Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 3 Nächste Version anzeigen »


Description:

Communication between different networks of a router can either be restricted via firewall rules or via interface tags. For simple scenarios, interface tags are a good choice due to the low configuration effort required.

For more complex scenarios, where communication to another network is allowed or forbidden only for individual members, using the interface tags is not recommended, as in this case an additional firewall rule would be needed to remove the interface tag and set the correct tag.

This article describes, how communication between different local networks on a router without WLAN and with permanent Private Mode on the Ethernet interfaces can be restricted via interface tags.

Beachten Sie zur Netztrennung per ARF für weitere Geräte-Typen (Router ohne permanenten Private Mode sowie Router mit WLAN) die folgenden Knowledge Base Artikel:

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router ohne permanenten Private Mode)

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags bei Geräten mit WLAN

Informationen zum Private Mode von Ethernet-Schnittstellen:

Wird der Private Mode auf den Ethernet-Ports aktiviert, können diese nicht miteinander auf Layer 2 kommunizieren (auch, wenn diesen das gleiche logische LAN-Interface zugewiesen ist). Auf Routern mit permanent aktivem Private Mode ist somit erstmal keine Kommunikation zwischen den Ethernet-Ports möglich. Als Workaround kann die Kommunikation über die LAN-Bridge erfolgen, indem den zu den Ethernet-Ports zugehörigen logischen LAN-Interfaces die gleiche Bridge-Gruppe zugewiesen wird. Dies sollte aber nur als Notlösung betrachtet werden.

Requirements:

  • All routers with permanently active Private Mode on the Ethernet interfaces (all Central Site Gateways, 2100EF, IAP-5G and OAP-5G)
  • LCOS as of version 9.24 (download latest version)
  • LANtools as of version 9.24 (download latest version)

Scenario:

The aim is to restrict access between the networks NETWORK1, NETWORK2 and NETWORK3 on the LAN side of the router.

  • NETWORK1 with the Interface LAN-1 (ETH 1) has the Network ID: 172.16.1.0 and as an employee network should provide access to all other local networks and to the Internet.
  • NETWORK2 with the Interface LAN-2 (ETH 2) has the Network ID: 172.16.2.0 and as a guest network should provide access to the Internet only.
  • NETWORK3 with the Interface LAN-3 and LAN-4 (ETH 3 and ETH 4) have the Network ID: 172.16.3.0 and as a server network should not have active access to any other network; however, NETWORK1 should have access to these servers.

Procedure:

  • Interface tags can be allocated to the IP networks. This gives you control over the communication between the networks. Routing tags can be allocated in the routing table.
  • When combined with the interface tags, these make it possible to control which route may be used by which local network.


1) Assigning the interfaces to the networks:

The Ethernet interfaces ETH 5 and higher are not used in this seencario and can therefore be left on the default settings.

1.1) Open the configuration of the router in LANconfig and make sure, that a different LAN interface is assigned to the Ethernet ports ETH 1 to ETH 4 in the menu Interfaces → LAN → Ethernet ports (ETH 1 →  LAN-1, ETH 2 → LAN-2 and so on).

1.2) Go to the menu Interfaces → LAN → LAN bridge.

1.3) Open the menu Port table.

1.4) Make sure, that the bridge group BRG-1 is assigned to the logical interface LAN-1.

Instead of assigning the bridge group BRG-1 it is also possible to select the option none and assign the logical interface LAN-1 to the employee network. However, this is not recommended, as a bridge group is required in some scnearios (e.g. the same bridge group has to be assigned to an L2TP)



Statt der Bridge-Gruppe BRG-1 kann hier auch die Option keine ausgewählt und dem Mitarbeiter-Netzwerk das logische Interface LAN-1 zugewiesen werden. Dies ist allerdings nicht empfehlenswert, da eine Bridge-Gruppe in einigen Konstellationen benötigt wird (z.B. muss einer L2TP-Verbindung und einem LAN-Interface die gleiche Bridge-Gruppe zugewiesen werden, damit die Kommunikation per L2TP möglich ist).


 

1.5 Weisen Sie dem logischen Interface LAN-2 bei Bridge-Gruppe die Option BRG-2 zu.

Statt der Bridge-Gruppe BRG-2 kann hier auch die Option keine ausgewählt und dem Mitarbeiter-Netzwerk das logische Interface LAN-2 zugewiesen werden. Dies ist allerdings nicht empfehlenswert, da eine Bridge-Gruppe in einigen Konstellationen benötigt wird (z.B. muss einer L2TP-Verbindung und einem LAN-Interface die gleiche Bridge-Gruppe zugewiesen werden, damit die Kommunikation per L2TP möglich ist).

1.6 Weisen Sie dem logischen Interface LAN-3 bei Bridge-Gruppe die Option BRG-3 zu.

1.7 Weisen Sie dem logischen Interface LAN-4 bei Bridge-Gruppe die Option BRG-3 zu.



2. Zuordnung der logischen Schnittstellen und Schnittstellen-Tags zu den IP-Netzwerken

  • IP-Netzwerke mit dem Schnittstellen-Tag 0 können auf alle anderen Netzwerke zugreifen.
  • IP-Netzwerke mit einem Schnittstellen Tag 1-65535 können nur auf IP-Netzwerke zugreifen, die das gleiche Schnittstellen-Tag verwenden.


Über den Befehl show ipv4-addresses können Sie auf der Konsole die Zuweisung der IP-Adressen zu den Schnittstellen überprüfen.

2.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.

2.2 Klicken Sie auf Hinzufügen und erstellen nacheinander drei neue Netzwerke.

Die Einträge für INTRANET und DMZ sollten nicht gelöscht werden. Da diese in weiteren Menüs referenziert werden (z.B. in den DHCP-Netzwerken) führt dies ohne weitere Konfigurations-Änderungen dazu, dass die Konfiguration per LANconfig nicht mehr geschrieben werden kann!

2.3 Passen Sie die folgenden Parameter für das Mitarbeiter-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ1).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.1.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Schnittstelle BRG-1 ausgewählt ist.
  • Schnittstellen-Tag: Stellen Sie sicher, dass das Tag 0 ausgewählt ist. Damit können Teilnehmer aus diesem Netzwerk auf alle anderen lokalen Netzwerke zugreifen.

2.4 Passen Sie die folgenden Parameter für das Gast-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ2).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.2.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle BRG-2 aus.
  • Schnittstellen-Tag: Tragen Sie das Tag 1 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

2.5 Passen Sie die folgenden Parameter für das Server-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ3).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.3.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle BRG-3 aus.
  • Schnittstellen-Tag: Tragen Sie das Tag 2 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

2.6 Die Liste der IP-Netzwerke sollte nun folgendermaßen aussehen.



3. Erstellen des Routingeintrags

Ab LCOS 10.40 gibt es für jedes Routing-Tag eine eigene Tabelle in der FIB (Forwarding Information Base).

  • Routing-Einträge mit einer Internet-Gegenstelle und dem Routing-Tag 0 werden in alle Tabellen in der FIB eingefügt. Dadurch ist die Kommunikation aller Netzwerke über eine entsprechende Internet-Verbindung möglich.
  • Routing-Einträge mit einer Internet-Gegenstelle und einem von 0 abweichenden Routing-Tag werden nur in die Tabelle in der FIB mit dem zugehörigen Tag eingefügt. Dadurch kann nur das Netzwerk mit dem entsprechenden Tag über diesen Routing-Eintrag kommunizieren.

Weitere Informationen zum Routing-Verhalten finden Sie im LCOS Referenz-Handbuch:

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/#topics/informationen_zum_routingverhalten.html

3.1 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

3.2 Passen Sie das Routing-Tag der Default-Route nach Bedarf an. In diesem Beispiel wird das Tag auf 0 belassen, damit alle Netzwerke über diesen Routing-Eintrag mit dem Internet kommunizieren können.

Sie können die Default-Route kopieren und ein von 0 abweichendes Routing-Tag hinterlegen. In diesem Fall kann nur das Netzwerk mit dem gleichen Schnittstellen-Tag über diesen Routing-Eintrag kommunizieren.

 


More articles on this topic:

 

 

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH