Beschreibung:

In einigen Szenarien kann es sinnvoll sein, die LANCOM R&S®Unified Firewall zwecks Redundanz über zwei Ethernet-Interfaces an zwei Switches anzubinden. Dabei ist immer nur eine der Verbindungen aktiv. Kommt es zu einem Ausfall der aktuell verwendeten Verbindung, erfolgt ein Wechsel auf die andere Verbindung.

In diesem Artikel wird beschrieben, wie ein Netzwerk auf einer LANCOM R&S®Unified Firewall redundant über zwei Ethernet-Interfaces angebunden werden kann.


Voraussetzungen:

  • LCOS FX ab Version 10.7 (download aktuelle Version)
  • Web-Browser zur Konfiguration der Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

  • Auf einer Unified Firewall soll das Netzwerk 192.168.10.0/24 eingerichtet und über die Ports eth2 und eth3 redundant angebunden werden.
  • Die beiden Switches sind miteinander verbunden.

Ein Diagramm, das eine Unified Firewall zeigt, verbunden mit redundanten Netzwerken und mehreren angeschlossenen LANCOM-Switches in einer technischen Benutzeroberfläche.



Vorgehensweise:

Die redundante Anbindung kann entweder über eine Bridge mittels Spanning Tree erfolgen (Abschnitt 1) oder per Gebündeltem Interface (Abschnitt 2). Die Vorbereitenden Schritte müssen in beiden Fällen im Vorfeld durchgeführt werden.


Vorbereitende Schritte:

Verbinden Sie sich per Webinterface mit der Unified Firewall, wechseln in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und löschen über das "Mülltonnen-Symbol" zwei nicht verwendete Netzwerke, damit diese für die Bridge (Abschnitt 1) bzw. das Gebündelte Interface (Abschnitt 2) zur Verfügung stehen.

Bildschirmansicht einer technischen Benutzeroberfläche zur Überwachung und Verwaltung von Netzwerkverbindungen, einschließlich Firewall-Status, Monitoring-Statistiken, DNS-Namensstatus und verschiedenen Typen von Netzwerkverbindungen wie WAN und LAN.



1. Erstellen eines redundant angebundenen Netzwerks mittels einer Bridge:

Diese Vorgehensweise funktioniert nicht in Verbindung mit VLAN, da dazu MSTP benötigt wird. MSTP wird in LCOS FX aber nicht unterstützt. Wird VLAN benötigt, muss zwingend die in Abschnitt 2 beschriebene Vorgehensweise mit einem Gebündelten Interface gewählt werden.

1.1 Wechseln Sie in das Menü Netzwerk → Interfaces → Bridge Interfaces und klicken auf das "Plus-Zeichen", um ein Bridge Interface zu erstellen.

Screenshot einer technischen Konfigurationsbenutzeroberfläche mit Menüoptionen für Firewall, Netzwerk, Bridge-Interfaces, Monitoring, Statistiken und Dynamic DNS-Konten.

1.2 Tragen Sie zwei freie Ports ein (siehe Vorbereitende Schritte), aktivieren das Spanning Tree Protocol und klicken auf Erstellen.

Bildschirmansicht einer technischen Konfigurationsoberfläche für eine Netzwerkbrücke, auf der Optionen wie NeuÄnderungen, Abmelden, Name, HardwareAdresse, Verwendet von und Details zum Spanning Tree Protocol einschließlich Ports, Priorität und Hello Intervall angezeigt werden.

1.3 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Plus-Zeichen", um der in Schritt 1.2 erstellten Bridge eine IP-Adresse zuzuweisen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkverbindungen mit Abschnitten für Monitoring, Statistiken, DNS Status und verschiedene Netzwerkanbindungen wie DHCP, Static und PPP.

1.4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Redundantes-Netzwerk).
  • Interface: Wählen Sie im Dropdown-Menü die in Schritt 1.2 erstellte Bridge aus (in diesem Beispiel br0).
  • IP-Adressen: Tragen Sie eine IP-Adresse in CIDR-Schreibweise ein (Classless Inter Domain Routing), welche das Netzwerk haben soll (in diesem Beispiel 192.168.10.254/24).

Screenshot eines Netzwerkkonfigurationsdialogs mit Optionen für Redundantes Netzwerk, Interface-Einstellungen, Typen, Benutzungsdetails und IP-Adressenverwaltung.

1.5 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks, um ein Netzwerk-Objekt zu erstellen.

Ein Screenshot eines technischen Konfigurationsmenüs mit dem Titel Firewall.

1.6 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Redundantes-Netzwerk).
  • Interface: Wählen Sie im Dropdown-Menü die in Schritt 1.2 erstellte Bridge aus (in diesem Beispiel br0).
  • Netzwerk-IP: Tragen Sie die Netz-Adresse der in Schritt 1.4 hinterlegten IP-Adresse in CIDR-Schreibweise ein (in diesem Beispiel die 192.168.10.0/24).

Anschließend können Sie für dieses Netzwerk über den Paket-Filter Firewall-Regeln erstellen, welche den Zugriff in andere Netzwerke sowie zum Internet erlauben. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:

LANCOM R&S®Unified Firewall: Konfiguration des Paket-Filters

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen zur Netzwerkverwaltung, Schaltflächen zum Anmelden, und einer Auswahl zur Überprüfungsausnahme von Antivirusprogrammen.

1.7 Klicken Sie abschließend auf Aktivieren, damit die Änderungen umgesetzt werden.

Diagramm oder Benutzeroberfläche einer Firewall-Konfiguration mit technischen Details und Einstellungen.

Anschließend muss Spanning Tree noch auf den angeschlossenen Switches konfiguriert werden. Die Vorgehensweise für die unterschiedlichen LANCOM Switch-Modelle ist in den folgenden Knowledge Base Artikeln beschrieben:

Konfiguration von RSTP auf einem Switch der GS-23xx Serie

Konfiguration von RSTP auf einem Switch der GS-3xxx Serie (LCOS SX 4.00)

Konfiguration von RSTP auf einem Switch mit LCOS SX 5.xx

Sollten Sie Switches eines anderen Herstellers verwenden, konsultieren Sie bitte die entsprechende Dokumentation bzw. wenden sich an den jeweiligen Hersteller.



2. Erstellen eines redundant angebundenen Netzwerks mittels eines Gebündelten Interfaces (Bond):

2.1 Wechseln Sie in das Menü Netzwerk → Interfaces → Gebündelte Interfaces und klicken auf das "Plus-Zeichen", um ein Gebündeltes Interface zu erstellen.

Screenshot einer Netzwerk-Konfigurationsseite mit Menüoptionen für Firewall, Monitoring-Statistiken, gebündelte Interfaces, DNS-Name-Status, DynDNS-Konten, Bridge-Interfaces, Ethernet-Interfaces und PPP-Interfaces.

2.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Modus: Wählen Sie im Dropdown-Menü die Option Active-Backup (Bridge) aus. Damit werden Daten über das erste Interface in der Liste übertragen. Fällt dieses aus, erfolgt ein Wechsel auf das nächste Interface in der Liste. Ist das ursprüngliche Interface wieder verfügbar, verbleibt die Verbindung weiterhin auf dem Interface, welches die Kommunikation übernommen hat. 
  • Ports: Tragen Sie zwei freie Ports ein (siehe Vorbereitende Schritte).

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkschnittstellen mit Optionen wie Name, Hardware-Adresse, Verwendung, Modus und Ports.

2.3 Wechseln Sie in das Menü Interfaces → VLAN-Interfaces und klicken auf das "Plus-Zeichen", um dem Gebündelten Interface ein VLAN zuzuweisen.

Bildschirmansicht einer technischen Konfigurationsseite für Netzwerkeinstellungen, die verschiedene Interface-Optionen wie VLAN, Firewall, DynDNSKonten und WLAN anzeigt.

2.4 Wählen Sie bei Haupt-Interface das in Schritt 2.2 erstellte Gebündelte Interface aus, tragen das gewünschte VLAN-Tag ein und klicken auf Erstellen.

Wiederholen Sie diesen Schritt für weitere VLANs, falls erforderlich.

Screenshot eines Konfigurationsdialogs in einer Benutzeroberfläche, der Einstellungen wie Name, Hardwareadresse und MTU-Wert des Hauptinterfaces anzeigt, mit Hinweisen zu Kernelbeschränkungen und Optionen zum Beibehalten von Änderungen oder Abbrechen der Aktion.

2.5 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Plus-Zeichen", um dem in Schritt 2.2 erstellten Gebündelten Interface eine IP-Adresse zuzuweisen.

Bildschirmanzeige einer technischen Benutzeroberfläche mit verschiedenen Netzwerkverbindungen und -einstellungen, einschließlich DNS-Status, Interface-Typen und Traffic Shaping-Optionen.

2.6 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Redundantes-Netzwerk).
  • Interface: Wählen Sie im Dropdown-Menü das in Schritt 2.2 erstellte Gebündelte Interface aus (in diesem Beispiel bond0).
  • IP-Adressen: Tragen Sie eine IP-Adresse in CIDR-Schreibweise ein, welche das Netzwerk haben soll (in diesem Beispiel 192.168.10.254/24).

Screenshot einer technischen Benutzeroberfläche, die Einstellungen eines redundanten Netzwerks mit Details zu Verbindungstyp, Interface, IP-Adressen und Statusinformationen zeigt.

2.7 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks, um ein Netzwerk-Objekt zu erstellen.

Bildschirmdarstellung eines technischen Konfigurationsmenüs mit dem Fokus auf Firewall-Einstellungen.

2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Redundantes-Netzwerk).
  • Interface: Wählen Sie im Dropdown-Menü das in Schritt 2.2 erstellte Gebündelte Interface aus (in diesem Beispiel bond0).
  • Netzwerk-IP: Tragen Sie die Netz-Adresse der in Schritt 2.6 hinterlegten IP-Adresse in CIDR-Schreibweise ein (in diesem Beispiel die 192.168.10.0/24).

Anschließend können Sie über den Paket-Filter für dieses Netzwerk Firewall-Regeln erstellen, welche den Zugriff in andere Netzwerke sowie zum Internet erlauben. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:

LANCOM R&S®Unified Firewall: Konfiguration des Paket-Filters

Bildschirmansicht eines Netzwerk-Konfigurationsmenüs mit Optionen für redundanten Netzwerkaufbau, Anmeldungen, IP-Verwaltung und Antivirus-Ausnahmen.

2.9 Klicken Sie abschließend auf Aktivieren, damit die Änderungen umgesetzt werden.

Darstellung einer Firewall, symbolisiert durch ein grafisches Interface oder Menü zur Netzwerksicherheit.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH