Beschreibung: Dieses Dokument beschreibt, wie das LANCOM Layer 2 Management Protokoll ( LL2M) funktioniert und wie Sie dieses zur Konfiguration der LANCOM Geräte verwenden können. Voraussetzungen:- LCOS ab Version 9.24 (download aktuelle Version)
- Gerät im Netzwerk, auf welchem der LL2M-Client gestartet werden kann
- Beliebiger SSH-Client (z.B. PuTTY)
Einsatz und Funktionsweise des LL2M-Protokolls:Alle Wege zur Konfiguration eines LANCOM Gerätes setzen eine IP-Verbindung zwischen dem Konfigurationsrechner und dem Gerät voraus. Egal ob LANconfig, WEBconfig oder SSH, ohne IP-Verbindung können keine Befehle zur Konfiguration an das Gerät übertragen werden. Im Falle einer Fehlkonfiguration der TCP/IP-Einstellungen oder der VLAN-Parameter kann es vorkommen, dass diese benötigte IP-Verbindung nicht mehr hergestellt werden kann. In diesen Fällen hilft nur der Zugriff über die serielle Konfigurationsschnittstelle (nicht bei allen Geräten verfügbar) oder ein Reset des Gerätes auf den Auslieferungszustand. Beide Möglichkeiten setzen aber den physikalischen Zugriff auf das Gerät voraus, der z. B. bei der verdeckten Montage von Access Points nicht immer gegeben ist oder in größeren Szenarien erheblichen Aufwand darstellen kann. Um auch ohne IP-Verbindung einen Konfigurationszugriff auf ein Gerät zu ermöglichen, wird das LANCOM Layer 2 Management Protokoll (LL2M) verwendet. Dieses Protokoll benötigt nur eine Verbindung auf Layer 2, also auf dem direkt oder über Layer-2-Switches angebundenen Ethernet, um eine Konfigurationssitzung aufzubauen. LL2M-Verbindungen werden auf LAN- oder WLAN-Verbindungen unterstützt, nicht jedoch über das WAN. Die Verbindungen über LL2M sind verschlüsselt und gegen Replay Attacken resistent. LL2M etabliert dazu eine Client-Server-Struktur: Der LL2M-Client schickt Anfragen oder Befehle an den LL2M-Server, der die Anfragen beantwortet oder die Befehle ausführt. Der LL2M-Client ist im LCOS integriert und wird über die Kommandozeile ausgeführt. Der LL2M-Server ist ebenfalls im LCOS integriert und wird in der Standard-Konfiguration nach dem Einschalten des Gerätes dauerhaft aktiviert.
Verwendung des LL2M-Protokolls: 1. Konfiguration des LL2M-Servers: Mit dem Befehl ls /Setup/Config/LL2M werden alle im LCOS relevanten Parameter angezeigt. Info |
---|
In der Standard-Konfiguration ist LL2M bereits aktiviert, sodass an dieser Stelle in der Regel keine Anpassungen vorgenommen werden müssen. |
- Operating:
Schaltet den LL2M-Server ein oder aus. Ein aktivierter LL2M-Server kann nach dem Einschalten des Gerätes für die Dauer des Zeit-Limits von einem LL2M-Client angesprochen werden.- Mit dem Befehl set Setup/Config/LL2M/Operating No wird der LL2M-Server deaktiviert.
- Mit dem Befehl set Setup/Config/LL2M/Operating Yes wird der LL2M-Server aktiviert.
- Time-Limit:
Definiert die Zeitspanne in Sekunden, in der ein aktivierter LL2M-Server nach dem Booten/Einschalten des Gerätes von einem LL2M-Client angesprochen werden kann. Nach Ablauf des Zeit-Limits wird der LL2M-Server automatisch deaktiviert.- Im Standardzustand ist der LL2M-Server ohne zeitliche Einschränkung in Betrieb (Sekundenanzahl = 0). Wenn dieses Zeitintervall eingeschränkt werden soll, so kann dies mit dem Befehl set Setup/Config/LL2M/Time-Limit <Zeitwert> auf einen beliebigen Wert (z.B. 60 Sekunden) geändert werden.
- Crypto-Algorithms:
Hier können Sie die für LL2M-Verbindungen zu verwendenden Verschlüsselungsalgorithmen einschränken. Diese Einstellung gilt sowohl für den Server- als auch für den Client-Modus. Der Algorithmus Simple verwendet das Klartext-Passwort als Basis für die Schlüsselableitung, während die beiden anderen Algorithmen ein verschlüsseltes Passwort als Basis verwenden (entweder mit SHA-256 oder mit SHA-512 verschlüsselt). Simple muss aktiviert bleiben, wenn die Kommunikation mit LCOS-Versionen vor LCOS 10.40 per LL2M gewünscht wird.
2. Befehle für den LL2M-Client: Für jeden LL2M-Befehl wird ein verschlüsselter Tunnel aufgebaut, der die bei der Übertragung übermittelten Anmeldeinformationen schützt. Zur Nutzung des integrierten LL2M-Clients verbinden Sie sich per SSH mit einem LANCOM Router oder Access Point, welcher lokalen Zugriff über das verfügbare physikalische Medium (LAN, WLAN) auf den LL2M-Server hat. In dieser Konsolensitzung können Sie den LL2M-Server über die folgenden Befehle ansprechen. Info |
---|
Damit die auf dem LL2M-Client eingegebenen Befehle auf dem LL2M-Server ausgeführt werden können, müssen Sie über Administrator-Rechte auf dem LL2M-Server verfügen. |
2.1 Befehl "ll2mdetect": Mit dem Befehl ll2mdetect schickt der LL2M-Client eine SYSINFO-Anfrage per Multicast (optional per Broadcast) an alle erreichbaren LL2M-Server, wenn dem Befehl keine zusätzlichen Parameter hinzugefügt werden. Die mit dem Befehl ll2mdetect erreichten LL2M-Server senden daraufhin ihre Systeminformationen wie Hardware, Seriennummer etc. zur Anzeige an den LL2M-Client zurück. Die Antwort des LL2M-Servers enthält die folgenden Angaben: - Name des Gerätes
- Gerätetyp
- Seriennummer
- MAC-Adresse
- Hardware-Release
- Firmware-Version mit Datum
Der Befehl ll2mdetect kann mit den folgenden Parametern eingeschränkt werden: - -a <MAC-Adresse> : Schränkt den ll2mdetect-Befehl nur auf die Geräte mit der angegebenen MAC-Adresse ein.
- Die MAC-Adresse wird in der Form 00a057010203, 00-a0-57-01-02-03 oder 00:a0:57:01:02:03 angegeben. Wird keine MAC-Adresse angegeben, wird die Anfrage an alle LL2M-fähigen Geräte gesendet.
- Einzelne Stellen der MAC-Adresse können mit der Wildcard * für beliebig viele Zeichen oder mit einem x als Platzhalter für einzelne Zeichen besetzt werden, um Gruppen von MAC-Adressen anzusprechen, z. B. 00-a0-57-xx-xx-xx für alle LANCOM-MAC-Adressen.
- -b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast.
- -f <Version> : Schränkt den ll2mdetect-Befehl nur auf die Geräte der entsprechenden Firmware-Version ein.
- Dabei ist zu beachten, dass die komplette Firmware-Bezeichnung samt Datumsangabe verwendet werden muss.
- Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
- Alternativ kann statt der kompletten Firmware-Bezeichnung auch ein Teil der Bezeichnung durch die Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
- Beispiel für komplette Firmware-Bezeichnung samt Datum: Der Befehl ll2mdetect -f "10.72.0091 / 09.02.2023" zeigt alle Geräte mit der Firmware-Version 10.72.0091 an.
- Beispiel für Firmware-Bezeichnung mit Wildcard: Der Befehl ll2mdetect -f 10.72* zeigt alle Geräte mit der Firmware-Version 10.72 an.
- -r <Hardware-Release> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardwarereleases ein.
- Beispiel: Der Befehl ll2mdetect -r A versendet eine SYSINFO-Anfrage an alle Geräte mit Hardware-Release A.
- -s <Seriennummer> : Schränkt den ll2mdetect-Befehl auf ein Gerät mit einer bestimmten Seriennummer ein.
- -t <Geräte-Typ> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardware-Typs ein.
- Dabei ist zu beachten, dass die komplette Bezeichnung angegeben werden muss.
- Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
- Alternativ kann statt der kompletten Bezeichnung auch ein Teil der Bezeichnung mit der Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
- Beispiel für die komplette Geräte-Bezeichnung: Der Befehl ll2mdetect -t "LANCOM L-822acn dual Wireless" gibt alle AccessPoints des Typs L-822acn aus.
- Beispiel für die Geräte-Bezeichnung mit Wildcards: Der Befehl ll2mdetect -t *L-822acn* gibt alle AccessPoints des Typs L-822acn aus.
- -v <VLAN-ID> : Mit diesem zusätzlichen Parameter erhält das Paket, welches den ll2mdetect-Befehl enthält, das angegebene VLAN-Tag, um durch die Netzwerkstruktur durchgeleitet werden zu können.
2.2 Befehl "ll2mexec": Mit diesem Befehl schickt der LL2M-Client ein einzeiliges Kommando zur Ausführung an den LL2M-Server. Mehrere Kommandos können durch Semikolon getrennt in einem LL2M-Befehl kombiniert werden. Je nach Kommando werden Aktionen auf dem entfernten Gerät ausgeführt und die Rückmeldungen des entfernten Gerätes werden zur Anzeige an den LL2M-Client übertragen. Der Befehl ll2mexec muss in folgender Syntax angegeben werden: ll2mexec -i <Schnittstelle> <Benutzer>:<Passwort>@<MAC-Adresse> - -i <Schnittstelle> : Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle (z.B. LAN-1). Die Angabe der Schnittstelle ist immer erforderlich.
- <Benutzer> : Administrator-Konto des entfernten Gerätes. In der Regel wird dafür der bereits vorhandene Administrator root verwendet, es kann aber auch ein selbst erstellter Administrator mit allen Zugriffsrechten verwendet werden.
- <Passwort> : Hauptgeräte-Passwort des entfernten Gerätes.
- <MAC-Adresse> : MAC-Adresse des Gerätes, welches per LL2M erreicht werden soll.
Info |
---|
Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
- Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
- Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
- Bei einem " muss ein \ vorangestellt werden (\")
Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1 |
Der Befehl ll2mexec kann mit dem folgenden Parameter auf ein bestimmtes VLAN eingeschränkt werden. - -v <VLAN-ID> : Versendet den ll2mexec-Befehl nur auf dem angegebenen VLAN. Wenn keine VLAN-ID angegeben ist, wird die VLAN-ID des ersten definierten IP-Netzwerks verwendet.
Info |
---|
Soll bei aktiviertem VLAN-Modul und Verwendung des Tagging-Modus Hybrid ein Zugriff per LL2M auf ein Ziel im Netzwerk erfolgen, dessen VLAN-ID der PVID entspricht, muss der Parameter -v 0 angegeben werden, damit die Kommunikation "untagged" erfolgt. Ansonsten ist ein Zugriff per LL2M nicht möglich. |
3. Praxisbeispiele zur Verwendung des LL2M-Protokolls:
3.1 Ändern des Geräte-Namens: In diesem Beispiel soll auf einem Router oder Access Point mit LCOS der Geräte-Name auf MyLANCOM geändert werden. 3.1.1 Verbinden Sie sich per Konsole mit einem Router oder Access Point im lokalen Netzwerk, welcher als LL2M-Client fungieren soll. 3.1.2 Geben Sie den Befehl ll2mdetect ein, um sich Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des Access Points, dessen Name angepasst werden soll, ist in diesem Beispiel die 00:a0:57:2e:69:4b. 3.1.3 Geben Sie den Befehl ll2mexec -i LAN-1 root:Password12345@00:a0:57:2e:69:4b set Setup/Name MyLANCOM ein, um sich per LL2M mit Administrator-Rechten (root) zu dem Access Point zu verbinden. Mit dem Befehl set Setup/Name MyLANCOM wird der Name des Access Points auf den Wert MyLANCOM gesetzt.
3.2 Deaktivieren des VLAN-Moduls auf einem Access Point: In diesem Beispiel wird angenommen, dass ein LANCOM Access Point, welcher durch einen LANCOM WLAN-Controller verwaltet wird, durch eine Fehlkonfiguration nicht mehr erreichbar bzw. konfigurierbar ist. Auf dem Access-Point wurde versehentlich das VLAN-Modul aktiviert, obwohl im Netzwerk kein VLAN verwendet wird. Durch die Verwendung des LL2M-Protokolls ist es möglich, den Access Point über den WLAN-Controller zu erreichen und den fehlerhaften Parameter zu korrigieren. Gehen Sie dazu folgendermaßen vor: 3.2.1 Verbinden Sie sich per Konsole mit dem WLAN-Controller (LL2M-Client). 3.2.2 Geben Sie den Befehl ll2mdetect ein, um sich Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des betroffenen Access Points ist in diesem Beispiel die 00:a0:57:2e:69:4b. 3.2.3 Geben Sie dann den Befehl ll2mexec -i LAN-1 root:Password12345@00:a0:57:2e:69:4b ein, um sich per LL2M mit Administrator-Rechten (root) zu dem Access Point zu verbinden. 3.2.4 In diesem Praxisbeispiel soll das fälschlich aktivierte VLAN-Modul des Access Points wieder deaktiviert werden. Geben Sie dazu an der Eingabeaufforderung den Befehl cd Setup/VLAN ein. Mit dem Befehl ls können Sie sich die Parameter anzeigen lassen. 3.2.5 Geben Sie den Befehl set Operating no ein, um das VLAN-Modul des Access Points zu deaktivieren. Die Änderung wird im Access Point sofort aktiviert und das Gerät ist wieder erreichbar. 3.2.6 Damit ist die Fehlerkorrektur unter Verwendung des LL2M-Protokolls abgeschlossen. Info |
---|
Eine nützliche Hilfe bei der Konfiguration per SSH-Client ist die englische LCOS-Menüreferenz (da die Sprache auf der Konsole in der Standard-Einstellung Englisch ist). |
|