Beschreibung:

Die Kommunikation zwischen verschiedenen Netzwerken eines Routers kann entweder über Firewall-Regeln eingeschränkt werden oder über Schnittstellen-Tags. Für einfache Szenarien bietet sich aufgrund des geringen Konfigurations-Aufwands die Verwendung von Schnittstellen-Tags an.

Für komplexere Szenarien, in denen die Kommunikation in ein anderes Netzwerk nur für einzelne Teilnehmer erlaubt oder verboten ist, ist die Verwendung von Schnittstellen-Tags allerdings nicht empfehlenswert, da in diesem Fall eine zusätzliche Firewall-Regel zum Entfernen des Schnittstellen-Tags und Setzen des korrekten Tags erforderlich ist.

In diesem Artikel wird beschrieben, wie die Kommunikation zwischen verschiedenen Netzwerken bei Routern ohne WLAN und ohne permanenten Private Mode auf den Ethernet-Ports über Schnittstellen-Tags eingeschränkt werden kann.

Beachten Sie zur Netztrennung per ARF für weitere Geräte-Typen (Router mit permanenten Private Mode sowie Router mit WLAN) die folgenden Knowledge Base Artikel:

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags auf Routern ohne WLAN (nur Router mit permanentem Private Mode)

ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellen-Tags bei Geräten mit WLAN


Voraussetzung:

  • Alle Router ohne permanent aktiven Private Mode auf den Ethernet-Schnittstellen (alle SD-WAN Gateways und SD-WAN VoIP Gateways außer 2100EF, 1780EW-4G+, IAP-5G und OAP-5G)
  • LCOS ab Version 9.24 (download aktuelle Version)
  • LANtools ab Version 9.24 (download aktuelle Version)


Szenario:

Ziel ist es, den Zugriff der auf der LAN-Seite des Routers befindlichen Netzwerke NETZ1, NETZ2 und NETZ3 untereinander einzuschränken.

  • NETZ1 mit der Schnittstelle LAN-1 (ETH 1) hat die Netz-ID: 172.16.1.0 und soll als Netzwerk für Mitarbeiter auf alle anderen Netze und das Internet Zugriff haben.
  • NETZ2 mit der Schnittstelle LAN-2 (ETH 2) hat die Netz-ID: 172.16.2.0 und soll als Netzwerk für Gäste nur auf das Internet Zugriff haben.
  • NETZ3 mit der Schnittstelle LAN-3 (ETH 3 und ETH 4) hat die Netz-ID: 172.16.3.0 und soll als Netzwerk für Server in kein lokales Netzwerk aktiven Zugriff haben, auf die Server soll aber aus NETZ1 zugegriffen werden können.

Szenario-Grafik eines Routers mit drei Netzwerken mit unterschiedlichen Adressbereichen


Vorgehensweise:

  • Für die IP-Netzwerke können Schnittstellen-Tags vergeben werden. Hierüber kann die Kommunikation der Netzwerke untereinander gesteuert werden.
  • In der Routingtabelle können Routing-Tags vergeben werden. In Kombination mit den Schnittstellen-Tags kann hierüber gesteuert werden, welches lokale Netzwerk welche Route nutzen darf.


1. Zuordnung der Schnittstellen zu den Netzen

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und bearbeiten die Ethernet-Schnitttstellen ETH 1 bis ETH 4 in dem Menü Schnittstellen → LAN → Ethernet-Ports.

Physikalische Schnittstellen ETH 1 bis ETH 4 in dem Menü Ethernet-Ports bearbeiten

1.2 Weisen Sie der physikalischen Ethernet-Schnittstelle 1 (ETH 1) das logische Interface LAN-1 zu.

Zuweisen des logischen Interfaces LAN-1 zu dem physikalischen Interface ETH 1

1.3 Weisen Sie der physikalischen Ethernet-Schnittstelle 2 (ETH 2) das logische Interface LAN-2 zu.

Zuweisen des logischen Interfaces LAN-2 zu dem physikalischen Interface ETH 2

1.4 Weisen Sie den physikalischen Ethernet-Schnittstellen 3 (ETH 3) und 4 (ETH 4) jeweils das logische Interface LAN-3 zu.

Zuweisen des logischen Interfaces LAN-3 zu dem physikalischen Interface ETH 3 Zuweisen des logischen Interfaces LAN-3 zu dem physikalischen Interface ETH 4

1.5 Wechseln Sie in das Menü Schnittstellen → LAN → LAN-Bridge.

Menü LAN-Bridge aufrufen

1.6 Wechseln Sie in das Menü Port-Tabelle.

Menü Port-Tabelle in der LAN-Bridge aufrufen

1.7 Stellen Sie sicher, dass den logischen Interfaces LAN-1 bis LAN-3 bei der Bridge-Gruppe die Option keine zugewiesen ist.

Sicherstellen, dass dem logischen Interface LAN-1 keine Bridge-Gruppe zugewiesen ist Sicherstellen, dass dem logischen Interface LAN-2 keine Bridge-Gruppe zugewiesen ist Sicherstellen, dass dem logischen Interface LAN-3 keine Bridge-Gruppe zugewiesen ist



2. Zuordnung der logischen Schnittstellen und Schnittstellen-Tags zu den IP-Netzwerken

  • IP-Netzwerke mit dem Schnittstellen-Tag 0 können auf alle anderen Netzwerke zugreifen.
  • IP-Netzwerke mit einem Schnittstellen Tag 1-65534 können nur auf IP-Netzwerke zugreifen, die das gleiche Schnittstellen-Tag verwenden.

Über den Befehl show ipv4-addresses können Sie auf der Konsole die Zuweisung der IP-Adressen zu den Schnittstellen überprüfen.

2.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.

Menü IP-Netzwerke aufrufen

2.2 Klicken Sie auf Hinzufügen und erstellen nacheinander drei neue Netzwerke.

Die Einträge für INTRANET und DMZ sollten nicht gelöscht werden. Da diese in weiteren Menüs referenziert werden (z.B. in den DHCP-Netzwerken) führt dies ohne weitere Konfigurations-Änderungen dazu, dass die Konfiguration per LANconfig nicht mehr geschrieben werden kann!

Neue Netzwerke hinzufügen

2.3 Passen Sie die folgenden Parameter für das Mitarbeiter-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ1).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.1.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Schnittstelle LAN-1 ausgewählt ist.
  • Schnittstellen-Tag: Stellen Sie sicher, dass das Tag 0 ausgewählt ist. Damit können Teilnehmer aus diesem Netzwerk auf alle anderen lokalen Netzwerke zugreifen.

IP-Parameter und logische Schnittstelle für das Mitarbeiter-Netzwerk mit Schnittstellen-Tag 0 angeben

2.4 Passen Sie die folgenden Parameter für das Gast-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ2).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.2.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle LAN-2 aus.
  • Schnittstellen-Tag: Tragen Sie das Tag 1 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

IP-Parameter und logische Schnittstelle für das Gast-Netzwerk mit Schnittstellen-Tag 1 angeben

2.5 Passen Sie die folgenden Parameter für das Server-Netzwerk an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel NETZ3).
  • IP-Adresse: Tragen Sie eine IP-Adresse für das Netzwerk ein (in diesem Beispiel 172.16.3.1).
  • Netzmaske: Tragen Sie eine Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • Schnittstellen-Zuordnung: Wählen Sie im Dropdown-Menü die Schnittstelle LAN-3 aus.
  • Schnittstellen-Tag: Tragen Sie das Tag 2 ein. Damit können Teilnehmer aus diesem Netzwerk auf kein anderes lokalen Netzwerk zugreifen.

IP-Parameter und logische Schnittstelle für das Server-Netzwerk mit Schnittstellen-Tag 2 angeben

2.6 Die Liste der IP-Netzwerke sollte nun folgendermaßen aussehen.

Übersicht der angelegten Netzwerke in dem Menü IP-Netzwerke 



3. Erstellen des Routingeintrags

Ab LCOS 10.40 gibt es für jedes Routing-Tag eine eigene Tabelle in der FIB (Forwarding Information Base).

  • Routing-Einträge mit einer Internet-Gegenstelle und dem Routing-Tag 0 werden in alle Tabellen in der FIB eingefügt. Dadurch ist die Kommunikation aller Netzwerke über eine entsprechende Internet-Verbindung möglich.
  • Routing-Einträge mit einer Internet-Gegenstelle und einem von 0 abweichenden Routing-Tag werden nur in die Tabelle in der FIB mit dem zugehörigen Tag eingefügt. Dadurch kann nur das Netzwerk mit dem entsprechenden Tag über diesen Routing-Eintrag kommunizieren.

Weitere Informationen zum Routing-Verhalten finden Sie im LCOS Referenz-Handbuch:

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/#topics/informationen_zum_routingverhalten.html

3.1 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

Menü IPv4-Routing-Tabelle aufrufen

3.2 Passen Sie das Routing-Tag der Default-Route nach Bedarf an. In diesem Beispiel wird das Tag auf 0 belassen, damit alle Netzwerke über diesen Routing-Eintrag mit dem Internet kommunizieren können.

Sie können die Default-Route kopieren und ein von 0 abweichendes Routing-Tag hinterlegen. In diesem Fall kann nur das Netzwerk mit dem gleichen Schnittstellen-Tag über diesen Routing-Eintrag kommunizieren.

 Routing-Tag der Default-Route bei Bedarf anpassen 


 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH