LANupdate Herbst 2007 Stand: 17.10.2007 Wolfram Ohn.

LANupdate Herbst 2007

Stand: 17.10.2007

Wolfram Ohn


Seite 2

I. Begrüßung & Agenda

II. Unternehmenspräsentation

III. Produktübersicht

IV. Features des LCOS 6.32

V. Features des LCOS 7.2

VI. Ausblick in die Zukunft

VII. Ihre Meinung ist uns wichtig!

VIII. Diskussion

Agenda



Seite 3








VIII. Diskussion

Agenda



Seite 4

LANCOM Systems ist führender deutscher Hersteller zuverlässiger Kommunikationslösungen für große, mittelständische und kleine Unternehmen, Behörden und Institutionen.

Das Leistungs- und Angebotsspektrum umfasst die Entwicklung und Herstellung von Produkten und Software für IP-basierte VPN-, Voice over IP- und drahtlose Netzwerke. Genau darauf abgestimmte Support- und Serviceangebote ergänzen das Portfolio von LANCOM Systems.

Unternehmenspräsentation Positionierung


Seite 5

Innovative und sichere Lösungen für Sprach- und Datennetzwerke

Eigene Forschung und Entwicklung in Deutschland

Kundenspezifische Anpassungen in Grossprojekten

Eigenes Betriebssystem LCOS - plattformübergreifend

Durchgängige, einheitliche Installation, Konfiguration aller Produkte

Investitionsschutz – kostenlose Firmware Updates, Upgrades

Unternehmenspräsentation LANCOM Mehrwert: Forschung & Entwicklung


Seite 6








VIII. Diskussion

Agenda



Seite 7

Produktübersicht Produkt Portfolio

Secure Access

Wireless LAN

Voice over IP


Seite 8

Produktübersicht - Secure AccessRouter / Gateways

LANCOM 821+Small Business Internet-Access-Router für ADSL2+

Alle Produkte verfügen über:Firewall / Intrusion Detection, Bandwidth Management, ISDN Interface / Backup

LANCOM 800+ISDN-IP-Router mit Profi-RouterTechnologie

LANCOM DSL/I-10+Professioneller Internet Access-Router für DSL und andere Breitband-Angebote


Seite 9

Produktübersicht - Secure AccessRouter / Gateways

LANCOM 1721 VPNBusiness-VPN-ADSL2+-Routerfür professionelle Standortvernetzung

LANCOM 1811 Wireless DSLBusiness-VPN-Router mit WLAN für professionelle Standortvernetzung

LANCOM 1821+ Wireless ADSLBusiness-VPN-ADSL2+-Router mit WLANfür professionelle Standortvernetzung

LANCOM 1711 VPNBusiness-VPN-Routerfür professionelle Standortvernetzung


Seite 10

LANCOM DSL/I-1611+Business-VPN-Router für professionelle Standortvernetzung

LANCOM VPN-25 OptionUpgrade 25 simultane VPN Kanäle VPN Hardware-Beschleuniger

LANCOM Modem Adapter KitInternet-Zugang über Modem Verbindungmit Nutzung aller RouterfunktionenFernwartung, Backup-VerbindungDynamic VPN

Produktübersicht - Secure Access Router / Gateways


Seite 11

LANCOM 3550 WirelessUMTS/HSDPA-VPN Gateway Breitband DSL Router mit VPN5 simultane VPN KanäleDual Band Wireless LAN Access PointIEEE 802.11a/b/g up to 54/108 MBit/s Power over EthernetAustauschbare Dual Band Diversity Antennen Point-to-Multipoint und Point-to-Point

Produktübersicht - Secure Access Router / Gateways


Seite 12

Produktübersicht - Secure Access LANCOM ES-1108P

8-Port unmanaged Fast Ethernet Switch

4 x Power over Ethernet nach IEEE 802.3af

15,4 W je PoE-Port möglich

Automatische Erkennung von PoE-Geräten und Verbrauch

Adapter für Montage im 19”-Schrank im Lieferumfang enthalten


Seite 13

LANCOM VPN-500 OptionLANCOM VPN-1000 OptionUpgrade 500/1000 Kanäle fürLANCOM 8011 VPN

LANCOM 8011 VPNCentral-Site-VPN-Gateway für Vernetzung von bis zu 1.000 Standorten

LANCOM Advanced VPN ClientHochsicherer, verschlüsselter Firmenzugang von unterwegs

LANCOM 7111 VPNCentral-Site-VPN-Gatewayfür Vernetzung von bis zu 100 Standorten

Produktübersicht - Secure Access VPN Central Site Gateways


Seite 14

Produktübersicht - WLAN Access Points

Alle Produkte: EN 60601-1-2 Medizinische Zulassung

LANCOM L-54ag WirelessBusiness Dual Band Access Point / Firewallzur sicheren und flexiblen LAN-Erweiterung

LANCOM L-54g WirelessBusiness Access Point / Firewall zur sicherenLAN-Erweiterung

LANCOM L-54 dual WirelessDual Radio Dual Band Access Point mit hoher Flexibilität und Redundanz in WAN und WLAN


Seite 15

Produktübersicht - WLAN Access Points

LANCOM OAP-54 WirelessDual Band Outdoor Access Point zur Überwindung großer Distanzen, Campus-Ausleuchtungoder für den Hotspot-Einsatz

LANCOM IAP-54 WirelessDual Band Access Pointfür Anwendungen in rauhen Umgebungen

LANCOM AirLancer Extender SA-LANBlitzschutz für LAN (PoE)-Kabel


Seite 16

Produktübersicht - Industrial Ethernet

LANCOM XAC-40-1Industrie WLAN-Client mit einem Funkmodulen und redundanter Stromversorgung für Anwendungen in der Automatisierung und Steuerung

LANCOM XAP-40-2Industrie WLAN-Access-Point mit zwei Funkmodulen und 5-fach redundanter Stromversorgung für Anwendungen in der Automatisierung und Steuerung


Seite 17

Produktübersicht - WLAN ControllerLANCOM WLAN Solutions


Seite 18

Produktübersicht - WLAN ControllerPraktische Anwendungsmöglichkeiten

W-54(a)g

WLC 4xxx


Seite 19

Produktübersicht - WLAN Controller Praktische Anwendungsmöglichkeiten

Klassische „unmanaged Isle Architecture“Einige, klare Nachteile:

Keine zentrale, intelligente Verwaltung der AP´s möglich Jeder AP MUSS separat angesprochen werden für Änderungen Geräteübergreifende Applikations- und Dienstpriorisierung nahezu

unmöglich (z.B. seamless Handover/Roaming) Unterschiedliche IP-Adressbereiche können nicht effektiv

berücksichtigt werden (z.B. VoWLAN)


Seite 20


W-54(a)g

WLC 4xxx


Seite 21


Anbindung aller vorhandenen AP´s an den LANCOM WLC:Vorteile:

Zentrales Management aller im Netz befindlichen AP´s, inkl. Konfiguration

Übergabe von Clients bei Netzwechseln werden vom Controller übernommen, auch in Netze mit unterschiedlichen IP Adress-Bereichen.

Priorisierung bestimmter Anwendungen durch den WLC AP´s können auch bei Verlust des Controllers autark weiterarbeiten Konfigurationsdaten müssen nicht länger zwingend in den AP´s

abgelegt werden (sollte ein AP entwendet werden, liegen dem Dieb keine Netzinformationen vor)

Erkennen, Melden und Ausschließen der Rogue AP´s durch den WLC


Seite 22

Produktübersicht - WLAN Controller LANCOM WLAN Controller Portfolio

Small Enterprise

Education, Healthcare,

IndustrialLarge

Enterprise

WLC-4006WLC-12 Option




Seite 23

Produktübersicht - WLAN Controller Maximale Einfachheit

Zentrales Management Incl. neue Profil Erstellung anhand Vererbung z.B. Multi-SSID

Echte “Plug-and-Play”-Installation Automatisches Finden neuer Access Points

Neu AP Alert im WebConfig, LANmonitor Erweiterung durch “Dazustecken” weiterer Access Points Alle Konfigurationseinstellungen werden automatisch an alle APs

übertragen. Option: Manuelle Profilzuweisung per WebConfig oder

LANmonitor Funktionsüberwachung des Betriebes (Monitoring, incl. Background-

Scanning)


Seite 24

Produktübersicht - WLAN ControllerUmfangreichste Sicherheitsfunktionen

Identifikation der Access Points anhand digitaler ZertifikateVerschlüsselter Tunnel für Konfigurationsdaten

TLS mit Zertifikaten, 256 Bit AES, HW-Kryptobeschleuniger

Keine lokal gespeicherten Konfigurationsdaten im AP Alternativ: Autarker Weiterbetrieb möglich!


Seite 25

Produktübersicht - WLAN ControllerHöchste Performance

Controller Load BalancingFast-Roaming für VoWLAN und sich bewegende WLAN-ClientsOptimale Qualität – durchgängige QoS (VLAN/DiffServ)Ortung/ Tag-basierte Client Location


Seite 26

Produktübersicht - WLAN Controller Welche APs werden vom Controller unterstützt?

Indoor APs L-54g Wireless L-54ag Wireless L-54 dual Wireless 3550 Wireless UMTS

Industrial APs XAP-40-2 IAP-54 Wireless

Outdoor APs OAP-54 Wireless

WLAN Router 1811 Wireless DSL 1821 Wireless ADSL 1821+ Wireless ADSL 1823


Seite 27

Produktübersicht - WLAN Controller Wie finden sich AP und Controller?

Layer-3 Broadcast Port 1027

Per DNS-Name (einstellbar)

Jedem AP können mehrere Controller mitgeteilt werden Integrierte Ausfallsicherheit / Redundanz


Seite 28

Produktübersicht - WLAN Controller Wie wird ein normaler AP zu einem gemanagten AP?

Ab LCOS 7.22 (kostenlos für alle APs / WLAN Router)Alle WLAN-Geräte suchen automatisch beim Start nach einem

Controller Normaler Weiterbetrieb (“unmanaged”), wenn

das Gerät bereits konfiguriert worden ist manuell konfiguriert wird der WLAN-Betriebsartenschalter auf “Access Point” gestellt

wird


Seite 29

Produktübersicht - WLAN Controller Wie wird ein normaler AP zu einem gemanagten AP?

Der AP hat einen Controller gefunden. Was passiert nun?Der Controller meldet, dass er einen neuen AP gefunden hat

LED “New APs” blinkt orange Email-Benachrichtigung des Administrators Geräte-Icon im LANmonitor zeigt neue APs an

I) Automatische Anmeldung Zuweisung Default-Profil (sofern erlaubt)

II) Manuelle Anmeldung MAC-Adresse Zuweisung von Name, Standort, WLAN-Profil

Der Controller stellt ein selbstsigniertes Zertifikat aus und übermittelt es (verschlüsselt) an den AP

Von nun an ist der AP eindeutig identifiziert & authentifiziert


Seite 30

Produktübersicht - WLAN Controller AP in „Managed“ Modus

Weiterbetrieb als “Managed (Access Point)”, wenn das Gerät einen Controller findet und von diesem authentifiziert wurdeder WLAN-Betriebsartenschalter auf “Managed (Access Point)”

gestellt wird


Seite 31

Produktübersicht - WLAN Controller Lancom WLAN Controller USP´s

1. „Smart Controller“-Architektur Skalierbar! 802.11n Ready ! Flexibel! Auskopplung am Controller oder

AP Betriebssicher! Kein „single point of failure“

2. „Split Management“ umfangreiches AP / WLAN Router / IAD Produktportfolio

3. Geringste Gesamtkosten (TCO): Management Software im Lieferumfang enthalten Keine weiteren Software-Wartungs- oder Serviceverträge


Seite 32

Produktübersicht - WLAN Controller USP - „Smart Controller“ – Betriebssicherheit

Normalerweise stellt der AP den Betrieb ein, wenn die Verbindung zum Controller länger als 60s gestört ist

Optional: Einstellbare Zeitdauer für einen „autarken Weiterbetrieb“, z.B. bei Ausfall der Controller-Anbindung

Bei LANCOM können die Konfigurationsdaten optional auch für eine einstellbare Zeit > 1 Minute im RAM gehalten werden

Autarker Weiterbetrieb z.B. von PSK-SSIDs bei Störung der Internetanbindung

Besonderheit: Zeiteinstellung ‘9999’ Minuten autarker Weiterbetrieb

Konfiguration wird im Flash gespeichert Dadurch Weiterbetrieb auch nach Verbindungs- und Stromausfall

möglich Konfiguration wird beim nächsten Kontakt zum Controller aktualisiert


Seite 33

Produktübersicht - Voice over IPVoIP Gateways

LANCOM 1722 VoIP

Business-VoIP-Gateway speziell für ISDN- und SIP-Telefonie an kleinen und mittleren Standorten und Filialen.

VoIP-Gateway/VPN-Router/Firewall mit ADSL2+-Modem und 4-Port-Switch

LANCOM 1724 VoIP

Business-VoIP-Gateway speziell für ISDN- und SIP-Telefonie an kleinen und mittleren Standorten sowie Filialen mit umfangreicherer ISDN-Infrastruktur.

VoIP-Gateway/VPN-Router/Firewall mit ADSL2+-Modem und vier individuell schaltbaren ISDN-Ports


Seite 34

Produktübersicht - Voice over IPVoIP Gateways

LANCOM 1823 VoIP

Business-VoIP-Gateway und WLAN-Access-Point speziell für analoge, ISDN- und SIP-Telefonie an kleineren Standorten.

VoIP-Gateway/VPN-Router/Firewall mit ADSL2+-Modem, WLAN, ISDN- und analogen Telefonieports

LANCOM 1723 VoIP

Business-VoIP-Gateway speziell für analoge, ISDN- und SIP-Telefonie an kleineren Standorten.

VoIP-Gateway/VPN-Router/Firewall mit ADSL2+-Modem, ISDN- und analogen Telefonieports


Seite 35

Produktübersicht - Voice over IPVoIP Client & Handset

LANCOM VoIP USB Handset

Robustes Handset mit sehr guten Audioeigenschaften in Ergänzung zum Advanced VoIP Client als Ersatz für das klassische Systemtelefon.

LANCOM Advanced VoIP Client

SIP-Softphone zur Integration mit Businessanwendungen und funktioneller Bedienoberfläche für den professionellen Einsatz in Unternehmen.


Seite 36

+

Vermittlungsfunktionen Interne Gespräche Entscheidung, über welche Verbindungen ein Ruf erfolgen soll „SIP-Proxy“ und „VoIP Call Router“

Gateway: SIP => ISDN und ISDN => SIP Vermittlung lokaler VoIP-Gespräche in das ISDN-Netz Verbindung von ISDN-Endgeräten mit der VoIP-Welt „SIP-Gateway“

Produktübersicht - Voice over IP VoIP Optionen für die „VoIP ready“ Geräte


Seite 37

LANCOM VoIP Basic Option (für VoIP ready Router)

Für 4 SIP- und 40 ISDN Endgeräte

SIP-Proxy

SIP ISDN Gateway

VoIP Call Manager (VCM)

G.711 und G.726 Codecs

G.168 Echo-Cancellation

LANCOM VoIP Advanced Option (für VoIP ready Router)

Wie Basic Option, jedoch:

Für 8 SIP- und 40 ISDN Endgeräte

G.729a und G.722 Codecs zusätzlich

LANCOM VoIP-32 Option (für VoIP ready und integrated Router)

zur Erweiterung auf 32 SIP-Teilnehmer

Produktübersicht - Voice over IP VoIP Optionen


Seite 38

Produktübersicht - Voice over IP LANCOM VoIP-Optionen

LANCOMVoIP Basic Option

für…

LANCOMVoIP Advanced Option

für…

DSL/I-10+ 1611+ 1711 VPN 1721 VPN

821+ 1811 Wireless DSL 1821+ Wireless ADSL

1511 Wireless DSL 1521 Wireless ADSL 8011 VPN

7111 VPN


Seite 39

Produktübersicht - Voice over IP LANCOM VP-100


Seite 40








VIII. Diskussion

Agenda



Seite 41

Features des LCOS 6.32 Einleitung

Das LANCOM Betriebssystem LCOS und die entsprechenden Management-Tools stellen regelmäßig kostenfrei neue Funktionen für alle LANCOM Router, Access Points und Gateways bereit.

LCOS 6.32, die gehärtete Release-Update-Version mit weiteren Funktionsverbesserungen und inklusive allen Rückmeldungen seit LCOS 6.20


Seite 42

Features des LCOS 6.32 Highlights LCOS 6.32 - WLAN

Background-Scanning auf allen WLAN-Kanälen

Zur Erkennung von fremden Access Points und Clients

Indoor-Only Modus

Neugruppierung der WLAN-Paramter

Alle WLAN-Parameter jetzt übersichtlich und zusammen konfigurierbar

Verbessertes DFS Verhalten

802.1x Supplicant: Authentifizierung eines Access Points im WLAN-Client-Modus über 802.1x (EAP-TLS, EAP-TTLS und PEAP) bei einem anderen Access Point


Seite 43

Features des LCOS 6.32 Highlights LCOS 6.32 - VoIP

Neue Sprach-Codecs (G.729a / G.722)Einbindung entfernter SIP-ClientsTonwahl-Unterstützung (DTMF) mittels SIP INFO oder nach RFC

2833Übertragung von Gebühreninformationen (AOC) zwischen den

internen und externen ISDN-BussenReverse-NT-Takt Modus für 1722 und 1724 verbesserte Echo-Kompensation Weiterleitung von ISDN Facilities zwischen TE- und NT-Interface


Seite 44

Features des LCOS 6.32 Highlights LCOS 6.32 - VPN

„Proadaptives VPN“ Automatisches Lernen von entfernten Netzen

Erweiterte Cisco-Interoperabilität in zertifikatsbasierten IPSec-Installationen durch Unterstützung einer optionalen „CERTREQ“-Anfrage

Vereinfachte Einrichtung von „always on“ VPN-Dauerverbindungen (Entfall der Notwendigkeit einer separaten ICMP-Verbindungsüberwachung)


Seite 45

Features des LCOS 6.32 Highlights LCOS 6.32 - LCMS

WLANmonitor mit Rogue AP Detection / Rogue Client DetectionKonfigurationsscripte können komfortabel aus LANconfig heraus

gesichert und wieder eingespielt werdenNeuer Internetzugangsassistent in WEBconfig Explizite Spracheinstellung in LANconfig und LANmonitorZertifikatsbasierte SSH-Authentifizierung (alternativ zum PSK-

Verfahren)


Seite 46


Anzeige der Empfangsempfindlichkeit von P-P Verbindungen


Seite 47

Ausrichtunterstützung von P-P Strecken mit Hilfe des LANmonitors



Seite 48


Gerätespezifische Einstellung der Kommunikationsprotokolle (TFTP, HTTP, HTTPS) in LANconfig

Automatische Sommerzeitumstellung des Zeit-Server-Moduls „Snapshot“-Funktion zum Auslesen der Accountingdaten

(Übertragungsvolumina) in bestimmten Abrechnungsintervallen, incl. Sortierfunktion nach Stationen

Vollständige Unterstützung von Microsoft Vista™ Sprachunterstützung für Spanisch in LANconfig/LANmonitor Start des Assistenten bei Doppelclick im LANconfig


Seite 49








VIII. Diskussion

Agenda



Seite 50






VoIP

Advanced Routing and Forwarding

VPN

WLAN

Management

Weitere LCOS-Neuheiten

Agenda



Seite 51

Features des LCOS 7.2

VoIP

Gruppenrufe mit Ruf-Verteilung

Mehrfachanmeldung (Multi-Login)

Halten/Makeln, Verbinden

Anrufweiterschaltung

Busy-on-Busy

Call Data Records per E-Mail oder Syslog

Faxen über T.38

Agenda


Seite 52

Gruppenrufe: Simultan: gleichzeitiges Klingeln verschiedener Endgeräte Sequenziell: sequenzielle Zustellung von Rufen Kaskadieren von Gruppen möglich (Weiterleitungs-Ziel)

Multi-Login: mehrere Endgeräte mit identischer Durchwahl

Features des LCOS 7.2 - VoIPGruppenrufe mit Ruf-Verteilung und Multi-Login


Seite 53

Vorgang: Externer Benutzer A baut ein Gespräch zu einem internen Benutzer

B auf. B baut ein weiteres Gespräch zu einem lokalen Benutzer C auf. Der lokale Benutzer B leitet dann die Anrufweiterschaltung (mit

Rückfrage) zu C ein.

Features des LCOS 7.2 - VoIP Halten/Makeln, Verbinden


Seite 54

Vorgang: Ein externer SIP-Benutzer A baut ein Gespräch zu einem internen

Benutzer B (SIP, ISDN oder Analog) auf B baut ein weiteres Gespräch zu einem externen SIP-Benutzer D auf Wenn die beiden externen SIP-Benutzer A und D über die gleiche

SIP-Leitung erreicht werden können, delegiert der LANCOM VoIP Router die Verwaltung der Weiterschaltung an den übergeordneten Provider



Seite 55

Vorgang: Ein externer Teilnehmer A (externes SIP, ISDN oder Analog) baut ein

Gespräch zu einem internen Benutzer B (SIP, ISDN oder Analog) auf B baut ein weiteres Gespräch zu einem externen Teilnehmer D

(ISDN oder Analog) auf Der lokale Benutzer B leitet dann die Anrufweiterschaltung (mit

Rückfrage) zu A ein



Seite 56

Vorgang: Ein interner Benutzer B (SIP, ISDN oder Analog) baut ein Gespräch

zu einem externen Benutzer A (an einer SIPPBX-Leitung) auf A baut ein weiteres Gespräch zu einem lokalen Benutzer C auf Der externe Benutzer A leitet dann die Anrufweiterschaltung zu C ein



Seite 57

Features des LCOS 7.2 - VoIPDie All-in-one-Lösung für Home- und Smalloffice

Telefonnetz

Internet

PC LANCOMVP-100

Drucker Anruf-beantworter

DECT-Telefon

Fax

DualmodeMobiltelefon

Bis zu 32 Arbeitsplätze

Zus. ISDN intern

Separates IP-Netz


Seite 58






VoIP


VPN

WLAN

Management


Agenda



Seite 59


VoIP


Definition von Netzwerken und Zuordnung von Interfaces/VLAN

DHCP-Server

DHCP-Relay-Server

NetBIOS-Proxy

Automatische Regelerzeugung von VPN-Regeln

Virtuelle Router

Inverses Masquerading

Zuweisung von logischen Interfaces zu Bridge-Gruppen

Agenda


Seite 60

Virtualisierung des physikalischen Routers

Anstelle der zwei bislang verfügbaren IP-Netze (Intranet, DMZ) stehen mit ARF zwei, acht oder 64 vollständige IP-Netze auf einem LANCOM zur Verfügung.

z.B. 8 x IP-Netzwerk, in denen der Router steht

z.B. 8 x DHCP-Server

z.B. 8 x DNS-Weiterleitungen

z.B. 8 x RIP

z.B. 8 x ARP

z.B. 8 x VLAN-Settings

z.B. 8 x Interfaces (Switch-Ports)

...

Features des LCOS 7.2 - ARFAdvanced Routing and Forwarding


Seite 61

Features des LCOS 7.2 - ARFKontexte

Geräte Interfaces IP-Netze VLANs

L-54 Serie 1/2 8 Ja800+ 4 2 Nein

DSL-I/10+ 3/4 2 Nein821+ 4 8 Ja1511 4 2 Ja1521 4 2 Ja

1611+ 3/4 2 Ja1711 4 8 Ja172x 2/4 8 Ja1811 4 8 Ja182x 2/4 8 Ja3550 4 8 Ja7111 4 64 Ja8011 4 64 Ja


Seite 62

Zunahme von Einrichtungen mit IP-Anbindung „All IP Network“

VoIP-Telefone

Kassen

Gebäudetechnik

Werbesysteme

Alarm-/Schließsystem

Wartung der einzelnen Einrichtungen durch verschiedene Dienstleister Outsourcing

Hosted PBX

Dienstleister

Internet

LANCOM RouterFiliale

VLAN und virtuelle Router grenzen Dienste sicher und flexibel voneinander ab Logische Netze

VLAN

„Virtuelle Router“

2 3 4 51

VPN

Features des LCOS 7.2 - ARF Einsatzszenario: Externe Dienstleister


Seite 63

Firma 1

Internet

BüroparkLANCOM Router

Firma 4

Firma 2

Firma 3

Firma 5

Bereitstellung von Internetzugängen Service Provider

Virtuelle Router grenzen Netze voneinander ab Sicherheit

Features des LCOS 7.2 - ARFEinsatzszenario: Büropark

2 3 4 51



Seite 64

Firma 1

Internet

BüroparkLANCOM Router

Firma 4

Firma 2

Firma 3

Firma 5

2 3 4 51

Nutzung gemeinsamer Ressourcen Shared Infrastructure

Netzwerkdrucker

1, 2 & 3


Flexibler Übergang zwischen den virtuellen Routern möglich keine harte Trennung

Features des LCOS 7.2 - ARFEinsatzszenario: Büropark


Seite 65

Trennung der Netze erfolgt über VLAN oder Schnittstellen-Zuordnung

Adressprüfung: Flexibel: Jede Quelladresse wird akzeptiert Streng: Es muss explizit eine Rückroute vorhanden sein

Schnittstellen-Tag: Tag zur Trennung der Netze, ohne explizite Firewall-Regel Besondere Werte: 0 (ungetaggt) – Management-Netz Getaggte Netzwerke können nur Netzwerke mit dem gleichen

Schnittstellen-Tag sehen Netzwerke vom Typ 'DMZ' sind für alle anderen Netzwerke sichtbar

Features des LCOS 7.2 - ARFDefinition von Netzwerken


Seite 66

DHCP: Pro Netzwerk kann der LANCOM Router als DHCP-Server agieren Frei konfigurierbare DHCP-Optionen

DHCP-Relay-Server: LANCOM fungiert als zentraler DHCP-Server Hierzu wird die Relay-Agent-IPAdresse (GI-Adresse) als

Netzwerkname in die Tabelle der IP-Netzwerke eingetragen

DNS: Pro Netzwerk kann eine eigene Sub-Domäne angelegt werden

NetBIOS-Proxy: Das Schnittstellen-Tag hat Einfluss auf die vom NetBIOS-Proxy

sichtbaren Hosts und Gruppen

Features des LCOS 7.2 - ARFDHCP, DNS und NetBIOS


Seite 67

Für die automatische VPN-Regel-Erzeugung werden nun alle Netzwerke aufgenommen, die

das Tag '0' haben oder die beiden folgenden Bedingungen erfüllen:

Das Netzwerk hat das gleiche Schnittstellen-Tag wie der zur VPN-Verbindung gehörende Eintrag in der IP-Routing-Tabelle

Das Netzwerk ist vom Typ 'Intranet'

Features des LCOS 7.2 - ARFAutomatische Regelerzeugung von VPN-Regeln


Seite 68

Die interfaceabhängige Filterung ermöglicht es – zusammen mit dem Policy-based Routing – für jedes Interface virtuelle Router zu definieren:

Beispiel:

Features des LCOS 7.2 - ARFVirtueller Router


Seite 69

Erweitertes Port-Forwarding: Aufnahme von WAN-Adressen und den Protokollen als Bedingung:

Features des LCOS 7.2 - ARFInverses Masquerading


Seite 70

Features des LCOS 7.2 - ARF Zuordnung von IP-Netzwerken zu Interfaces


Seite 71

Beispiel: „Auftrennen“ eines LANCOM 1823 LAN-1 (ETH-1) wird verknüpft mit WLAN-1 zu BRG-1 LAN-2 (ETH-2) wird verknüpft mit WLAN-1-2 zu BRG-2

Features des LCOS 7.2 - ARFBridge-Gruppen


Seite 72

Internet

VPN

VPN-Gateway

ZENTRALE (nur für INTERN)

PUBLIC

INTERN

Features des LCOS 7.2 - ARFSzenario I


Seite 73

Features des LCOS 7.2 - ARFSzenario I - Einrichtung

Der ETH-Port 2 (LAN 2) behält die Interface-Verwendung „LAN-1“.

Der ETH-Port 3 (LAN 3) bekommt die Interface-Verwendung „LAN-2“.

(ETH-Port 1 (LAN 1) ist als DSL-1 definiert)


Seite 74


Unter „Schnittstellen -> LAN - > Port-Tabelle“ müssen nun die Interface LAN-1 und LAN-2 den den WLAN-Netzwerken 1 und 2 zugeordnet werden. Diese geschieht über Bridge-Gruppen.

Die Bridge-Gruppe 1 (BRG-1) besteht aus LAN-1 und WLAN-1

Die Bridge-Gruppe 2 (BRG-2) besteht aus LAN-2 und WLAN-1-2


Seite 75


Für das Netzwerk „INTRANET“ ist die Schnittstellen-Zuordnung auf BRG-1 zu setzen und ein Schnittstellen-Tag, hier 1, zu vergeben.

Als Schnittstellen-Zuordnung wird die Bridge-Gruppe 1 ausgewählt, da das Netz „INTRANET“ über zwei Ports (LAN-1 und WLAN-1) aufgespannt werden soll.


Seite 76


Nun wird ein weiteres Netz hinzugefügt, hier mit der Bezeichnung „PUBLIC“

Das Netz erhält die IP-Adresse 172.23.56.1, die Schnittstellen-Zuordnung BRG-2 und das Schnittstellen-Tag 2.

Als Schnittstellen-Zuordnung wird die Bridge-Gruppe 2 ausgewählt, da das Netz „PUBLIC“ über zwei Ports (LAN-2 und WLAN-1-2) aufgespannt werden soll.


Seite 77


Für das Netz „PUBLIC“ wird der DHCP-Server aktiviert, unter DHCP-Netzwerke das Netz „PUBLIC“ hinzufügen und aktivieren.


Seite 78


Für das Netz „INTRANET“ ebenfalls den DHCP-Server aktivieren.


Seite 79


Nur das Netz „INTRANET“ soll die eingerichtete VPN-Verbindung nutzen. Durch Zuordnung der gleichen Tags, hier 1, wird die Bedingung erreicht. Alle Routen mit Tag 0 stehen allen Netzen zur Verfügung.


Seite 80

Features des LCOS 7.2 - ARFSzenario II

Internet

VPN

VPN-Gateway

ZENTRALE (nur für INTERN)

PUBLIC

INTERN

VLAN / ARF


Seite 81

Features des LCOS 7.2 - ARFSzenario II - Einrichtung

Es sind nur, anstelle der Schnittstellen-Zuordnung, die VLAN-IDs unter TCP/IP -> IP-Netzwerke zu definieren. Das Netz „INTRANET“ erhält VLAN-ID 10 und „PUBLIC“ die VLAN-ID 20.


Seite 82






VoIP


VPN

WLAN

Management


Agenda



Seite 83


VoIP


VPN

SCEP

LANconfig: 1-Click-VPN

LANconfig: Zertifikate sichern und hochladen

Agenda


Seite 84

Automatisierte Erzeugung Rollout Verlängerung

von Zertifikaten Kein manuelles Aufspielen per Webbrowser mehr nötigGerät prüft selbständig die Laufzeit und verlängert wenn nötigGerät erzeugt selbständig Schlüsselpaar und stellt

Zertifizierungsanfrage nach PKCS#10-Standard an die CA

Features des LCOS 7.2 - VPNSCEP (Simple Certificate Enrollment Protocol)


Seite 85

1. Erzeugung eines Schlüsselpaars

4. Erstellung des Zertifikats durch:

2. Zertifikatsanfrage an die CA stellen

1. Berechnung eines Hashwerts über die Daten des öffentl. Schlüssels

2. Verschlüsseln des Hashwertes mit dem privaten Schlüssel der CA

abcdefghijklmnopqrstuvwxyz1234567890abcdefghijklmdfli84zqpfosdsdzvbuK/RTu7kefILAZ)/T(Qilgeifw7fqwfl

3. Freigabe der Anfrage durch die CA

Features des LCOS 7.2 - VPNAblauf einer Zertifikatsanfrage mit SCEP


Seite 86

Als kostenloses Plugin in Microsoft CA von MS Server 2003 verfügbar

Minimaler Administrationsaufwand durch die Verwendung von Zertifikaten als Authentisierungsmechanismus

Minimale Betriebskosten, da die Ausstellung und Erneuerung der Zertifikate vollautomatisch durch das VPN-Gateway durchgeführt wird

Features des LCOS 7.2 - VPNVorteile von SCEP


Seite 87

Proadaptive VPN: Übermittlung der Netzinformationen

Zertifikats-Enrollment durch simples „Betanken“ per SCEP

IPSec für Sprache & Daten mit geringem Aufwand gemeinsam nutzen

Zentrale

SCEP

Netzinfo

Template

Bei Loadbalancing Propagieren der Routen per RIPv2

Proadaptive VPN für RAS-User (RAS User Template)

Features des LCOS 7.2 - VPN Einsatzszenario – Proadaptive VPN und SCEP


Seite 88

Vereinfachter VPN-Client und Site-to-Site Assistent: Kein Experten-Wissen notwendig Keine Abfrage bereits bekannter Parameter bzw. Generation

zufälliger Werte Erzeugung eines kompletten Import-Scriptes für den LANCOM

Advanced VPN Client „Drag and Drop“ Einrichtung von VPN Standort-Kopplungen

Features des LCOS 7.2 - VPNLANconfig: 1-Click-VPN


Seite 89

Features des LCOS 7.2 - VPNLANconfig: 1-Click-VPN - VPN-Client Assistent


Seite 90

Features des LCOS 7.2 - VPNLANconfig: 1-Click-VPN - Site-to-Site Assistent


Seite 91

Einstellungen der Zentrale Anpassung auch an komplexere Umgebungen

Features des LCOS 7.2 - VPNLANconfig: 1-Click-VPN - Site-to-Site Assistent


Seite 92

Zertifikate (SSL, SSH, VPN oder EAP/TLS) können über LANconfig in ein Gerät eingespielt bzw. aus einem Gerät gesichert werden:

Features des LCOS 7.2 - VPNLANconfig: Zertifikate sichern und hochladen


Seite 93






VoIP


VPN

WLAN

Management


Agenda



Seite 94


VoIP


VPN

WLAN

Integration eines 802.1x / EAP RADIUS Servers

WLAN-Roaming und Beaconing im Client-Mode

Rapid-Spanning-Tree-Protokoll

VLAN Q-In-Q Support

Agenda


Seite 95

RADIUS steht für: (R)emote (A)uthentication for (Di)al-in (Us)ers Idee: Benutzerdaten auf einen zentralen Server anstelle auf jeden

einzelnen NAS ((N)etwork (A)ccess (S)erver) bereitstellen Anwendungen: Dial-In Servers, 802.1x Authentication Servers,

User Accounting

User 1

.

.

.

User 2

User 3

User n

RADIUS

User Database

.

.

Features des LCOS 7.2 - WLANIntegration eines 802.1x / EAP RADIUS Servers


Seite 96

Für die neuen LANCOM WLAN Controller, alle LANCOM Access Points und WLAN Router und auch für LANCOM 7011, 7111 und 8011 verfügbar

Unterstützung von ganzen IP-Netze zur Integration von RADIUS-Client mit einem gemeinsamen Secret

Lokale Benutzer-TabelleRealm-handling/forwarderNeue Authentifizieungs-Methoden: CHAP, MS-CHAP, MS-

CHAPv2, EAP mit TLS, TTLS, PEAP



Seite 97

EAP steht für: (E)xtensible (A)uthentication (P)rotocolEAP wurde für die Authentifizierung innerhalb von PPP entwickelt, findet aber heute am meisten Anwendung bei der 802.1x

Authentifizierung im (Wireless) NetzwerkenEAP selber definiert nur ein Gerüst für die Authentifizieungs-

MethodenEAP in 802.11:

Access Point agiert als EAP relay/converter zwischen Client und Server

RADIUS-Server(Authentication

Server)

Client(Supplicant)

EAPOL

EAP

802.11

RADIUS

EAP

UDP

IP

802.3



Seite 98

EAP-MD5: einfaches Challenge/Response-Protokoll keine gegenseitige Authentifizierung keine dynamische Schlüssel Nur als getunneltes Verfahren innerhalb von TTLS

EAP-MSCHAPv2: gegenseitige Authentifizierung keine dynamischen Schlüssel Nur als getunneltes Verfahren innerhalb PEAP-Tunneln

EAP-TLS: erfordert ein Root-, eine Geräte-Zertifikat und einen privaten

Schlüssel bietet hervorragende Sicherheit und dynamischen Schlüssel

EAP-TTLS: TTLS basiert auf TLS, verzichtet aber auf Client-Zertifikate



Seite 99

Soft-Roaming: Roaming anhand verfügbarer Scan-Informationen

Hard-Roaming: Roaming aufgrund eines Verbindungsverlustes

Beacon-Empfangs-Schwellwert: Wie viele Beacons vom Access Points dürfen empfangsgestört sein,

bevor der Client mit eine erneute Suche beginntRoaming-Schwellwert:

gibt an, um wie viel Prozent die Signalstärke eines anderen Access Points besser sein muss, damit der Client auf den anderen Access Point wechselt

Verbindungs-Schwellwert: gibt die Feldstärke in Prozent an, die ein Access Point mindestens

aufweisen muss, damit ein Client einen Versuch zum Einbuchen bei diesem Access Point startet.

Verbindung-Halten-Schwellwert: gibt die Feldstärke in Prozent an, die der aktuelle Access Point

mindestens aufweisen muss, damit die Verbindung nicht als abgerissen betrachtet wird

Features des LCOS 7.2 - WLANWLAN-Roaming und Beaconing im Client-Mode


Seite 100

Beacon-Periode: gibt den zeitlichen Abstand an, in dem Beacons verschickt werden Niedrigere Werte ergebenen kleinere Beacon-Timeout-Zeiten auf

dem Client und erlauben damit ein schnelleres Roaming beim Access Point-

Ausfall, erhöhen aber den Overhead auf dem WLAN

DTIM-Periode: gibt an, nach welcher Anzahl von Beacons die gesammelten

Multicasts ausgesendet werden. Höhere Werte erlauben längere Sleep-Intervalle der Clients,

verschlechtern aber die Latenzzeiten

Features des LCOS 7.2 - WLANWLAN-Roaming und Beaconing im Client-Mode


Seite 101

Rapid Spanning Tree Protokoll (IEEE 802.1w) Zur Auflösung von doppelten Pfaden in Netzwerkverbindungen Für redundante Verkabelungen

Neukonfigurationszeiten Spanning Tree (STP ‚Classic‘, 802.1d)

ca. 30 – 60s Rapid Spanning Tree (RSTP, 802.1w)

ca. 1 s

Root

RootRoot

DesignatedDesignated

Designated Designated

Root Root

Alternate

Features des LCOS 7.2 - WLANRapid-Spanning-Tree-Protokoll


Seite 102

Geschachtelte VLANs, „Q-in-Q“Anwendung im Bereich Carrier

Kunde nutzt VLANs Carrier bietet Ethernet-Infrastruktur für mehrere Kunden Lösung: VLAN in VLAN (Cisco Name: „Q-in-Q“)

Features des LCOS 7.2 - WLANVLAN Q-In-Q Support


Seite 103






VoIP


VPN

WLAN

Management


Agenda



Seite 104


VoIP


VPN

WLAN

Management

LANconfig: Unterstützung LANCOM VP-100

WLANmonitor: Horizontale Anordnung der Fenster

Konfigurierbarer Reset-Taster

HTTP/TCP Tunnel Funktion

New Keyword Search Function for WEBconfig

Agenda


Seite 105

Einbindung des LANCOM VP-100 in LANconfig und Start des Web Browser über LANconfig für die Konfiguation des VoIP-Telefons:

Features des LCOS 7.2 - ManagementLANconfig: Unterstützung LANCOM VP-100


Seite 106

Wählbare (vertikal oder horizontale) Anordnung der AP- und Clientfenster im WLANmonitor:

Features des LCOS 7.2 - ManagementWLANmonitor: Anordnung der Fenster


Seite 107

Konfigurierbarer Reset-Button „ignore“: Der Button wird ignoriert „boot-only“: Beim Druck auf den Button wird nur ein Neustart

ausgelöst, unabhängig von der gedrückten Dauer. „reset-or-boot“: Der Button zeigt das bisherige Verhalten (Ein kurzer

Druck auf den Reset-Knopf für zum Neustart, ein Druck von 5 Sekunden oder länger führt zum Neustart mit dem Rücksetzen der Konfiguration auf den Auslieferungszustand.) Dies ist auch der Defaultwert.

Das Verhalten des Reset-Buttons kann über WEBconfig (Experten-Konfiguration) oder über die Konsole (Outband, telnet/SSH) möglich:

Setup > Config

Features des LCOS 7.2 - ManagementKonfigurierbarer Reset-Button


Seite 108

Features des LCOS 7.2 - ManagementHTTP/TCP Tunnel Funktion

Zur Konfiguration interner LANCOM-Geräte, z.B. Access Points oder VP-100 Telefone

nur nach Authentisierung am Router

InternetMgmt-PC


Seite 109

Aufbau eines HTTP(80)/HTTPS(443)- oder TCP-Tunnel zu einem anderen Gerät durch einen LANCOM hindurch

Die TCP-Verbindung wird vom LANCOM Router verwaltetTunnel wird automatisch nach (konfigurierbarer) traffic-loser Zeit

geschlossenTunnel steht nur der IP-Adresse zur Verfügung, die den Tunnel

generiert hatDirekt ausführbar über WEBconfig GerätesucheKonfigurations-Parameter und Status-Einträge:

Maximum number of active tunnels Maximum tunnel idle time Status table of active tunnels (allows deletion of tunnels)

Features des LCOS 7.2 - ManagementHTTP/TCP Tunnel Funktion


Seite 110

Durchsuchen der Experten-Konfiguration (Setup- und Status-Baum) nach Schlüsselwörtern

Sucht in Menü-Titeln und Tabellen-Überschriften

Features des LCOS 7.2 - ManagementNew Keyword Search Function for WEBconfig


Seite 111






VoIP


VPN

WLAN

Management


Agenda



Seite 112


CRON-Jobs mit Zeitverzögerung

VLAN-Tags für DSL-Interfaces

Erhöhung der maskierter Verbindungen auf 4096

Erweiterung des Verhaltens bei FTP und IRC

Startverhalten von LANconfig, LANmonitor und WLANmonitor

LANconfig: drag & drop for script files

Neue Rolle für weitere Administratoren

Inhalt


Seite 113

CRON-Jobs mit Zeitverzögerung:

VLAN-Tags für DSL-Interfaces:

Features des LCOS 7.2 Weitere LCOS-Neuheiten


Seite 114

Erhöhung der Anzahl gleichzeitiger maskierter Verbindungen auf 4096

Erweiterung des Verhaltens bei bestimmter Applikationen (FTP und IRC):

Das Verhalten kann in der Firewall konfiguriert werden



Seite 115

Verhalten von LANconfig, LANmonitor und WLANmonitor beim Start von Windows:

… nie starten: Start erfolgt manuell … immer starten: automatisch Start nach Betriebssystemsstart … wie zuvor starten: waren z.B. LANconfig aktiv, wird es wieder

gestartet, war z.B. LANconfig nicht aktiv, muss es manuell gestartet werden

LANconfig: drag & drop for script files: Über LANconfig erzeugte Script-Dateien können per drag & drop auf

Geräte wieder eingespielt werden

Neue Rolle für weitere Administratoren: Nur lesen Lesen und tracen



Seite 116








VIII. Diskussion

Agenda



Seite 117







UTM

802.11n

Agenda



Seite 118







UTM

802.11n

Agenda



Seite 119

Ausblick in die Zukunft - UTMLANCOM 5010 UTM

LANCOM 5010 UTM


Seite 120

Ausblick in die Zukunft - UTMLANCOM 5010 UTM

LANCOM 5010 UTM

ADSL2+ Modem 4x Ethernet Switch 1x ISDN-S0

USB Host Port 5 VPN Tunnel inklusive (25 optional)

UTM Anti-Virus small, 1 Jahr UTM Anti-SPAM small, 1Jahr UTM Content-Filter small, 1Jahr UTM Complete small, 1Jahr

30 Tage Demo-Lizenzen verfügbar

Lizenzen


Seite 121







UTM

802.11n

Agenda



Seite 122








VIII. Diskussion

Agenda



Seite 123

Ihre Meinung ist uns wichtig!

Beim LANupdate Frühjahr 2007 wurden Sie gefragt, welche Funktionen Sie bei LCOS und den LANtools wünschen.

Gewünschte Funktionen Trace per LANtools (Besserer Trace) USB Massenspeicherunterstützung/Netzlaufwerk (Dateisystem;

Samba…) SSL-VPN UTM Zertifikatserstellung/-unterstützung/-verwaltung (CA im Router) LANmonitor als Dienst inverses Masquerading Besetztlampenfeld (BLF) Telnet Referenzen RADIUS-Server (im Lancom)


Seite 124








VIII. Diskussion

Agenda

VIII. Diskussion


Seite 125

Diskussion

Was hat es mit den Support Tickets auf sich? ARF praktische Beispiele SCEP praktische Beispiele Sicherheit W-LAN Gibt es eine Anleitung für die zuverlässige Einrichtung von 1-

Knopf VPN-Tunnel? Infos zu Kompatibilität T.38 Standortvernetzungen und VoIP Vernetzung VoIP-Erfahrungen mit IP-Providern (z.B. Arcor) Eine praktische Vorführung des WLAN Controllers wäre nett Eine Datenbank zur Sammlung von interessanten Skripten

(ähnlich Knowledge Database) wäre interessant


Seite 126

LANupdate Herbst 2007 Stand: 17.10.2007 Wolfram Ohn.

Documents

Transcript of LANupdate Herbst 2007 Stand: 17.10.2007 Wolfram Ohn.