Sie sind auf Seite 1von 116

Network Connectivity II

Theorie

www.lancom.de
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung
 Bandbreitenmanagement
 Advanced Routing and Forwarding (ARF)
 LANCOM Features
 Scripting
 Fehlersuche mit Traces

Seite 2
Backup
Übersicht

 Verschiedene Probleme führen zur Unterbrechung der Internetverbindung


– 1 Internet Gateway Zentrale
– 2 Leitung der Filiale zum Provider
– 3 Internet Gateway Filiale
– 4 Provider Netzwerk

Seite 3
Backup
Universelles Backup-Konzept

 Hochverfügbarkeit für Internet- oder VPN-Verbindungen


 Übersichtliche Steuerung des Backups in der Backup-Tabelle
 Variable Auswahl der bevorzugten Leitung

Seite 4
Backup
Universelles Backup-Konzept

 Jede Gegenstelle ist durch das Backupkonzept redundant einrichtbar


 Direkte ISDN-Wählverbindungen als Backup für VPN-Strecken über DSL
 Zu beachten ist:
– Polling (LCP/ICMP/DPD) zur Prüfung der Verfügbarkeit der Gegenstelle ist
notwendig

– Backupleitung ist bis zum Ausfall


der Gegenstelle Offline

– Bei Ausfall gelten die Haltezeiten


der Backupverbindung

Seite 5
Backup
Universelles Backup-Konzept

 Nur die reguläre Gegenstelle benötigt einen Routingeintrag


 Routing über die Backupleitung wird durch den Ausfall aktiviert
 Ein Verzögerung ist unter „Backupverbindung nach …“
konfigurierbar

 Bei Wiederaufbau der Gegenstelle wird die Backupleitung


automatisch getrennt

Seite 6
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung

 Bandbreitenmanagement
 Advanced Routing and Forwarding (ARF)
 LANCOM Features
 Scripting
 Fehlersuche mit Traces

Seite 7
Bandbreiten Management
Load Balancing

Load Balancing mit


zusätzlichen DSL-
Anschlüssen erhöht die
zur Verfügung stehende
Übertragungskapazität Provider A

Provider B Internet

Provider C

Seite 8
Bandbreiten Management
Load Balancing

 Je nach Gerät bis zu 4 WAN Ports (z.B. 4 DSL-Anschlüsse, ADSL


oder SDSL)

 Bei steigenden Bandbreitenanforderungen einfach zusätzliche DSL-


Leitungen zuschalten

 Anschluss von externen DSL-Modems (PPPoE)


 Anschluss von Netzabschluss-Routern (CompanyConnect / SHDSL /
G.703)

 Automatische optimale Bandbreitenverteilung auf die verfügbaren


Leitungen (Hierzu muss die jeweilige Leitungsgeschwindigkeit dem
Gerät bekannt sein)

 Pro Session wird weiterhin eine einzelne Leitung benutzt

Seite 9
Bandbreiten Management
Kanalbündelung - MLPPPoE

Kanalbündelung mit
zusätzlichen DSL-
Anschlüssen erhöht die
Kapazität für eine
Session

Provider mit
Multi PPPoE
Internet

Seite 10
Bandbreiten Management
Kanalbündelung - MLPPPoE

 Je nach Gerät bis zu 4 WAN Ports (z.B. 4*DSL, 4*ADSL oder 4*SDSL)
 Bei steigenden Bandbreitenanforderungen zusätzliche Leitungen zuschalten
 Abhängig vom Provider
 Leitungen werden zu einem einzelnen Kanal gebündelt
 Es erhöht sich die Performance pro Session.

Seite 11
Bandbreiten Management
Policy-based Routing

 Klassifizierung von beliebigem Traffic mit Hilfe der Firewall


 Identifizierter Traffic wird mit einem „Tag“ versehen
 „Tag“ wird in der Routing-Tabelle berücksichtigt
 Routing-Entscheidungen erfolgt anhand von frei definierbaren
Regeln

Seite 12
Bandbreiten Management
Policy-based Routing - Anwendungen

 Zuordnung von bestimmten Diensten zu bestimmten Leitungen


(auch in Kombination mit Load Balancing)

 Eine Leitung mit fester IP-Adresse soll exklusiv für ausgewählte


Dienste genutzt werden, eine zusätzliche Leitung mit dynamischer
IP-Adresse soll für sonstigen Internet-Traffic genutzt werden

 Quellbasierte oder protokollbasierte Firewallregeln zur Erzeugung


von Routingtags

 Erzeugung mehrerer Default-Einträge in der Routing-Tabelle mit


unterschiedlichen Routingtags

Seite 13
Bandbreiten Management
Ablauf: Policy-based Routing / Routing Tags

 In der Firewall wird jeder Traffic, der einen


bestimmten Zielport anspricht, mit dem „Tag“ 1
markiert

 Regel: Port = 3389 RDP, Aktion: übertragen +


„Tagging“ mit Tag 1

 In der Routing-Tabelle wird jedes Paket mit


„Tag 1“ nicht über die Default-Route Richtung
Internet geleitet („Internet“), sondern über eine
separate Gegenstelle („Internet2“)

Seite 14
Bandbreiten Management
Ablauf: Policy-based Routing / Routing Tags

 Bei Wegfall der SDSL Leitung ist kein RDP mehr möglich
 Hier kann durch die Aktionstabelle die Leitung beobachtet und bei
Bedarf die Firewallregel ab- und zugeschaltet werden

 Sollten mehr als zwei Leitungen genutzt werden, muss auch für die
weiteren Leitungen eine Firewallregel und ein Aktionseintrag
geschrieben werden. Hier entscheidet dann die Reihenfolge der
Regeln über die genutzte Leitung

Exec:set/setup/ip-router/firewall/rules/RDP_AUF_INTERNET2 {fire} no
Exec:set/setup/ip-router/firewall/rules/RDP_AUF_INTERNET2 {fire} yes

Seite 15
Bandbreiten Management
Praxisbeispiel: Load Balancing mit Policy-based Routing

VoIP
Email
Abschluss-Router VPN
(SHDSL, 2 MBit symm.)

ADSL-Modem
Automatische (T-DSL 3000)
Bandbreiten- Internet
Zuteilung gemäß
Routing-Policy

1711 VPN
(2 x T-DSL 1000)

Seite 16
Bandbreiten Management
VRRP - “Virtual Router Redundancy Protocol”

 VRRP  Geräte-Backup
 Virtuelle MAC- und IP-Adressen
 Standard-Gateway für das LAN ändert sich nicht!
 LAN “bekommt nichts mit” von einem Router-Ausfall
 VRRP-Polling-Zeiten ca. 1s
 Auch zwischen verschiedenen Gerätetypen (z.B. 8011 - 1711)
 RFC konform - auch zwischen Geräten verschiedener Hersteller

Seite 17
Bandbreiten Management
Praxisbeispiel VRRP

VPN
DSL DSL
(Internet) (Internet)

VRRP active VRRP active


SDSL 2 = 150 SDSL 1 = 100
Virtuelles Gateway
Master
Reconnect Standby

Seite 18
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung
 Bandbreitenmanagement

 Advanced Routing and Forwarding (ARF)


 LANCOM Features
 Scripting
 Fehlersuche mit Traces

Seite 19
ARF
Verwendung des integrierten Switches

Internet

Alle LANCOM mit integriertem Switch

Hub / Hub /
Switch Switch

Jeder Client hat Zugriff


auf das Internet und
jeden anderen PC im
Netzwerk.

LAN Seite 20
ARF
Konfigurierbare Switchports

 Die Verwendung der integrierten Ethernet-Ports kann - je nach


Modell - auf bestimmte Betriebsarten programmiert werden:

– Ruhend und Keine (Strom aus) [nicht bei Gigabit-Schnittstellen]


– ETH-Port 1-4 (Je nach Baureihe auch Beschriftung: ´LAN 1-4´)
– normaler Switch-Betrieb
– ETH-Port isoliert von den anderen Ports im „Private Mode“
– DSL-Port
– bis zu 4 Ports, z.B. für Load-Balancing
– Monitor-Port
– Ausgabe des Traffics aller anderen Ethernet-Ports für
Diagnosezwecke

Seite 21
ARF
Konfigurierbare Switchports

Seite 22
ARF
Advanced Routing and Forwarding

 Virtualisierung des physikalischen Routers


 Anstelle der zwei bislang verfügbaren IP-Netze (Intranet, DMZ)
stehen, abhängig von der Baureihe, mit ARF 2, 8,16,128 oder 256
vollständige IP-Netze auf einem LANCOM zur Verfügung.

– z.B. 16 x IP-Netzwerk, in denen der Router steht


– z.B. 16 x DHCP-Server
– z.B. 16 x DNS-Weiterleitungen
– z.B. 16 x RIP
– z.B. 16 x ARP
– z.B. 16 x VLAN-Settings
– z.B. 16 x Interfaces (Switch-Ports)
– ... Seite 23
Ab:
ARF
Einsatzszenario: Firma

 Bereitstellung von
Internetzugängen
Internet
 Service Provider

 Virtuelle Router grenzen


LANCOM Router
Firma
Netze voneinander ab
 Sicherheit

1 2 3 4
„Virtuelle Router“

Abteilung 1

Abteilung 2

Abteilung 3

Abteilung 4 Seite 24
ARF
Einsatzszenario: Firma

 Nutzung gemeinsamer
Ressourcen
Internet   Shared Infrastructure
 Flexibler Übergang zwischen
den virtuellen Routern
LANCOM Router möglich
Firma
  keine harte Trennung
1 1, 22& 3 3 4
Netzwerkdrucker „Virtuelle Router“

Abteilung 1

Abteilung 2

Abteilung 3

Abteilung 4 Seite 25
ARF
Definition von Netzwerken

 Schnittstellen-Tag:
– Trennung der Netze ohne explizite Firewall-Regel
– Nur Netzwerke mit dem gleichen Schnittstellen-Tag sehen einander
– Besondere Werte: Tag 0 = Management-Netz, sieht alle
– Netzwerktyp DMZ: für alle anderen Netzwerke sichtbar, kann aber selbst nur auf
Netzwerke mit dem selben Tag zugreifen. Ausnahme: Tag 0

Seite 26
ARF
Definition von Netzwerken

 Trennung der Netze über VLAN oder Schnittstellen-Zuordnung


 Adressprüfung: Flexibel: Jede Quelladresse wird akzeptiert
Streng: Explizite Rückroute muss vorhanden sein

DMZ

Tag 50

Mitarbeiter Public

Seite 27
Tag 2 Tag 3
ARF
DHCP, DNS und NetBIOS

 DHCP:
– Pro Netzwerk kann der LANCOM Router als DHCP-Server
agieren. Frei konfigurierbare DHCP-Optionen

 DHCP-Relay-Server:
– LANCOM fungiert als DHCP-Server für Remote-Netzwerke
– IP-Adresse des Relay-Agents (GI-Adresse) wird als
Netzwerkname in Tabelle der DHCP-Netzwerke eingetragen

 DNS:
– Pro Netzwerk kann eine eigene Sub-Domäne angelegt werden
 NetBIOS-Proxy:
– Das Schnittstellen-Tag hat Einfluss auf die vom NetBIOS-Proxy
sichtbaren Hosts und Gruppen
Seite 28
ARF
Virtueller Router

 Die interfaceabhängige Filterung ermöglicht es – zusammen mit dem Policy-Based


Routing – für jedes Interface virtuelle Router zu definieren:

Seite 29
ARF
Bridge-Gruppen

Seite 30
Advanced Routing and Forwarding
Bridge-Gruppen

 Beispiel: „Auftrennen“ eines LANCOM 1781EW


– LAN-1 (ETH-1) wird verknüpft mit WLAN-1 zu BRG-1
– LAN-2 (ETH-2) wird verknüpft mit WLAN-1-2 zu BRG-2

Seite 31
ARF
Effektive Routingtabelle

 die Routen der lokalen Netze werden automatisch beim Erstellen


zugewiesen

Seite 32
ARF
Effektive Routingtabelle

 Die korrekte Anbindung an die einzelnen Schnittstellen kann über


„SHOW BINDINGS“ kontrolliert werden

Seite 33
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung
 Bandbreitenmanagement
 Advanced Routing and Forwarding (ARF)

 LANCOM Features
 Scripting
 Fehlersuche mit Traces

Seite 34
LANCOM Features
New Keyword Search Function for WEBconfig

 Durchsuchen der Experten-Konfiguration (Setup- und Status-Baum) nach


Schlüsselwörtern

 Sucht in Menü-Titeln und Tabellen-Überschriften

Seite 35
LANCOM Features
Dynamic DNS

Abfragen der
dynamischen IP-
Adressen über DNS-
Server

Internet
ADSL/SDSL

Dynamic
VPN
DNS Server Tunnel
„MyLocation.dyndns.org“
aktuelle IP: 123.45.67.89
LANCOM 1721
ADSL/ISDN

Seite 36
LANCOM Features
Dynamic DNS - LANconfig Dynamic DNS Assistent

 Unterstützung der Einrichtung von Dynamic-DNS Funktionen durch


speziellen Setup-Assistenten

 Vielzahl von bekannten Dynamic DNS Anbietern mit vorgefertigten


Templates

 Einträge erfolgen in die Aktions-Tabelle

HTTP-Anfrage an den Anbieter DynDNS.org:


Seite 37
http://Username:Password@members.dyndns.org/nic/update?system=dyndns
&hostname=%hmyip=%a
LANCOM Features
Dynamic DNS - GNUdip

 Alternative zur Aktualisierung der DynDNS- Informationen über eine


einfache HTTP-Anfrage bei einem öffentlichen Anbieter

 GNUdip-Client meldet sich bei einem GNUdip-Server und registriert


sich

 Hierüber können Sie problemlos einen eigenen DYNDNS Dienst


aufsetzen, um nicht von einem externen Anbieter abhängig zu sein

 gnudip://gnudipsrv?method=tcp&user=myserver&domn=mydomain.o
rg&pass=password&reqc=0&addr=%a

Seite 38
LANCOM Features
Beliebige MAC-Adresse für DSL-WAN

 Viele DSL-Providern im Ausland setzen die MAC-Adresse der


Ethernet-Karte als Zugangs- bzw. Abrechnungskennung ein

– Verhindert nachträglich einen Router zwischenzuschalten, weil


diese Adresse/Karte vom Provider zugeteilt wird

 Auf dem WAN zu benutzende MAC-Adresse kann beeinflusst


werden (Benutzerdefiniert / Lokal / Global)

 Ermöglicht komplexe Netzwerk-Szenarien, bei denen u.U. WAN- und


LAN-Interfaces eines LANCOM im gleichen Ethernet-Strang hängen

Seite 39
LANCOM Features
Manuelle MTU Definition

 MTU (Maximum Transmission Unit) definiert die maximale unfragmentierte


Paketgröße auf einer Verbindung

 Automatische Zuweisung der MTU im Zuge einer PPP-Verhandlung (z.B. bei T-DSL)
wie bisher

 Sofern der ISP dazu vorgibt, eine andere als die automatisch vorgegebene MTU
(i.d.R. 1492) einzustellen, lässt sich MTU-Wert manuell überschreiben.

Seite 40
LANCOM Features
Analog / GSM / UMTS / GPRS Backup

 Vollwertiges Analog / GSM WAN Interface über die serielle


Schnittstelle

– Backup
– Remote Zugriff
Analog oder GSM Modem
für Backup, Remote
Management und Dial-in
Access

DSL
Internet,

Serial interface PSTN


(Config/COM)
Analog or GSM modem
(max. 115 kBps)
Seite 41
LANCOM Features
ISDN Standortverifikation

 Diebstahlschutz - durch einen Selbstanruf stellt der Router fest,


ob er sich am vorgesehenen Standort befindet

 Schlägt die Überprüfung fehl, so verharrt das Gerät im gesperrten Zustand


 Admin-Einwahlen sind weiterhin möglich

Seite 42
LANCOM Features
GPS Verifikation

 Diebstahlschutz - durch eine GPS-


Positionsbestimmung stellt der Router
fest, ob er sich am vorgesehenen
Standort befindet

 Schlägt die Überprüfung fehl, so


verharrt das Gerät im gesperrten
Zustand.

 Admin-Einwahlen sind dann noch


möglich.

Seite 43
LANCOM Features
VLAN-TAG im WAN

 VLAN-Tags für DSL-Interfaces:

Seite 44
LANCOM Features
WEBconfig – Neuer Bereich „Systeminformationen“

 Gerätestatus mit Darstellung der Interfaces sorgt für schnellen Überblick


 Syslog zur Anzeige der letzten im Hauptspeicher des Geräts
abgelegten Ereignisse (seit LCOS 8.80 persistent)

 Ab LCOS 7.6 hat jedes LANCOM Gerät zur Diagnose werksseitige Vor-
einstellungen für Syslog

Seite 45
LANCOM Features
WEBconfig – Neuer Bereich „Systeminformationen“

Seite 46
LANCOM Features
WEBconfig – Online-Hilfe im LCOS-Menübaum

 Online-Hilfe für die Einträge im LCOS-Menübaum über das Fragezeichen-


Symbol, wenn eine Verbindung zum Internet besteht

 Tipp: Der Quellpfad für die Hilfe kann unter „Setup/HTTP/ Dokumentwurzel“
auch auf einen lokalen HTTP-Server eingestellt werden

Seite 47
LANCOM Features
Com-Port-Server

 Serielle Kommunikation über eine IP-Strecke, z.B. per WLAN oder VPN
 Angeschlossen an den COM-Port (oder USB-Port) eines LANCOM wird der serielle
Anschluss virtuell bis zu einem Ziel-PC verlängert

 Virtueller COM-Port-Treiber emuliert den seriellen Anschluss auf dem PC


 Konform zu RFC 2217 (Telnet Com Port Control Option)
 Einsatzgebiete: Gebäudeautomation, Maschinensteuerung, Fernwartung alter TK-
Anlagen mit seriellem Port

VPN
Internet

WLAN

Seite 48
Maschine
RS-232 Kabel
LANCOM Features
LL2M – LANCOM Layer-2 Management

 Verschlüsselte Layer-2-Pakete über LAN oder WLAN


 Übermittelt ausführbare Skriptbefehle als Payload an ein LANCOM Gerät
 Für Rescue & Recovery fehlkonfigurierter Geräte, z.B. bei VLAN-Fehlern,
wenn durch den Fehler kein administrativer Zugriff mehr besteht

 LL2M-Nachrichten sind an ein bestimmtes Gerät gerichtet, können aber


im lokalen Segment (Ethernet, WLAN) von einem anderen LANCOM Gerät
aus per Broadcast verschickt werden,

 TLS-PSK mit Geräte-Passwörtern, (verhindert Man-in-the-Middle-Attacke)


 DoS-Attacken scheitern, weil auch der IPS-Mechanismus mit
vorübergehender Sperre bei falscher Verschlüsselung aufgrund eines
falschen Passworts reagiert

Seite 49
LANCOM Features
LL2M – LANCOM Layer-2 Management

 LL2Mdetect
– Sysinfoanfrage an LL2Mserver als Multicast (wahlweise Broadcast)
 LL2Mexec
– Telnetbefehl, der an das Gerät geschickt werden soll
– ll2mexec <User>[:<Password>]@<MAC-Adresse>

Management via IP over VLAN/WLAN

exec
do other/
reboot-system LAYER 2

WLC-4025 L-305agn Wireless

Seite 50
LANCOM Features
Zentrale Administratorkonten

 Anmeldung über TACACS+ (Terminal Access Control Access Control Server)


 Einrichtbar unter Telnet: Setup/Tacacs+
 Zugriffskontrolle und Rechteverwaltung erfolgt über einen zentralen Server, die
Übertragung erfolgt verschlüsselt

Seite 51
LANCOM Features
HTTP/TCP Tunnel Funktion

 Zur Konfiguration interner LANCOM- Geräte, z.B. Access Points oder VP-100
Telefone

 nur nach Authentisierung am Router

Mgmt-PC

Internet

Seite 52
LANCOM Features
SSH Client

 Neuer SSH Client in der Firmware 8.0 integriert


 Ermöglicht es, Verbindung zu LANCOM-Router mit Telnet/SSH und von dort aus
eine Verbindung zu einem weiteren LANCOM-Router per SSH aus der
Kommandozeile aufzubauen

 Die Zugriffsrechte für Telnet/SSH müssen erlaubt sein


 Im Standard nutzt der Router das integrierte SSH Zertifikat zur Authentifizierung,
das Login erfolgt über Username und Passwort

 Die Erstellung eigener Zertifikate ist möglich


 Der Router speichert die Zertifikate der bekannten SSH-Gegenstellen

Seite 53
LANCOM Features
SSH Client

Seite 54
LANCOM Features
Integrierter HTTP Fileserver

 Dateien von einem externen Speichermedium über HTTP-Protokoll


bereitzustellen

 Alle LANCOM-Geräten mit USB-Anschluss


 Vorbereitung eines USB-Medium
– Dateisystem: FAT16 oder FAT32 Dateisystem.
– Basisverzeichnis: public_html. /(HTTP-Server von LCOS greift
nur auf Dateien in diesem Verzeichnis und den evtl.
vorhandenen Unterverzeichnissen zu.)

Seite 55
LANCOM Features
Integrierter HTTP Fileserver – Einhängen des Mediums

 Einhängen des Speichermediums im Filesystem


– Medium wird ins Dateisystem eingehangen
– Medium behält seinen individuellen und eindeutigen
Einhängepunkt auch nach Reset und Neustart

 Ermittlung des Einhängepunktes im Webconfig oder Telnet:


– LCOS-Menübaum  Status  Dateisystem  Volumes

– BlkDev-n bezeichnen die bekannten USB-Medien.


– Wenn nur ein USB-Massenspeichergerät angeschlossen ist,
wird es BlkDev-1 genannt und unter /usb eingehängt Seite 56
LANCOM Features
Integrierter HTTP Fileserver – Zugriff auf Dateien

 http://<IP adress of device>/filesrv/<mount point>/<file name>


 z. B. Datei coupon.jpeg auf dem einzigen USB-Medium im Basisverzeichnis
unter\public_html

– http://<IP address of device>/filesrv/usb/LANCOM.jpg


 Zugriff möglich über HTTP und HTTPS
 Unterstützte Inhaltstypen
– .htm und .html für HTML-Dateien
– gif, .jpg, .jpeg, .png, .bmp, .pcx für entsprechende Formate der Bilddateien
– ico für Icon-Dateien
– pdf für Adobe Acrobat PDF-Dateien
– css für Cascading-Style-Sheet-Dateien
Seite 57
LANCOM Features
Integrierter HTTP Fileserver – Zugriff auf Dateien

Seite 58
LANCOM Features
USB Setup - Overview

 Automatisches Laden von externen Datenträgern


– Firmware-Dateien
– Loader
– vollständige Konfigurationen
– Skripte

Seite 59
LANCOM Features
USB Setup – Automatisches Betanken (Firmware)

 Automatisches Laden von Loader- und/oder Firmware-Dateien


– Dateien mit Endung >>.upx << im Verzeichnis >>Firmware<<
– Wird upx-Datei mit Loader gefunden, wird der Loader mit der höchsten
Versionsnummer geladen, sofern im Gerät nicht ein Loader mit höherer
Versionsnummer vorhanden ist.

– Wird eine Firmware-Datei gefunden, wird die Firmware mit der höchsten
Versionsnummer geladen, wenn die Version ungleich der im Gerät aktiven oder
inaktiven Firmwareversionen ist.

 Während des Ladevorgangs blinken Power- und die Online-LED am Gerät


abwechselnd.

 Am Ende des automatische Ladevorgangs leuchten alle LEDs des Geräts für 30
Sekunden grün. Das USB-Medium kann dann entfernt werden.

Seite 60
LANCOM Features
USB Setup – Automatisches Betanken (Firmware)

Seite 61
LANCOM Features
USB Setup – Automatisches Betanken (Konfiguration)

 Gerät sucht beim Mounten eines USB-Mediums nach Konfigurations- und/oder


Skript-Dateien im Verzeichnis “Config”.

 Alle Dateien mit der Dateiendung “.lcs” oder“.lcf” die zum aktuellen Gerätetyp
passen werden erkannt

 Header der Dateien werden ausgelesen, hier kann z.B die MAC des jeweiligen
Gerätes hinterlegt werden.

 Folgenden Regeln verwendet:


– Voll-Konfiguration ".lcf„ wird immer vor einem Skript ".lcs" geladen.
– Nur Voll-Konfigurationen mit gleichen Gerätetyp-Einträgen und Firmware-
Versions-Einträgen im Header und im ladenden Gerät

Seite 62
LANCOM Features
USB Setup – Automatisches Betanken (Konfiguration)

Seite 63
LANCOM Features
Konfigurierbarer Reset-Button

 Konfigurierbarer Reset-Button
– ignore: Der Button wird ignoriert
– boot-only: Druck auf den Button löst Neustart aus, unabhängig von der
gedrückten Dauer.

– reset-or-boot: Button zeigt das bisherige Verhalten (kurzer Druck auf den Reset-
Knopf Neustart, 5 Sekunden oder länger Neustart mit Rücksetzen der
Konfiguration auf den Auslieferungszustand (Default)

 Verhalten des Reset-Buttons kann über WEBconfig (Experten-Konfiguration) oder


über die Konsole (Outband, telnet/SSH) konfiguriert werden

– Setup > Config

Seite 64
LANCOM Features
Alternative Bootkonfiguration

 LANCOM-Geräte können drei verschiedene Boot-Konfigurationen


nutzen:

– LANCOM-Werkseinstellungen:
Standardwerte für das jeweilige Modell im Auslieferungszustand

– Kundenspezifische Standardeinstellungen:
Enthält eine vom Kunden erstellte Konfiguration, die auf dem
ersten Boot-Speicherplatz abgelegt wird. Nach Laden dieser
Konfiguration wird diese zur neuen Bootkonfiguration

– Rollout-Konfiguration:
Wird in größeren Roll-Out-Szenarien verwendet. Die Rollout-
Konfiguration muss durch eine entsprechende Bedienung des
Reset-Tasters aktiviert werden und wird auf dem zweiten
Bootspeicherplatz abgelegt. Nach Laden dieser Konfiguration
wird diese nicht als Bootkonfiguration gespeichert.

Seite 65
LANCOM Features
Alternative Bootkonfiguration

 Die Konfiguration wird über Drücken des Reset-Taster ausgewählt.


– weniger als 5 Sekunden: Booten (Neustart)
Alle LEDs des Geräts leuchten kurzzeitig rot

– mehr als 5 Sekunden bis zum ersten Aufleuchten aller LEDs Konfigurations-
Reset (Löschen des Konfigurationsspeichers) und anschließender Neustart.
Laden der kundenspezifischen Standardeinstellungen (erster Speicherplatz)
Alle LEDs des Geräts leuchten einmal kurzzeitig rot

– mehr als 15 Sekunden bis zum zweiten Aufleuchten aller LEDs Aktivieren der
Rollout-Konfiguration und Löschen der benutzerdefinierten Konfiguration. Nach
dem Neustart wird die Rollout-Konfiguration (zweiter Speicherplatz) geladen.
Alle LEDs des Geräts leuchten zweimal kurzzeitig rot

Seite 66
LANCOM Features
Alternative Bootkonfiguration

Seite 67
LANCOM Features
Alternative Bootkonfiguration erzeugen

 Konsole
 bootconfig -savecurrent [1,2, all] oder bootconfig -s [1,2, all]
 1= Kundenspezifische Standardeinstellungen
 2= Rollout-Konfiguration:

Seite 68
LANCOM Features
LANCOM QuickFinder

 Suchfilter jetzt auch innerhalb von Geräte-Konfigurationen


 Reduziert den Menübaum auf Seiten mit Treffern
 Markiert die Fundstellen auf den Konfigurationsseiten mit einem roten Rahmen,
auch wenn der gesuchte Begriff in untergeordneten Tabellen vorkommt

 Durchsucht Beschreibungen (z.B. Bezeichnungen von Parametern), aber auch


eingetragene Werte („Wo ist jeweils ‚INTRANET‘ eingetragen?“) und Einheiten

Seite 69
LANCOM Features
LANCOM QuickFinder

 Eingrenzen der Suche in Konfigurationen von LANCOM Geräten auf


Beschreibungen, Werte und Einheiten

Seite 70
LANCOM Features
LANCOM QuickFinder

 Intuitive und schnelle Bedienung durch


sofortige Anpassung der Ansicht bei
jeder Zeicheneingabe

 Farbliche und akustische Anzeige,


sobald kein passender Eintrag
gefunden werden kann

 Zurücksetzen des LANCOM


QuickFinder mit einem Klick, um die
volle Auswahl zu sehen

Seite 71
LANCOM Features
LANCOM QuickFinder

 WLANmonitor: Schnelles Auffinden


von Controllern, Netzwerkprofilen,
Access-Points und Clients - ideal für
gemanagte WLANs

 LANmonitor: Springen von Treffer zu


Treffer (per Klick oder über Strg+F3)
Seite 72
LANCOM Features
LANconfig Historie - Schneller Zugriff

 Historie der betrachteten Konfigurations-Seiten mit Zurück-/Vorblättern


und Auswahlliste zum schnellen Springen zwischen Einstellungen

 Die letzten 10 besuchten Dialoge sind so besonders schnell im Zugriff

Seite 73
LANCOM Features
Einfaches Starten von Traces aus der Geräte-Liste

 Leistungsfähige Trace-Anwendung mit


grafischer Bedienoberfläche und Assistenten als
Bestandteil von LCMS

 Strukturierte Darstellung der Ausgaben mit


Detailansicht

 Suche und Suchfilter zum Auffinden von


Ereignissen in umfangreichen Trace-Ausgaben

 Vergleichen von Trace-Ausgaben im Split-View


 Sichern von Trace-Ausgaben und Supportfiles
(Konfiguration ohne Passwörter, Bootlog und
Sysinfo in einem File)

 Einfacher Aufruf von Traces über das


Kontextmenü in der Geräteliste von LANconfig

Seite 74
LANCOM Features
Split-View: Synchronisieren von Trace-Ausgaben

 Darstellen von zwei Traces in einer geteilten Trace-Ansicht


 Vergleichen der Traces über das Synchronisieren der Ausgaben

Seite 75
LANCOM Features
Konditionale Load-Kommandos

 Erweiterung der Kommandos zum Laden von


Firmware, Konfigurationen und Scripts um
Bedingungen

 Einfache Verwendung in CRON-Jobs zum


automatischen Aktualisieren, wenn sich auf einem
1. Prüfen LCOS Server hinterlegte Firmware oder Konfiguration für ein
Gerät ändern

2. Download  Zusammenfassung der Einstellungen für


loadfirmware, loadconfig und loadscript unter
2. Download
Router
„automatisches Laden“
HTTP(S)-
Server  Konsolidierung der Einstellungen für Laden per
TFTP, HTTP, HTTPS und USB
1. Prüfen
 Hinterlegen von Vorgabewerten für Minimalversion
Konfiguration/Script (nur Firmware), Bedingung und URL des Servers zur
einfachen Verwendung der Befehle

Seite 76
LANCOM Features
Neuer Load-Kommando (Loadfile)

 Neues Kommandos zum Laden von Dateien, wie Zertifikate.


 Ablage der Datei im internen Filesystem des Geräts oder auf angeschlossenen
USB-Stick

 Hier findet keine Überprüfung, ob Datei schon geladen wurde, statt.

HTML

Loadfile

Router
HTTP(S)-
Server

Seite 77
LANCOM Features
OSCP - Online-Prüfung der Gültigkeit von Zertifikaten

1 OCSP- 2 OCSP-
Server Server
OK
?

Advanced 1751 UMTS Advanced 1751 UMTS


VPN Client VPN-Aufbau VPN Client VPN-Tunnel

 Unterstützung des Online Certificate Status Protocol zur Prüfung der Gültigkeit von
X.509-Zertifikaten

 Alternative zu CRLs (Certificate Revocation Lists) zur sekundengenauen Prüfung von


Zertifikaten

 Bei großen Installationen ökonomischer, da keine umfangreichen CRL-Dateien


verteilt werden müssen

 Schnellerer Widerrufe von Zertifikaten, da nicht der Update-Zyklus Seite 78

der CRLs abgewartet werden muss


LANCOM Features
VPN Router als Public Spot Gateways für Hotspots

 NEU: Router als Gateways für Hotspots mit Verwaltung für WLAN-Zugänge und
Voucher-Druck-Assistent

 Public Spot Option (max. 64 Benutzer) ab LCOS 8.5 auch für:


– LANCOM 1711+ VPN / 1721+ VPN
 WLC Public Spot Option (unlimitierte Zahl an Benutzern) ab LCOS 8.5 auch für:
– LANCOM 7100 VPN / 9100 VPN
 Geeignet für Installationen mit wenigen Access Points, die nicht von einem
Wireless LAN Controller gemanagt werden sollen

 Kann auf dem Router zum Internet auch mit einer Content Filter Option kombiniert
werden, um das Erreichen rechtswidriger Inhalte zu unterbinden

Seite 79
LANCOM Features
VPN Router als Public Spot Gateways für Hotspots

Inklusive
Voucher-Druck-Assistent

1721+ VPN mit


Public Spot Option

Internet

Switch

L-321agn L-320agn

L-320agn Seite 80
LANCOM Features
Public Spot Option - Freie MAC-Adressen

 Freier Zugang (ohne Anmeldeseite) auf


dem Public Spot für definierte MAC-
Adressen

 mit Accounting durch Angabe von


Benutzername und Anbieter

Seite 81
LANCOM Features
Programmierbarer Rollout-Assistent*

 Skriptsprache zum Erstellen eines individuellen Rollout-


Assistenten

 Vereinfachte Inbetriebnahme bei projektspezifischen


Anforderungen (es werden nur die Parameter erfasst, die
nötig sind)

 Darstellung des Rollout-Assistenten im Webbrowser im


eigenen Design („Branding“)

 Der Rollout-Assistent kann in einer alternativen


Bootkonfiguration gesichert werden, sodass er immer
wieder (nach Reset) zur Verfügung steht

 Ideal kombinierbar mit Load-Kommandos zum Ausrollen


zentraler vorgehaltener Firmwares und Konfigurationen:

– Rollout-Assistent zur Konfiguration des Internetzugangs


und der Standortkennung

– Load-Kommandos zum Beziehen von Konfigurationen


vom Provisionierungsserver

* Nur für LANCOM 1681V, 1711+ VPN, 1721+ VPN,


1751 UMTS, 1811n Wireless, 1821n Wireless Seite 82
LANCOM Features
Sysinfo - Erweiterungen

 Erweitern der Systeminformation um:


 CONFIG-STATUS:
 <Hash>.<Datum>.<Zähler
>

 Produktions-Datum
 MOD-Stand

Seite 83
LANCOM Features
Weitere Neuerungen und Erweiterungen

 Bandbreitenbeschränkung der LAN-Schnittstelle


– für Gerät mit integriertem WLAN-Modul
 Interner LANCOM RADIUS-Server antwortet auf Status-Requests

Seite 84
LANCOM Features
Checkboxen statt manueller Definition

Vorher:

Jetzt:

Seite 85
LANCOM Features
Tabellen statt Listen

Vorher:

Jetzt:

Seite 86
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung
 Bandbreitenmanagement
 Advanced Routing and Forwarding (ARF)
 LANCOM Features

 Scripting
 Fehlersuche mit Traces

Seite 87
Scripting
Enhanced Scripting Support

 Scripte sind Textdateien, die beliebige LANCOM Kommandozeilenbefehle


im Klartext enthalten.

 Konfigurationen können aus- und eingelesen werden.


 Konfigurationen übertragen von einem Gerätetyp auf einen Anderen

Seite 88
Scripting
Enhanced Scripting Support

 Unterstützung von kompletten als auch partiellen Konfigurationen


– Möglichkeit zur Übertragung einer Gesamtkonfiguration oder
z.B. nur die Firewall ex- und importiert werden

 Script-Dateien enthalten nur die Werte ungleich Default ( Standard-Werte)


 Einfach lesbar, übersichtlich, kompakt (Kompakt formatiert)
 automatischer Generierung von Kommentaren möglich (Kommentare)
 Benennung der Pfade mit den entsprechenden OID (Sektionen numerisch)

Seite 89
Scripting
Enhanced Scripting Support

 readscript [-n][-d][-c] [PATH] [PATH]


– Startet das Scriptauslesen
– -n: SNMP IDs als Pfad-Angabe
– -d: inklusive default Werte
– -c: Kommentare
– -m: minimierte Ausgabe
 del [PATH]*
– Löscht eine komplette Tabelle
 #
– "#" am Zeilenbeginn gefolgt von einem Blank leitet einen
Kommentar ein. Bis zum Zeilenende werden alle Zeichen
ignoriert. Seite 90
Scripting
Enhanced Scripting Support

 default [-r] [PATH]


– Setzt einzelne Parameter, Tabellen oder ganze Menübäume in
die Grundkonfiguration zurück.

– Zeigt "PATH" auf einen Menübaum muss zwingend die Option -r


(recursive) angegeben werden.

 Passwd -n [neues Passwort]


– Setzt das Passwort (ohne Abfrage des alten Passworts)

Seite 91
Scripting
Enhanced Scripting Support

 beginscript … exit
– "beginscript" führt dazu, dass alles folgende bis zum "exit" in
einen Buffer eingelesen wird.

– Erst danach wird eine eigene Konfigurations-Session


aufgemacht, in der dass Script abgearbeitet wird.

– Es können mehrere Scripte parallel abgearbeitet werden


– Bei der Scriptverarbeitung erzeugt das Ende der Bearbeitung
sowie jeder Fehler eine Syslog Meldung:

– Fehlerfall: "error occured during script processing. error


location on line #NUMBER"

Seite 92
Scripting
Enhanced Scripting Support

 sleep Nummer[s; m; h]
– Hält das Script für eine Zeitspanne an.
– s: Sekunden
– m: Minuten
– h: Stunden
– Ohne Suffix arbeitet der Befehl in Millisekunden.
– sleep -u MM/DD/YYYY hh:mm:ss
– Hält das Script bis zum angegebenen Zeitpunkt an (nur wenn die
Systemzeit gesetzt ist).

– Formate:
– MM/DD/YYYY hh:mm:ss (englisch)
Seite 93
– TT.MM.JJJJ hh:mm:ss (deutsch)
Scripting
Enhanced Scripting Support

 show script
– Gibt den noch nicht verarbeiteten Scriptinhalt aller Scriptsessions
(Scriptnamen) und den zuletzt ausgeführten Scriptinhalt aus.

 killscript [scriptname]
– Löscht den noch nicht verarbeiteten Scriptinhalt einer
Scriptsession

Seite 94
Scripting
Enhanced Scripting Support

 flash no/yes (flash 0 / 1)


– Jeder add-, set- oder del- Befehl wird sofort ausgeführt
– Es kann sinnvoll sein, das Aktualisieren im Flash abzuschalten.
– So kann z.B. eine Konfiguration im RAM getestet werden
– Nach dem nächsten Boot steht dann die Konfiguration aus dem
Flash wieder zur Verfügung.

– Nach Abschluss der Konfiguration kann diese mit "flash yes" in


den permanenten Speicher geschrieben werden

– Mit „flash no“ kann nicht nur im Telnet, sondern auch in


WEBconfig gearbeitet werden

Seite 95
Scripting
Enhanced Scripting Support

 Hochladen eines Scripts via tftp


– tftp IP-Adresse put script.txt passwortbeginscript
 Herunterladen eines Scripts via tftp
– tftp IP-Adresse get PASSWORTreadscript[pfad] script.lcs
– Beispiel Teilbaum:
– tftp 10.1.1.1 get geheimreadscript/set/ip-ro/fire firewallscript.lcs
 Herunterladen eines Scripts von einem andern LANCOM via tftp
– loadscript -s IP-Adresse -f
PASSWORTreadscript/setup/wlan/access-list"

Seite 96
Network Connectivity II
Agenda

 Agenda und Vorstellung


 Backup der Internetanbindung
 Bandbreitenmanagement
 Advanced Routing and Forwarding (ARF)
 LANCOM Features
 Scripting

 Fehlersuche mit Traces

Seite 97
Anwendungen der Tracefunktion
Was ist ein Trace?

 Mitschnitt von internen Abläufen


 Detaillierte protokollabhängige Fehlersuche, z.B.
– PPP-Trace
– IP-Router-Trace
– VPN-Trace

Seite 98
Anwendungen der Tracefunktion
Wie wird ein Trace erstellt?

 Tracefunktion verfügbar über LANmonitor oder die Telnet-Konsole


 Um sicherzustellen, dass alle Informationen erfasst werden, sollten
bei Traceausgaben über dir Telnetkonsole die Daten direkt in eine
Datei geschrieben werden (z.B. mit HyperTerminal, Putty)

– Trace starten: „trace + .....“ (Beispiel: „trace + ppp“).


– Trace stoppen: „trace - ....“ (Beispiel: „trace - ppp“).
– Alternativ bietet sich „trace # .....“ (Schaltet den Zustand des
Traces um) an.

Seite 99
Anwendungen der Tracefunktion
Trace-Filter - Filtersyntax

 Traces, die viele Ausgaben erzeugen, wie z.B. beim IP-Router-Trace,


wird die Ausgabe sehr schnell unübersichtlich

 Trace-System bietet mit Parameter @ die Möglichkeit, Filter für


Traceausgaben anzugeben

 Operatoren in der Filterbeschreibung nach dem @:


– (space): ODER-Verknüpfung: Der Filter paßt dann, wenn einer
der Operanden in der Trace-Message vorkommen

– +: UND-Verknüpfung: Der Filter passt dann, wenn der Operand


in der Trace-Message vorkommt

– -: Nicht-Verknüpfung: Der Filter passt dann, wenn der Operand


nicht in der Trace-Message vorkommt

– „…“: die Ausgabe muss exakt dem Suchmuster entsprechen

Seite 100
Anwendungen der Tracefunktion
Trace-Filter - Beispiele für den IP-Router Trace

 Gegenstelle „USER-A“ oder „USER-B“


– trace + ip-router @ USER-A USER-B

 Gegenstelle „USER-A“, aber keine Ausgabe von ICMP


– trace + ip-router @+USER-A –ICMP

 Gegenstelle „USER-A“ oder „USER-B“ und ICMP


– trace + ip-router @ USER-A USER-B +ICMP

Seite 101
Anwendungen der Tracefunktion
Trace-Filter - Beispiele für den IP-Router Trace

 Das Protokoll TCP auf Port80


– trace + ip-router @+TCP +„port: 80“
– hier ist „port: 80“ in Anführungszeichen gesetzt,
weil es sonst auf alles matchen würde, in dem „port:“ oder „80“
vorkäme...

Seite 102
Anwendungen der Tracefunktion
Wann wird welcher Trace benutzt?

 Erst versuchen, den Fehler mit dem LANmonitor zu finden.


 Wenn dieses nicht den erwünschten Erfolg bringt, tracen Sie im
LANmonitor oder in einer Telnet/SSH-Sitzung

 Meistens sinnvoll, erst einen Display-, dann einen PPP- und danach
einen IP-Router-Trace zu machen

 Um die Liste aller Trace-Optionen in Telnet anzeigen zu lassen,


geben Sie den Befehl „trace“ ein

Seite 103
Anwendungen der Tracefunktion
Der Display-Trace

 Kombinierter „Status“ und „Fehler“ Trace.


 Hilfreich um die Anfangsphase des Verbindungsaufbaus zu
kontrollieren

 Hierbei kann man z.B. die gewählte Rufnummer überprüfen


 Auch ob der Router überhaupt versucht, eine Verbindung
aufzubauen, kann so schnell herausgefunden werden.

 Darüberhinaus werden alle Fehlermeldungen, z.B. falscher


Username und/oder Passwort angezeigt (PAP/NAK Fehler)

Seite 104
Anwendungen der Tracefunktion
Beispiel eines Display-Traces

 Erfolgreicher Verbindungsaufbau

13:38:41,590
Status: CH01: 0191011

13:38:43,760
Status: CH01: Protocol

13:38:44,100
Status: CH01: T-ONLINE

14:50:48,890
Status: CH01: Disconnecting

14:50:49,010
Status: CH01: Ready

Seite 105
Anwendungen der Tracefunktion
Beispiel eines Display-Traces

 Erfolgloser Verbindungsaufbau wegen einer falscher Rufnummer

13:40:02,110
Status: CH01: 00191011

13:40:03,790
Status: CH01: Disconnecting

13:40:03,900
Error: CH01: Wrong number

Seite 106
Anwendungen der Tracefunktion
Der PPP-Trace

 Hilfreich bei Problemen beim Login


 In welcher Phase der PPP-Verhandlung tritt ein Fehler auf?
 Die wichtigsten Phasen:
– ESTABLISH
– AUTHENTICATE
– NETWORK

Seite 107
Anwendungen der Tracefunktion
Beispiel eines PPP-Traces

 Change phase to AUTHENTICATE

Resolved peer as T-ONLINE in PPP table


Sending PAP-request with ID 0a, size 40 and peer-id
0001243456556012345678#0002
Received PAP frame from peer T-ONLINE (channel 1)
Evaluate PAP nak with ID 0a and size 24
Embedded message: Zugriff verweigert
Change phase to TERMINATE
Change phase to DEAD

Seite 108
Anwendungen der Tracefunktion
Der IP-Router Trace

 IP-Router Trace hilft Ursache von Problemen bei IP-Kommunikation


zu finden

 Falsch konfigurierte Filter und fehlende bzw. falsche Routing-


Einträge können damit schnell entdeckt werden

 In Abhängigkeit der Routing-Methode wird im IP-Router-Trace das


TOS-Feld bzw. der DiffServ-Codepoint ausgegeben

 Für TCP-Pakete werden die Flags (FIN, SYN, RST, PSH, ACK, URG,
ECN, CWR) ausgegeben

 ICMP-Pakete werden nach Typ ausgegeben, ggf. auch der


eingebettete IP-Header

 Bei GRE-Paketen wird, wenn in ihnen PPTP übertragen wird, die


Call-ID ausgegeben

 Ausgabe von SPI und Sequenznummer bei ESP- und AH-Paketen


Seite 109
Anwendungen der Tracefunktion
Beispiel eines IP-Router Traces

 Erfolgreicher Ping ins Internet (141.1.1.1)

2004/03/06 19:29:58,040
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 141.1.1.1, SrcIP: 10.100.1.10 TOS: ----
Prot.: ICMP (1) echo request, id: 0x0200, seq: 0x0f00
Route: WAN Tx (INTERNET)

2004/03/06 19:29:58,080
IP-Router Rx (INTERNET):
DstIP: 10.100.1.10, SrcIP: 141.1.1.1 TOS: ----
Prot.: ICMP (1) echo reply, id: 0x0200, seq: 0x0f00
Route: LAN-1 Tx (INTRANET):

Seite 110
Anwendungen der Tracefunktion
Beispiel eines IP-Router Traces

 Erfolgloser Ping aufgrund eines Port-Filters

2004/03/06 19:29:58,040
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 141.1.1.1, SrcIP: 10.100.1.10 TOS: ----
Prot.: ICMP (1) echo request, id: 0x0200, seq: 0x0f00
Filter (Port)

Seite 111
Anwendungen der Tracefunktion
Beispiel eines IP-Router Traces

 Erfolgloser Ping aufgrund einer Sperroute

2004/03/06 19:29:58,040
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 141.1.1.1, SrcIP: 10.100.1.10 TOS: ----
Prot.: ICMP (1) echo request, id: 0x0200, seq: 0x0f00
Filter (Route)

Seite 112
Anwendungen der Tracefunktion
Beispiel eines IP-Router Traces

 Erfolgloser Ping aufgrund einer fehlende Route

2004/03/06 19:29:58,040
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 141.1.1.1, SrcIP: 10.100.1.10 TOS: ----
Prot.: ICMP (1) echo request, id: 0x0200, seq: 0x0f00
Network unreachable (no route) => Discard

Seite 113
Anwendungen der Tracefunktion
Beispiel eines IP-Router Traces

 Erfolgloser Ping aufgrund fehlenden IP-Masqueradings

2004/03/06 19:29:58,040
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 141.1.1.1, SrcIP: 10.100.1.10 TOS: ----
Prot.: ICMP (1) echo request, id: 0x0200, seq: 0x0f00
Route: WAN Tx Peer: T-ONLINE

Seite 114
Vielen Dank für Ihre Aufmerksamkeit!
Weitere Informationen…

Weitere Informationen zu unseren Produkten, Lösungen und Services


unter:

www.lancom.de

LANCOM Systems GmbH


Adenauerstraße 20/B2
52146 Würselen

info@lancom.de

Seite 115
Seite 116