Skip to end of metadata
Go to start of metadata


Beschreibung:
Dieses Dokument beschreibt, wie das LANCOM Layer 2 Management Protokoll (LL2M) funktioniert und wie Sie dieses zur Konfiguration der LANCOM-Geräte verwenden können.


Voraussetzungen:


Einsatz und Funktionsweise des LL2M-Protokolls:
Alle Wege zur Konfiguration eines LANCOM setzen eine IP-Verbindung zwischen dem Konfigurationsrechner und dem LANCOM voraus. Egal ob LANconfig, WEBconfig oder Telnet, ohne IP-Verbindung können keine Befehle zur Konfiguration an das Gerät übertragen werden. Im Falle einer Fehlkonfiguration der TCP/IP-Einstellungen oder der VLAN-Parameter kann es vorkommen, dass diese benötigte IP-Verbindung nicht mehr hergestellt werden kann.
In diesen Fällen hilft nur der Zugriff über die serielle Konfigurationsschnittstelle (nicht bei allen Geräten verfügbar) oder ein Reset des Gerätes auf den Auslieferungszustand. Beide Möglichkeiten setzen aber den physikalischen Zugriff auf
das Gerät voraus, der z. B. bei der verdeckten Montage von Access Points nicht immer gegeben ist oder in größeren Szenarien erheblichen Aufwand darstellen kann.
Um auch ohne IP-Verbindung einen Konfigurationszugriff auf ein Gerät zu ermöglichen wird das LANCOM Layer 2 Management Protokoll (LL2M) verwendet. Dieses Protokoll benötigt nur eine Verbindung auf Layer 2, also auf dem
direkt oder über Layer-2-Switches angebundenen Ethernet, um eine Konfigurationssitzung aufzubauen.
LL2M-Verbindungen werden auf LAN- oder WLAN-Verbindungen unterstützt, nicht jedoch über das WAN. Die Verbindungen über LL2M sind verschlüsselt und gegen Replay Atacken resistent.
LL2M etabliert dazu eine Client-Server-Struktur: Der LL2M-Client schickt Anfragen oder Befehle an den LL2M-Server, der die Anfragen beantwortet oder die Befehle ausführt. Der LL2M-Client ist im LCOS integriert und wird über die
Kommandozeile ausgeführt.
Der LL2M-Server ist ebenfalls im LCOS integriert und wird in der Standardkonfiguration nach dem Einschalten des Gerätes dauerhaft aktiviert.


Verwendung des LL2M-Protokolls:
1. Konfiguration des LL2M-Servers:
Mit dem Befehl ls /setup/config/ll2m werden alle im LCOS relevanten LL2M-Parameter angezeigt.

  • Wert Operating (In-Betrieb):
    Schaltet den LL2M-Server ein oder aus. Ein aktivierter LL2M-Server kann nach dem Einschalten des Gerätes für die Dauer des Zeit-Limits von einem LL2M-Client angesprochen werden. Der Befehl set setup/config/ll2m/operating No würde den LL2M-Server ausschalten, mit dem Befehl set setup/config/ll2m/operating Yes kann der LL2M-Server eingeschaltet werden.
  • Wert Time-Limit (Zeit-Limit):
    Definiert die Zeitspanne in Sekunden, in der ein aktivierter LL2M-Server nach dem Booten/Einschalten des Gerätes von einem LL2M-Client angesprochen werden kann. Nach Ablauf des Zeit-Limits wird der LL2M-Server automatisch deaktiviert.

    Im Standardzustand ist der LL2M-Server ohne zeitliche Einschränkung in Betrieb (Sekundenanzahl = 0). Wenn dieses Zeitintervall eingeschränkt werden soll, so kann dies mit dem Befehl set setup/config/ll2m/time-limit <Zeitwert> auf einen beliebigen Wert (z.B. z.B. 60 Sekunden) geändert werden.

    Die Eingabe erfordert zwingend 10 Ziffern (gültige Werte sind 0 bis 4294967295; Einheit sind Sekunden). Ein Zeitwert 0000000060 würde das Zeitintervall auf 60 Sekunden einstellen.


2. Befehle für den LL2M-Client:
Für jeden LL2M-Befehl wird ein verschlüsselter Tunnel aufgebaut, der die bei der Übertragung übermittelten Anmeldeinformationen schützt. Zur Nutzung des integrierten LL2M-Clients starten Sie eine Telnet- oder SSH-Sitzung auf einem LANCOM, welcher lokalen Zugriff über das verfügbare physikalische Medium (LAN, WLAN) auf den LL2M-Server hat. In dieser Konsolensitzung können Sie den LL2M-Server über die folgenden Befehle ansprechen.
Info:
Damit die auf dem LL2M-Client eingegebenen Befehle auf dem LL2M-Server ausgeführt werden können, müssen Sie über Administrator-Rechte auf dem LL2M-Server verfügen.


Befehl ll2mdetect:
Mit dem Befehl ll2mdetect schickt der LL2M-Client eine SYSINFO-Anfrage an alle erreichbaren LL2M-Server, wenn dem Befehl keine zusätzlichen Parameter hinzugefügt werden.
Die mit dem Befehl ll2mdetect erreichten LL2M-Server senden daraufhin ihre Systeminformationen wie Hardware, Seriennummer etc. zur Anzeige an den LL2M-Client zurück. Der Befehl ll2mdetect kann mit den folgenden Parametern eingeschränkt werden.
  • -a <MAC-Adresse> : Schränkt den ll2mdetect-Befehl nur auf die Geräte mit der angegebenen MAC-Adresse ein. Die MAC-Adresse wird in der Form 00a057010203, 00-a0-57-01-02-03 oder 00:a0:57:01:02:03 angegeben. Wird keine MAC-Einschränkung gesetzt, geht der detect als Multicast (oder optional als Broadcast) an alle LL2M-fähigen Geräte.

    Einzelne Stellen der MAC-Adresse können mit einem * oder x als Platzhalter besetzt werden, um Gruppen von MAC-Adressen anzusprechen, z. B. 00-a0-57-xx-xx-xx für alle LANCOM-MAC-Adressen.
  • -t <Geräte-Typ> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardware-Typs ein.
  • -r <Hardware-Release> : Schränkt den ll2mdetect-Befehl nur auf die Geräte des entsprechenden Hardwarereleases ein. Beispiel: Der Befehl "ll2mdetect -r A" versendet eine SYSINFO-Anfrage an alle Geräte mit Hardware-Release A. Die Antwort des LL2M-Servers enthält die folgenden Angaben:
  • Name des Gerätes
  • Gerätetyp
  • Seriennummer
  • MAC-Adresse
  • Hardware-Release
  • Firmware-Version mit Datum
  • -f <Version> : Schränkt den ll2mdetect-Befehl nur auf die Geräte der entsprechenden Firmware-Version.
    Beispiel: Der Befehl "ll2mdetec -f *8.00*" zeigt alle Geräte mit der Firmware-Version 8.00 an.
  • -b : Versendet den ll2mdetect-Befehl als Broadcast und nicht als Multicast.
  • -v <VLAN-ID> : Mit diesem zusätzlichen Parameter erhält das Paket, welches den ll2mdetect-Befehl enthält, das angegebene VLAN-Tag um durch die Netzwerkstruktur durchgeleitet werden zu können.


Befehl ll2mexec:
Mit diesem Befehl schickt der LL2M-Client ein einzeiliges Kommando zur Ausführung an den LL2M-Server. Mehrere Kommandos können durch Semikolon getrennt in einem LL2M-Befehl kombiniert werden.
Je nach Kommando werden Aktionen auf dem entfernten Gerät ausgeführt und die Rückmeldungen des entfernten Gerätes werden zur Anzeige an den LL2M-Client übertragen. Der Befehl ll2mexec entspricht folgender Syntax:
  • ll2mexec <User>[:<Password>]@<MAC-Adresse>
Der Befehl LL2Mexec kann mit dem folgenden Parameter eingeschränkt werden.
  • -v <VLAN-ID> : Versendet den ll2mexec-Befehl nur auf dem angegebenen VLAN. Wenn keine VLAN-ID angegeben ist, wird die VLAN-ID des ersten definierten IP-Netzwerks verwendet.
  • -i <Schnittstelle>: Versendet den ll2mexec-Befehl über die angegebene logische LAN-Schnittstelle. Wird keine Schnittstelle angegeben, wird der Befehl immer nur über die erste Schnittstelle (LAN-1) versandt.

Beispiel:
ll2mexec root@00a057010203 set name MyLANCOM: Dieser Befehl meldet den LL2M-Client als root auf dem LL2M-Server mit der MAC-Adresse 00a057010203 an. Das Kennwort wird in der Konsolensitzung interaktiv abgefragt. Dann setzt der LL2M-Client den Namen des entfernten Gerätes auf den Wert MyLANCOM.


Praxisbeispiel zur Verwendung des LL2M-Protokolls:
In diesem Praxisbeispiel wird angenommen, dass ein LANCOM Access Point, welcher durch einen LANCOM WLAN-Controller gemanaged wird, durch eine Fehlkonfiguration nicht mehr erreichbar bzw. konfigurierbar ist. Auf dem Access-Point wurde versehentlich das VLAN-Modul aktiviert, obwohl im Netzwerk kein VLAN verwendet wird.
Durch die Verwendung des LL2M-Protokolls ist es möglich, den Access Point über den WLAN-Controller zu errreichen und den fehlerhaften Parameter zu korrigieren. Gehen Sie dazu folgendermaßen vor:
1. Starten Sie eine Telnet- oder SSH-Sitzung auf dem WLAN-Controller.
2. Geben Sie an der Eingabeaufforderung den Befehl ll2mdetect ein um sich die Daten des Access Points anzeigen zu lassen. Die MAC-Adresse des Access Points ist in diesem Beispiel 00:A0:57:12:1B:D3.
3. Geben Sie dann den Befehl ll2mexec root:<passwort>@00a057121bd3 ein, um sich per LL2M-Protokoll mit Administrator-Rechten zu dem Access Point zu verbinden. Als <passwort> müssen Sie das Hauptgeräte-Passwort des Access Points verwenden.
Info:
Wenn das Passwort Sonderzeichen, wie z.B. $, " oder \ enthält, so muss diesen Zeichen jeweils ein Escape-Zeichen vorangestellt werden, damit das Passwort akzeptiert wird.
  • Einem $ muss z.B. ein weiteres $ vorangestellt werden ($$).
  • Einem \ muss ebenfalls ein weiterer \ vorangestellt werden (\\).
  • Bei einem " muss ein \ vorangestellt werden (\")
  • Beispiel: Passwort lautet ertgbh$1, eingegeben werden muss ertgbh$$1
4. In diesem Praxisbeispiel soll das fälschlich aktivierte VLAN-Modul des Access Points wieder deaktiviert werden. Geben Sie dazu an der Eingabeaufforderung den Befehl cd setup/vlan ein. Mit dem Befehl ls können Sie sich die Parameter anzeigen lassen.
5. Geben Sie den Befehl set operating no ein, um das VLAN-Modul des Access Points zu deaktivieren. Die Änderung wird im Access Point sofort aktiviert und das Gerät ist wieder erreichbar.
6. Damit ist die Fehlerkorrektur unter Verwendung des LL2M-Protokolls abgeschlossen.
Info:
Eine nützliche Hilfe bei Konfiguration per Telnet- oder SSH-Client ist die LCOS Menüreferenz.