Beschreibung: Dieses Dokument beschreibt, wie das LANCOM Layer 2 Management Protokoll (LL2M) funktioniert und wie Sie dieses zur Konfiguration der LANCOM | - Geräte verwenden können.Voraussetzungen: | -Firmware 760 FirmwareTelnet- oder - Gerät im Netzwerk, auf welchem der LL2M-Client gestartet werden kann
- Beliebiger SSH-Client (z.B. PuTTY)
Einsatz und Funktionsweise des LL2M-Protokolls:Alle Wege zur Konfiguration eines LANCOM Gerätes setzen eine IP-Verbindung zwischen dem Konfigurationsrechner | und dem LANCOM und dem Gerät voraus. Egal ob LANconfig, WEBconfig oder | TelnetSSH, ohne IP-Verbindung können keine Befehle | zur Konfiguration zur Konfiguration an das Gerät übertragen werden. Im Falle einer Fehlkonfiguration der TCP/IP-Einstellungen oder | der VLANder VLAN-Parameter kann es vorkommen, dass diese benötigte IP-Verbindung nicht mehr hergestellt werden kann. In diesen Fällen hilft nur der Zugriff über die serielle Konfigurationsschnittstelle (nicht bei allen Geräten verfügbar) | oder ein oder ein Reset des Gerätes auf den Auslieferungszustand. Beide Möglichkeiten setzen aber den physikalischen Zugriff auf |
das Gerät voraus, der z. B. bei der verdeckten Montage von Access Points nicht immer gegeben ist oder in größeren Szenarien erheblichen Aufwand darstellen kann. Um auch ohne IP-Verbindung einen Konfigurationszugriff auf ein Gerät zu ermöglichen, wird das LANCOM Layer 2 Management Protokoll (LL2M) verwendet. Dieses Protokoll benötigt nur eine Verbindung auf Layer 2, also auf dem |
direkt oder über Layer-2-Switches angebundenen Ethernet, um eine Konfigurationssitzung aufzubauen. LL2M-Verbindungen werden auf LAN- oder WLAN-Verbindungen unterstützt, nicht jedoch über das WAN. Die Verbindungen über LL2M sind verschlüsselt und gegen Replay | Atacken Attacken resistent. LL2M etabliert dazu eine Client-Server-Struktur: Der LL2M-Client schickt Anfragen oder Befehle an den LL2M-Server, | der der die Anfragen beantwortet oder die Befehle ausführt. Der LL2M-Client ist im LCOS integriert und wird über die |
Kommandozeile ausgeführt. Der LL2M-Server ist ebenfalls im LCOS integriert und wird in der | Standardkonfiguration Standard-Konfiguration nach dem Einschalten des Gerätes dauerhaft aktiviert.
Verwendung des LL2M-Protokolls: 1. Konfiguration des LL2M-Servers: Mit dem Befehl ls / | setupconfigll2mLL2M werden alle im LCOS relevanten | LL2M-Image RemovedOperating (Wert -Betrieb)der Standard-Konfiguration ist LL2M bereits aktiviert, sodass an dieser Stelle in der Regel keine Anpassungen vorgenommen werden müssen. | Image Added- Operating:
Schaltet den LL2M-Server ein oder aus. Ein aktivierter LL2M-Server kann nach dem Einschalten des Gerätes für die Dauer des Zeit-Limits von einem LL2M-Client angesprochen werden.
| Der setupconfigll2moperating würde den ausschalten, mit - deaktiviert.
- Mit dem Befehl set
| setupconfigll2moperating kann eingeschaltet werdenWert -Limit (Zeit)- :
Definiert die Zeitspanne in Sekunden, in der ein aktivierter LL2M-Server nach dem Booten/Einschalten des Gerätes von einem LL2M-Client angesprochen werden kann. Nach Ablauf des Zeit-Limits wird der LL2M-Server automatisch deaktiviert.- Im Standardzustand ist der LL2M-Server ohne zeitliche Einschränkung in Betrieb (Sekundenanzahl = 0). Wenn dieses Zeitintervall eingeschränkt werden soll, so kann dies mit dem Befehl set
| setupconfigll2mtimelimit - Limit <Zeitwert> auf einen beliebigen Wert (
| z.B. - z.B. 60 Sekunden) geändert werden.
| Die Eingabe erfordert zwingend 10 Ziffern (gültige Werte sind 0 bis 4294967295; Einheit sind Sekunden). Ein Zeitwert 0000000060 würde das Zeitintervall auf 60 Sekunden- Crypto-Algorithms:
Hier können Sie die für LL2M-Verbindungen zu verwendenden Verschlüsselungsalgorithmen einschränken. Diese Einstellung gilt sowohl für den Server- als auch für den Client-Modus. Der Algorithmus Simple verwendet das Klartext-Passwort als Basis für die Schlüsselableitung, während die beiden anderen Algorithmen ein verschlüsseltes Passwort als Basis verwenden (entweder mit SHA-256 oder mit SHA-512 verschlüsselt). Simple muss aktiviert bleiben, wenn die Kommunikation mit LCOS-Versionen vor LCOS 10.40 per LL2M gewünscht wird
| einstellen
2. Befehle für den LL2M-Client: Für jeden LL2M-Befehl wird ein verschlüsselter Tunnel aufgebaut, der die bei der Übertragung übermittelten Anmeldeinformationen schützt. Zur Nutzung des integrierten LL2M-Clients | starten Sie eine Telnet- oder SSH-Sitzung auf einem LANCOMverbinden Sie sich per SSH mit einem LANCOM Router oder Access Point, welcher lokalen Zugriff über das verfügbare physikalische Medium (LAN, WLAN) auf den LL2M-Server hat. | In dieser In dieser Konsolensitzung können Sie den LL2M-Server über die folgenden Befehle ansprechen. | Info: Info |
---|
Damit die auf dem LL2M-Client eingegebenen Befehle auf dem LL2M-Server ausgeführt werden können, müssen Sie über Administrator-Rechte auf dem LL2M-Server verfügen. |
2.1 Befehl "ll2mdetect": Mit dem Befehl ll2mdetect schickt der LL2M-Client eine SYSINFO-Anfrage per Multicast (optional per Broadcast) an alle erreichbaren LL2M-Server, wenn dem Befehl keine zusätzlichen Parameter hinzugefügt werden. |
Die mit dem Befehl ll2mdetect erreichten LL2M-Server senden daraufhin ihre Systeminformationen wie Hardware, Seriennummer etc. zur Anzeige an den LL2M-Client zurück. Die Antwort des LL2M-Servers enthält die folgenden Angaben: - Name des Gerätes
- Gerätetyp
- Seriennummer
- MAC-Adresse
- Hardware-Release
- Firmware-Version mit Datum
Image Added Der Befehl ll2mdetect kann mit den folgenden Parametern eingeschränkt werden
| .:- -a <MAC-Adresse> : Schränkt den ll2mdetect-Befehl nur auf die Geräte mit der angegebenen MAC-Adresse ein.
- Die MAC-Adresse wird in der Form 00a057010203, 00-a0-57-01-02-03 oder 00:a0:57:01:02:03 angegeben. Wird keine MAC-
| Einschränkung gesetzt, geht der detect als Multicast (oder optional als Broadcast) - Adresse angegeben, wird die Anfrage an alle LL2M-fähigen Geräte gesendet.
- Einzelne Stellen der MAC-Adresse können mit
| einem * oder - der Wildcard * für beliebig viele Zeichen oder mit einem x als Platzhalter für einzelne Zeichen besetzt werden, um Gruppen von MAC-Adressen anzusprechen, z. B. 00-a0-57-xx-xx-xx für alle LANCOM-MAC-Adressen.
- -
| t <Geräte-Typ> - b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast.
- -f <Version> : Schränkt den ll2mdetect-Befehl nur auf die Geräte
| des entsprechenden Hardware-Typs ein.- der entsprechenden Firmware-Version ein.
- Dabei ist zu beachten, dass die komplette Firmware-Bezeichnung samt Datumsangabe verwendet werden muss.
- Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
- Alternativ kann statt der kompletten Firmware-Bezeichnung auch ein Teil der Bezeichnung durch die Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
- Beispiel für komplette Firmware-Bezeichnung samt Datum: Der Befehl ll2mdetect -f "10.72.0091 / 09.02.2023" zeigt alle Geräte mit der Firmware-Version 10.72.0091 an.
- Beispiel für Firmware-Bezeichnung mit Wildcard: Der Befehl ll2mdetect -f 10.72* zeigt alle Geräte mit der Firmware-Version 10.72 an.
- -
| -- r <Hardware-Release> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardwarereleases ein.
| "" - versendet eine SYSINFO-Anfrage an alle Geräte mit Hardware-Release A.
| Die Antwort des LL2M-Servers enthält die folgenden Angaben:- -s <Seriennummer> : Schränkt den ll2mdetect-Befehl auf ein Gerät mit einer bestimmten Seriennummer ein.
- -t <Geräte-Typ>
| Name des GerätesGerätetypSeriennummerMAC-AdresseHardware-ReleaseFirmware-Version mit Datum-f <Version> - : Schränkt den ll2mdetect-Befehl nur auf die Geräte
| der Firmware-Version.Beispiel: Der Befehl "ll2mdetec -f *8.00*" zeigt alle Geräte mit der Firmware-Version 8.00 an.- Hardware-Typs ein.
- Dabei ist zu beachten, dass die komplette Bezeichnung angegeben werden muss.
- Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
- Alternativ kann statt der kompletten Bezeichnung auch ein Teil der Bezeichnung mit der Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
- Beispiel für die komplette Geräte-Bezeichnung: Der Befehl ll2mdetect -t "LANCOM L-822acn dual Wireless" gibt alle AccessPoints des Typs L-822acn aus.
- Beispiel für die Geräte-Bezeichnung mit Wildcards: Der Befehl ll2mdetect -t *L-822acn* gibt alle AccessPoints des Typs L-822acn aus
| -b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast- -v <VLAN-ID> : Mit diesem zusätzlichen Parameter erhält das Paket, welches den ll2mdetect-Befehl enthält, das angegebene VLAN-Tag, um durch die Netzwerkstruktur durchgeleitet werden zu können.
|
Info |
---|
Access Points mit LCOS LX antworten immer auf ein ll2mdetect, auch wenn dieses durch einen bestimmten Parameter eingeschränkt wird. Vorhandene Access Points mit LCOS LX sind daher immer in der Ergebnis-Liste enthalten. |
2.2 Befehl "ll2mexec" | Image RemovedBefehl ll2mexec: Mit diesem Befehl schickt der LL2M-Client ein einzeiliges Kommando zur Ausführung an den LL2M-Server. Mehrere Kommandos können durch Semikolon getrennt in einem LL2M-Befehl kombiniert werden. Je nach Kommando werden Aktionen auf dem entfernten Gerät ausgeführt und die Rückmeldungen des entfernten Gerätes werden zur Anzeige an den LL2M-Client übertragen. Der Befehl ll2mexec
| entspricht muss in folgender Syntax angegeben werden:ll2mexec | <User>[:<Password>]@<MAC-Adresse>Der Befehl LL2Mexec -i <Schnittstelle> <Benutzer>:<Passwort>@<MAC-Adresse> - -i <Schnittstelle> : Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle (z.B. LAN-1). Die Angabe der Schnittstelle ist immer erforderlich.
- <Benutzer> : Administrator-Konto des entfernten Gerätes. In der Regel wird dafür der bereits vorhandene Administrator root verwendet, es kann aber auch ein selbst erstellter Administrator mit allen Zugriffsrechten verwendet werden.
- <Passwort> : Hauptgeräte-Passwort des entfernten Gerätes.
- <MAC-Adresse> : MAC-Adresse des Gerätes, welches per LL2M erreicht werden soll.
Info |
---|
Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
- Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
- Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
- Bei einem " muss ein \ vorangestellt werden (\")
Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1 |
Der Befehl ll2mexec kann mit dem folgenden Parameter auf ein bestimmtes VLAN eingeschränkt werden.- -v <VLAN-ID> : Versendet den ll2mexec-Befehl nur auf dem angegebenen VLAN. Wenn keine VLAN-ID angegeben ist, wird die VLAN-ID des ersten definierten IP-Netzwerks verwendet.
| -i <Schnittstelle>: Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle. Wird keine Schnittstelle angegeben, wird der Befehl immer nur über die erste Schnittstelle (LAN-1) versandt.Beispiel:ll2mexec root@00a057010203 set name MyLANCOM: Dieser Befehl meldet den LL2M-Client als root auf dem LL2M-Server mit der MAC-Adresse 00a057010203 an. Das Kennwort wird in der Konsolensitzung interaktiv abgefragt. Dann setzt der LL2M-Client den Namen des entfernten Gerätes auf den Wert MyLANCOM.Praxisbeispiel zur Verwendung des LL2M-Protokolls:Soll bei aktiviertem VLAN-Modul und Verwendung des Tagging-Modus Hybrid ein Zugriff per LL2M auf ein Ziel im Netzwerk erfolgen, dessen VLAN-ID der PVID entspricht, muss der Parameter -v 0 angegeben werden, damit die Kommunikation "untagged" erfolgt. Ansonsten ist ein Zugriff per LL2M nicht möglich. |
3. Praxisbeispiele zur Verwendung des LL2M-Protokolls:
3.1 Ändern des Geräte-Namens: In diesem Beispiel soll auf einem Router oder Access Point mit LCOS der Geräte-Name auf MyLANCOM geändert werden. 3.1.1 Verbinden Sie sich per Konsole mit einem Router oder Access Point im lokalen Netzwerk, welcher als LL2M-Client fungieren soll. 3.1.2 Geben Sie den Befehl ll2mdetect ein, um sich Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des Access Points, dessen Name angepasst werden soll, ist in diesem Beispiel die 00:a0:57:2e:69:4b. Image Added 3.1.3 Geben Sie den Befehl ll2mexec -i LAN-1 root:Password12345@00:a0:57:2e:69:4b set Setup/Name MyLANCOM ein, um sich per LL2M mit Administrator-Rechten (root) zu dem Access Point zu verbinden. Mit dem Befehl set Setup/Name MyLANCOM wird der Name des Access Points auf den Wert MyLANCOM gesetzt. Image Added
3.2 Deaktivieren des VLAN-Moduls auf einem Access Point: In diesem Beispiel | In diesem Praxisbeispiel wird angenommen, dass ein LANCOM Access Point, welcher durch einen LANCOM WLAN-Controller | gemanaged verwaltet wird, durch eine Fehlkonfiguration nicht mehr erreichbar bzw. konfigurierbar ist. Auf dem Access-Point wurde versehentlich das VLAN-Modul aktiviert, obwohl im Netzwerk kein VLAN verwendet wird. Durch die Verwendung des LL2M-Protokolls ist es möglich, den Access Point über den WLAN-Controller zu | errreichen erreichen und den fehlerhaften Parameter zu korrigieren. Gehen Sie dazu folgendermaßen vor: | 1. Starten Sie eine Telnet- oder SSH-Sitzung auf 3.2.1 Verbinden Sie sich per Konsole mit dem WLAN-Controller (LL2M-Client). 3.2.2 Geben Sie | an der Eingabeaufforderung den Befehl ll2mdetect ein, um sich | die Daten des Access Points Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des betroffenen Access Points ist in diesem Beispiel die 00: | A0121BD3Image RemovedImage Added 3.2.3 Geben Sie dann den Befehl ll2mexec -i LAN-1 root: | <passwort>@00a057121bd3Password12345@00:a0:57:2e:69:4b ein, um sich per LL2M | -Protokoll mit Administrator-Rechten (root) zu dem Access Point zu verbinden. | Als <passwort> müssen Sie das Hauptgeräte-Passwort des Access Points verwenden.Info: Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
- Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
- Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
- Bei einem " muss ein \ vorangestellt werden (\")
- Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1
Image Removed 4. Image Added 3.2.4 In diesem Praxisbeispiel soll das fälschlich aktivierte VLAN-Modul des Access Points wieder deaktiviert werden. Geben Sie dazu an der Eingabeaufforderung den Befehl cd | setupvlanVLAN ein. Mit dem Befehl ls können Sie sich die Parameter anzeigen lassen. 3.2.5 | . operating Operating no ein, um das VLAN-Modul des Access Points zu deaktivieren. Die Änderung wird im Access Point sofort aktiviert und das Gerät ist wieder erreichbar. | Image RemovedImage Added 3.2.6 | . Damit ist die Fehlerkorrektur unter Verwendung des LL2M-Protokolls abgeschlossen. | Info: Info |
---|
Eine nützliche Hilfe bei der Konfiguration per |
| Telnet- oder LANCOM |