Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Beschreibung:
Dieses Dokument beschreibt, wie das LANCOM Layer 2 Management Protokoll (LL2M) funktioniert und wie Sie dieses zur Konfiguration der LANCOM
-
Geräte verwenden können.
Info

Informationen zur Verwendung von LL2M unter LCOS LX erhalten Sie in diesem Knowledge Base Artikel.



Voraussetzungen:
  • LCOS
-Firmware
  • ab Version
7
  • 9.
60
Firmware
Telnet- oder
  • Gerät im Netzwerk, auf welchem der LL2M-Client gestartet werden kann
  • Beliebiger SSH-Client (z.B. PuTTY)


Einsatz und Funktionsweise des LL2M-Protokolls:
Alle Wege zur Konfiguration eines LANCOM Gerätes setzen eine IP-Verbindung zwischen dem Konfigurationsrechner
und dem LANCOM
und dem Gerät voraus. Egal ob LANconfig, WEBconfig oder
Telnet
SSH, ohne IP-Verbindung können keine Befehle
zur Konfiguration
zur Konfiguration an das Gerät übertragen werden. Im Falle einer Fehlkonfiguration der TCP/IP-Einstellungen oder
der VLAN
der VLAN-Parameter kann es vorkommen, dass diese benötigte IP-Verbindung nicht mehr hergestellt werden kann.
In diesen Fällen hilft nur der Zugriff über die serielle Konfigurationsschnittstelle (nicht bei allen Geräten verfügbar)
oder ein
oder ein Reset des Gerätes auf den Auslieferungszustand. Beide Möglichkeiten setzen aber den physikalischen Zugriff auf

das Gerät voraus, der z. B. bei der verdeckten Montage von Access Points nicht immer gegeben ist oder in größeren Szenarien erheblichen Aufwand darstellen kann.
Um auch ohne IP-Verbindung einen Konfigurationszugriff auf ein Gerät zu ermöglichen, wird das LANCOM Layer 2 Management Protokoll (LL2M) verwendet. Dieses Protokoll benötigt nur eine Verbindung auf Layer 2, also auf dem

direkt oder über Layer-2-Switches angebundenen Ethernet, um eine Konfigurationssitzung aufzubauen.
LL2M-Verbindungen werden auf LAN- oder WLAN-Verbindungen unterstützt, nicht jedoch über das WAN. Die Verbindungen über LL2M sind verschlüsselt und gegen Replay
Atacken
Attacken resistent.
LL2M etabliert dazu eine Client-Server-Struktur: Der LL2M-Client schickt Anfragen oder Befehle an den LL2M-Server,
 der
der die Anfragen beantwortet oder die Befehle ausführt. Der LL2M-Client ist im LCOS integriert und wird über die

Kommandozeile ausgeführt.
Der LL2M-Server ist ebenfalls im LCOS integriert und wird in der
Standardkonfiguration
Standard-Konfiguration nach dem Einschalten des Gerätes dauerhaft aktiviert.


Verwendung des LL2M-Protokolls:
1. Konfiguration des LL2M-Servers:
Mit dem Befehl ls /
setup
Setup/
config
Config/
ll2m
LL2M werden alle im LCOS relevanten
LL2M-
Parameter angezeigt.
Image RemovedOperating (
Info
Wert

In

-Betrieb)

der Standard-Konfiguration ist LL2M bereits aktiviert, sodass an dieser Stelle in der Regel keine Anpassungen vorgenommen werden müssen.

Image Added
  • Operating:
    Schaltet den LL2M-Server ein oder aus. Ein aktivierter LL2M-Server kann nach dem Einschalten des Gerätes für die Dauer des Zeit-Limits von einem LL2M-Client angesprochen werden.
Der
    • Mit dem Befehl set
setup
    • Setup/
config
    • Config/
ll2m
    • LL2M/
operating
    • Operating No
würde den
    • wird der LL2M-Server
ausschalten, mit
    • deaktiviert.
    • Mit dem Befehl set
setup
    • Setup/
config
    • Config/
ll2m
    • LL2M/
operating
    • Operating Yes
kann
    • wird der LL2M-Server
eingeschaltet werden
    • aktiviert.
Wert
  • Time
-Limit (Zeit
  • -Limit
)
  • :
    Definiert die Zeitspanne in Sekunden, in der ein aktivierter LL2M-Server nach dem Booten/Einschalten des Gerätes von einem LL2M-Client angesprochen werden kann. Nach Ablauf des Zeit-Limits wird der LL2M-Server automatisch deaktiviert.
    • Im Standardzustand ist der LL2M-Server ohne zeitliche Einschränkung in Betrieb (Sekundenanzahl = 0). Wenn dieses Zeitintervall eingeschränkt werden soll, so kann dies mit dem Befehl set
setup
    • Setup/
config
    • Config/
ll2m
    • LL2M/
time
    • Time-
limit
    • Limit <Zeitwert> auf einen beliebigen Wert (
z.B.
    • z.B. 60 Sekunden) geändert werden.

Die Eingabe erfordert zwingend 10 Ziffern (gültige Werte sind 0 bis 4294967295; Einheit sind Sekunden). Ein Zeitwert 0000000060 würde das Zeitintervall auf 60 Sekunden
  • Crypto-Algorithms:
    Hier können Sie die für LL2M-Verbindungen zu verwendenden Verschlüsselungsalgorithmen einschränken. Diese Einstellung gilt sowohl für den Server- als auch für den Client-Modus. Der Algorithmus Simple verwendet das Klartext-Passwort als Basis für die Schlüsselableitung, während die beiden anderen Algorithmen ein verschlüsseltes Passwort als Basis verwenden (entweder mit SHA-256 oder mit SHA-512 verschlüsselt). Simple muss aktiviert bleiben, wenn die Kommunikation mit LCOS-Versionen vor LCOS 10.40 per LL2M gewünscht wird
einstellen
  • .


2. Befehle für den LL2M-Client:
Für jeden LL2M-Befehl wird ein verschlüsselter Tunnel aufgebaut, der die bei der Übertragung übermittelten Anmeldeinformationen schützt. Zur Nutzung des integrierten LL2M-Clients
starten Sie eine Telnet- oder SSH-Sitzung auf einem LANCOM
verbinden Sie sich per SSH mit einem LANCOM Router oder Access Point, welcher lokalen Zugriff über das verfügbare physikalische Medium (LAN, WLAN) auf den LL2M-Server hat.
In dieser
In dieser Konsolensitzung können Sie den LL2M-Server über die folgenden Befehle ansprechen.
Info:
Info

Damit die auf dem LL2M-Client eingegebenen Befehle auf dem LL2M-Server ausgeführt werden können, müssen Sie über Administrator-Rechte auf dem LL2M-Server verfügen.


2.1 Befehl "ll2mdetect":
Mit dem Befehl ll2mdetect schickt der LL2M-Client eine SYSINFO-Anfrage per Multicast (optional per Broadcast) an alle erreichbaren LL2M-Server, wenn dem Befehl keine zusätzlichen Parameter hinzugefügt werden.
Die mit dem Befehl ll2mdetect erreichten LL2M-Server senden daraufhin ihre Systeminformationen wie Hardware, Seriennummer etc. zur Anzeige an den LL2M-Client zurück.
Die Antwort des LL2M-Servers enthält die folgenden Angaben:
  • Name des Gerätes
  • Gerätetyp
  • Seriennummer
  • MAC-Adresse
  • Hardware-Release
  • Firmware-Version mit Datum
Image Added

Der Befehl ll2mdetect kann mit den folgenden Parametern eingeschränkt werden
.
:
  • -a <MAC-Adresse> : Schränkt den ll2mdetect-Befehl nur auf die Geräte mit der angegebenen MAC-Adresse ein.
    • Die MAC-Adresse wird in der Form 00a057010203, 00-a0-57-01-02-03 oder 00:a0:57:01:02:03 angegeben. Wird keine MAC-
Einschränkung gesetzt, geht der detect als Multicast (oder optional als Broadcast)
    • Adresse angegeben, wird die Anfrage an alle LL2M-fähigen Geräte gesendet.
    • Einzelne Stellen der MAC-Adresse können mit
einem * oder
    • der Wildcard * für beliebig viele Zeichen oder mit einem x als Platzhalter für einzelne Zeichen besetzt werden, um Gruppen von MAC-Adressen anzusprechen, z. B. 00-a0-57-xx-xx-xx für alle LANCOM-MAC-Adressen.
  • -
t <Geräte-Typ>
  • b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast.
  • -f <Version> : Schränkt den ll2mdetect-Befehl nur auf die Geräte
des entsprechenden Hardware-Typs ein.
  • der entsprechenden Firmware-Version ein.
    • Dabei ist zu beachten, dass die komplette Firmware-Bezeichnung samt Datumsangabe verwendet werden muss.
    • Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
    • Alternativ kann statt der kompletten Firmware-Bezeichnung auch ein Teil der Bezeichnung durch die Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
      • Beispiel für komplette Firmware-Bezeichnung samt Datum: Der Befehl ll2mdetect -f "10.72.0091 / 09.02.2023" zeigt alle Geräte mit der Firmware-Version 10.72.0091 an.
      • Beispiel für Firmware-Bezeichnung mit Wildcard: Der Befehl ll2mdetect -f 10.72* zeigt alle Geräte mit der Firmware-Version 10.72 an.
  • -
-
  • r <Hardware-Release> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardwarereleases ein.
    • Beispiel: Der Befehl
"
    • ll2mdetect -r A
"
    • versendet eine SYSINFO-Anfrage an alle Geräte mit Hardware-Release A.
Die Antwort des LL2M-Servers enthält die folgenden Angaben:
  • -s <Seriennummer> : Schränkt den ll2mdetect-Befehl auf ein Gerät mit einer bestimmten Seriennummer ein.
  • -t <Geräte-Typ>
  • Name des Gerätes
  • Gerätetyp
  • Seriennummer
  • MAC-Adresse
  • Hardware-Release
  • Firmware-Version mit Datum
  • -f <Version>
    • : Schränkt den ll2mdetect-Befehl nur auf die Geräte
    der
    • des entsprechenden
    Firmware-Version.
    Beispiel: Der Befehl "ll2mdetec -f *8.00*" zeigt alle Geräte mit der Firmware-Version 8.00 an.
    • Hardware-Typs ein.
      • Dabei ist zu beachten, dass die komplette Bezeichnung angegeben werden muss.
      • Mehrere nicht zusammenhängende Bestandteile müssen in Anführungszeichen gesetzt werden.
      • Alternativ kann statt der kompletten Bezeichnung auch ein Teil der Bezeichnung mit der Wildcard * ergänzt werden. Diese steht für beliebig viele Zeichen.
        • Beispiel für die komplette Geräte-Bezeichnung: Der Befehl ll2mdetect -t "LANCOM L-822acn dual Wireless" gibt alle AccessPoints des Typs L-822acn aus.
        • Beispiel für die Geräte-Bezeichnung mit Wildcards: Der Befehl ll2mdetect -t *L-822acn* gibt alle AccessPoints des Typs L-822acn aus
    -b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast
        • .
    • -v <VLAN-ID> : Mit diesem zusätzlichen Parameter erhält das Paket, welches den ll2mdetect-Befehl enthält, das angegebene VLAN-Tag, um durch die Netzwerkstruktur durchgeleitet werden zu können.
    Info

    Access Points mit LCOS LX antworten immer auf ein ll2mdetect, auch wenn dieses durch einen bestimmten Parameter eingeschränkt wird. Vorhandene Access Points mit LCOS LX sind daher immer in der Ergebnis-Liste enthalten.


    2.2 Befehl "ll2mexec"
    Image Removed
    Befehl ll2mexec
    :
    Mit diesem Befehl schickt der LL2M-Client ein einzeiliges Kommando zur Ausführung an den LL2M-Server. Mehrere Kommandos können durch Semikolon getrennt in einem LL2M-Befehl kombiniert werden.
    Je nach Kommando werden Aktionen auf dem entfernten Gerät ausgeführt und die Rückmeldungen des entfernten Gerätes werden zur Anzeige an den LL2M-Client übertragen.

    Der Befehl ll2mexec
    entspricht
    muss in folgender Syntax angegeben werden:

    ll2mexec

    <User>[:<Password>]@<MAC-Adresse>Der Befehl LL2Mexec

    -i <Schnittstelle> <Benutzer>:<Passwort>@<MAC-Adresse>

    • -i <Schnittstelle> : Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle (z.B. LAN-1). Die Angabe der Schnittstelle ist immer erforderlich.
    • <Benutzer> : Administrator-Konto des entfernten Gerätes. In der Regel wird dafür der bereits vorhandene Administrator root verwendet, es kann aber auch ein selbst erstellter Administrator mit allen Zugriffsrechten verwendet werden.
    • <Passwort> : Hauptgeräte-Passwort des entfernten Gerätes.
    • <MAC-Adresse> : MAC-Adresse des Gerätes, welches per LL2M erreicht werden soll.
    Info
    Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
    • Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
    • Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
    • Bei einem " muss ein \ vorangestellt werden (\")

    Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1


    Der Befehl ll2mexec kann mit dem folgenden Parameter auf ein bestimmtes VLAN eingeschränkt werden.
    • -v <VLAN-ID> : Versendet den ll2mexec-Befehl nur auf dem angegebenen VLAN. Wenn keine VLAN-ID angegeben ist, wird die VLAN-ID des ersten definierten IP-Netzwerks verwendet.
    Info
  • -i <Schnittstelle>: Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle. Wird keine Schnittstelle angegeben, wird der Befehl immer nur über die erste Schnittstelle (LAN-1) versandt.
  • Beispiel:
    ll2mexec root@00a057010203 set name MyLANCOM: Dieser Befehl meldet den LL2M-Client als root auf dem LL2M-Server mit der MAC-Adresse 00a057010203 an. Das Kennwort wird in der Konsolensitzung interaktiv abgefragt. Dann setzt der LL2M-Client den Namen des entfernten Gerätes auf den Wert MyLANCOM.
    Praxisbeispiel zur Verwendung des LL2M-Protokolls:

    Soll bei aktiviertem VLAN-Modul und Verwendung des Tagging-Modus Hybrid ein Zugriff per LL2M auf ein Ziel im Netzwerk erfolgen, dessen VLAN-ID der PVID entspricht, muss der Parameter -v 0 angegeben werden, damit die Kommunikation "untagged" erfolgt. Ansonsten ist ein Zugriff per LL2M nicht möglich.




    3. Praxisbeispiele zur Verwendung des LL2M-Protokolls:
    3.1 Ändern des Geräte-Namens:
    In diesem Beispiel soll auf einem Router oder Access Point mit LCOS der Geräte-Name auf MyLANCOM geändert werden.
    3.1.1 Verbinden Sie sich per Konsole mit einem Router oder Access Point im lokalen Netzwerk, welcher als LL2M-Client fungieren soll.
    3.1.2 Geben Sie den Befehl ll2mdetect ein, um sich Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des Access Points, dessen Name angepasst werden soll, ist in diesem Beispiel die 00:a0:57:2e:69:4b.
    Image Added
    3.1.3 Geben Sie den Befehl ll2mexec -i LAN-1 root:Password12345@00:a0:57:2e:69:4b set Setup/Name MyLANCOM ein, um sich per LL2M mit Administrator-Rechten (root) zu dem Access Point zu verbinden. Mit dem Befehl set Setup/Name MyLANCOM wird der Name des Access Points auf den Wert MyLANCOM gesetzt.
    Image Added

    3.2 Deaktivieren des VLAN-Moduls auf einem Access Point:
    In diesem Beispiel
    In diesem Praxisbeispiel
    wird angenommen, dass ein LANCOM Access Point, welcher durch einen LANCOM WLAN-Controller
    gemanaged
    verwaltet wird, durch eine Fehlkonfiguration nicht mehr erreichbar bzw. konfigurierbar ist. Auf dem Access-Point wurde versehentlich das VLAN-Modul aktiviert, obwohl im Netzwerk kein VLAN verwendet wird.
    Durch die Verwendung des LL2M-Protokolls ist es möglich, den Access Point über den WLAN-Controller zu
    errreichen
    erreichen und den fehlerhaften Parameter zu korrigieren. Gehen Sie dazu folgendermaßen vor:
    1. Starten Sie eine Telnet- oder SSH-Sitzung auf
    3.2.1 Verbinden Sie sich per Konsole mit dem WLAN-Controller (LL2M-Client).
    3.2.2 Geben Sie
    an der Eingabeaufforderung
    den Befehl ll2mdetect ein, um sich
    die Daten des Access Points
    Informationen zu den gefundenen Geräten anzeigen zu lassen. Die MAC-Adresse des betroffenen Access Points ist in diesem Beispiel die 00:
    A0
    a0:57:
    12
    2e:
    1B
    69:
    D3
    4b.
    Image Removed
    Image Added
    3.2.3 Geben Sie dann den Befehl ll2mexec -i LAN-1 root:
    <passwort>@00a057121bd3
    Password12345@00:a0:57:2e:69:4b ein, um sich per LL2M
    -Protokoll
    mit Administrator-Rechten (root) zu dem Access Point zu verbinden.
    Als <passwort> müssen Sie das Hauptgeräte-Passwort des Access Points verwenden.
    Info:
    Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
    • Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
    • Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
    • Bei einem " muss ein \ vorangestellt werden (\")
    • Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1
    Image Removed
    4.

    Image Added

    3.2.4 In diesem Praxisbeispiel soll das fälschlich aktivierte VLAN-Modul des Access Points wieder deaktiviert werden. Geben Sie dazu an der Eingabeaufforderung den Befehl cd
    setup
    Setup/
    vlan
    VLAN ein. Mit dem Befehl ls können Sie sich die Parameter anzeigen lassen.
    3.2.5
    .
    Geben Sie den Befehl set
    operating
    Operating no ein, um das VLAN-Modul des Access Points zu deaktivieren. Die Änderung wird im Access Point sofort aktiviert und das Gerät ist wieder erreichbar.
    Image Removed
    Image Added
    3.2.6
    .
    Damit ist die Fehlerkorrektur unter Verwendung des LL2M-Protokolls abgeschlossen.
    Info:
    Info

    Eine nützliche Hilfe bei der Konfiguration per

    Telnet- oder

    SSH-Client ist die

    LANCOM

    englische LCOS-Menüreferenz (da die Sprache auf der Konsole in der Standard-Einstellung Englisch ist).