfigurieren.
Abb. 153: Lokale Dienste->Scheduling->Aktionen->Neu
Das Men Lokale Dienste->Scheduling->Aktionen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Befehlstyp
Beschreibung
Geben Sie eine beliebige Bezeichnung fr die Aktion ein.
Whlen Sie die gewnschte Aktion aus.
Mgliche Werte:
;3, (Standardwert): Ihr Gert wird neu gestartet.
/%7(;/: Fr eine MIB-Variable wird der gewnschte Wert eingetragen.
(+ ,,3,: Der Status einer Schnittstelle wird verndert.
=#4;(3,: Nur fr Gerte mit Wireless LAN. Der Status einer
WLAN-SSID wird verndert.
(123,3&: Es wird ein Software-Update initiiert.
<1&3,&: Eine Konfigurationsdatei wird in Ihr
Gert geladen oder von Ihrem Gert gesichert.
&,: Die Erreichbarkeit einer IP-Adresse wird berprft.
E123&: Ein Zertifikat soll erneuert, gelscht oder
eingetragen werden.

>8=#4;% ,+: Nur fr Gerte mit Wireless LAN. Ein Scan
des 5-GHz-Frequenzbands wird durchgefhrt.
=#$6 ;3 ;& :(+&&: Nur fr Gerte mit WLAN
Controller. In einem durch den WLAN Controller kontrollierten WLANNetz wird ein Neighbor Scan ausgelst.
=#$6 -(((3,: Nur fr Gerte mit WLAN Controller. Der Status
eines Drahtlosnetzwerkes wird verndert.
%:, 3,: Der Betriebsmosdus eines WLAN-Radiomoduls wird
verndert.
293
17 Lokale Dienste
bintec elmeg GmbH
Feld
Ereignisliste
Beschreibung
Whlen Sie die gewnschte Ereignisliste aus, die in Lokale
Dienste->Scheduling->Auslser angelegt ist.
Bedingung fr EreignislisWhlen Sie fr die gewhlte Ereignisliste aus, wieviele der konfigurierten
te
Ereignisse eintreten mssen, damit die Aktion ausgelst wird.
Mgliche Werte:
4 (Standardwert): Die Aktion wird ausgelst, wenn alle Ereignisse
eintreten.
,: Die Aktion wird ausgelst, wenn ein Ereignis eintritt.
<: Die Aktion wird ausgelst, wenn keines der Ereignisse eintritt.
, + : Die Aktion wird ausgelst, wenn eines der Ereignisse
nicht eintritt.
Neustart des Gerts nach
Nur bei Befehlstyp = ;3,

Geben Sie die Zeitspanne in Sekunden an, die nach dem Eintreten des
Ereignisses gewartet werden soll, bis das Gert neu gestartet wird.
Hinzuzufgende/zu bearbeitende MIB/

SNMP-Variable
Befehlsmodus
Nur bei Befehlstyp = /%7(;/

Whlen Sie die MIB-Tabelle aus, in der die MIB-Variable gespeichert ist,
deren Wert verndert werden soll. Whlen Sie zunchst das System aus
und dann die MIB-Tabelle. Es werden nur die MIB-Tabellen angezeigt,
die im jeweiligen Bereich vorhanden sind.
Whlen Sie aus, auf welche Weise der MIB-Eintrag manipuliert werden
soll.
- & @ (Standardwert): Ein bestehender
Eintrag soll verndert werden.
;3 /%& ,: Ein neuer Eintrag soll angelegt
werden.
Indexvariablen

Whlen Sie bei Bedarf MIB-Variablen aus, um einen bestimmten Datensatz in MIB-Tabelle eindeutig zu kennzeichnen, z.B. $1 9. Aus
der Kombination von Indexvariable (in der Regel eine Indexvariable, die
mit * gekennzeichnet ist) und Indexwert ergibt sich die eindeutige Identifikation eines bestimmten Tabelleneintrags.
Legen Sie weitere Indexvariablen mit Hinzufgen an.
Status des Auslsers

Whlen Sie aus, welchen Status das Ereignis haben muss, um die MIBVariable wie definiert zu verndern.
Mgliche Werte:
4 (Standardwert): Der Wert der MIB-Variable wird verndert,
wenn der Auslser aktiv ist.
: Der Wert der MIB-Variable wird verndert, wenn der Auslser inaktiv ist.
294
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
% : Der Wert der MIB-Variable wird unterschiedlich verndert,
wenn der Status des Auslsers sich ndert.
MIB-Variablen

Whlen Sie die MIB-Variable aus, deren Wert, abhngig vom Status des
Auslsers, verndert werden soll.
Ist der Auslser aktiv (Status des Auslsers 4), wird die MIBVariable mit dem in Aktiver Wert eingetragenen Wert beschrieben.
Ist der Auslser inaktiv, Status des Auslsers ), wird die MIBVariable mit dem in Inaktiver Wert eingetragenen Wert beschrieben.
Soll die MIB-Variable verndert werden, je nachdem ob der Auslser aktiv oder inaktiv ist (Status des Auslsers % ), wird sie mit einem aktiven Auslser mit dem in Aktiver Wert eingetragenen Wert und mit einem inaktiven Auslser mit dem in Inaktiver Wert eingetragenen Wert
beschrieben.
Schnittstelle
Nur bei Befehlstyp = (+ ,,3,

Whlen Sie die Schnittstelle aus, deren Status verndert werden soll.
Schnittstellenstatus festleNur bei Befehlstyp = (+ ,,3,

gen
Whlen Sie den Status aus, auf den die Schnittstelle gesetzt werden soll.
Mgliche Werte:
4 (Standardwert)

E3F+,8
Lokale WLAN-SSID
Nur bei Befehlstyp = =#4;(3,

Whlen Sie das gewnschte Drahtlosnetzwerk aus, dessen Status verndert werden soll.
Status festlegen
Nur bei Befehlstyp = =#4;(3, oder =#$6 -(((3,

Whlen Sie den Status aus, den das Drahtlosnetzwerk erhalten soll.
Mgliche Werte:
4 (Standardwert)
.
Quelle
Nur bei Befehlstyp = (123,3&

Whlen Sie die gewnschte Quelle fr die Software-Aktualisierung aus.
Mgliche Werte:
43 (12 5* ( (Standardwert): Die aktuelle Software wird vom Update-Server geladen.
>(: Die aktuelle Software wird von einem HTTP-Server geladen, den Sie ber die (5?# festlegen.
>((: Die aktuelle Software wird von einem HTTPS-Server
geladen, den Sie ber die (5?# festlegen.
'(: Die aktuelle Software wird von einem TFTP-Server ge-
295
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
laden, den Sie ber die (5?# festlegen.
Server-URL
Bei Befehlstyp = (123,3& wenn Quelle nicht 4

3 (12 5* (
Geben Sie die URL des Servers ein, von dem die gewnschte Softwareversion geholt werden soll.
Bei Befehlstyp = <1&3,& mit Aktion = <1
&3 * oder <1&3 9*
Geben Sie die URL des Servers ein, von dem eine Konfigurationsdatei
geholt oder auf den die Konfigurationsdatei gesichert werden soll.
Dateiname
Bei Befehlstyp = (123,3&

Geben Sie den Dateinamen der Softwareversion ein.
Bei Befehlstyp = E123& mit Aktion = E1
*
Geben Sie den Dateinamen der Zertifikatsdatei ein.
Aktion
Bei Befehlstyp = <1&3,&

Whlen Sie aus, welche Aktion auf eine Konfigurationsdatei angewendet
werden soll.
Mgliche Werte:
<1&3 * (Standardwert)
<1&3 9*
<1&3 3:
<1&3 R,+
<1&3 *
Bei Befehlstyp = E123&
Whlen Sie aus, welche Aktion Sie auf eine Zertifikatsdatei anwenden
mchten.
Mgliche Werte:
E1 * (Standardwert)
E1 R,+
($
Protokoll
Nur fr Befehlstyp = E123& und <1&3

,& wenn Aktion = <1&3 *
Whlen Sie das Protokoll fr die Dateibertragung aus.
Mgliche Werte:
> (Standardwert)
>(
'
CSV-Dateiformat
296
Nur bei Befehlstyp = <1&3,& und Aktion =

<1&3 * oder <1&3 9*

17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Whlen Sie aus, ob die Datei im CSV-Format bertragen werden soll.
Das CSV-Format kann problemlos gelesen und modifiziert werden. Auerdem knnen Sie z. B. mithilfe von Microsoft Excel die entsprechenden
Dateien in bersichtlicher Form einsehen.
Dateiname auf Server
Nur bei Befehlstyp = <1&3,&

Fr Aktion = <1&3 *
Geben Sie den Namen der Datei ein, unter dem sie auf dem Server, von
dem sie geholt werden soll, gespeichert ist.
Fr Aktion = <1&3 9*
Geben Sie den Namen der Datei ein, unter dem sie auf dem Server gespeichert werden soll.
Lokaler Dateiname

<1&3 *, <1&3 3: oder
<1&3 *
Geben Sie beim Importieren, Umbenennen oder Kopieren einen Namen
fr die Konfigurationsdatei ein, unter dem sie lokal auf dem Gert gespeichert werden soll.
Dateiname in Flash
Bei Befehlstyp = <1&3,& und Aktion = <1

&3 9*
Whlen Sie die Datei aus, die exportiert werden soll.
&3 3:
Whlen Sie die Datei aus, die umbenannt werden soll.
&3 R,+
Whlen Sie die Datei aus, die gelscht werden soll.
&3 *
Whlen Sie die Datei aus, die kopiert werden soll.
Konfiguration enthlt Zertifikate/Schlssel

<1&3 * oder <1&3 9*

Whlen Sie aus, ob in der Konfiguration enthaltene Zertifikate und
Schlssel importiert oder exportiert werden sollen.
Konfiguration verschlsseln

<1&3 * oder <1&3 9*

Whlen Sie aus, ob die Daten der gewhlten Aktion verschlsselt werden sollen.
297
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Nach Ausfhrung neu

starten
Nur bei Befehlstyp = <1&3,&

Whlen Sie aus, ob Ihr Gert nach der gewnschten Aktion neu gestartet werden soll.
Versionsprfung

<1&3 *
Whlen Sie aus, ob beim Import einer Konfigurationsdatei berprft werden soll, ob auf dem Server eine aktuellere Version der schon geladenen
Konfiguration vorhanden ist. Wenn nicht, wird der Datei-Import abgebrochen.
Ziel-IP-Adresse
Nur bei Befehlstyp = &,

Geben Sie die IP-Adresse ein, deren Erreichbarkeit berprft werden
soll.
Quell-IP-Adresse

Geben Sie die IP-Adresse ein, die als Absendeadresse fr den Ping-Test
Mgliche Werte:
43,+ (Standardwert): Die IP-Adresse der Schnittstelle, ber
die der Ping versendet wird, wird automatisch als Absendeadresse eingetragen.
(*81,+ : Geben Sie die gewnschte IP-Adresse in das Eingabefeld ein.
Intervall

Geben Sie die Zeit in Sekunden ein, nach der erneut ein Ping gesendet
werden soll.
Der Standardwert ist Sekunde.
Versuche

Geben Sie die Anzahl der Ping-Tests ein, die durchgefhrt werden soll,
bis Ziel-IP-Adresse als unerreichbar gilt.
Serveradresse
Nur bei Befehlstyp = E123& und Aktion = E

1 *
Geben Sie die URL des Servers ein, von dem eine Zertifikatsdatei geholt
werden soll.
Lokale ZertifikatsbeschreiBei Befehlstyp = E123& und Aktion = E1

bung
*
Geben Sie eine Beschreibung fr das Zertifikat ein, unter der es im Gert
gespeichert werden soll.
298
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
Bei Befehlstyp = E123& und Aktion = E1
R,+
Whlen Sie das Zertifikat aus, das gelscht werden soll.
Kennwort fr geschtztes
Zertifikat

1 *
Whlen Sie aus, ob Sie ein geschtztes Zertifikat verwenden mchten,
das ein Passwort bentigt, und geben Sie dieses in das Eingabefeld ein.
hnliches Zertifikat berschreiben

1 *
Whlen Sie aus, ob Sie ein auf Ihrem Gert schon vorhandenes Zertifikat
mit dem neuen berschreiben wollen.
Zertifikat in Konfiguration
schreiben

1 *
Whlen Sie aus, ob Sie das Zertifikat in eine Konfigurationsdatei einbinden wollen, und whlen Sie die gewnschte Konfigurationsdatei aus.
ZertifikatsanforderungsbeNur bei Befehlstyp = E123& und Aktion = ($

schreibung
Geben Sie eine Beschreibung ein, unter der das SCEP-Zertifikat auf Ihrem Gert gespeichert werden soll.
SCEP-Server-URL
Nur bei Befehlstyp = E123& und Aktion = ($

Geben Sie die URL des SCEP-Servers ein, z. B.
*677,+*:+&+6 7,+*7,+*
Die entsprechenden Daten erhalten Sie von Ihrem CA-Administrator.
Subjektname

Geben Sie einen Subjektnamen mit Attributen ein.
Beispiel: X$;Q-;(J .$Q0 J .$Q+J +Q.X
CA-Name

Geben Sie den Namen des CA-Zertifikats der Zertifizierungsstelle (CA)
ein, von der Sie Ihr Zertifikat anfordern mchten, z. B. +2 2,. Die
entsprechenden Daten erhalten Sie von Ihrem CA-Administrator.
Passwort

Um Zertifikate zu erhalten, bentigen Sie mglicherweise ein Passwort
von der Zertifizierungsstelle. Tragen Sie das Passwort, welches Sie von
Ihrer Zertifizierungsstelle erhalten haben, hier ein.
Schlsselgre

Whlen Sie die Lnge des zu erzeugenden Schlssels aus. Mgliche
Werte sind (Standardwert), und .
299
17 Lokale Dienste
bintec elmeg GmbH
Feld
Autospeichermodus
Beschreibung
Whlen Sie, ob Ihr Gert intern automatisch die verschiedenen Schritte
des Registrierungsprozesses speichert. Dies ist dann von Nutzen, wenn
die Registrierung nicht sofort abgeschlossen werden kann. Falls der Status nicht gespeichert wurde, kann die unvollstndige Registrierung nicht
abgeschlossen werden. Sobald die Registrierung abgeschlossen ist und
das Zertifikat vom CA-Server heruntergeladen wurde, wird es automatisch in der Konfiguration Ihres Gerts gespeichert.
CRL verwenden

Legen Sie hier fest, inwiefern Sperrlisten (CRLs) in die Validierung von
Zertifikaten, die vom Besitzer dieses Zertifikats ausgestellt wurden, einbezogen werden sollen.
Mgliche Werte:
43 (Standardwert): Falls im CA-Zertifikat ein Eintrag fr einen Zertifikatsperrlisten-Verteilungspunkt (CDP, CRL Distribution Point) vorhanden ist, soll dieser zustzlich zu den global im Gert konfigurierten
Sperrlisten ausgewertet werden.
I: CRLs werden grundstzlich berprft.
;: Keine berprfung von CRLs.
WLAN-Modul auswhlen
Nur bei Befehlstyp =

>8=#4;% ,+ und
%:, 3,
Whlen Sie das WLAN-Modul aus, auf dem ein Scan des Frequenzbands durchgefhrt werden soll.
WLC-SSID
Nur bei Befehlstyp = =#$6 -(((3,

Whlen Sie das ber den WLAN Controller verwaltete Drahtlosnetzwerk
aus, dessen Status verndert werden soll.
Betriebsmodus (Aktiv)
Nur bei Befehlstyp = %:, 3,

Whlen Sie den gewnschten Betriebsmodus des gewhlten Radiomoduls aus, wenn sich dieses aktuell im Zustand 4 befindet. Hierfr
stehen alle Betriebsarten zur Auswahl, die von Ihrem Gert untersttzt
werden. Die Auswahl kann also von Gert zu Gret abweichen.
Betriebsmodus (Inaktiv)
Nur bei Befehlstyp = %:, 3,

Whlen Sie den gewnschten Betriebsmodus des gewhlten Radiomoduls aus, wenn sich dieses aktuell im Zustand befindet. Hierfr
stehen alle Betriebsarten zur Auswahl, die von Ihrem Gert untersttzt
werden. Die Auswahl kann also von Gert zu Gret abweichen.
17.5.3 Optionen
Im Men Lokale Dienste->Scheduling->Optionen konfigurieren Sie das Schedule-Intervall.
300
17 Lokale Dienste
bintec elmeg GmbH
Abb. 154: Lokale Dienste->Scheduling->Optionen
Das Men Lokale Dienste->Scheduling->Optionen besteht aus folgenden Feldern:

Felder im Men Scheduling-Optionen
Feld
Beschreibung
Schedule-Intervall
Whlen Sie aus, ob das Schedule-Intervall aktiviert werden soll.

Standardmig ist das Schedule-Intervall nicht aktiv.
Geben Sie die Zeitspanne in Sekunden ein, nach der das System jeweils
prft, ob konfigurierte Ereignisse eingetreten sind.
Mglich sind Werte zwischen und

.
Empfohlen wird der Wert (5 Minuten Genauigkeit).
17.5.4 Konfigurationsbeispiel - Zeitgesteuerte Aufgaben (Scheduling)

Voraussetzungen
Grundkonfiguration des Gateways
Beispielszenario
Beispielszenario Zeitgesteuerte Aufgaben
Konfigurationsziel
Das Gateway soll tglich whrend der Nacht neu starten.
Am Wochenende soll die WLAN-Schnittstelle abgeschaltet werden.
Einmal im Monat soll die Konfiguration automatisch auf einen TFTP-Server gesichert werden.
Tglicher Neustart
301
17 Lokale Dienste
bintec elmeg GmbH
Feld
Men
Wert
Ereignisliste
Lokale Dienste -> Scheduling -> Auslser -> Neu
;3
Beschreibung
z. B. ;3, 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp =
, Bedingungseinstellungen = @&+
Startzeit
Stunde Minute
Beschreibung
Lokale Dienste -> Scheduling -> Aktionen -> Neu
z. B. ;3, ,
@,
Befehlstyp
;3,
Ereignisliste
;3, 3,R,
Bedingung fr Ereignisliste
4
Neustart des Gerts nach
z. B. Sekunden
Schedule-Intervall
Lokale Dienste -> Scheduling -> Optionen
4,
sec
WLAN-Schnittstelle abschalten
302
Feld
Men
Wert
Ereignisliste
;3
Beschreibung
z. B. =#4;
(+ , :
,+ 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp =
, Bedingungseinstellungen = (,&
(&
Startzeit
Stunde Minute
Stoppzeit
Lokale Dienste -> Scheduling ->Auslser -> Neu
Stunde Minute

Beschreibung
z. B. =#4;
(+ , :
,+
Befehlstyp
(+ ,,3,
Ereignisliste
=#4;(+ ,
:,+ 3,R,
Lokale Dienste -> Scheduling ->Aktionen -> Neu
4
Schnittstelle
Lokale Dienste -> Scheduling ->Aktionen -> Neu
z. B. ,,
Schnittstellenstatus festle-
Lokale Dienste -> Scheduling -> Aktio-

17 Lokale Dienste
bintec elmeg GmbH
Feld
Men
gen
nen -> Neu
Schedule-Intervall
Wert
4,
sec
Konfiguration monatlich sichern

Feld
Men
Wert
Ereignisliste
;3
Beschreibung
z. B. <1&3,,
+ 3& 3,R,
Ereignistyp
E
Zeitbedingung
Bedingungstyp = & ,
/,, Bedingungseinstellungen =
Startzeit
Stunde Minute
Beschreibung
Konfiguration sichern
Befehlstyp
Konfigurationsmanagement
Ereignisliste
Konfigurationssicherung
auslsen
Alle
Aktion
Konfiguration exportieren
Server-URL
z. B.
1*677
CSV-Dateiformat
4
Dateiname auf Server
z. B. 0:+3*+1
Dateiname in Flash
:
Konfiguration enthlt Zertifi- Lokale Dienste -> Scheduling -> Aktiokate/Schlssel

nen -> Neu
4
Schedule-Intervall
4,
sec
17.6 berwachung
In diesem Men knnen Sie eine automatische Erreichbarkeitsprfung von Hosts oder Schnittstellen
und automatische Ping-Tests konfigurieren.
Hinweis
Diese Funktion kann auf Ihrem Gert nicht fr Verbindungen eingerichtet werden, die ber
einen RADIUS-Server authentifiziert werden.
303
17 Lokale Dienste
bintec elmeg GmbH
17.6.1 Hosts
Im Men Lokale Dienste->berwachung->Hosts wird eine Liste aller berwachten Hosts angezeigt.

um weitere berwachungsaufgaben einzurichten.
Abb. 155: Lokale Dienste->berwachung ->Hosts->Neu
Das Men Lokale Dienste->berwachung->Hosts->Neu besteht aus folgenden Feldern:

Feld im Men Hostparameter
Feld
Beschreibung
Gruppen-ID
Wenn die Erreichbarkeit einer Gruppe von Hosts bzw. des Standard-Gateways von Ihrem Gert berwacht werden soll, whlen Sie eine ID fr
die Gruppe bzw. fr das Standard-Gateway.
Die Gruppen-IDs werden automatisch von bis
angelegt. Ist noch

kein Eintrag angelegt, wird durch die Option ;3 . eine neue Gruppe
angelegt. Sind Eintrge vorhanden, kann man aus den angelegten Gruppen auswhlen.
Jeder zu berwachende Host muss einer Gruppe zugeordnet werden.
Die in Schnittstelle konfigurierte Aktion wird nur dann ausgefhrt, wenn
kein Gruppen-Mitglied erreichbar ist.
Felder im Men Trigger

Feld
Beschreibung
berwachte IP-Adresse
Geben Sie die IP-Adresse des Hosts ein, der berwacht werden soll.
Mgliche Werte:
( 20 (Standardwert): Das Standard-Gateway wird
berwacht.
(*81,+ : Geben Sie in das nebenstehende Eingabefeld die IPAdresse des zu berwachenden Hosts ein.
Quell-IP-Adresse
304
Whlen Sie aus, wie die IP-Adresse ermittelt werden soll, die Ihr Gert
17 Lokale Dienste
bintec elmeg GmbH
Feld
Beschreibung
als Quelladresse des Pakets verwendet, das an den zu berwachenden
Host gesendet wird.
Mgliche Werte:
43,+
mittelt.
(Standardwert): Die IP-Adresse wird automatisch er-
(*81,+ : Geben Sie in das nebenstehende Eingabefeld die IPAdresse ein.

Intervall
Geben Sie das Zeitintervall (in Sekunden) ein, das zur berprfung der
Erreichbarkeit des Hosts verwendet werden soll.
.
Innerhalb einer Gruppe wird das kleinste Intervall der Gruppenmitglieder
verwendet.
Erfolgreiche Versuche
Geben Sie ein, wieviele Pings beantwortet werden mssen, damit der
Host als erreichbar angesehen wird.
Mit dieser Einstellung knnen Sie zum Beispiel festlegen, wann ein Host
als wieder erreichbar gilt und statt eines Backup-Gerts erneut verwendet wird.
.
Fehlgeschlagene Versuche
Geben Sie ein, wieviele Pings unbeantwortet bleiben mssen, damit der
Host als nicht erreichbar angesehen wird.
Mit dieser Einstellung knnen Sie zum Beispiel festlegen, wann ein Host
als nicht erreichbar gilt und stattdessen ein Backup-Gert verwendet
wird.
.
Auszufhrende Aktion
Whlen Sie aus, welche Aktion ausgefhrt werden soll. Fr die meisten
Aktionen whlen Sie eine Schnittstelle, auf die sich die Aktion bezieht.
Auswhlbar sind alle physikalischen und virtuellen Schnittstellen.
Whlen Sie zu jeder Schnittstelle aus, ob sie aktiviert ( 4),
deaktiviert ( ., Standardwert) oder zurckgesetzt ( E3
F+,8) werden soll oder ob die Verbindung erneut aufgebaut (
3 2@ ) werden soll.
Mit Aktion = L:2+ knnen Sie die IP-Adresse berwachen, die
unter berwachte IP-Adresse angegeben ist.
Im Men Lokale Dienste->berwachung->Schnittstellen wird eine Liste aller berwachten Schnittstellen angezeigt.
305
17 Lokale Dienste
bintec elmeg GmbH

um die berwachung weiterer Schnittstellen einzurichten.
Abb. 156: Lokale Dienste->berwachung ->Schnittstellen ->Neu
Das Men Lokale Dienste->berwachung->Schnittstellen->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
berwachte Schnittstelle
Whlen Sie die Schnittstelle auf Ihrem Gert aus, die berwacht werden
soll.
Trigger
Whlen Sie den Status bzw. Statusbergang von berwachte Schnittstelle aus, der eine bestimmte Schnittstellenaktion auslsen soll.
Mgliche Werte:
(+ , 2 (Standardwert)
(+ , 2
Schnittstellenaktion
Whlen Sie die Aktion aus, welche dem in Trigger definierten Status
bzw. Statusbergang folgen soll.
Die Aktion wird auf die in Schnittstelle ausgewhlte(n) Schnittstelle(n)
angewendet.
Mgliche Werte:
4 (Standardwert): Aktivierung der Schnittstelle(n)
.: Deaktivierung der Schnittstelle(n)
Schnittstelle
Whlen Sie aus, fr welche Schnittstelle(n) die unter Schnittstelle festgelegte Aktion ausgefhrt werden soll.
Whlbar sind alle physikalischen und virtuellen Schnittstellen und die Optionen 4 (+ , und 4 (+
(+ ,.
17.6.3 Ping-Generator
Im Men Lokale Dienste->berwachung->Ping-Generator wird eine Liste aller konfigurierten Pings
angezeigt, die automatisch generiert werden.

um weitere Pings einzurichten.

306
17 Lokale Dienste
bintec elmeg GmbH
Abb. 157: Lokale Dienste->berwachung ->Ping-Generator ->Neu
Das Men Lokale Dienste->berwachung->Ping-Generator->Neu besteht aus folgenden Feldern:

Feld
Beschreibung
Ziel-IP-Adresse
Geben Sie die IP-Adresse ein, an die ein Ping automatisch abgesetzt
werden soll.
Quell-IP-Adresse
Geben Sie die Quell-IP-Adresse der ausgehenden ICMP-Echoanfrage-Pakete ein.

Mgliche Werte:
43,+ : Die IP-Adresse wird automatisch ermittelt.
(*81,+ (Standardwert): Geben Sie die IP-Adresse in das nebenstehende Eingabefeld ein, z. B. um eine bestimmte erweiterte Route zu
testen.
Intervall
Geben Sie das Intervall in Sekunden ein, whrend dessen der Ping an
die in Entfernte IP-Adresse angegebene Adresse abgesetzt werden
soll.
.
Versuche
Geben Sie die Anzahl der Ping-Tests ein, die durchgefhrt werden sollen, bis die Ziel-IP-Adresse als ;+ + : gilt.
17.7 UPnP
Universal Plug and Play (UPnP) ermglicht die Nutzung aktueller Messenger-Dienste (z. B. Realtime-Video/Audiokonferenzen) als Peer-to-Peer Kommunikation, wobei einer der Peers hinter einem Gateway
mit aktiver NAT-Funktion liegt.
UPnP befhigt (meist) Windows-basierte Betriebssysteme, die Kontrolle ber andere Gerte im lokalen
Netzwerk mit UPnP Funktionalitt zu bernehmen und diese zu steuern. Dazu zhlen u.a. Gateways,
Access Points und Printserver. Es sind keine speziellen Gertetreiber notwendig, da gemeinsame und
bekannte Protokolle genutzt werden wie TCP/IP, HTTP und XML.
Ihr Gateway ermglicht die Nutzung des Subsystems des Internet Gateway Devices (IGD) aus dem UPnP-Funktionsspektrum.
In einem Netzwerk hinter einem Gateway mit aktiver NAT Funktion agieren die UPnP-konfigurierten
Rechner als LAN UPnP Clients. Dazu muss die UPnP Funktion auf dem PC aktiviert sein.
307
17 Lokale Dienste
bintec elmeg GmbH
Der auf dem Gateway voreingestellte Port, ber den die UPnP-Kommunikation zwischen LAN UPnP Clients und dem Gateway luft, ist
) . Der LAN UPnP Client dient hierbei als sogenannter Service Control Point, d.h. er erkennt und kontrolliert die UPnP-Gerte im Netzwerk.
Die z. B. vom MSN Messenger dynamisch zugewesenen Ports liegen im Bereich von
bis

.
Die Ports werden gatewayintern bei Anforderung freigegeben, d.h. beim Start einer Audio/Videobertragung im Messenger. Nach Beenden der Anwendung werden die Ports sofort wieder geschlossen.
Die Peer-to-Peer-Kommunikation wird ber ffentliche SIP Server initiiert, wobei lediglich die Informationen beider Clients weitergereicht werden. Anschlieend kommunizieren die Clients direkt miteinander.
Weitere Informationen zu UPnP erhalten Sie auf www.upnp.org .
In diesem Men konfigurieren Sie die UPnP-Einstellungen individuell fr jede Schnittstelle auf Ihrem Gateway.
Sie knnen festlegen, ob UPnP-Anfragen von Clients ber die jeweilige Schnittstelle angenommen werden (fr Anfragen aus dem lokalen Netzwerk) und/oder ob die Schnittstelle ber UPnP-Anfragen kontrolliert werden kann.
Abb. 158: Lokale Dienste->UPnP->Schnittstellen
Das Men Lokale Dienste->UPnP->Schnittstellen besteht aus folgenden Feldern:

Feld
Beschreibung
Schnittstelle
Zeigt den Namen der Schnittstelle an, fr welche die UPnP-Einstellungen

vorgenommen werden. Der Eintrag kann nicht verndert werden.
Auf Client-Anfrage antwor- Legen Sie fest, ob UPnP-Anfragen von Clients ber die jeweilige Schnittten
stelle (aus dem lokalen Netzwerk) beantwortet werden.
Schnittstelle ist UPnPkontrolliert
Legen Sie fest, ob die NAT Konfiguration dieser Schnittstelle von UPnP
kontrolliert wird.
308
17 Lokale Dienste
bintec elmeg GmbH
17.7.2 Allgemein
In diesem Men nehmen Sie grundlegende UPnP-Einstellungen vor.
Abb. 159: Lokale Dienste->UPnP->Allgemein
Das Men Lokale Dienste->UPnP->Allgemein besteht aus folgenden Feldern:

Felder im Men Allgemein
Feld
Beschreibung
UPnP-Status
Entscheiden Sie, wie das Gateway mit UPnP-Anfragen aus dem LAN
verfhrt.
Mit 4 wird die Funktion aktiv. Das Gateway nimmt die UPnPFreigaben gem der in der Anfrage des LAN UPnP Clients beinhalteten
Parameter vor, unabhngig von der IP Adresse des anfragenden LAN
UPnP Clients.
Standardmig ist die Funktion nicht aktiv. Das Gateway verwirft UPnPAnfragen, NAT-Freigaben werden nicht vorgenommen.
UPnP TCP Port
Tragen Sie die Nummer des Ports ein, auf dem das Gateway auf UPnPAnfragen lauscht.

, der Standardwert ist
) .
309
18 Wartung
bintec elmeg GmbH
Kapitel 18 Wartung
Im diesem Men werden Ihnen zahlreiche Funktionen zur Wartung Ihres Gerts zur Verfgung gestellt.
So finden Sie zunchst eine Men zum Testen der Erreichbarkeit innerhalb des Netzwerks. Sie haben
die Mglichkeit Ihre Systemkonfigurationsdateien zu verwalten. Falls aktuellere Systemsoftware zur Verfgung steht, kann die Installation ber dieses Men vorgenommen werden. Falls Sie weitere Sprachen
der Konfigurationsoberflche bentigen, knnen Sie diese importieren. Auch ein System-Neustart kann
in diesem Men ausgelst werden.
18.1 Diagnose
Im Men Wartung->Diagnose knnen Sie die Erreichbarkeit von einzelnen Hosts, die Auflsung von
Domain-Namen und bestimmte Routen testen.
18.1.1 Ping-Test
Abb. 160: Wartung ->Diagnose->Ping-Test
Mit dem Ping-Test knnen Sie berprfen, ob ein bestimmter Host im LAN oder eine Internetadresse erreichbar sind.
Felder im Men Ping-Test
Feld
Beschreibung
Test-Ping-Modus
Whlen Sie die fr den Ping-Test verwendete IP-Version.

Mgliche Werte:

Ping-Befehl testweise an
Adresse senden
Geben Sie die zu testende IP-Adresse ein.
Zu verwendende Schnittstelle
Nur fr Test-Ping-Modus =

Whlen Sie fr Link-Lokale-Adressen die Schnittstelle, die fr den PingTest verwendet werden soll. Fr globale Adressen kann (
verwendet werden.
Durch Anklicken der Los-Schaltflche wird der Ping-Test gestartet. Das Ausgabe-Feld zeigt die Meldungen des Ping-Tests an.
310
18 Wartung
bintec elmeg GmbH
18.1.2 DNS-Test
Abb. 161: Wartung ->Diagnose->DNS-Test
Mit dem DNS-Test knnen Sie berprfen, ob der Domnenname eines bestimmten Hosts richtig aufgelst wird. Das Ausgabe-Feld zeigt die Meldungen des DNS-Tests an. Durch Eingabe des Domnennamens, der getestet werden soll, in DNS-Adresse und Klicken auf die Los-Schaltflche wird der DNSTest gestartet.
18.1.3 Traceroute-Test
Abb. 162: Wartung ->Diagnose->Traceroute-Test
Mit dem Traceroute-Test knnen Sie die Route zu einer bestimmten Adresse (IP-Adresse oder Domnenname) anzeigen lassen, sofern diese erreichbar ist.
Felder im Men Traceroute-Test
Feld
Beschreibung
Traceroute-Modus
Whlen Sie die fr den Traceroute-Test verwendete IP-Version.

Mgliche Werte:

Traceroute-Adresse
Geben Sie die zu testende IP-Adresse ein.
311
18 Wartung
bintec elmeg GmbH
Durch Anklicken der Los-Schaltflche wird der Traceroute-Test gestartet. Das Ausgabe-Feld zeigt die
Meldungen des Traceroute-Tests an.
18.2 Software &Konfiguration

ber dieses Men knnen Sie den Softwarestand Ihres Gertes, Ihre Konfigurationsdateien sowie die
Sprachversionen des GUIs verwalten.
18.2.1 Optionen
Ihr Gert ist mit der zum Zeitpunkt der Fertigung verfgbaren Version der Systemsoftware ausgestattet,
von der es aktuell ggf. neuere Versionen gibt. Daher mssen Sie gegebenenfalls ein Software-Update
durchfhren.
Jede neue Systemsoftware beinhaltet neue Funktionen, bessere Leistung und bei Bedarf Fehlerkorrekturen der vorhergehenden Version. Die aktuelle Systemsoftware finden Sie unter
www.bintec-elmeg.com . Hier finden Sie auch aktuelle Dokumentationen.
Wichtig
Wenn Sie ein Software-Update durchfhren, beachten Sie unbedingt die dazugehrigen
Release Notes. Hier sind alle nderungen beschrieben, die mit der neuen Systemsoftware
eingefhrt werden.
Die Folge von unterbrochenen Update-Vorgngen (z. B. Stromausfall whrend des Updates) knnte sein, dass Ihr Gert nicht mehr bootet. Schalten Sie Ihr Gert nicht aus, whrend die Aktualisierung durchgefhrt wird.
In seltenen Fllen ist zustzlich eine Aktualisierung von BOOTmonitor und/oder Logic
empfohlen. In diesem Fall wird ausdrcklich in den entsprechenden Release Notes darauf
hingewiesen. Fhren Sie bei BOOTmonitor oder Logic nur ein Update durch, wenn bintec
elmeg GmbH eine explizite Empfehlung dazu ausspricht.
Flash
Ihr Gert speichert seine Konfiguration in Konfigurationsdateien im Flash EEPROM (electrically erasable
programmable read-only memory). Auch wenn Ihr Gert ausgeschaltet ist, bleiben die Daten im Flash
gespeichert.
RAM
Im Arbeitsspeicher (RAM) befindet sich die aktuelle Konfiguration und alle nderungen, die Sie whrend
des Betriebes auf Ihrem Gert einstellen. Der Inhalt des RAM geht verloren, wenn Ihr Gert ausgeschaltet wird. Wenn Sie Ihre Konfiguration ndern und diese nderungen auch beim nchsten Start Ihres Gerts beibehalten wollen, mssen Sie die genderte Konfiguration im Flash speichern: Schaltflche Konfiguration speichern ber dem Navigationsbereich des GUIs. Dadurch wird die Konfiguration in eine
Datei mit dem Namen : im Flash gespeichert. Beim Starten Ihres Gerts wird standardmig die
Konfigurationsdatei : verwendet.
Aktionen
Die Dateien im Flash-Speicher knnen kopiert, verschoben, gelscht und neu angelegt werden. Es ist
auch mglich, Konfigurationsdateien zwischen Ihrem Gert und einem Host per HTTP zu transferieren.
Format von Konfigurationsdateien

Das Dateiformat der Konfigurationsdatei erlaubt eine Verschlsselung und stellt die Kompatibilitt beim
Zurckspielen der Konfiguration auf das Gateway in unterschiedliche Versionen der Systemsoftware sicher. Es handelt sich um ein CSV-Format; es kann problemlos gelesen und modifiziert werden. Auer312
18 Wartung
bintec elmeg GmbH
dem knnen Sie z. B. mithilfe von Microsoft Excel die entsprechenden Dateien in bersichtlicher Form
einsehen. Sicherungsdateien der Konfiguration knnen vom Administrator verschlsselt abgelegt werden. Bei Versand der Konfiguration per E-Mail (z. B. fr Supportzwecke) knnen vertrauliche Konfigurationsdaten bei Bedarf komplett geschtzt werden. So knnen Sie mit den Aktionen "Konfiguration exportieren", "Konfiguration mit Statusinformationen exportieren" und "Konfiguration laden" Dateien sichern
bzw. einspielen. Wenn Sie mit der Aktion "Konfiguration exportieren" oder "Konfiguration mit Statusinformationen exportieren" eine Konfigurationsdatei sichern wollen, knnen Sie bestimmen, ob die Konfigurationsdatei unverschlsselt oder verschlsselt gespeichert werden soll.
Achtung
Sollten Sie ber die SNMP-Shell mit dem Kommando eine Konfigurationsdatei in einem alten Format gesichert haben, kann ein Wiedereinspielen auf das Gert nicht garantiert werden. Daher wird das alte Format nicht mehr empfohlen.
Abb. 163: Wartung ->Software &Konfiguration ->Optionen
Das Men Wartung->Software &Konfiguration ->Optionen besteht aus folgenden Feldern:

Felder im Men Aktuell Installierte Software
Feld
Beschreibung
BOSS
Zeigt die aktuelle Softwareversion an, die auf Ihrem Gert geladen ist.
Systemlogik
ADSL-Logik
Zeigt die aktuelle Systemlogik an, die auf Ihrem Gert geladen ist.
Zeigt die aktuelle Version der ADSL-Logik an, die auf Ihrem Gert geladen ist.
Felder im Men Optionen zu Software und Konfiguration
Feld
Beschreibung
Aktion
Whlen Sie die Aktion aus, die Sie ausfhren mchten.

Nach Durchfhrung der jeweiligen Aufgabe erhalten Sie ein Fenster, in
dem Sie auf die weiteren ntigen Schritte hingewiesen werden.
Mgliche Werte:
< 4 (Standardwert):
<1&3 9*: Die Konfigurationsdatei Aktueller
Dateiname im Flash wird zu Ihrem lokalen Host transferiert. Wenn Sie
die Los-Schaltflche drcken, erscheint ein Dialog, in dem Sie den
Speicherort auf Ihrem PC auswhlen und den gewnschten Dateinamen eingeben knnen.
<1&3 *: Whlen Sie in Dateiname eine Konfigurationsdatei aus, die sie importieren wollen. Hinweis: Durch Klicken
auf Los wird die Datei zunchst unter dem Namen : in den FlashSpeicher des Gerts geladen. Zum Aktivieren mssen Sie das Gert
neu starten.
313
18 Wartung
bintec elmeg GmbH
Feld
Beschreibung
Hinweis: Die Datei, die importiert werden soll, muss das CSV-Format
haben!
<1&3 *: Die Konfigurationsdatei im Feld Name
der Quelldatei wird als Name der Zieldatei gespeichert.
<1&3 R,+ : Die Konfiguration im Feld Datei auswhlen wird gelscht.
<1&3 3:: Die Konfigurationsdatei im Feld Datei
auswhlen wird zu Neuer Dateiname umbenannt.
(+ 3& 2 ,: Nur, wenn unter Konfiguration
speichern mit der Einstellung <1&3 ,*+ 3
& %<1&3 ,+ die aktuelle
Konfiguration als Boot-Konfiguration gespeichert und zustzlich die
vorhergehende Boot-Konfiguration archiviert wurde. Sie knnen die archivierte Boot-Konfiguration wieder einspielen.
(127'2 R,+ : Die Datei im Feld Datei auswhlen
wird gelscht.
(*+ *: Sie knnen weitere Sprachversionen des
GUI auf Ihr Gert einspielen. Die Dateien knnen Sie aus dem Download-Bereich von http://hilfe.telekom.de auf Ihren PC herunterladen
und von dort aus in Ihr Gert einspielen.
(0,,12 3,: Sie knnen eine Aktualisierung
der Systemsoftware, der ADSL-Logik und des BOOTmonitors initiieren.
-+ / =. *: Whlen Sie in Dateiname die Datei ,K21,8* aus, die Sie importieren wollen.
<1&3 (3,1 9*: Die
aktive Konfiguration aus dem RAM wird auf Ihren lokalen Host bertragen. Wenn Sie auf die Los-Schaltflche klicken, erscheint ein Dialog,
in dem Sie den Speicherort auf Ihrem PC auswhlen und den gewnschten Dateinamen eingeben knnen.
Aktueller Dateiname im
Flash
Fr Aktion = <1&3 9*

Whlen Sie die Konfigurationsdatei aus, die exportiert werden soll.
Zertifikate und Schlssel

einschlieen
Fr Aktion = <1&3 9*

Whlen Sie aus, ob die gewhlte Aktion auch fr Zertifikate und Schlssel gelten soll.
Verschlsselung der Kon- Nur fr Aktion = <1&3 9*, <1&3
figuration
*, <1&3 (3,1 9
*
Whlen Sie aus, ob die Daten der gewhlten Aktion verschlsselt werden sollen.
Wenn die Funktion aktiviert ist, knnen Sie in das Textfeld das Passwort
eingeben.
Dateiname
314
Nur fr Aktion = <1&3 *, (*+ *

18 Wartung
bintec elmeg GmbH
Feld
Beschreibung
, (0,,12 3,
Geben Sie den Dateipfad und Namen der Datei ein oder whlen Sie die
Datei mit Durchsuchen... ber den Dateibrowser aus.
Name der Quelldatei
Nur fr Aktion = <1&3 *

Whlen Sie die Quelldatei aus, die kopiert werden soll.
Name der Zieldatei
Nur fr Aktion = <1&3 *

Geben Sie den Namen der Kopie ein.
Datei auswhlen
Nur fr Aktion = <1&3 R,+ , <1&3 3:

oder (127'2 R,+
Whlen Sie die Datei oder Konfiguration aus, die umbenannt bzw. gelscht werden soll.
Neuer Dateiname
Nur fr Aktion = <1&3 3:

Geben Sie den neuen Namen der Konfigurationsdatei ein.
Nur fr Aktion = (0,,12 3,
Quelle
Whlen Sie die Quelle der Aktualisierung aus.

Mgliche Werte:
# . (Standardwert): Die Systemsoftware-Datei ist lokal
auf Ihrem PC gespeichert.
>(: Die Datei ist auf dem entfernten Server gespeichert,
der in der URL angegeben wird.
43 (12 5* (: Die Datei liegt auf
dem offiziellen Update-Server.
Nur fr Aktion = (0,,12 3, und Quelle =
>(
URL
Geben Sie die URL des Update-Servers ein, von dem die Systemsoftware-Datei geladen werden soll.
18.3 Neustart
18.3.1 Systemneustart
In diesem Men knnen Sie einen sofortigen Neustart Ihres Gerts auslsen. Nachdem das System
wieder hochgefahren ist, mssen Sie das GUI neu aufrufen und sich wieder anmelden.
Beobachten Sie dazu die LEDs an Ihrem Gert. Fr die Bedeutung der LEDs lesen Sie bitte in dem
Handbuch-Kapitel Technische Daten.
Hinweis
Stellen Sie vor einem Neustart sicher, dass Sie Ihre Konfigurationsnderungen durch Klicken auf die Schaltflche Konfiguration speichern besttigen, so dass diese bei dem
Neustart nicht verloren gehen.
315
18 Wartung
bintec elmeg GmbH
Abb. 164: Wartung ->Neustart->Systemneustart
Wenn Sie Ihr Gert neu starten wollen, klicken Sie auf die OK-Schaltflche. Der Neustart wird ausgefhrt.
316
19 Externe Berichterstellung
bintec elmeg GmbH
Kapitel 19 Externe Berichterstellung

In diesem Men legen Sie fest, welche Systemprotokoll-Nachrichten auf welchem Rechner gespeichert
werden und ob der Systemadministrator bei bestimmten Ereignissen eine Email erhalten soll. Informationen ber den IP-Datenverkehr knnen - bezogen auf die einzelnen Schnittstellen - ebenfalls gespeichert werden. Darber hinaus knnen im Fehlerfall SNMP-Traps an bestimmte Hosts versandt werden.
19.1 Systemprotokoll
Ereignisse in den verschiedenen Subsystemen Ihres Gerts (z. B. PPP) werden in Form von Systemprotokoll-Nachrichten (Syslog) protokolliert. Je nach eingestelltem Level (acht Stufen von ;1 ber
1 bis .:3&) werden dabei mehr oder weniger Meldungen sichtbar.
Zustzlich zu den intern auf Ihrem Gert protokollierten Daten knnen und sollten alle Informationen zur
Speicherung und Weiterverarbeitung zustzlich an einen oder mehrere externe Rechner weitergeleitet
werden, z. B. an den Rechner des Systemadministrators. Auf Ihrem Gert intern gespeicherte Systemprotokoll-Nachrichten gehen bei einem Neustart verloren.
Warnung
Achten Sie darauf, die Systemprotokoll-Nachrichten nur an einen sicheren Rechner weiterzuleiten. Kontrollieren Sie die Daten regelmig und achten Sie darauf, dass jederzeit ausreichend freie Kapazitt auf der Festplatte des Rechners zur Verfgung steht.
19.1.1 Syslog-Server
Konfigurieren Sie Ihr Gert als Syslog-Server, sodass die definierten Systemmeldungen an geeignete
Hosts im LAN geschickt werden knnen.
In diesem Men definieren Sie, welche Meldungen mit welchen Bedingungen zu welchem Host geschickt werden.
Im Men Externe Berichterstellung->Systemprotokoll ->Syslog-Server wird eine Liste aller konfigurierten Systemprotokoll-Server angezeigt.
19.1.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Systemprotokoll-Server einzurichten.
Abb. 165: Externe Berichterstellung ->Systemprotokoll ->Syslog-Server ->Neu
Das Men Externe Berichterstellung->Systemprotokoll ->Syslog-Server->Neu besteht aus folgenden Feldern:
317
bintec elmeg GmbH

Feld
Beschreibung
IP-Adresse
Geben Sie die IP-Adresse des Hosts ein, zu dem Systemprotokoll-Nachrichten weitergeleitet werden sollen.
Level
Whlen Sie die Prioritt der Systemprotokoll-Nachrichten aus, die zum

Host geschickt werden sollen.
Mgliche Werte:
;1 (hchste Prioritt)
4
<,+
'
=3&
%+ + &3&
1 (Standardwert)
.:3& (niedrigste Prioritt)
Nur Systemprotokoll-Nachrichten mit gleicher oder hherer Prioritt als
angegeben werden an den Host gesendet, d. h. dass beim Syslog-Level
.:3& smtliche erzeugten Meldungen an den Host weitergeleitet werden.
Facility
Geben Sie die Syslog Facility auf dem Host an.

Dieses ist nur erforderlich, wenn der Log Host ein Unix-Rechner ist.
Mgliche Werte: + ) (Standardwert)
+.
Zeitstempel
Whlen Sie das Format des Zeitstempels im Systemprotokoll aus.

Mgliche Werte:
< (Standardwert): Keine Systemzeitangabe.
E: Systemzeit ohne Datum.
.3 T5 8: Systemzeit mit Datum.
Protokoll
Whlen Sie das Protokoll fr den Transfer der Systemprotokoll-Nachrichten aus. Beachten Sie, dass der Syslog Server das Protokoll untersttzen
muss.
Mgliche Werte:
5. (Standardwert)
$
Nachrichtentyp
Whlen Sie den Nachrichtentyp aus.

Mgliche Werte:
(0, T4++3& (Standardwert)
(0,
4++3&
318
bintec elmeg GmbH
19.2 IP-Accounting
In modernen Netzwerken werden hufig aus kommerziellen Grnden Informationen ber Art und Menge
der Datenpakete gesammelt, die ber die Netzwerkverbindungen bertragen und empfangen werden.
Fr Internet Service Provider, die ihre Kunden nach Datenvolumen abrechnen, ist das von entscheidender Bedeutung.
Aber auch nicht-kommerzielle Zwecke sprechen fr ein detailiertes Netzwerk-Accounting. Wenn Sie z.
B. einen Server verwalten, der verschiedene Arten von Netzwerkdiensten zur Verfgung stellt, ist es
ntzlich fr Sie zu wissen, wieviel Daten von den einzelnen Diensten erzeugt werden.
Ihr Gert enthlt die Funktion IP-Accounting, die Ihnen die Sammlung vielerlei ntzlicher Informationen
ber den IP-Netzwerkverkehr (jede einzelne IP-Session) ermglicht.
In diesem Men knnen Sie die Funktion IP-Accounting fr jede Schnittstelle einzeln konfigurieren.
Abb. 166: Externe Berichterstellung ->IP-Accounting->Schnittstellen
Im Men Externe Berichterstellung->IP-Accounting->Schnittstellen wird eine Liste aller auf Ihrem

Gert konfigurierten Schnittstellen angezeigt. Fr jeden Eintrag kann durch Setzen eines Hakens die
Funktion IP-Accounting aktiviert werden. In der Spalte IP-Accounting mssen Sie nicht jeden Eintrag
einzeln anklicken. ber die Optionen Alle auswhlen oder Alle deaktivieren knnen Sie die Funktion
IP-Accounting fr alle Schnittstellen gleichzeitig aktivieren bzw. deaktivieren.
19.2.2 Optionen
In diesem Men konfigurieren Sie allgemeine Einstellungen fr IP-Accounting.
Abb. 167: Externe Berichterstellung ->IP-Accounting->Optionen
Im Men Externe Berichterstellung->IP-Accounting->Optionen knnen Sie das Protokollformat der

IP-Accounting-Meldungen festlegen. Die Meldungen knnen Zeichenketten in beliebiger Reihenfolge,
durch umgekehrten Schrgstrich abgetrennte Sequenzen, z. B. Y oder Y oder definierte Tags enthalten.
Mgliche Format-Tags:
319
bintec elmeg GmbH
Format-Tags fr IP-Accounting Meldungen

Feld
Beschreibung
%d
Datum des Sitzungsbeginns im Format DD.MM.YY
%t
Uhrzeit des Sitzungsbeginns im Format HH:MM:SS
%a
Dauer der Sitzung in Sekunden
%c
Protokoll
%i
Quell-IP-Adresse
%r
Quellport
%f
Quell-Schnittstellen-Index
%I
Ziel-IP-Adresse
%R
Zielport
%F
Ziel-Schnittstellen-Index
%p
Ausgegangene Pakete
%o
Ausgegangene Oktetts
%P
Eingegangene Pakete
%O
Eingegangene Oktetts
%s
Laufende Nummer der Gebhrenerfassungsmeldung
%%
Standardmig ist im Feld Protokollformat die folgende Formatanweisung eingetragen: ;6

Z ZZZ+Z6Z7Z1 B Z6Z?7Z'Z*ZZZD[Z,\
19.3 Benachrichtigungsdienst
Bisher war es schon mglich Syslog-Meldungen vom Router an einen beliebigen Syslog-Host bertragen zu lassen. Mit dem Benachrichtigungsdienst werden dem Administrator je nach Konfiguration EMails gesendet, sobald relevante Syslog-Meldungen auftreten.
19.3.1 Benachrichtigungsempfnger
Im Men Benachrichtigungsempfnger wird eine Liste der Syslog-Meldungen angezeigt.
19.3.1.1 Neu
Whlen Sie die Schaltflche Neu, um weitere Benachrichtigungsempfnger anzulegen.
320
bintec elmeg GmbH
Abb. 168: Externe
Berichterstellung ->Benachrichtigungsdienst ->Benachrichtigungsempfnger->Neu

Das Men Externe
Berichterstellung->Benachrichtigungsdienst->Benachrichtigungsempfnger->Neu besteht aus folgenden Feldern:
Felder im Men Benachrichtigungsempfnger hinzufgen/bearbeiten
Feld
Beschreibung
Zeigt den Benachrichtigungsdienst an. Fr Gerte mit UMTS knnen Sie
den Benachrichtigungsdienst auswhlen.
Mgliche Werte:
E-Mail
SMS
Empfnger
Nachrichtenkomprimierung
Geben Sie die E-Mail-Adresse bzw. die Mobilfunknummer des Empfngers ein. Die Eingabe ist auf 40 Zeichen begrenzt.
Whlen Sie aus, ob der Text der Benachrichtigungsmail verkrzt werden
soll. Die Mail enthlt dann die Syslog-Meldung nur einmal und zustzlich
die Anzahl der entsprechenden Ereignisse.
Aktivieren oder deaktivieren Sie das Feld.
Betreff
Ereignis
Sie knnen einen Betreff eingeben.

Diese Funktion ist nur bei Gerten mit Wireless LAN Controller verfgbar.
Whlen Sie das Ereignis, das eine E-Mail-Benachrichtigung auslsen
soll.
Mgliche Werte:
(0, 3& @ E+ 1& (Standardwert): Eine
Syslog-Meldung enthlt eine bestimmte Zeichenfolge.
;3 ;& :4 &13 : Ein neuer benachbarter AP wurde
gefunden.
;3 ?&34 &13 : Ein neuer Rough AP wurde gefunden,
d.h. ein AP, der eine SSID des eigenen Netzes verwendet, aber kein
321
Feld
bintec elmeg GmbH
Beschreibung
Bestandteil dieses Netzes ist.
;3 (4 !=" &13 : Eine neuer unkonfigurierter AP
hat sich beim WLAN Controller gemeldet.
-2 4 11: Ein managed AP ist nicht mehr erreichbar.
Enthaltene Zeichenfolge
Sie mssen eine "Enthaltene Zeichenfolge" eingeben. Ihr Vorkommen in
einer Syslog Meldung ist die notwendige Bedingung fr das Auslsen eines Alarms.
Die Eingabe ist auf 55 Zeichen begrenzt. Bedenken Sie, dass ohne die
Verwendung von Wildcards (z. B. "*") nur diejenigen Strings die Bedingung erfllen, die exakt der Eingabe entsprechen. In der Regel wird die
eingegebene "Enthaltene Zeichenfolge" also Wildcards enthalten. Um
grundstzlich ber alle Syslog-Meldungen des gewhlten Levels informiert zu werden, geben Sie lediglich "*" ein.
Schweregrad
Whlen Sie den Schweregrad aus, auf dem der im Feld Enthaltene Zeichenfolge konfigurierte String vorkommen muss, damit eine EMail-Benachrichtigung ausgelst wird.
Mgliche Werte:
;1 (Standardwert), 4, <,+ , ' , =3&, %
+ + &3&, 1, .:3&
berwachte Subsysteme
Whlen Sie die Subsysteme aus, die berwacht werden sollen.
Fgen Sie mit Hinzufgen neue Subsysteme hinzu.
Timeout fr Nachrichten
Geben Sie ein, wie lange der Router nach einem entsprechenden Ereignis maximal warten darf, bevor das Versenden der Benachrichtigungsmails erzwungen wird.
Zur Verfgung stehen Werte von bis . Ein Wert von deaktiviert
den Timeout. Der Standardwert ist .
Anzahl Nachrichten
Geben Sie die Anzahl der Syslog-Meldungen ein, die erreicht sein muss,
ehe eine Benachrichtigungsmail fr diesen Fall gesendet werden kann.
Wenn Timeout konfiguriert ist, wird die Mail bei dessen Ablauf gesendet,
auch wenn die Anzahl an Meldungen noch nicht erreicht ist.
Zur Verfgung stehen Werte von bis , der Standardwert ist .
322
bintec elmeg GmbH
19.3.2 Benachrichtigungseinstellungen
Abb. 169: Externe Berichterstellung ->Benachrichtigungsdienst ->Benachrichtigungseinstellungen
Das Men Externe Berichterstellung->Benachrichtigungsdienst->Benachrichtigungseinstellungen besteht aus folgenden Feldern:

Feld
Beschreibung
Whlen Sie aus, ob der Benachrichtigungsdienst aktiviert werden soll.
Maximale E-Mails pro Minute
Begrenzen Sie die Anzahl der ausgehenden Mails pro Minute. Zur Verfgung stehen Werte von bis
, der Standardwert ist .
Felder im Men E-Mail-Parameter

Feld
Beschreibung
E-Mail-Adresse des Senders
Geben Sie die Mailadresse ein, die in das Absenderfeld der E-Mail eingetragen werden soll.
SMTP-Server
Geben Sie die Adresse (IP-Adresse oder gltiger DNS-Name) des Mailservers ein, der zum Versenden der Mails verwendet werden soll.
Die Eingabe ist auf 40 Zeichen begrenzt.
SMTP-Port
Verschlsselung von E-Mails (SSL/TLS).
Das Feld SMTP-Port ist Standardmig auf
voreingestellt und SSL
Encryption aktiviert.
SMTP-Authentifizierung
Authentifizierung, die der SMTP-Server erwartet.
Mgliche Werte:
< (Standardwert): Der Server akzeptiert und versendet Mails ohne weitere Authentifizierung.
(/: Der Server akzeptiert Mails nur, wenn sich der Router mit einer
richtigen Benutzer/Passwort-Kombination einloggt.
(/ 1 D: Der Server verlangt, dass vor dem Versenden einer Mail Mails per POP3 von der sendenden IP aus mit dem richtigen
POP3-Benutzernamen/Passwort abgerufen werden.
323
Feld
Benutzername
bintec elmeg GmbH
Beschreibung
Nur wenn SMTP-Authentifizierung = (/ oder (/ 1 D
Geben Sie den Benutzernamen fr den POP3 bzw. SMTP Server an.
Passwort
Nur wenn SMTP-Authentifizierung = (/ oder (/ 1 D

Geben Sie das Passwort dieses Benutzers an.
POP3-Server
Nur wenn SMTP-Authentifizierung = (/ 1 D

Geben Sie die Adresse des Servers ein, von dem die Mails abgerufen
werden sollen.
POP3-Timeout
Nur wenn SMTP-Authentifizierung = (/ 1 D

Geben Sie ein, wie lange der Router nach dem POP3-Abruf maximal
warten darf, bevor das Versenden der Alert Mail erzwungen wird.
324
20 Monitoring
bintec elmeg GmbH
Kapitel 20 Monitoring
Dieses Men enthlt Informationen, die das Auffinden von Problemen in Ihrem Netzwerk und das berwachen von Aktivitten, z. B. an der WAN-Schnittstelle Ihres Gerts, ermglichen.
20.1 Internes Protokoll

20.1.1 Systemmeldungen
Im Men Monitoring->Internes Protokoll ->Systemmeldungen wird eine Liste aller intern gespeicherter System-Meldungen angezeigt. Oberhalb der Tabelle finden Sie die konfigurierten Werte der Felder
Maximale Anzahl der Syslog-Protokolleintrge und Maximales Nachrichtenlevel von Systemprotokolleintrgen. Diese Werte knnen im Men Systemverwaltung ->Globale Einstellungen->System
verndert werden.
Abb. 170: Monitoring ->Internes Protokoll ->Systemmeldungen
Werte in der Liste Systemmeldungen

Feld
Beschreibung
Nr.
Zeigt die laufende Nummer der System-Meldung an.
Datum
Zeigt das Datum der Aufzeichung an.
Zeit
Zeigt die Uhrzeit der Aufzeichnung an.
Level
Zeigt die hierarchische Einstufung der Meldung an.
Subsystem
Zeigt an, welches Subsystem Ihres Gerts die Meldung generiert hat.
Nachricht
Zeigt den Meldungstext an.
20.2 IPSec
325
20 Monitoring
bintec elmeg GmbH
20.2.1 IPSec-Tunnel
Im Men Monitoring->IPSec->IPSec-Tunnel wird eine Liste aller konfigurierten IPSec-Tunnel angezeigt.
Abb. 171: Monitoring ->IPSec->IPSec-Tunnel
Werte in der Liste IPSec-Tunnel

Feld
Beschreibung
Beschreibung
Zeigt den Namen der IPSec-Verbindung an.
Entfernte IP-Adresse
Zeigt die IP-Adresse des entfernten IPSec-Peers an.
Entfernte Netzwerke
Zeigt die aktuell ausgehandelten Subnetze der Gegenstelle an.
Sicherheitsalgorithmus
Zeigt den Verschlsselungsalgorithmus der IPSec-Verbindung an.
Status
Zeigt den Betriebszustand der IPSec-Verbindung an.
Aktion
Bietet die Mglichkeit den Status der IPSec-Verbindung wie angezeigt zu

ndern.
Details
ffnet ein detailliertes Statistik-Fenster.
IPSec-Verbindung gendert.
-Schaltflche wird eine ausfhrliche Statistik zu der jeweiligen IPSec-Ver-
bindung angezeigt.
Abb. 172: Monitoring ->IPSec->IPSec-Tunnel ->
Werte in der Liste IPSec-Tunnel
326
20 Monitoring
bintec elmeg GmbH
Feld
Beschreibung
Beschreibung
Zeigt die Beschreibung des Peers an.
Lokale IP-Adresse
Zeigt die WAN-IP-Adresse Ihres Gerts an.
Entfernte IP-Adresse
Zeigt die WAN-IP-Adresse des Verbindungspartners an.
Lokale ID
Zeigt die ID Ihres Gerts fr diese IPSec-Verbindung an.
Entfernte ID
Zeigt die ID des Peers an.
Aushandlungsmodus
Zeigt den Aushandlungsmodus an.
Zeigt die Authentifizierungsmethode an.
MTU
Zeigt die aktuelle MTU (Maximum Transfer Unit) an.
Zeigt die Methode an, wie berprft wird, dass der Peer erreichbar ist.
NAT-Erkennung
Zeigt die NAT-Erkennungsmethode an.
Lokaler Port
Zeigt den lokalen Port an.
Entfernter Port
Zeigt den entfernten Port an.
Pakete
Zeigt die Anzahl der eingehenden und ausgehenden Pakete an.
Bytes
Zeigt die Anzahl der eingehenden und ausgehenden Bytes an.
Fehler
Zeigt die Anzahl der Fehler an.
IKE (Phase-1) SAs (x)
Zeigt die Parameter der IKE (Phase 1) SAs an.
Rolle / Algorithmus / Verbleibende Lebensdauer /

Status
IPSec (Phase-2) SAs (x)
Zeigt die Parameter der IPSec (Phase 2) SAs an.
Rolle / Algorithmus / Verbleibende Lebensdauer /

Status
Nachrichten
Zeigt die Systemmeldungen zu diesem IPSec-Tunnel an.
20.2.2 IPSec-Statistiken
Im Men Monitoring->IPSec->IPSec-Statistiken werden statistische Werte zu allen IPSec-Verbindungen angezeigt.
Abb. 173: Monitoring ->IPSec->IPSec-Statistiken
Das Men Monitoring->IPSec->IPSec-Statistiken besteht aus folgenden Feldern:

327
20 Monitoring
bintec elmeg GmbH
Feld im Men Lizenzen

Feld
Beschreibung
IPSec-Tunnel
Zeigt die Anzahl der aktuell genutzten IPSec-Lizenzen (In Verwendung)

und die Anzahl der maximal verwendbaren Lizenzen (Maximal) an.
Feld im Men Peers

Feld
Beschreibung
Status
Zeigt die Anzahl der IPSec-Verbindungen gezhlt nach Ihrem aktuellen

Status an.
Aktiv: Aktuell aktive IPSec-Verbindungen.
Aktivieren: IPSec-Verbindungen, die sich aktuell in der Tunnelaufbau-Phase befinden.
Blockiert: IPSec-Verbindungen, die geblockt sind.
Ruhend: Aktuell inaktive IPSec-Verbindungen.
Konfiguriert: Konfigurierte IPSec-Verbindungen.
Felder im Men SAs

Feld
Beschreibung
IKE (Phase-1)
Zeigt die Anzahl der aktiven Phase-1-SAs ( Hergestellt) zur Gesamtzahl

der Phase-1-SAs ( Gesamt) an.
IPSec (Phase-2)
Zeigt die Anzahl der aktiven Phase-2-SAs (Hergestellt) zur Gesamtzahl

der Phase-2-SAs (Gesamt) an.
Felder im Men Paketstatistiken

Feld
Beschreibung
Gesamt
Zeigt die Anzahl aller verarbeiteten eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an.
Weitergeleitet
Zeigt die Anzahl der eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an, die im Klartext weitergeleitet wurden.
Verworfen
Zeigt die Anzahl der verworfenen eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an.
Verschlsselt
Zeigt die Anzahl der durch IPSec geschtzten eingehenden (Eingehend)

bzw. ausgehenden (Ausgehend) Pakete an.
Fehler
Zeigt die Anzahl der eingehenden (Eingehend) bzw. ausgehenden (Ausgehend) Pakete an, bei deren Behandlung es zu Fehlern gekommen ist.
20.3 ISDN/Modem
20.3.1 Aktuelle Anrufe
Im Men Monitoring->ISDN/Modem->Aktuelle Anrufe wird eine Liste der bestehenden ISDNVerbindungen (eingehend und ausgehend) angezeigt.
Abb. 174: Monitoring ->ISDN/Modem->Aktuelle Anrufe
328
20 Monitoring
bintec elmeg GmbH
Werte in der Liste Aktuelle Anrufe

Feld
Beschreibung
Dienst
Zeigt den Dienst an, zu bzw. von dem der Ruf verbunden ist: ,
(+, C
, D(.
Entfernte Nummer
Zeigt die Rufnummer, die gewhlt wurde (bei ausgehenden Rufen) bzw.
von der aus angerufen wurde (bei eingehenden Rufen).
Schnittstelle
Zeigt Zusatzinformationen fr PPP-Verbindungen an.
Richtung
Zeigt die Senderichtung an: & , 43,& .
Kosten
Zeigt die Kosten der laufenden Verbindung an.
Dauer
Zeigt die Dauer der laufenden Verbindung an.
Stack
Zeigt den zugehrigen ISDN-Port (STACK) an.
Kanal
Zeigt die Nummer des ISDN-B-Kanals an.
Status
Zeigt den Status der Verbindung an: 3, + , , ,

+*+ , + , +*,, ++ , +*+ , ,
,+N, ,+ , ,3,* N, ,3N, +.
20.3.2 Anrufliste
Im Men Monitoring->ISDN/Modem->Anrufliste wird eine Liste der letzten 20 seit dem letzten Systemstart abgeschlossenen ISDN-Verbindungen (eingehend und ausgehend) angezeigt.
Abb. 175: Monitoring ->ISDN/Modem->Anrufliste
Werte in der Liste Anrufliste

Feld
Beschreibung
Dienst
Zeigt den Dienst an, zu bzw. von dem der Ruf verbunden war: ,
(+, C
, D(.
Entfernte Nummer
Zeigt die Rufnummer, die gewhlt wurde (bei ausgehenden Rufen) bzw.
von der aus angerufen wurde (bei eingehenden Rufen).
Schnittstelle
Zeigt Zusatzinformationen fr PPP-Verbindungen an.
Richtung
Zeigt die Senderichtung an: & , 43,& .
Kosten
Zeigt die Kosten der Verbindung an.
Startzeit
Zeigt die Uhrzeit an, zu welcher der Ruf aus- bzw. einging.
Dauer
Zeigt die Dauer der Verbindung an.
20.4 Schnittstellen
20.4.1 Statistik
Im Men Monitoring->Schnittstellen->Statistik werden die aktuellen Werte und Aktivitten aller Gerte-Schnittstellen angezeigt.
ber die Filterleiste knnen Sie auswhlen, ob Gesamttransfer oder Transferdurchsatz angezeigt
werden soll. In der Anzeige Transferdurchsatz werden die Werte pro Sekunde angezeigt.
329
20 Monitoring
bintec elmeg GmbH
Abb. 176: Monitoring ->Schnittstellen ->Statistik
Schnittstelle gendert.
Werte in der Liste Statistik
Feld
Beschreibung
Nr.
Zeigt die laufende Nummer der Schnittstelle an.
Beschreibung
Typ
Zeigt den Schnittstellentyp an.
Tx-Pakete
Zeigt die Gesamtzahl der gesendeten Pakete an.
Tx-Bytes
Zeigt die Gesamtzahl der gesendeten Oktetts an.
Tx-Fehler
Zeigt die Gesamtzahl der gesendeten Fehler an.
Rx-Pakete
Zeigt die Gesamtzahl der erhaltenen Pakete an.
Rx-Bytes
Zeigt die Gesamtzahl der erhaltenen Bytes an.
Rx-Fehler
Zeigt die Gesamtzahl der erhaltenen Fehler an.
Status
Zeigt den Betriebszustand der gewhlten Schnittstelle an.
Nicht gendert seit
Zeigt an, wie lang sich der Betriebszustand der Schnittstelle nicht gendert hat.
Aktion
Bietet die Mglichkeit den Status der Schnittstelle wie angezeigt zu ndern.
ber die
-Schaltflche knnen Sie die statistischen Daten fr die einzelnen Schnittstellen im Detail
anzeigen lassen.
Abb. 177: Monitoring ->Schnittstellen ->Statistik->
330
20 Monitoring
bintec elmeg GmbH
Werte in der Liste Statistik

Feld
Beschreibung
Beschreibung
MAC-Adresse
Zeigt den Schnittstellentyp an.
Zeigt die IP-Adresse und die Netzmaske an.
NAT
Zeigt an, ob NAT fr diese Schnittstelle aktiviert ist.
Tx-Pakete
Tx-Bytes
Zeigt die Gesamtzahl der gesendeten Oktetts an.
Rx-Pakete
Rx-Bytes
Zeigt die Gesamtzahl der erhaltenen Bytes an.
Feld im Men TCP-Verbindungen

Feld
Beschreibung
Status
Zeigt den Status einer aktiven TCP-Verbindung an.
Lokale Adresse
Zeigt die lokale IP-Adresse der Schnittstelle fr eine aktive TCPVerbindung an.
Lokaler Port
Zeigt den lokalen Port der IP-Adresse fr eine aktive TCP-Verbindung

an.
Remote-Adresse
Zeigt die IP-Adresse an, zu der eine aktive TCP-Verbindung besteht.
Entfernter Port
Zeigt den Port an, zu dem eine aktive TCP-Verbindung besteht.
20.5 WLAN
20.5.1 WLAN1
Im Men Monitoring->WLAN->WLAN werden die aktuellen Werte und Aktivitten der WLANSchnittstelle angezeigt. Dabei werden die Werte fr den Drahtlos-Modus 802.11n separat aufgefhrt.
331
20 Monitoring
bintec elmeg GmbH
Abb. 178: Monitoring ->WLAN->WLAN
Werte in der Liste WLAN

Feld
Beschreibung
Mbit/s
Zeigt die mglichen Datenraten auf diesem Funkmodul an.
Tx-Pakete
Zeigt die Gesamtzahl der gesendeten Pakete fr die in Mbit/s angezeigte

Datenrate an.
Rx-Pakete
Zeigt die Gesamtzahl der erhaltenen Pakete fr die in Mbit/s angezeigte

Datenrate an.
ber die Schaltflche Erweitert gelangen Sie in eine bersicht ber weitere Details.
332
20 Monitoring
bintec elmeg GmbH
Abb. 179: Monitoring ->WLAN->WLAN->Erweitert
Werte in der Liste Erweitert

Feld
Beschreibung
Beschreibung
Zeigt die Beschreibung des angezeigten Werts an.
Wert
Zeigt den entsprechenden statistischen Wert an.
Bedeutung der Listeneintrge

Beschreibung
Bedeutung
Unicast MSDUs erfolgreich bertragen
Zeigt die Anzahl der erfolgreich an Unicast-Adressen versandten MSDUs

seit dem letzten Reset an. Zu jedem dieser Pakete wurde ein Acknowledgement empfangen.
Erfolgreich bertragene
Multicast-MSDUs
Zeigt die Anzahl der erfolgreich an Multicast-Adressen (inklusive der

Broadcast MAC-Adresse) versandten MSDUs an.
bertragene MPDUs
Zeigt die Anzahl der erfolgreich empfangenen MPDUs an.
Erfolgreich empfangene
Multicast-MSDUs
Zeigt die Anzahl der erfolgreich empfangenen MSDUs an, die mit einer
Multicast-Adresse versandt wurden.
Unicast MPDUs erfolgreich erhalten
Zeigt die Anzahl der erfolgreich empfangenen MSDUs an, die mit einer
Unicast-Adresse versandt wurden.
MSDUs, die nicht bertragen werden konnten
Zeigt die Anzahl der MSDUs an, die nicht gesendet werden konnten.
Doppelte empfangene MS- Zeigt die Anzahl von doppelt empfangenen MSDUs an.
DUs
CTS Frames als Antwort
auf RTS empfangen
Zeigt die Anzahl der empfangenen CTS (Clear to send)-Frames an, die
als Antwort auf RTS (Request to send) empfangen wurden.
Nicht entschlsselbare
MPDUs erhalten
Zeigt die Anzahl der empfangenen MPDUs an, die nicht entschlsselt
werden konnten. Ein Grund dafr knnte sein, dass kein passender
Schlssel eingetragen wurde.
RTS Frames ohne CTS
Zeigt die Anzahl der RTS-Frames an, fr die kein CTS empfangen wurde.
Fehlerhafte Erhaltene Pakete
Zeigt die Anzahl der Frames an, die unvollstndig oder fehlerhaft empfangen wurden.
20.5.2 VSS
Im Men Monitoring->WLAN->VSS werden die aktuellen Werte und Aktivitten der konfigurierten
Drahtlosnetzwerke angezeigt.
333
20 Monitoring
bintec elmeg GmbH
Abb. 180: Monitoring ->WLAN->VSS
Werte in der Liste VSS

Feld
Beschreibung
MAC-Adresse
Zeigt die MAC-Adresse des assoziierten Clients.
IP-Adresse
Zeigt die IP-Adresse des Clients.
Uptime
Zeigt die Zeit in Stunden, Minuten und Sekunden an, die der jeweilige
Client angemeldet ist.
Tx-Pakete
Rx-Pakete
Signal dBm (RSSI1, RSSI2, Zeigt die Empfangsstrke des Signals in dBm an.
RSSI3)
Rauschen dBm
Zeigt die Empfangsstrke des Rauschens in dBm an.
Datenrate Mbit/s
Zeigt die aktuelle bertragungsrate der von diesem Client empfangenen

Daten in Mbit/s an.
Folgende bertragungsraten sind mglich: IEEE 802.11b: 11, 5.5, 2 und
1 Mbit/s; IEEE 802.11g/a: 54,48,36,24,18,12,9,6 Mbit/s.
Falls das 5-GHz-Frequenzband genutzt wird, wird die Anzeige von 11,
5.5, 2 und 1 Mbit/s bei IEEE 802.11b unterdrckt.
Rx Discards
Zeigt die Anzahl der empfangenen Datenpakete, die verworfen wurden,

wenn im Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS)->
im Feld Rx Shaping die Bandbreite fr eingehenden Datenverkehr begrenzt wurde.
Tx Discards
Zeigt die Anzahl der gesendeten Datenpakete, die verworfen wurden,

wenn im Men Wireless LAN->WLAN->Drahtlosnetzwerke (VSS)->
im Feld Rx Shaping die Bandbreite fr ausgehenden Datenverkehr begrenzt wurde.
VSS - Details fr Verbundene Clients

Im Men Monitoring->WLAN->VSS-><Verbundener Client>->
werden die aktuellen Werte und Ak-
tivitten eines verbundenen Clients angezeigt. Dabei werden die Werte fr den Drahtlos-Modus 802.11n
separat aufgefhrt.
334
20 Monitoring
bintec elmeg GmbH
Abb. 181: Monitoring ->WLAN->VSS-><Verbundener Client> ->
Werte in der Liste <Verbundener Client>

Feld
Beschreibung
Client-MAC-Adresse
Zeigt die MAC-Adresse des assoziierten Clients.
IP-Adresse
Zeigt die IP-Adresse des Clients.
Uptime
Zeigt die Zeit in Stunden, Minuten und Sekunden an, die der jeweilige
Client angemeldet ist.
Signal dBm (RSSI1, RSSI2, Zeigt die Empfangsstrke des Signals in dBm an.
RSSI3)
Rauschen dBm
Zeigt die Empfangsstrke des Rauschens in dBm an.
SNR dB
Signal to Noise Ratio (Signal-Rausch-Abstand) in dB stellt einen Indikator

fr die Qualitt der Verbindung im Funk dar.
Werte:
> 25 dB exzellent
15 25 dB gut
2 15 dB grenzwertig
0 2 dB schlecht.
Datenrate Mbit/s
Zeigt die aktuelle bertragungsrate der von diesem Client empfangenen

Daten in Mbit/s an. Folgende bertragungsraten sind mglich: IEEE
802.11b: 11, 5.5, 2 und 1 Mbit/s; IEEE 802.11g/a: 54,48,36,24,18,12,9,6
Mbit/s Falls das 5-GHz-Frequenzband genutzt wird, wird die Anzeige von
11, 5.5, 2 und 1 Mbit/s bei IEEE 802.11b unterdrckt.
335
20 Monitoring
bintec elmeg GmbH
Feld
Beschreibung
Rate
Zeigt die mglichen Datenraten auf dem Funkmodul an.
Rx Discards
Zeigt die Anzahl der erhaltenen Pakete fr die jeweilige Datenrate an.
Tx Discards
Zeigt die Anzahl der gesendeten Pakete fr die jeweilige Datenrate an.
20.5.3 Client-Verwaltung
Im Men Monitoring->WLAN+Client-Verwaltung wird eine bersicht des Client-Verwaltung angezeigt. Sie sehen fr jedes VSS u. a. die Anzahl der verbundenen Clients, die Anzahl der Clients, die in
vom 2,4/5-GHz-bergang betroffen sind, sowie die Anzahl der abgewiesenen Clients.
Abb. 182: Monitoring ->WLAN+Client-Verwaltung
Werte in der Liste Client-Verwaltung

Feld
Beschreibung
VSS-Beschreibung
Zeigt die eindeutige Beschreibung des Drahtlosnetzwerks (VSS) an.
Netzwerkname (SSID)
Zeigt den Namen des Wireless Netzwerks (SSID) an.
MAC-Adresse
Zeigt die MAC Adresse, die fr dieses VSS verwendet wird, an.
Aktive Clients
Zeigt die Anzahl der aktiven Clients.
2,4/5-GHz-bergang
Zeigt die Anzahl der Clients, die ber die Funktion 2,4/5-GHz-bergang
in ein anderes Frequenzband verschoben worden sind.
Abgewiesene Clients soft/ Zeigt die Anzahl der abgewiesenen Clients, nachdem die absolute Anhard
zahl an zulssigen Clients erreicht wurde.
20.6 Bridges
20.6.1 br<x>
Im Men Monitoring->Bridges-> br<x> werden die aktuellen Werte der konfigurierten Bridges angezeigt.
Abb. 183: Monitoring ->Bridges
Werte in der Liste br<x>
336
Feld
Beschreibung
MAC-Adresse
Zeigt die MAC-Adressen der assoziierten Bridges an.
Port
Zeigt den Port an, auf dem die Bridge aktiv ist.
20 Monitoring
bintec elmeg GmbH
20.7 QoS
Im Men Monitoring->QoS werden Statistiken fr die Schnittstellen angezeigt, fr die QoS konfiguriert
wurde.
20.7.1 QoS
Im Men Monitoring->QoS->QoS wird eine Liste aller Schnittstellen angezeigt, fr die QoS konfiguriert
wurde.
Abb. 184: Monitoring ->QoS->QoS
Werte in der Liste QoS

Feld
Beschreibung
Schnittstelle
Zeigt die Schnittstelle an, fr die QoS konfiguriert wurde.
QoS-Queue
Zeigt die QoS-Queue an, die fr diese Schnittstelle konfiguriert wurde.
Senden
Zeigt die Anzahl der gesendeten Pakete mit der entsprechenden PaketKlasse an.
Verworfen
Zeigt die Anzahl der verworfenen Pakete mit der entsprechenden PaketKlasse bei berlast an.
Queued
Zeigt die Anzahl der wartenden Pakete mit der entsprechenden PaketKlasse bei berlast an.
337
Index
bintec elmeg GmbH
Index
Administrativer Status 241 , 249 , 260 , 261
Adressen 254
Analoge Schnittstelle auswhlen 244
Angerufene Adresse 249
Angerufene Adresse 260 , 262
Angerufene Leitung 262
Ankommende Rufnummer 208
Anrufende Adresse 260
Anrufende Leitung 260
Ausgehende Rufnummer 208
Ausgehender Proxy 249
Authentifizierungs-ID 244 , 249
Bandbreitenbegrenzung Downstream 254
Bandbreitenbegrenzung Upstream 254
Beinhalteter Standort (Parent) 254
Benutzer 45
Benutzer muss das Passwort ndern 45
Benutzerdefinierte DHCP-Optionen 283
Benutzername 249
Beschreibung 42 , 241 , 244 , 249 , 254 ,
256 , 260 , 262 , 264
Codec-Reihenfolge 246 , 252
Comfort Noise Generation (CNG) 247 , 253
DSCP-Einstellungen fr RTP-Daten 255
Echounterdrckung 247 , 253
Eigene IP-Adresse per ISDN/GSM bertragen
208
Endpunkttyp 243
Entfernter Port 243
Externe Adresse 264
Externer Port 243
Gltigkeit 244 , 249
Herstellerbeschreibung 283 , 283
Interne IP-Adresse 243
Interner Port 243
ISDN-Konfigurationstyp 58
ISDN-Modus 256
ISDN-Schnittstelle auswhlen 244
Konfiguration speichern 42
Leitung 261
Level Nr. 42
Lizenzschlssel 31
Lizenzseriennummer 31
Lokale Adresse 264
Low Latency Transmission 241
Maximale Downstream-Bandbreite 254
Maximale Upstream-Bandbreite 254
Mens 43
Metrik 126
Mitglieder 256
Modus 208
Modus des D-Kanals 208
Paketgre 247 , 253
Passwort 45 , 244 , 249
Port 244
Port-Verwendung 58
Portname 58
Prioritt 261
338
Protokoll 126 , 241 , 243 , 244 , 249

Realm 249
Registrar 249
Registrierung 244 , 249
Richtung 264
Route 126
Rufnummer 251 , 262
Schnittstelle 126
Schnittstellen 254
Schnittstellentyp 244
SIP-Endpunkt-IP-Adresse 244 , 249
SIP-Header-Feld(er) fr Anruferadresse 251
Sortierreihenfolge 246 , 252
Teilnehmer / Benutzername 244
Timeout der Sitzung 241
Transformation der gerufenen Adresse 261
Transformation der rufenden Adresse 262
Trunk-Modus 249
Typ 254 , 260
bertragungsmodus 208
X.31 (X.25 im D-Kanal) 58
X.31 TEI-Dienst 58
X.31 TEI-Wert 58
Zugangs-Level 45
Zugeordnete Leitung 264
Aktuelle Ortszeit 29
Anrufkontrolle fr lokale Nummern 257
Datum einstellen 29
Dauer 329 , 329
Dienst 329 , 329
Dritter Zeitserver 29
Entfernte Nummer 329 , 329
Erster Zeitserver 29
Firewall auf Werkseinstellungen zurcksetzen
231
Kanal 329
Kontakt 25
Kosten 329 , 329
Kurzwahl 259
LED-Modus 25
Maximale Anzahl der Accounting-Protokolleintrge 25
Maximale Anzahl der Syslog-Protokolleintrge
25
Maximales Nachrichtenlevel von Systemprotokolleintrgen 25
Media Stream Termination 257
Passwrter und Schlssel als Klartext anzeigen 28
Richtung 329 , 329
RTSP-Port 265
RTSP-Proxy 265
Schnittstelle 329 , 329
Session Border Controller Modus 257
SNMP Read Community 27
SNMP Write Community 27
Stack 329
Standard-Abwurfnebenstelle 257
Standardverhalten 254
Standort 25
Startzeit 329
Status 329
Index
bintec elmeg GmbH
Status des Media Gateways 257

System als Zeitserver 29
Systemadministrator-Passwort 27
Systemadministrator-Passwort besttigen
27
Systemname 25
Wahlpause 257
Zeit einstellen 29
Zeitaktualisierungsintervall 29
Zeitaktualisierungsrichtlinie 29
Zeitzone 29
Zweiter Zeitserver 29
Aktive IPSec-Tunnel 24
Aktive Sitzungen (SIF, RTP, etc... ) 24
Aktuelle Anrufe 328
Anrufkontrolle 259
Anrufliste 329
Arbeitsspeichernutzung 24
Benutzer 43
BOSS-Version 24
CLID-Umwandlung 262
CPU-Nutzung 24
Datum 28
DSP-Modul 25
Interner Speicher 24
ISDN Verwendung Intern 24
ISDN-Konfiguration 57
ISDN-Trunks 256
Letzte gespeicherte Konfiguration 24
Optionen 257
Passwrter 27
RTSP-Proxy 265
Rufnummerntransformation 263
Seriennummer 24
SIP-Endpunkte 242
SIP-Konten 248
SIP-Proxys 241
Standorte 253
Status Nachtbetrieb 24
System 25
Systemdatum 24
Systemlizenzen 31
Teilnehmer 244
Uptime 24
Zeit 28
Zugriffsprofile 40
Application Level Gateway 241
Globale Einstellungen 25
ISDN-Ports 57
ISDN/Modem 328
Konfigurationszugriff 40
Media Gateway 259
RTSP 265
Status 23
Assistenten 22
Monitoring 325
Physikalische Schnittstellen 55
Schnittstellen 55
Systemverwaltung 23
VoIP 241
Wartung 310
DHCP-Client (Konfigurationsbeispiel) 285
DHCP-Relay-Server (Konfigurationsbeispiel)
285
DHCP-Server (Konfigurationsbeispiel) 285
NAT (Konfigurationsbeispiel) 135
SIF (Konfigurationsbeispiel) 238
#
#1 #2, #3
51
2
2,4/5-GHz-bergang
336
A
Abfrage Intervall 165
Abgewiesene Clients soft/hard 336
ACCESS_ACCEPT 35
ACCESS_REJECT 35
ACCESS_REQUEST 35
ACCOUNTING_START 35
ACCOUNTING_STOP 35
Admin-Status 141
Administrativer Status 197 , 270
Administrativer Zugriff 34
Adressbereich 233
Adresse/Prfix 233
Adresse/Subnetz 233
Adressen 233
Adressliste 233
Adressmodus 64 , 187
Adresstyp 233
ADSL-Leitungsprofil 60
ADSL-Logik 313
hnliches Zertifikat berschreiben 293
Airtime Fairness 78 , 101
Aktion 117 , 132 , 160 , 226 , 229 , 293 , 313
, 326 , 330
Aktionen 293
Aktive Clients 336
Aktive Clients 112
Aktiver Allgemeiner Prfix 128
Aktives Funkmodulprofil 98
Aktualisierung aktivieren 277
Aktualisierungsintervall 278
Aktualisierungspfad 278
Aktuelle Geschwindigkeit / Aktueller Modus
56
Aktueller Dateiname im Flash 313
Alle Multicast-Gruppen 168
Allgemein 94 , 164 , 309
Allgemeine IPv6-Prfixe 128
Allgemeiner Name 51
Allgemeiner Prfix 67
Als DHCP-Server 269
Als IPCP-Server 269
Alternative Schnittstelle, um DNS-Server zu erhalten 268
Andere Inaktivitt 230
Angegriffener Access Point 116
Ankndigen 66
Antwort 272
339
Index
bintec elmeg GmbH
Antwortintervall (Letztes Mitglied) 165

Anzahl Nachrichten 321
Anzahl der Spatial Streams 76 , 100
Anzahl erlaubter Verbindungen 204
AP gefunden 110
AP offline 110
AP verwaltet 110
APN 283
ARP Processing 105
Art der Einrichtung 67
Art des Datenverkehrs 131
Art des Angriffs 116
Assistent fr Netzwerkeinstellung 13
ATM 184
ATM PVC 180
ATM-Dienstkategorie 189
ATM-Schnittstelle 186
Auf Client-Anfrage antworten 308
Ausgehende Schnittstelle 153
Ausgewhlte Kanle 79
Ausgewhlter Kanal 76
Aushandlungsmodus 326
Auslser 288
Ausstehende Ende-zu-Ende-Anforderungen
192
Ausstehende Segment-Anforderungen 192
Auswahl 234
Auswahl des Client-Bands 84 , 107
Auszufhrende Aktion 304
Authentifizierung 174 , 178 , 183
Authentifizierung fr PPP-Einwahl 40
Authentifizierungsmethode 197 , 210 , 326
Authentifizierungstyp 37
Automatische Subnetzerstellung 67
Automatische Konfiguration 10
Autonomous Flag 68
Autospeichermodus 52 , 293
B
Bandbreite 76 , 100
Basierend auf Ethernet-Schnittstelle 63
Beacon Period 86 , 102
Bedienelemente 16
Bedingung des Schnittstellenverkehrs 289
Bedingung fr Ereignisliste 293
Befehlsmodus 293
Befehlstyp 293
Benachbarte APs 114
Benachrichtigungsdienst 320 , 321 , 323
Benachrichtigungseinstellungen 323
Benachrichtigungsempfnger 320
Benutzer 219
Benutzerdefiniert 51
Benutzerdefinierter Kanalplan 102
Benutzername 171 , 176 , 180 , 277 , 323
Benutzter Prfix/Lnge 128
Berichtsmethode 161
Bercksichtigen 138
Beschreibung 47 , 54 , 97 , 100 , 122 , 124 ,
131 , 141 , 145 , 148 , 153 , 157 , 160 ,
171 , 176 , 180 , 186 , 197 , 203 , 210 ,
340
215 , 219 , 232 , 232 , 233 , 234 , 235 ,

237 , 270 , 284 , 289 , 293 , 326 , 326 ,
330 , 331 , 333
Beschreibung - Verbindungsinformation Link 25
Betreff 321
Betreibermodus 37
Betriebsmodus 76 , 98 , 100
Betriebsmodus (Aktiv) 293
Betriebsmodus (Inaktiv) 293
Bevorzugte Gltigkeitsdauer 68
Blockieren nach Verbindungsfehler fr 174 ,
178 , 183
Blockzeit 213
Bohrschablone 7
BOSS 313
BRI internal 7
Bridges 336
Burst-Gre 153
Burst-Mode 101
Bytes 326
C
CA-Name 293
CA-Zertifikat 49
CA-Zertifikate 213
Cache 274
Cache-Gre 268
Cache-Treffer 275
Cache-Trefferrate (%) 275
CAPWAP-Verschlsselung 97
Client-MAC-Adresse 335
Client-Typ 188
Client-Verwaltung 114 , 336
Code 235
Continuity Check (CC) Ende-zu-Ende 192
Continuity Check (CC) Segment 192
Controller-Konfiguration 94
COS-Filter (802.1p/Layer 2) 145 , 157
CPU-Last [%] 110
CRL verwenden 293
CRLs 53
CRLs senden 223
CSV-Dateiformat 293
CTS Frames als Antwort auf RTS
empfangen 333
D
Datei auswhlen 313
Dateikodierung 52 , 53
Dateiname 293 , 313
Dateiname auf Server 293
Dateiname in Flash 293
Datenrate Mbit/s 334 , 335
Datum 325
Details 326
DH-Gruppe 210
DHCP Broadcast Flag 69
DHCP-Client 64 , 174 , 182
DHCP-Hostname 69 , 187
Index
bintec elmeg GmbH
DHCP-Konfiguration 280
DHCP-MAC-Adresse 69 , 187
DHCP-Modus 69
DHCP-Optionen 281
DHCP-Relay-Einstellungen 285
DHCP-Relay-Server 285
DHCP-Server 64 , 94 , 279
Diagnose 310
Dienst 132 , 141 , 145 , 157 , 226 , 229
Dienste 234
Diensteliste 235
Dienstkategorien 189
DNS 267
DNS-Anfragen 275
DNS-Aushandlung 174 , 178 , 183
DNS-Hostname 272
DNS-Propagation 69
DNS-Server 184 , 220 , 270 , 280
DNS-Test 311
Domne 273
Domnenname 268
Domnenweiterleitung 273
Doppelte empfangene MSDUs 333
Downstream 59
Drahtloser Modus 78 , 101
Drahtlosnetzwerke (VSS) 80 , 104 , 113
Dropping-Algorithmus 154
DSCP / Traffic Class Filter (Layer 3) 145 ,
157
DSCP-/TOS-Wert 122
DSCP/Traffic-Class-Filter setzen (Layer 3)
148
DSL-Chipsatz 59
DSL-Konfiguration 59
DSL-Modem 59
DSL-Modus 60
DTIM Period 86 , 102
Durchsatz 111 , 113
Durchsatz/Client 112
Dynamische RADIUS-Authentifizierung 222
Dynamische Black List 108
DynDNS-Aktualisierung 276
DynDNS-Client 276
DynDNS-Provider 278
E
E-Mail 51
E-Mail-Adresse 323
EAP-Vorabauthentifizierung 83 , 106
Einstellungen Funkmodul 75
Eintrag aktiv 37
Empfangene DNS-Pakete 275
Empfnger 321
Ende-zu-Ende-Sendeintervall 192
Enkapsulierung 186
Entfernte PPTP-IP-Adresse 178
Entfernte IP-Adresse 326 , 326
Entfernte Netzwerke 326
Entfernte ID 326
Entfernter Port 326 , 331
Entferntes IPv6-Netzwerk 201
Enthaltene Zeichenfolge 321

Ereignis 321
Ereignisliste 289 , 293
Ereignistyp 289
Erfolgreich empfangene Multicast-MSDUs
333
Erfolgreich bertragene Multicast-MSDUs
333
Erfolgreich beantwortete Anfragen 275
Erfolgreiche Versuche 304
Erlaubte Adressen 85 , 108
Erreichbarkeitsprfung 38 , 213 , 217 , 326
Erweiterte Route 125
Erzeugungsmethode 67
Ethernet-Ports 55
Ethernet-Schnittstellenauswahl 56
Externe Berichterstellung 317
Externer Dateiname 52 , 53
F
Facility 318
Fehler 117 , 326 , 328
Fehlerhafte Erhaltene Pakete 333
Fehlgeschlagene Versuche 304
Fehlversuche per Zeitraum 108
Fertig 117
Filter 148
Firewall 224
Firmware-Wartung 117
Fragmentation Threshold 79 , 102
Frames ohne Tag verwerfen 73
Frequenzband 76 , 100
Funkmodul1 112
Funkmodulprofile 99
G
Gateway 125 , 281
Gateway-Adresse 124
Gateway-IP-Adresse 121
Gert 97
Gesamt 328
Gewichtung 153
Globale Einstellungen 268
Gre der Zero Cookies 222
Gre des Protokoll-Headers unterhalb Layer
3 150
Grundeinstellungen bei Auslieferung 5
Grundkonfiguration 10
Gruppen 234 , 236
Gruppen-ID 304
Gruppenbeschreibung 37 , 138 , 139
Gltigkeitsdauer 68
H
Hersteller auswhlen 283 , 283
High-Priority-Klasse 148
Hinzuzufgende/zu bearbeitende MIB/
SNMP-Variable 293
Host 273
Hostname 277
341
Index
bintec elmeg GmbH
Hosts 304
HTTP 34
HTTPS 34 , 275
HTTPS-Server 275
HTTPS-TCP-Port 276
I
IGMP 164
IGMP Proxy 166
IGMP Snooping 86
IGMP-Status 167
IKE (Phase-1) 328
IKE (Internet Key Exchange) 197
IKE (Phase-1) SAs 326
Image bereits vorhanden. 117
Immer aktiv 171 , 176 , 180
Importieren 52 , 53
Indexvariablen 289 , 293
Initial Contact Message senden 222
Interner ISDN-Anschluss 7
Internes Protokoll 325
Internet + Einwhlen 169
Intervall 289 , 293 , 304 , 307
Intra-cell Repeating 82 , 105
IP Pools 183 , 220
IP-Accounting 319
IP-Adressbereich 94 , 184 , 220 , 280
IP-Adresse 11 , 187 , 188 , 284 , 318 , 334 ,
335
IP-Adresse / Netzmaske 64
IP-Adresse zur Nachverfolgung 139
IP-Adresse/Netzmaske 331
IP-Adressmodus 173 , 177 , 181
IP-Komprimierung 217
IP-Konfiguration 61
IP-Pool-Konfiguration 279
IP-Poolname 184 , 220 , 280 , 281
IP-Version 234 , 270
IP-Version des Tunnelnetzwerks 197
IP-Zuordnungspool 199
IP/MAC-Bindung 284
IPSec 195 , 325
IPSec (Phase-2) 328
IPSec aktivieren 221
IPSec (Phase-2) SAs 326
IPSec ber TCP 222
IPSec-Debug-Level 221
IPSec-Peers 196
IPSec-Statistiken 327
IPSec-Tunnel 326 , 328
IPv4 233
IPv4 Proxy ARP 205
IPV4-Adresse 272
IPv4-Adressvergabe 199
IPv4-DNS-Server 273
IPv4-Filterregeln 225
IPv4-Gruppen 231
IPv4-Quelladresse/-netzmaske 145 , 157
IPv4-Routing-Tabelle 125
IPv4-Zieladresse/-netzmaske 145 , 157
IPv4/IPv6-Filter 145
342
IPv6 64 , 174 , 182 , 233

IPv6-Adresse 272
IPv6-Adressen 64
IPv6-DNS-Server 273
IPv6-Modus 64 , 174 , 182
IPv6-Quelladresse/-lnge 145 , 157
IPv6-Routenkonfiguration 124
IPv6-Routingtabelle 126
IPv6-Zieladresse/-lnge 145 , 157
ISDN-Login 34
K
Kanal 76 , 98
Kanalplan 79 , 102
Kennwort fr geschtztes Zertifikat 293
Key Hash Payloads senden 223
Klassen-ID 148 , 153
Klassenplan 148
Konfiguration 15
Konfiguration verschlsseln 293
Konfiguration eines Allgemeinen Prfixes
128
Konfiguration enthlt Zertifikate/Schlssel
293
Konfiguration von IPv4-Routen 119
Konfigurationsbeispiel - DHCP-Client 285
Konfigurationsbeispiel - DHCP-Relay-Server
285
Konfigurationsbeispiel - DHCP-Server 285
Konfigurationsbeispiel - Lastverteilung 143
Konfigurationsbeispiel - NAT 135
Konfigurationsbeispiel - Scheduling 301
Konfigurationsbeispiel - SIF 238
Konfigurationsbeispiel - WLAN 87
Konfigurationsbeispiel - Zeitgesteuerte Aufgaben 301
Konfigurationsdaten sammeln 11
Konfigurationsmodus 199
Konfigurationsoberflche aufrufen 16
Konfigurationsschnittstelle 33
Konfigurierte Geschwindigkeit/konfigurierter
Modus 56
Kontrollmodus 150 , 194
L
LAN 61
Land 51
Lastverteilung 137
Lastverteilung (Konfigurationsbeispiel ) 143
Lastverteilungsgruppen 137
Layer 4-Protokoll 122
LCP-Erreichbarkeitsprfung 174 , 178 , 183
LDAP-URL-Pfad 54
Lease Time 281
Lebensdauer 210 , 215
Level 318 , 325
Link-Prfix 67
Lokale IP-Adresse 121 , 173 , 177 , 181 ,
199
Lokale PPTP-IP-Adresse 178
Index
bintec elmeg GmbH
Lokale WLAN-SSID 293

Lokale Zertifikatsbeschreibung 52 , 53 , 293
Lokale Adresse 331
Lokale IP-Adresse 326
Lokale Dienste 267
Lokale ID 197 , 326
Lokaler Dateiname 293
Lokaler ID-Typ 197 , 210
Lokaler ID-Wert 210
Lokaler Port 326 , 331
Lokales IPv6-Netzwerk 201
Lokales Zertifikat 210
Lokales Zertifikat 276
Long Retry Limit 102
Loopback Ende-zu-Ende 192
Loopback aktiv 130
Loopback-Segment 192
Lschen 116 , 125
M
MAC-Adresse 63 , 187 , 284 , 331 , 334 ,
336 , 336
MAC-Adresse des Rogue Clients 116
Mail-Exchanger (MX) 278
Max. Queue-Gre 154
Max. bertragungsrate 101
Max. Anzahl Clients - Hard Limit 84 , 107
Max. Anzahl Clients - Soft Limit 84 , 107
Maximale Antwortzeit 165
Maximale Anzahl der erneuten Einwhlversuche 174 , 178 , 183
Maximale Upload-Geschwindigkeit 150 ,
153 , 194
Maximale Gruppen 167
Maximale Quellen 167
Maximale Upstream-Bandbreite 60
Maximale Anzahl der
IGMP-Statusmeldungen 165
Maximale Anzahl der
IGMP-Statusmeldungen 167
Maximale Burst-Gre (MBS) 189
Maximale E-Mails pro Minute 323
Maximale TTL fr negative Cacheeintrge
268
Maximale TTL fr positive Cacheeintrge
268
Mbit/s 332
Metrik 121 , 125 , 199
MIB-Variablen 293
Min. Queue-Gre 154
Mitglieder 232 , 232 , 237
MobIKE 205
Modus 49 , 122 , 127 , 165 , 167 , 210 , 219
Modus / Bridge-Gruppe 33
Monitoring 109
MSDUs, die nicht bertragen werden
konnten 333
MTU 175 , 326
Multicast 163
Multicast-Gruppen-Adresse 168
Multicast-Routing 164
N
Nach Ausfhrung neu starten 293
Nachricht 325
Nachrichten 326
Nachrichtenkomprimierung 321
Nachrichtentyp 318
Name 97 , 128 , 219
Name der Quelldatei 313
Name der Zieldatei 313
NAT 129 , 331
NAT aktiv 130
NAT-Eintrag erstellen 173 , 177 , 181
NAT-Erkennung 326
NAT-Konfiguration 130
NAT-Methode 131
NAT-Schnittstellen 129
NAT-Traversal 213
Negativer Cache 268
Netzmaske 11 , 125 , 187 , 188
Netzwerk 119
Netzwerkeinstellung 13
Netzwerkname (SSID) 82 , 105
Netzwerkname (SSID) 336
Neue Quell-IP-Adresse/Netzmaske 134
Neue Ziel-IP-Adresse/Netzmaske 134
Neuer Quell-Port 134
Neuer Ziel-Port 134
Neuer Dateiname 313
Neustart 315
Neustart des Gerts nach 293
Nicht entschlsselbare MPDUs erhalten 333
Nicht gendert seit 330
Nicht-Mitglieder verwerfen 73
Nr. 127 , 325 , 330
Nutzungsbereich 76
O
OAM-Fluss-Level 191
OAM-Regelung 190
ffentliche IPv4-Quelladresse 205
ffentliche Schnittstelle 205
ffentlicher Schnittstellenmodus 205
On Link Flag 68
Optionen 40 , 126 , 167 , 221 , 229 , 300 ,
312 , 319
Organisation 51
Organisationseinheit 51
Original Quell-Port/Bereich 132
Original Ziel-IP-Adresse/Netzmaske 132
Original Ziel-Port/Bereich 132
Originale Quell-IP-Adresse/Netzmaske 132
Ort 51
P
Pakete 326
Passwort 49 , 52 , 53 , 171 , 176 , 180 , 219
, 277 , 293 , 323
Passwort ndern 12
PC einrichten 12
343
Index
bintec elmeg GmbH
Peak Cell Rate (PCR) 189

Peer-Adresse 197
Peer-ID 197
PFS-Gruppe verwenden 215
Phase-1-Profil 204
Phase-1-Profile 209
Phase-2-Profil 204
Phase-2-Profile 215
Physikalische Verbindung 59
PIN 283
Pin-Belegungen 8
Ping 34
Ping-Befehl testweise an Adresse senden
310
Ping-Generator 306
Ping-Test 310
PMTU propagieren 217
Pool-Verwendung 281
POP3-Server 323
POP3-Timeout 323
Port 278 , 336
Portkonfiguration 55 , 72
Portweiterleitungen 130
Positiver Cache 268
PPPoA 179
PPPoE 171
PPPoE-Ethernet-Schnittstelle 171
PPPoE-Modus 171
PPPoE-Schnittstelle fr Mehrfachlink 171
PPTP 176
PPTP-Adressmodus 178
PPTP-Ethernet-Schnittstelle 176
PPTP-Inaktivitt 230
PPTP-Passthrough 130
Preshared Key 83 , 106 , 197
Primrer IPv4-DNS-Server 270
Primrer IPv6-DNS-Server 270
Primrer DHCP-Server 285
Priorisierungsalgorithmus 150
Prioritt 37 , 153 , 270
Priority Queueing 153
Privaten Schlssel generieren 49
Profile 185
Proposals 210 , 215
Protokoll 125 , 132 , 141 , 145 , 157 , 203 ,
235 , 278 , 293 , 318
Protokollformat 320
Protokollierte Aktionen 230
Provider 186 , 277
Providername 278
Provisioning-Server 283
Proxy ARP 69
Proxy-Schnittstelle 166
PVID 73
Q
QoS 145 , 337
QoS-Klassifizierung 148
QoS-Queue 337
QoS-Schnittstellen/Richtlinien 150
Quell-IP-Adresse 289 , 293 , 304 , 307
344
Quell-IP-Adresse/Netzmaske 122 , 132 ,

141 , 203
Quell-Port 122 , 203
Quell-Port/Bereich 132 , 141 , 145 , 157
Quelladresse/Lnge 124
Quelle 117 , 226 , 229 , 293 , 313
Quellportbereich 235
Quellschnittstelle 122 , 141 , 168
Queued 337
Queues/Richtlinien 150
R
RA-Signierungszertifikat 49
RA-Verschlsselungszertifikat 49
RADIUS 35
RADIUS-Dialout 38
RADIUS-Passwort 37
RADIUS-Server 106
RADIUS-Server Gruppen-ID 219
Rate 335
Rauschen dBm 334 , 335
Real Time Jitter Control 150
Real Time Jitter Control 193
Regelkette 160 , 161
Regelketten 159
Region 87 , 94
Regulierte Schnittstellen 194
Remote Authentifizierung 35
Remote-Adresse 331
Reset 5
Reset-Taster 7
Richtlinie 38
Richtlinien 225
Richtung 148
Richtung des Datenverkehrs 289
Robustheit 165
Rogue Clients 115
Rogue APs 115
Rolle 219
Route aktiv 124
Routen 119
Routeneintrge 173 , 177 , 181 , 199
Routenklasse 120
Routenselektor 139
Routentyp 120 , 124 , 125
Router Advertisement annehmen 64 , 174 ,
182
Router Advertisement bertragen 64
Router-Gltigkeitsdauer 69
Router-Prferenz 69
RTS Threshold 79 , 102
RTS Frames ohne CTS 333
RTT-Modus (Realtime-Traffic-Modus) 153
Rx Shaping 85 , 109
Rx Discards 335
Rx-Bytes 330 , 331
Rx-Fehler 330
Rx-Pakete 330 , 331 , 332 , 334
S
Index
bintec elmeg GmbH
SAs mit dem Status der ISP-Schnittstelle synchronisieren 222

SCEP-Server-URL 293
SCEP-URL 49
Schedule-Intervall 301
Scheduling 288
Scheduling (Konfigurationsbeispiel) 301
Schlsselgre 293
Schnittstelle 34 , 35 , 73 , 94 , 120 , 125 ,
127 , 131 , 139 , 150 , 161 , 165 , 194 ,
270 , 273 , 277 , 281 , 293 , 306 , 308 ,
337
Schnittstelle ist UPnP-kontrolliert 308
Schnittstelle - Verbindungsinformation - Link
25
Schnittstellen 33 , 61 , 148 , 231 , 305 , 308
, 319 , 329
Schnittstellenaktion 306
Schnittstellenbeschreibung 33
Schnittstellenmodus 63 , 270
Schnittstellenmodus / Bridge-Gruppen 31
Schnittstellenstatus 289
Schnittstellenstatus festlegen 293
Schnittstellenzuweisung 161
Schweregrad 321
Segment-Sendeintervall 192
Sekundrer IPv4-DNS-Server 270
Sekundrer IPv6-DNS-Server 270
Sekundrer DHCP-Server 285
Sendeleistung 76 , 98
Senden 337
Seriell-USB-Treiber 8
Server 278
Server Timeout 38
Server-IP-Adresse 37
Server-URL 293
Serveradresse 293
Serverfehler 275
Setze COS Wert (802.1p/Layer 2) 148
Short Guard Interval 79 , 102
Short Retry Limit 102
Sicherheitsalgorithmus 326
Sicherheitsmodus 83 , 106
Sicherheitsrichtlinie 64 , 64 , 173 , 174 , 177
, 181 , 182 , 199 , 201
Signal 113
Signal dBm 116 , 334
Signal dBm (RSSI1, RSSI2, RSSI3) 335
Slave Access Points 96 , 111
Slave-AP-Konfiguration 96
Slave-AP-LED-Modus 94
Slave-AP-Standort 94
SMTP-Authentifizierung 323
SMTP-Port 323
SMTP-Server 323
SNR dB 335
Software &Konfiguration 312
Softwareaktualisierung 14
Special Handling Timer 141
Special Session Handling 140
Speicherverbrauch [%] 110
Sperrzeit fr Black List 108
SSID 116
Staat/Provinz 51
Standard-Benutzerpasswort 37
Standard-Ethernet fr PPPoE-Schnittstellen
187
Standardeinstellungen wiederherstellen 34
Standardroute 173 , 177 , 181 , 199
Standort 97
Startmodus 204
Startzeit 292
Statische Adressen 67
Statische Hosts 272
Statische Black List 116
Statistik 275 , 329
Status 289 , 326 , 328 , 330 , 331
Status festlegen 293
Status der Funktionstaste 289
Status der IPv4-Firewall 230
Status des Auslsers 293
Stoppzeit 292
Subjektname 293
Subnetz-ID 67
Subsystem 325
Support 6
Sustained Cell Rate (SCR) 189
Switch-Port 56
Syslog-Server 317
System-Voraussetzungen 10
Systemlogik 313
Systemmeldungen 325
Systemneustart 315
Systempasswort ndern 12
Systemprotokoll 317
Systemsoftware 10
T
TCP-ACK-Pakete priorisieren 174 , 178 ,
183 , 188
TCP-Inaktivitt 230
TCP-MSS-Clamping 69
Terminierung 7
Test-Ping-Modus 310
Timeout bei Inaktivitt 171 , 176 , 180
Timeout fr Nachrichten 321
Traceroute-Adresse 311
Traceroute-Modus 311
Traceroute-Test 311
Traffic Shaping 150 , 153
Transmit Shaping 60
Trigger 306
Tx Shaping 85 , 109
Tx Discards 335
Tx-Bytes 330 , 331
Tx-Fehler 330
Tx-Pakete 330 , 331 , 332 , 334
Typ 128 , 145 , 157 , 186 , 235 , 330
U
U-APSD 82
berbuchen zugelassen
153
345
Index
bintec elmeg GmbH
berprfung anhand einer Zertifikatsperrliste

(CRL) 47
berprfung der IPv4-Rckroute 205
berprfung der Rckroute 127
bersicht 111
bertragene MPDUs 333
bertragener Datenverkehr 289
bertragungsschlssel 83 , 106
berwachte IP-Adresse 304
berwachte Schnittstelle 289 , 306
berwachte Subsysteme 321
berwachte Variable 289
berwachtes Zertifikat 289
berwachung 303
UDP-Inaktivitt 230
UDP-Port 38
Umgebungs-Monitoring 114
Ungltige DNS-Pakete 275
Unicast MPDUs erfolgreich erhalten 333
Unicast MSDUs erfolgreich bertragen 333
Unvernderliche Parameter 142
UPnP 307
UPnP TCP Port 309
UPnP-Status 309
Upstream 59
Uptime 334 , 335
URL 117 , 313
V
Vendor Option String 283
Verbindungsstatus 145 , 157
Verbleibende Gltigkeitsdauer 289
Verbundene Clients 111
Verbundene Clients/VSS 110
Vergleichsbedingung 289
Vergleichswert 289
Vermeidung von Datenstau (RED) 154
Verschlsselt 328
Verschlsselung der Konfiguration 313
Verschlsselungsmethode 150
Versionsprfung 293
Versuche 289 , 293 , 307
Verteilungsmodus 138
Verteilungsrichtlinie 138 , 139
Verteilungsverhltnis 139
Vertrauenswrdigkeit des Zertifikats
erzwingen 47
Verwaltung 73 , 86
Verwaltungs-VID 73
Verwendeter Kanal 98
Verwerfen ohne Rckmeldung 161
Verwerfen ohne Rckmeldung 130
Verworfen 328 , 337
Virtual Channel Identifier (VCI) 186
Virtual Channel Connection (VCC) 189 , 191
Virtual Path Connection (VPC) 191
Virtual Path Identifier (VPI) 186
VLAN 71 , 109 , 171
VLAN Identifier 72
VLAN aktivieren 73
VLAN-ID 63 , 109 , 171
346
VLAN-Mitglieder 72
VLAN-Name 72
VLANs 72
Vollstndige IPSec-Konfiguration lschen
221
Vollstndige IPv4-Filterung 230
Von Schnittstelle 128
Vorbereitungen 10
VPN 195
VSS 333
VSS-Beschreibung 336
W
WAN 169
Wandmontage 7
Wartung 116
Weitergeleitet 328
Weitergeleitete Anfragen 275
Weiterleiten 168 , 273
Weiterleiten an 273
WEP-Schlssel 1-4 83 , 106
Wert 333
Wiederholungen 38
Wiederkehrender Hintergrund-Scan 102
Wildcard 278
WINS-Server 268
Wird ausgefhrt 117
Wireless LAN 75
Wireless LAN Controller 90
Wizard 90
WLAN 75 , 331
WLAN Controller 110
WLAN (Konfigurationsbeispiel) 87
WLAN Controller: VSS-Durchsatz 110
WLAN-Modul auswhlen 293
WLAN1 331
WLC-SSID 293
WMM 82 , 105
WPA Cipher 83 , 106
WPA-Modus 83 , 106
WPA2 Cipher 83 , 106
X
XAUTH-Profil 204
XAUTH-Profile 218
Z
Zeit 325
Zeitbedingung 292
Zeitgesteuerte Aufgaben
(Konfigurationsbeispiel) 301
Zeitstempel 318
Zero Cookies verwenden 222
Zertifikat in Konfiguration schreiben 293
Zertifikat ist ein CA-Zertifikat 47
Zertifikate 45
Zertifikate und Schlssel einschlieen 313
Zertifikatsanforderung 48
Zertifikatsanforderungs-Payloads nicht beachten 223
Index
bintec elmeg GmbH
Zertifikatsanforderungs-Payloads senden
223
Zertifikatsanforderungsbeschreibung 49 ,
293
Zertifikatsketten senden 223
Zertifikatsliste 46
Zertifikatsserver 54
Ziel 226 , 229
Ziel-IP-Adresse 125 , 289 , 293 , 307
Ziel-IP-Adresse/Netzmaske 121 , 132 , 141 ,
203
Ziel-Port/Bereich 132 , 141 , 145 , 157
Zieladresse/Lnge 124
Zielport 122 , 203
Zielportbereich 235
Zielschnittstelle 124 , 168
Zu verwendende Schnittstelle 310
Zuerst gesehen 116
Zugang ber LAN 15
Zugewiesene Drahtlosnetzwerke (VSS) 98
Zugriffsfilter 156 , 160
Zugriffskontrolle 85 , 108
Zugriffsregeln 155
Zuletzt gesehen 116
Zusammenfassend 51
Zustzlicher Filter des IPv4-Datenverkehrs
201 , 203
347

Bedienungsanleitung Digitalisierungsbox Standard

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Bedienungsanleitung Digitalisierungsbox Standard

Hochgeladen von

Copyright:

Verfügbare Formate

Benutzerhandbuch

Copyright Version 1.1, 2015 bintec elmeg GmbH

bintec elmeg GmbH

bintec elmeg GmbH

Anschluss von Endgerten . . . . . . . . . . . . . . . . . . . . . . . . . . .

Konfiguration des Systems . . . . . . . . . . . . . . . . . . . . . . . . . .

Softwareaktualisierung Digitalisierungsbox Standard . . . . . . . . . . . . . .

Zugang und Konfiguration . . . . . . . . . . . . . . . . . . . . . . .

Zugang ber LAN

bintec elmeg GmbH

Wireless LAN Controller . . . . . . . . . . . . . . . . . . . . . . . .

bintec elmeg GmbH

Real Time Jitter Control . . . . . . . . . . . . . . . . . . . . . . . . . . .

Application Level Gateway

bintec elmeg GmbH

bintec elmeg GmbH

1.1.1 Aufstellen und Anschlieen

Abb. 1: Basisszenario Digitalisierungsbox Standard

bintec elmeg GmbH

box Standard an. Die Up0-Schnittstelle wird nicht untersttzt.

DSL-Schnittstelle Annex B/J

10/100/1000 Base-T Ethernet-Schnittstellen (LAN 1 - LAN4)

Schnittstelle fr ISDN TK-Anlagen (ISDN1, ISDN2)

Buchse fr das Steckernetzteil

1.1.3 Anschlsse (seitlich)

Abb. 3: Seitliche Anschlsse

Funktionstaste (ohne Funktion)

bintec elmeg GmbH

Im Betriebsmodus zeigen die LEDs folgende Statusinformationen Ihres Gerts an:

Automatische Wartung aktiv

Automatische Wartung inaktiv

WLAN oder alle zugeordneten Drahtlosnetzwerk deaktiviert

Drahtlosnetzwerk ist aktiv, kein Client ist angemeldet

Drahtlosnetzwerk ist aktiv, mindestens ein Client ist angemeldet

Telefonie am IP-Anschluss (Voice over IP) bereit

Telefonie nicht eingerichtet

Ruhezustand oder auer Betrieb

Nach dem Einschalten: Gert wird gestartet

whrend des Betriebs: Fehler

Gert ist aktiv

Stromversorgung ist angeschlossen

LAN 1 bis 4 (Link/Act)

Ethernet -Verbindung hergestellt

LAN 1 bis 4 (Link/Act)

Datenbertragung ber Ethernet

bintec elmeg GmbH

LAN 1 bis 4 (Link/Act)

LAN 1 bis 4 (Speedt)

1000 Mbit/s bertragungsrate

LAN 1 bis 4 (Speedt)

100 Mbit/s bertragungsrate

LAN 1 bis 4 (Speedt)

WAN- Ethernet -Verbindung hergestellt

Daten ber ETH 5 senden/ empfangen

1000 Mbit/s bertragungsrate

100 Mbit/s bertragungsrate

ein Ethernet LAN-Kabel (gelb)

ein Ethernet WAN-Kabel (blau)

ein DSL-Kabel (grau)

1.1.7 Allgemeine Produktmerkmale

Mae und Gewicht:

Transportgewicht (inkl. Dokumentation, Kabel, Verpackung)

19 (8 x Funktion, 1 x Service, 5x2 Ethernet)

bintec elmeg GmbH

#$$ % & '$(