Quelle anzeigen

Beschreibung:

Die Kommunikation zwischen verschiedenen Netzwerken eines Routers kann entweder über Firewall-Regeln eingeschränkt werden oder über Schnittstellen-Tags. Für einfache Szenarien bietet sich aufgrund des geringen Konfigurations-Aufwands die Verwendung von Schnittstellen-Tags an.

Für komplexere Szenarien, in denen die Kommunikation in ein anderes Netzwerk nur für einzelne Teilnehmer erlaubt oder verboten ist, ist die Verwendung von Schnittstellen-Tags allerdings nicht empfehlenswert, da in diesem Fall eine zusätzliche Firewall-Regel zum Entfernen des Schnittstellen-Tags und Setzen des korrekten Tags erforderlich ist.

In diesem Artikel wird beschrieben, wie die Kommunikation zwischen verschiedenen Netzwerken bei Routern mit permanent aktivem Private Mode über Schnittstellen-Tags eingeschränkt werden kann.

Beachten Sie zur Netztrennung per ARF für weitere Geräte-Typen (Router ohne permanenten Private Mode sowie Router mit WLAN) die folgenden Knowledge Base Artikel:

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router ohne permanenten Private Mode)

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags bei Geräten mit WLAN

Wird der Private Mode auf den Ethernet-Ports aktiviert, können diese nicht miteinander auf Layer 2 kommunizieren (auch, wenn diesen das gleiche logische LAN-Interface zugewiesen ist). Auf Routern mit permanent aktivem Private Mode ist somit erstmal keine Kommunikation zwischen den Ethernet-Ports möglich. Als Workaround kann die Kommunikation über die LAN-Bridge erfolgen, indem den zu den Ethernet-Ports zugehörigen logischen LAN-Interfaces die gleiche Bridge-Gruppe zugewiesen wird. Dies sollte aber nur als Notlösung betrachtet werden.

Voraussetzungen:

Alle Router mit permanent aktivem Private Mode auf den Ethernet-Schnittstellen (alle Central Site Gateways, 2100EF, IAP-5G und OAP-5G)
LCOS ab Version 9.24 (download aktuelle Version)
LANtools ab Version 9.24 (download aktuelle Version)

Szenario:

Ziel ist es, den Zugriff der auf der LAN-Seite des Routers befindlichen Netzwerke NETZ1, NETZ2 und NETZ3 untereinander einzuschränken.

NETZ1 mit der Schnittstelle LAN-1 (ETH 1) hat die Netz-ID: 172.16.1.0 und soll als Netzwerk für Mitarbeiter auf alle anderen Netze und das Internet Zugriff haben.
NETZ2 mit der Schnittstelle LAN-2 (ETH 2) hat die Netz-ID: 172.16.2.0 und soll als Netzwerk für Gäste nur auf das Internet Zugriff haben.
NETZ3 mit den Schnittstellen LAN-3 und LAN-4 (ETH 3 und ETH 4) hat die Netz-ID: 172.16.3.0 und soll als Netzwerk für Server in kein lokales Netzwerk aktiven Zugriff haben, auf die Server soll aber aus NETZ1 zugegriffen werden können.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router ohne permanenten Private Mode) > Szenario.jpg

Vorgehensweise:

Für die IP-Netzwerke können Schnittstellen-Tags vergeben werden. Hierüber kann die Kommunikation der Netzwerke untereinander gesteuert werden.
In der Routingtabelle können Routing-Tags vergeben werden. In Kombination mit den Schnittstellen-Tags kann hierüber gesteuert werden, welches lokale Netzwerk welche Route nutzen darf.

1. Zuordnung der Schnittstellen zu den Netzen

Die Ethernet-Interfaces ab ETH 5 werden in diesem Szenario nicht verwendet und können daher auf den Standard-Einstellungen belassen werden.

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und stellen in dem Menü Schnittstellen → LAN → Ethernet-Ports sicher, dass den Ethernet-Ports ETH 1 bis ETH 4 jeweils ein anderes LAN-Interface zugewiesen ist (ETH 1 → LAN-1, ETH 2 → LAN-2 usw.).

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 1.png

1.2 Wechseln Sie in das Menü Schnittstellen → LAN → LAN-Bridge.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 2.png

1.3 Wechseln Sie in das Menü Port-Tabelle.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 3.png

1.4 Stellen Sie sicher, dass dem logischen Interface LAN-1 bei Bridge-Gruppe die Option BRG-1 zugewiesen ist.

Statt der Bridge-Gruppe BRG-1 kann hier auch die Option keine ausgewählt und dem Mitarbeiter-Netzwerk das logische Interface LAN-1 zugewiesen werden. Dies ist allerdings nicht empfehlenswert, da eine Bridge-Gruppe in einigen Konstellationen benötigt wird (z.B. muss einer L2TP-Verbindung und einem LAN-Interface die gleiche Bridge-Gruppe zugewiesen werden, damit die Kommunikation per L2TP möglich ist).

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 4.png

1.5 Weisen Sie dem logischen Interface LAN-2 bei Bridge-Gruppe die Option BRG-2 zu.

Statt der Bridge-Gruppe BRG-2 kann hier auch die Option keine ausgewählt und dem Mitarbeiter-Netzwerk das logische Interface LAN-2 zugewiesen werden. Dies ist allerdings nicht empfehlenswert, da eine Bridge-Gruppe in einigen Konstellationen benötigt wird (z.B. muss einer L2TP-Verbindung und einem LAN-Interface die gleiche Bridge-Gruppe zugewiesen werden, damit die Kommunikation per L2TP möglich ist).

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 5.png

1.6 Weisen Sie dem logischen Interface LAN-3 bei Bridge-Gruppe die Option BRG-3 zu.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 6.png

1.7 Weisen Sie dem logischen Interface LAN-4 bei Bridge-Gruppe die Option BRG-3 zu.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 7.png

2. Zuordnung der logischen Schnittstellen und Schnittstellen-Tags zu den IP-Netzwerken

IP-Netzwerke mit dem Schnittstellen-Tag 0 können auf alle anderen Netzwerke zugreifen.
IP-Netzwerke mit einem Schnittstellen Tag 1-65535 können nur auf IP-Netzwerke zugreifen, die das gleiche Schnittstellen-Tag verwenden.

Über den Befehl show ipv4-addresses können Sie auf der Konsole die Zuweisung der IP-Adressen zu den Schnittstellen überprüfen.

2.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 8.png

2.2 Klicken Sie auf Hinzufügen und erstellen nacheinander drei neue Netzwerke.

Die Einträge für INTRANET und DMZ sollten nicht gelöscht werden. Da diese in weiteren Menüs referenziert werden (z.B. in den DHCP-Netzwerken) führt dies ohne weitere Konfigurations-Änderungen dazu, dass die Konfiguration per LANconfig nicht mehr geschrieben werden kann!

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 9.png

2.3 Passen Sie die folgenden Parameter für das Mitarbeiter-Netzwerk an:

Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ1).
IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.1.1).
Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Schnittstelle BRG-1 ausgewählt ist.
Schnittstellen-Tag: Stellen Sie sicher, dass das Tag 0 ausgewählt ist. Damit können Teilnehmer aus diesem Netzwerk auf alle anderen lokalen Netzwerke zugreifen.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 10.png

2.4 Passen Sie die folgenden Parameter für das Gast-Netzwerk an:

Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ2).
IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.2.1).
Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle BRG-2 aus.
Schnittstellen-Tag: Tragen Sie das Tag 1 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 11.png

2.5 Passen Sie die folgenden Parameter für das Server-Netzwerk an:

Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ3).
IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.3.1).
Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle BRG-3 aus.
Schnittstellen-Tag: Tragen Sie das Tag 2 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 12.png

2.6 Die Liste der IP-Netzwerke sollte nun folgendermaßen aussehen.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 13.png

3. Erstellen des Routingeintrags

Ab LCOS 10.40 gibt es für jedes Routing-Tag eine eigene Tabelle in der FIB (Forwarding Information Base).

Routing-Einträge mit einer Internet-Gegenstelle und dem Routing-Tag 0 werden in alle Tabellen in der FIB eingefügt. Dadurch ist die Kommunikation aller Netzwerke über eine entsprechende Internet-Verbindung möglich.
Routing-Einträge mit einer Internet-Gegenstelle und einem von 0 abweichenden Routing-Tag werden nur in die Tabelle in der FIB mit dem zugehörigen Tag eingefügt. Dadurch kann nur das Netzwerk mit dem entsprechenden Tag über diesen Routing-Eintrag kommunizieren.

Weitere Informationen zum Routing-Verhalten finden Sie im LCOS Referenz-Handbuch:

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/#topics/informationen_zum_routingverhalten.html

3.1 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 14.png

3.2 Passen Sie das Routing-Tag der Default-Route nach Bedarf an. In diesem Beispiel wird das Tag auf 0 belassen, damit alle Netzwerke über diesen Routing-Eintrag mit dem Internet kommunizieren können.

Sie können die Default-Route kopieren und ein von 0 abweichendes Routing-Tag hinterlegen. In diesem Fall kann nur das Netzwerk mit dem gleichen Schnittstellen-Tag über diesen Routing-Eintrag kommunizieren.

LANCOM Support Knowledge Base DE > ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode) > 15.png

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.